CNI(Container Network Plugin)

已于 2023-08-05 18:15:01 修改
阅读量981 收藏 2
点赞数 1
分类专栏: K8s 文章标签: 网络 linux 运维
于 2022-08-03 23:00:58 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hezuijiudexiaobai/article/details/126150284
版权

CNI

容器网络模型

CNI是容器引擎与遵循该规范网络插件的中间层,专用于为容器配置网络子系统,目前由RKT、Docker、Kubernetes、OpenShift和Mesos等相关的容器运行时环境所运行。通常,遵循CNI规范的网络插件是一个可执行程序文件,它们可由容器编排系统(例如Kubernetes等)调用,负责向容器的网络名称空间插入一个网络接口并在宿主机上执行必要的任务以完成虚拟网络配置,因而通常被称为网络管理插件,即NetPlugin。随后,NetPlugin还需要借助IPAM插件为容器的网络接口分配IP地址,这意味着CNI允许将核心网络管理功能与IP地址分配等功能相分离,并通过插件组合的方式堆叠出一个完整的解决方案。简单来说,目前的CNI规范主要由NetPlugin和IPAM两个插件API组成,如图如示:

在这里插入图片描述
CNI(Container Network Plugin)规范由CoreOS提出,并被Kubernetes采纳。当前container networking/cni项目实现了CNI接口规范。containernetworking/cni项目针对Linux container的网络配置提供了指定的接口以及具体的插件实现。宏观上来看,cni所做的很简单,就是将容器加入到一个网络中,并且保证容器之间的连通性。具体的实现方案由底层的不同cni插件来实现。

网络插件 & IPAM

▪网络插件也称Main插件,负责创建/删除网络以及向网络添加/删除容器,它专注于连通容器与容器之间以及容器与宿主机之间的通信,同容器相关的网络设备通常都由该类插件所创建,例如Bridge、IP VLAN、MAC VLAN、loopback、PTP、VETH以及VLAN等虚拟设备。

▪IPAM(IP Address Management),该类插件负责创建/删除地址池以及分配/回收容器的IP地址;目前,该类型插件的实现主要有host-local和dhcp两个,前一个基于预置的地址范围进行地址分配,而后一个通过DHCP协议获取地址。显然,NetPlugin是CNI中最重要的组成部分,它才是执行创建虚拟网络、为Pod生成网络接口设备,以及将Pod接入网络中等核心任务的插件。为了能够满足分布式Pod通信模型中要求的所有Pod必须在同一平面网络中的要求,NetPlugin目前常用的实现方案有Overlay网络(Overlay Network)和Underlay网络(Underlay Network)两类。

显然,NetPlugin是CNI中最重要的组成部分,它才是执行创建虚拟网络、为Pod生成网络接口设备,以及将Pod接入网络中等核心任务的插件。为了能够满足分布式Pod通信模型中要求的所有Pod必须在同一平面网络中的要求,NetPlugin目前常用的实现方案有Overlay网络(Overlay Network)和Underlay网络(Underlay Network)两类。

▪Overlay网络借助VXLAN、UDP、IPIP或GRE等隧道协议,通过隧道协议报文封装Pod间的通信报文(IP报文或以太网帧)来构建虚拟网络。
▪Underlay网络通常使用direct routing(直接路由)技术在Pod的各子网间路由Pod的IP报文,或使用Bridge、MAC VLAN或IP VLAN等技术直接将容器暴露给外部网络。

其实,Overlay网络的底层网络也就是承载网络,因此,Underlay网络的解决方案也就是一类非借助隧道协议而构建的容器通信网络。相较于承载网络,Overlay网络由于存在额外的隧道报文封装,会存在一定程度的性能开销。然而,用户在不少场景中可能会希望创建跨越多个L2或L3的逻辑网络子网,这就只能借助Overlay封装协议实现。为Pod配置网络接口是NetPlugin的核心功能之一,但不同的容器虚拟化网络解决方案中,为Pod的网络名称空间创建虚拟接口设备的方式也会有所不同,目前,较为注流的实现方式有veth(虚拟以太网)设备、多路复用及硬件交换3种

在这里插入图片描述
▪veth设备:创建一个网桥,并为每个容器创建一对虚拟以太网接口,一个接入容器内部,另一个留置于根名称空间内添加为Linux内核桥接功能或OpenvSwitch(OVS)网桥的从设备。

