Calico的BGP打通Kubernetes网络和局域网

最新推荐文章于 2024-07-14 02:19:10 发布
最新推荐文章于 2024-07-14 02:19:10 发布
阅读量1.8k 收藏 4
点赞数 4
分类专栏: # Kubernetes项目实战 # Kubernetes应用 Kubernetes 文章标签: kubernetes 网络 云原生
未经本人允许,禁止转载,谢谢合作 南宫乘风
本文链接:https://blog.csdn.net/heian_99/article/details/130631067
版权

1、项目背景

随着云原生技术的不断发展,容器化应用已成为企业构建云原生架构的重要方式。而随着集群规模不断扩大,跨主机通信的需求也越来越重要。在 Kubernetes 集群中,Pod 是最小的调度和管理单位,而网络也是 Kubernetes 中最重要的组成部分。为了满足跨主机通信的需求,社区提供了各种各样的解决方案,其中 Calico 是一种利用 BGP 协议解决 Pod 与外部网络通信的解决方案。

2、简介

Calico 是一个开源的容器网络解决方案,可以通过使用 BGP 协议来管理容器网络。与传统的基于 VXLAN 的解决方案相比,使用 Calico 可以避免网络数据包的封装和解封过程,提高了网络传输的效率和吞吐量。在 Kubernetes 集群中,Calico 可以用来打通 Pod 和局域网的网络,从而实现跨主机通信。

3、背景

  • 现状
    集群内pod&node可以通过pod ip直接进行访问,容器访问虚拟机没有问题,但是虚拟机不能访问容器,尤其是通过consul注册的服务,必须打通网络后才可以互相调用
  • 目标
    打通pod和虚拟机的网络,使虚拟机可以访问pod ip
    官方文档:https://docs.projectcalico.org/archive/v3.8/networking/bgp

4、使用Calico打通Pod网络

1、[Kubernetes Master节点]安装calico控制命令calicoctl

curl -O -L  https://github.com/projectcalico/calicoctl/releases/download/v3.8.9/calicoctl
chmod +x calicoctl
mv calicoctl /usr/bin/calicoctl

2、 [calicoctl安装节点]添加calico配置

mkdir /etc/calico
cat > /etc/calico/calicoctl.cfg <<EOF
apiVersion: projectcalico.org/v3
kind: CalicoAPIConfig
metadata:
spec:
  datastoreType: "kubernetes"
  kubeconfig: "/root/.kube/config"
EOF


# 测试
calicoctl version
Client Version:    v3.8.9
Git commit:        0991d2fb
Cluster Version:   v3.8.9        # 出现此行代表配置正确
Cluster Type:      k8s,bgp,kdd   # 出现此行代表配置正确

3、 [calicoctl安装节点]配置集群路由反射器,node节点与master节点对等、master节点彼此对等

# 在本环境下将kubernetes master节点作为反射器使用
# 查看节点信息

[root@master1 node]# kubectl get node
NAME     STATUS   ROLES                  AGE     VERSION
master   Ready    control-plane,master   3h19m   v1.22.4
node1    Ready    <none>                 3h16m   v1.22.4
node2    Ready    <none>                 3h15m   v1.22.4


# 导出Master节点配置(多个导出)
calicoctl get node k8s-test-master-1.fjf --export -o yaml > k8s-test-master-1.yml
calicoctl get node k8s-test-master-2.fjf --export -o yaml > k8s-test-master-2.yml
calicoctl get node k8s-test-master-3.fjf --export -o yaml > k8s-test-master-3.yml

calicoctl get node master --export -o yaml > k8s-test-master-1.yml




# 在3个Master节点配置中添加以下配置用于标识该节点为反射器

metadata:
  ......
  labels:
    ......
    i-am-a-route-reflector: true
  ......
spec:
  bgp:
    ......
    routeReflectorClusterID: 224.0.0.1

# 更新节点配置
calicoctl apply -f k8s-test-master-1.yml



# 其他节点与反射器对等
calicoctl apply -f - <<EOF
kind: BGPPeer
apiVersion: projectcalico.org/v3
metadata:
  name: peer-to-rrs
spec:
  nodeSelector: "!has(i-am-a-route-reflector)"
  peerSelector: has(i-am-a-route-reflector)
EOF




# 反射器彼此对等
calicoctl apply -f - <<EOF
kind: BGPPeer
apiVersion: projectcalico.org/v3
metadata:
  name: rr-mesh
spec:
  nodeSelector: has(i-am-a-route-reflector)
  peerSelector: has(i-am-a-route-reflector)
EOF