▪多路复用:多路复用可以由一个中间网络设备组成,它暴露多个虚拟接口,使用数据包转发规则来控制每个数据包转到的目标接口;MAC VLAN技术为每个虚拟接口配置一个MAC地址并基于此地址完成二层报文收发,IP VLAN则是分配一个IP地址并共享单个MAC,并根据目标IP完成容器报文转发。

▪硬件交换:现今市面上有相当数量的NIC都支持SR-IOV(单根I/O虚拟化),SR-IOV是创建虚拟设备的一种实现方式,每个虚拟设备自身表现为一个独立的PCI设备,并有着自己的VLAN及硬件强制关联的QoS;SR-IOV提供了接近硬件级别的性能。
在这里插入图片描述

Cilium 部署使用

在这里插入图片描述

cni接口

cat /etc/cni/net.d/05-cilium.conf

组件

ks get pod -o wide |grep cilium

cilium-operator-6dfdc68fff-922lq 
cilium-d5rvk

cilium-operator 是负责管理和操作 Cilium 集群的组件,而 cilium 是实际运行 Cilium 代理的组件。它们一起工作,以确保网络流量的安全和可靠传输,并提供网络策略、路由、负载均衡等功能。

配置

ks get cm cilium-config -o yaml|more

  cluster-pool-ipv4-cidr: 245.0.0.0/8
  cluster-pool-ipv4-mask-size: "24"
  identity-allocation-mode: crd

这是一组关于 IP 地址的配置参数:

  • cluster-pool-ipv4-cidr:表示集群池的 IPv4 CIDR(无类别域间路由选择),即 IP 地址块的范围。在此示例中,CIDR 是 245.0.0.0/8,表示使用 8 位作为网络前缀,剩下的 24 位可供主机分配。

  • cluster-pool-ipv4-mask-size:表示子网掩码的大小,也称为网络前缀长度。在此示例中,子网掩码大小为 “24”,意味着前 24 位用于网络标识,后面的 8 位用于主机标识。

综上所述,这些参数配置用于定义一个 IPv4 地址块的范围,并指定了网络前缀和子网掩码的大小。

identity-allocation-mode: crd 是一种身份分配模式,其作用是在 Kubernetes 集群中为自定义资源(Custom Resource)分配唯一的标识符。

在 Kubernetes 中,CRD 是一种扩展机制,允许用户定义自己的资源类型。使用 CRD,用户可以创建和管理与 Kubernetes 内置资源不同的自定义资源。例如,用户可以创建一个名为 “MyApp” 的自定义资源,用于管理应用程序的部署、配置和监视等方面。

当启用 identity-allocation-mode: crd 时,Kubernetes 将为每个创建的 CRD 分配一个唯一的标识符。这些标识符通常采用全局唯一的名称,以确保集群中的每个 CRD 都有一个独立的身份。这对于跟踪和管理自定义资源非常重要,因为它们可以像任何其他 Kubernetes 资源一样由控制器进行操作。

通过为 CRD 分配唯一的身份,Kubernetes 可以确保正确地处理和管理自定义资源,并将其集成到整个集群生态系统中。这使得用户能够根据自己的需求扩展和定制 Kubernetes 功能,同时仍能受益于 Kubernetes 提供的强大特性和功能。

网卡

ip a|grep cilium


cilium_net@cilium_host
cilium_host@cilium_net
cilium_vxlan
lxc7b5f92c34461
lxc_health

  • cilium_net@cilium_host: 这是一个网络标识符,表示位于cilium_host上的cilium_netcilium_net可以是一个网络命名空间、容器或者其他类型的网络实体。

  • cilium_host@cilium_net: 这是一个网络标识符,表示位于cilium_net上的cilium_host。它可能是一个主机、虚拟机或者其他类型的网络实体。

  • cilium_vxlan: 这是Cilium项目中的一个组件,用于实现基于VXLAN(Virtual Extensible LAN)的网络隔离和通信。VXLAN是一种在底层网络之上创建虚拟网络的技术,可以扩展现有网络的规模,并提供更好的隔离性能。

  • lxc7b5f92c34461: 这是一个容器的ID,表示一个特定的Linux容器实例。每个容器都有一个唯一的ID,用于标识和管理容器。容器是一个独立运行的进程集合,通过虚拟化技术将其与主机环境隔离开来。

  • 在 Cilium 中,lxc_health 网卡是一个特殊的网络接口,用于实现容器健康检查。它被用作与容器运行时(如Docker或Kubernetes)进行通信的通道。

lxc_health 网卡的作用是收集容器健康状态信息,并将其报告给 Cilium 控制平面。通过监视 lxc_health 接口上的流量,Cilium 可以实时了解容器的健康状况,并针对性地应用网络策略。

具体而言,lxc_health 网卡允许 Cilium:

  1. 检测容器是否处于运行状态:通过监视 lxc_health 接口上的数据包,Cilium 可以确定容器是否正在运行。如果容器停止发送或响应 lxc_health 数据包,Cilium 将推断容器已经关闭或者出现故障。

  2. 动态更新网络策略:一旦 Cilium 检测到容器健康状态发生变化,它可以根据容器的状态自动调整网络策略。例如,在容器变为不健康状态时,Cilium 可以立即拒绝该容器的网络请求。

总而言之,lxc_health 网卡在 Cilium 中起到了重要的作用,它使得 Cilium 能够实时监控容器的健康状态,并根据需要动态调整网络策略,从而提供更可靠和安全的容器网络环境。

路由

route -n|grep 10.244

常用命令

cilium -h

cilium status

Cilium & Hubble

cilium 学习和安装

eBPF 完美搭档:连接云原生网络的 Cilium

喝醉酒的小白
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
k8s学习笔记(持续更新...23.10.3)
weixin_48356489的博客
10-03 157
k8s,安装、面试、笔记
docker cni插件分析
迷失的专栏
11-08 2658
CNI简介 Container Networking Interface(CNI)提供了一种linux的应用容器的插件化网络解决方案。最初是由rkt Networking Proposal发展而来。他的模型只涉及两个概念: 容器(container) : 容器是拥有独立linux网络命名空间的独立单元。比如rkt/docker创建出来的容器。 网络(network): 网络指代了可以相互联系的一组...
Kubernetes利用CNI-bridge插件打通网络
田园园野的博客
06-02 6285
使用CNI插件时,需要如下配置 1、将需要用到的cni组件(二进制可执行文件)放到/opt/cni/bin目录下 2、在/etc/cni/net.d中增加cni的配置文件,配置文件中可以指定需要使用的cni组件及参数 3、kubelet启动参数中networkPlugin设置为cni 4、创建网桥 5、添加本机网络端口到网桥中 具体操作流程: 1、下载CNI插件 https://github.co...
​如何实现一个 Kubernetes 网络插件
k8s 生态
08-06 242
目前容器的网络解决方案越来越多,每出现一种新的解决方案,都要为网络方案和不同的容器运行时进行适配,这显然是不合理的,而 CNI 就是为了解决这个问题。春节假期在家维护「家庭级 Kubern...
CNI Plugin 介绍
shanyaodou的博客
06-09 441
CNI Plugin 介绍
Kubernetes — CNI 网络插件规范
烟云的计算
05-16 3304
目录 文章目录目录Kubernetes Network 中的 IP 地址类型Kubernetes 的网络流量模型同 Pod 内部的 Containers 间的通信(Container 模式)同 Node 内部的 Pods 间的通信(Host Virtual Network 模式)跨 Nodes 间的 Pods 间的通信(SDN 模式)Service 的 Cluster IP 和外部网络间的通信Service 之于集群内部 Pods 之间的通信Service 之于集群外部与 Pod 的通信CNICNI 的使用
部署 CNI网络组件
qzzqzzqzz111的博客
07-03 865
【代码】部署 CNI网络组件。
容器运行时 CRI-O 安装说明
justlpf的专栏
02-24 1225
Debian 到 buster 版本之前 - Raspbian - Ubuntu 到 18.04 版本之前。Debian bullseye 或更高版本 - Ubuntu 20.04 或更高版本。发布包包含所有静态二进制文件、手册页和配置文件,如 00-default.conf。CRI-O 遵循 Kubernetes 的 3 个次要版本的支持周期。runc,清除容器运行时或任何其它兼容 OCI 的运行时。用于监视容器日志和退出信息的守护程序,每个容器各一个。
手写一个Kubernetes CNI网络插件
Qinng的博客
04-06 1691