在这里插入图片描述
4、 [calicoctl安装节点]配置Master节点与核心交换机对等

calicoctl apply -f - <<EOF
apiVersion: projectcalico.org/v3
kind: BGPPeer
metadata:
  name: rr-border
spec:
  nodeSelector: has(i-am-a-route-reflector)
  peerIP: 192.168.83.1
  asNumber: 64512
EOF
# peerIP: 核心交换机IP
# asNumber: 用于和核心交换机对等的ID

5、 [192.168.83.1,设备型号:cisco 3650]配置核心交换与Master(反射器)节点对等,这一步需要在对端BGP设备上操作,这里是用核心交换机

router bgp 64512
bgp router-id 192.168.83.1
neighbor 192.168.83.36 remote-as 64512
neighbor 192.168.83.49 remote-as 64512
neighbor 192.168.83.54 remote-as 64512

6、查看BGP 对等状态

calicoctl node status
# INFO字段全部为Established 即为正常
Calico process is running.
 
IPv4 BGP status
+---------------+---------------+-------+----------+-------------+
| PEER ADDRESS  |   PEER TYPE   | STATE |  SINCE   |    INFO     |
+---------------+---------------+-------+----------+-------------+
| 192.168.83.1  | node specific | up    | 06:38:55 | Established |
| 192.168.83.54 | node specific | up    | 06:38:55 | Established |
| 192.168.83.22 | node specific | up    | 06:38:55 | Established |
| 192.168.83.37 | node specific | up    | 06:38:55 | Established |
| 192.168.83.49 | node specific | up    | 06:38:55 | Established |
| 192.168.83.52 | node specific | up    | 06:38:55 | Established |
+---------------+---------------+-------+----------+-------------+
 
IPv6 BGP status
No IPv6 peers found.

7、测试,使用其他网段,如192.168.82.0/24的虚拟机ping 某一个pod ip,能正常通信即代表成功

[dev][root@spring-boot-demo1-192.168.82.85 ~]# ping -c 3 172.15.190.2
PING 172.15.190.2 (172.15.190.2) 56(84) bytes of data.
64 bytes from 172.15.190.2: icmp_seq=1 ttl=62 time=0.677 ms
64 bytes from 172.15.190.2: icmp_seq=2 ttl=62 time=0.543 ms
64 bytes from 172.15.190.2: icmp_seq=3 ttl=62 time=0.549 ms
 
--- 172.15.190.2 ping statistics ---
3 packets transmitted, 3 received, 0% packet loss, time 2000ms
rtt min/avg/max/mdev = 0.543/0.589/0.677/0.067 ms
[dev][root@spring-boot-demo1-192.168.82.85 ~]#

5、使用Calico打通Svc网络

  • 现状
    一般情况下,Kuberntes集群暴露服务的方式有Ingress、NodePort、HostNetwork,这几种方式用在生产环境下是没有问题的,安全性和稳定性有保障。但是在内部开发环境下,使用起来就有诸多不便,开发希望可以直接访问自己的服务,但是Pod IP又是随机变化的,这个时候我们就可以使用SVC IP 或者SVC Name进行访问
  • 目标
    打通SVC网络,使开发本地可以通过SVC IP 或 SVC Name访问集群服务
    官方文档:https://docs.projectcalico.org/archive/v3.8/networking/service-advertisement
    注意:前提是已经用BGP打通了Pod网络或已经建立了BGP对等才可以继续进行
    1、 [Kubernetes Master]确定SVC网络信息
[root@master1 node]# kubectl cluster-info dump|grep -i  "service-cluster-ip-range"
                            "--service-cluster-ip-range=172.16.0.0/16",
                            "--service-cluster-ip-range=172.16.0.0/16",

2、 [Kubernetes Master]启用SVC网络广播

[root@master1 ~]# kubectl patch ds -n kube-system calico-node --patch    '{"spec": {"template": {"spec": {"containers": [{"name": "calico-node", "env": [{"name": "CALICO_ADVERTISE_CLUSTER_IPS", "value": "172.16.0.0/16"}]}]}}}}'
daemonset.apps/calico-node patched

3、测试
正常情况下启用BGP广播后,3分钟内核心交换即可接收到路由信息

# 找到集群DNS服务进行测试
kubectl get svc kube-dns -n kube-system
NAME       TYPE        CLUSTER-IP    EXTERNAL-IP   PORT(S)                  AGE
kube-dns   ClusterIP   172.16.0.10   <none>        53/UDP,53/TCP,9153/TCP   3d21h
 
 
# 找一个Pod IP在集群外进行解析测试,如果可以解析到结果说明SVC网络已经打通
[dev][root@spring-boot-demo1-192.168.82.85 ~]# dig -x 172.15.190.2 @172.16.0.10   
 
; <<>> DiG 9.9.4-RedHat-9.9.4-61.el7_5.1 <<>> -x 172.15.190.2 @172.16.0.10
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 23212
;; flags: qr aa rd; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1
;; WARNING: recursion requested but not available
 
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;2.190.15.172.in-addr.arpa.     IN      PTR
 
;; ANSWER SECTION:
2.190.15.172.in-addr.arpa. 30   IN      PTR     172-15-190-2.ingress-nginx.ingress-nginx.svc.k8s-test.fjf. # 可以正常解析到主机记录
 
;; Query time: 3 msec
;; SERVER: 172.16.0.10#53(172.16.0.10)
;; WHEN: Fri Jul 09 15:26:55 CST 2021
;; MSG SIZE  rcvd: 150
南宫乘风
关注
  • 4
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
路由器bgp协议对接生产K8S集群网络(Calico)
cloud_engineer的博客
11-05 1258
路由器对接K8S集群网络(Calico),实现外部地址可以直接访问K8S pod,无需经过node节点nat或者lvs转换
kubernetes1.25网络插件calico离线包
12-18
kubernetes1.25网络插件calico离线包,包含calico.yml文件,如果网络不通可以离线安装 1、calico~cni~v3.24.3.tar.gz 2、calico~kube~controllers~v3.24.3.tar.gz 3、calico~node~v3.24.3.tar.gz calico.yml命令:...
Kubernetes 网络插件 Calico 完全运维指南
君逍遥o
09-04 1239
Calico 是一种开源网络网络安全解决方案,适用于容器,虚拟机和基于主机的本机工作负载。Calico 支持广泛的平台,包括 Kubernetes,docker,OpenStack 和裸机服务。Calico 后端支持多种网络模式。
Kubernetes_容器网络_Calico_03_calicoctl工具的使用
最新发布
weixin_41429874的博客
07-14 54
文章目录一、概述二、calicoctl 安装三、calicoctl 简单使用3.1 calicoctl 认证信息配置3.2 calicoctl 操作各种资源3.3 calicoctl 操作 IPPool3.3.1 calicoctl 查看 IPPool3.3.2 calicoctl 创建 IPPool方式1:使用 cal...
Calico使用BGP网络隔离
whz-emm的博客
11-22 1332
Calico使用BGP网络隔离,关闭全互联模式,自定义BGPPeer做网络隔离 本次测试环境节点情况 [root@bgp-node1 ~]# calicoctl get node -o wide NAME ASN IPV4 IPV6 bgp-master1 (64512) 172.20.42.80/32 bgp-node1 (64512) 172.20.42.81/32 bgp-node2 (64512) 172.20...
k8s 集群版搭建(七)之calico bgp配置
demonlamei的博客
03-01 655
【代码】k8s 集群版搭建(七)之calico bgp配置。
Calico BGP 功能介绍:实现
云原生实验室
05-17 1574
Calico 作为一种常用的 Kubernetes 网络插件,使用 BGP 协议对各节点的容器网络进行路由交换。本文是《Calico BGP 功能介绍》系列的第二篇,介绍 Calico 中...
K8S Calico网络插件之BGP模式
Blue summer的博客
10-17 5562
注:本文基于K8S v1.21.2版本编写 1 切换到BGP模式 因为按照官网的配置文件部署calico时,默认使用的是IPIP模式,如果需要使用BGP模式,就要做一些修改。 主要有两种方式, 修改IPPool中的ipipMode为Never,也就是禁用IPIP模式 [root@master home]# kubectl edit ippool ipipMode: Never 也可以使用calicoctl或者kubectl命令修改, [root@master home]# kubectl get
Calico BGP搭建(TOR)
zyxpaomian的博客
12-23 2114
calico 架构 组件清单 组件 版本 k8s集群 1.14 calico-kube-controller 3.8.9 calico-node 3.8.9 calicoctl 3.8.9 docker 18.09.6 etcd v3 其中calico-node 包含了相同版本的CNI(即calico-cni 和calico-ipam) 基本架构图 基本架构基于calico-BGP网络互联方式,BGP 互联地址 && Node管理IP都在同一
kubernetes网络插件-calico
01-12
Kubernetes网络插件CalicoKubernetes 集群中的重要组成部分,它提供了高度可配置和安全的网络解决方案。在Kubernetes生态系统中,网络插件负责为Pods(应用容器)提供网络连接,确保服务间的通信以及与外部世界的...