CNI(Container Network Interface) 即容器的网络API接口,在Kubernetes中通过CNI来扩展网络功能,今天我们从零开始实现一个自己的CNI网络插件。 本文所有代码见: https://github.com/qingwave/mycni CNI简介 Kubernetes提供了很多扩展点,通过CNI网络插件可以支持不同的网络设施,大大提供了系统的灵活性,目前也已成为容器网络领域的标准。 Kubernetes与CNI的交互逻辑如下: Kubelet监听到Pod调度到当前
userspace-cni-network-plugin
05-09
使用OVS运行OVS CNI库 配置系统 VPP CNI库简介 使用OVS构建VPP CNI库 安装VPP 先决条件 在CentOS上安装 在Ubuntu上安装 在其他发行版上安装 测验 使用VPP Docker映像和CNI进行测试 验证主机 验证容器 ing 除错 ...
k8s之failed to find plugin "flannel" in path [/opt/cni/bin]
最新发布
02-28
k8s之failed to find plugin "flannel" in path [/opt/cni/bin]
minicni:一个用golang编写的kubernetes的简单CNI插件实现
05-21
一个简单的CNI插件实现,用于用golang编写的kubernetes。 有关更多信息,请阅读 。 TL; DR 阅读以下有关容器和kubernetes网络的文章: 这个仓库负责实现Kubernetes覆盖网络,以及在Pod中分配和配置网络接口。 将...
Kubernetes部署CNI网络插件
04-18
部署CNI网络插件
cni.rar_CNI
09-20
利用c++ 呼叫java 使用mingw
Linux 安装Kubernetes集群
u011447403的专栏
03-07 3947
Kubernetes集群涉及的术语和组件较多,这与Kubernetes复杂的设计有关。本文基于kubernetes中文文档[使用 kubeadm 引导集群]的安装步骤,详细介绍了从容器运行时Docker安装到kubeadm工具安装,再到集群创建和应用部署,最终实现一个master节点两个worker节点的Kubernetes集群搭建及在集群上的三个Pod运行的Nginx服务创建和暴露。要顺利阅读或按步骤安装,你需要了解Kubernetes组件、理解 Kubernetes 对象和Pod运行容器等基本概念。
CNI 网络分析 4.1 Calico 介绍与原理(一)
mr1jie的博客
02-14 1072
calico
CentOS8系统新特性(1)--Podman容器(再见Docker)
架构师亮哥的博客
01-25 1695
0x1 CentOS8.x默认Podman容器管理软件 Podman 是一个开源的容器运行时项目,可在大多数 Linux 平台上使用。Podman 提供与 Docker 非常相似的功能。正如前面提到的那样,它不需要在你的系统上运行任何守护进程,并且它也可以在没有 root 权限的情况下运行。Podman 可以管理和运行任何符合 OCI(Open Container Initiati...
Kubernetes基础(十一)-CNI网络插件用法和对比
sre救赎之路
02-04 1749
此网络模型提供了一个逻辑二层(L2)网络,该网络封装在跨 Kubernetes 集群节点的现有三层(L3)网络拓扑上。使用此模型,可以为容器提供一个隔离的 L2 网络,而无需分发路由。封装网络带来了少量的处理开销以及由于覆盖封装生成 IP header 造成的 IP 包大小增加。封装信息由 Kubernetes worker 之间的 UDP 端口分发,交换如何访问 MAC 地址的网络控制平面信息。此类网络模型中常用的封装是 VXLAN、Internet 协议安全性 (IPSec) 和 IP-in-IP。
CNI系列(三)插件实现
zaojing5058的博客
04-10 936
原文链接:https://www.gogo-dev.com/index.php/2022/04/10/cni03/ 说明 上文我们描述了容器运行时是如何调用CNI插件的,本文就开始描述一些简单的CNI插件的实现。 containernetworking/cni项目提供了cni标准在runtime侧的实现,比如containerd就是直接调用了该库从而去调用CNI插件。而contianernetworking/plugins项目里则是容器网络组官方实现的一些简单插件,比如bridge、macvlan
Network plugin returns error: cni plugin not initialized
05-09
这个错误通常是因为 CNI 插件没有正确初始化导致的。CNI 插件是 Kubernetes 中用于管理容器网络的一个插件框架。你可以尝试按照下面的步骤来解决这个问题。 1. 确认你的 Kubernetes 集群中已经安装了 CNI 插件,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值