安装 kubernetes 网络组件-Calico
06-18
Calico 是一种流行且高效的选择,用于在 Kubernetes 中实现网络策略和网络虚拟化。下面将详细介绍如何安装和配置 Calico 作为 Kubernetes网络组件。 首先,理解 Calico 的核心概念是必要的。Calico 提供了容器...
CentOS 7 使用 Calico 网络插件部署Kubernetes 集群
03-17
解决这些问题通常需要熟悉KubernetesCalico的工作原理,以及对Linux系统和网络有深入理解。不过,随着CalicoKubernetes的广泛使用,社区提供了丰富的文档和资源,可以帮助你顺利部署和管理集群。 总之,通过在...
quickstart-eks-tigera-calico:Tigera Calico提供了Kubernetes网络网络安全性的行业标准
02-15
Tigera Calico是一款高度可扩展的、开源的网络网络安全解决方案,专为容器化环境,尤其是Kubernetes集群设计。它提供了一种灵活且高性能的方法来实现服务间的通信,同时确保了强大的网络策略实施和严格的网络安全...
calico的两种网络模式BGP和IP-IP性能分析
热门推荐
查理王的博客
09-03 1万+
目前使用较多的网络插件有 flannel,calicocanel等,但是如果对比以上几种网络插件的性能,还是calico最受欢迎 一、calico概述二、性能评测指标三、物理机性能评测四、物理机到pod之间的性能测评五、pod到pod之间的性能测评六、calico使用ipip网络模式七、calico使用bgp网络模式 一、calico概述 1.calico介绍 Calico是一个纯三层的网络插件,calicobgp模式类似于flannel的host-gw calico方便集成OpenStac.
Kubernetes CNI CalicoBGP 模式 / Route Reflector 模式(RR)
小楼一夜听春雨,深巷明朝卖杏花
03-17 5956
Ipip模式是通过宿主机的网络去传输的,这个模式和flannel的vxlan工作模式差不多是一样的,都是一种复杂的网络方案,IPIP和vxlan模式的性能基本上接近,所以在性能方面要相对于路由方面损失10-20%。 Calio和flannel一样也支持路由方案,在calio里面使用了BGP路由方案去实现的,BGP就是基于路由去转发的,每个节点通过BGP协议同步路由表,将每个节点作为路由器转发。 现在要将IPIP模式改为BGP模式 [root@k8s-master ~]# calicoctl get
9.k8s网络calicobgp模式
LiuWei
05-19 1453
需要更改如下calico.yaml 文件 - name: CALICO_IPV4POOL_IPIP value: "Off" # 默认是always 或者修改ippool yaml文件 apiVersion: projectcalico.org/v3 kind: IPPool metadata: name: default-ipv4-ippool spec: cidr: 10.244.0.0/16 ipipMode: Never natOutgoing: true nodeSele
Calico BGP通信分析
jiayu的博客
09-05 835
查看MAC地址信息,这个 MAC 地址应该是 Calico 硬塞进去的,而且还能响应 ARP。这个 IP 地址,拥有这个 IP 地址的设备会将自己的 MAC地址返回给对方。,而网关的 IP 地址不会出现在任何网络包头中。也就是说,没有人在乎这个 IP 地址究竟是什么,只要能找到对应的 MAC 地址,能响应 ARP 就行了。k8s-node-1 ens160物理抓包查看报文,可以发现和k8s-master-1 ens160发出来的数据报文一致。是容器的默认网关,但却找不到任何一张网卡对应这个 IP 地址。
为什么Calico网络选择BGP
weixin_34268843的博客
07-30 1513
为什么选择BGP而不是一个IGP协议(如OSPF或者IS-IS),这是Calico项目组偶尔被问到的一个问题。提问的人总认为这是一个问题,但实际上这是相关却又不同的两个问题。要弄清楚原因,并且知道Calico对着两个问题的答案,我们需要先明确目前BGP和IGP是何如在一个大规模网络中工作的。 1 在一个大型网络中,这些协议在哪里(以及为什么)会被用到? 任何网络,尤其是大型网络,都需要处理两个不同...
k8s add node calico_【kubernetes网络Calico实现pod与底层环境BGP互通
weixin_39659837的博客
11-21 709
近年来,Kubernetes好归好,但是也有不太完美的地方,比如,网络通信,的确是个问题。目前只能通过各种CNI插件来实现网络上的互通,如下图,需求就是需要外部环境与pod之间能够直接互通,这几天百忙中抽出了点时间,决定倒腾一下。首先想到的Flannel,它通过Overlay技术,打通pod之间的网络是没有问题,pod去往外界会通过NAT将本身的地址(地址段192.168.0.0/16)转换程no...
Kubernetes Calico网络
04-06
Kubernetes Calico网络是一种开源的容器网络解决方案,它是一个基于BGP路由协议的网络解决方案,可以提供高度可扩展性和强大的安全性。Calico网络可以轻松地与Kubernetes集群集成,为容器提供高性能和高可用性的网络...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

南宫乘风

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值