容器网络之Calico

最新推荐文章于 2024-07-20 02:33:27 发布
最新推荐文章于 2024-07-20 02:33:27 发布
阅读量222 收藏
点赞数 1
分类专栏: 网络协议 文章标签: 网络协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/key_3_feng/article/details/133458005
版权

Calico 网络的大概思路,即不走 Overlay 网络,不引入另外的网络性能损耗,而是将转发全部用三层网络的路由转发来实现。

首先,如果全部走三层的路由规则,没必要每台机器都用一个 docker0,从而浪费了一个 IP 地址,而是可以直接用路由转发到 veth pair 在物理机这一端的网卡。同样,在容器内,路由规则也可以这样设定:把容器外面的 veth pair 网卡算作默认网关,下一跳就是外面的物理机。
在这里插入图片描述
Calico 中还实现了灵活配置网络策略 Network Policy,可以灵活配置两个容器通或者不通。这个怎么实现呢?
在这里插入图片描述
虚拟机中的安全组,是用 iptables 实现的。Calico 中也是用 iptables 实现的。这个图里的内容是 iptables 在内核处理网络包的过程中可以嵌入的处理点。Calico 也是在这些点上设置相应的规则。
在这里插入图片描述
当网络包进入物理机上的时候,进入 PREOUTING 规则,这里面有一个规则是 cali-fip-dnat,这是实现浮动 IP(Floating IP)的场景,主要将外网的 IP 地址 dnat 作为容器内的 IP 地址。在虚拟机场景下,路由器的网络 namespace 里面有一个外网网卡上,也设置过这样一个 DNAT 规则。

接下来可以根据路由判断,是到本地的,还是要转发出去的。

如果是本地的,走 INPUT 规则,里面有个规则是 cali-wl-to-host,wl 的意思是 workload,也即容器,也即这是用来判断从容器发到物理机的网络包是否符合规则的。这里面内嵌一个规则 cali-from-wl-dispatch,也是匹配从容器来的包。如果有两个容器,则会有两个容器网卡,这里面内嵌有详细的规则“cali-fw-cali 网卡 1”和“cali-fw-cali 网卡 2”,fw 就是 from workload,也就是匹配从容器 1 来的网络包和从容器 2 来的网络包。

如果是转发出去的,走 FORWARD 规则,里面有个规则 cali-FORWARD。这里面分两种情况,一种是从容器里面发出来,转发到外面的;另一种是从外面发进来,转发到容器里面的。

第一种情况匹配的规则仍然是 cali-from-wl-dispatch,也即 from workload。第二种情况匹配的规则是 cali-to-wl-dispatch,也即 to workload。如果有两个容器,则会有两个容器网卡,在这里面内嵌有详细的规则“cali-tw-cali 网卡 1”和“cali-tw-cali 网卡 2”,tw 就是 to workload,也就是匹配发往容器 1 的网络包和发送到容器 2 的网络包。

接下来是匹配 OUTPUT 规则,里面有 cali-OUTPUT。接下来是 POSTROUTING 规则,里面有一个规则是 cali-fip-snat,也即发出去的时候,将容器网络 IP 转换为浮动 IP 地址。在虚拟机场景下,路由器的网络 namespace 里面有一个外网网卡上,也设置过这样一个 SNAT 规则。

此文章为10月Day1学习笔记,内容来源于极客时间《趣谈网络协议》,推荐该课程。

key_3_feng
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
K8s(六):网络插件之Calico安装与详解
✨ 欢迎来到【Seal ^_^ 的CSDN博客】!这里是我记录技术心得、分享经验的地方。✨
04-02 2万+
🔴 K8s(六):网络插件之Calico安装与详解
理解calico容器网络通信方案原理
Crazy博客
06-04 782
Calico是k8s中常用的容器解决方案的插件,本文主要介绍BGP模式和IPIP模式是如何解决的,并详细了解其原理,并通过实验加深理解。Calico是属于纯3层的网络模型,每个容器都通过IP直接通信,中间通过路由转发找到对方。容器所在的节点类似于传统的路由器,提供了路由查找的功能。每个容器所在的主机节点扮演了虚拟路由器 (vRouter)的功能,vRouter必须有某种方法,能够知道整个集群的路由信息。之前提到的FlannelHost Gateway模式。
容器网络Calico容器网络方案
one_clouder的专栏
12-09 1097
Calico容器网络方案 Calico共有两个容器网络方案:Calico BGP和Calico IPIP。 Calico BGP方案 Calico BGP数据面如下: 同节点容器通信 容器A访问容器B,数据面流程如下: 容器A内的calic0设备的掩码长度为32,即与容器B属于不同网络,需要通过网关进行通信 容器A查找路由表,存在default路由,下一跳为169.254.1.1,且169.2...
Kubernetes_容器网络_Calico_05_Calico网络解决方案和高级特性
weixin_42024799的博客
07-14 80
文章目录一、概述二、Calico 架构、组件和两种模式2.1 Calico架构和组件2.2 两种模式IPIP 模式BGP 模式三、 Calico网络解决方案3.1 网关IP地址就是目的容器所在宿主机IP地址(三层网络架构)3.2 Calico不会在宿主机上创建任何网桥设备3.3 Calico 使用 BGP 来自动地在整个...
Calico容器网络
weixin_45437959的博客
04-17 243
是一个纯三层的数据中心网络方案(不需要Overlay),并且与OpenStack、Kubernetes、AWS、GCE等IaaS和容器平台都有良好的集成。Calico在每一个计算节点利用Linux Kernel实现了一个高效的vRouter来负责数据转发,而每个vRouter通过BGP协议负责把自己上运行的workload的路由信息像整个Calico网络内传播——小规模部署可以直接互联,大规模下可通过指定的BGP route reflector来完成。
Kubernetes容器网络(二):Calico网络原理
hxt的博客
04-16 7378
1、前置网络知识 1)、BGP 自治系统AS:在单一的技术管理下的一组路由器,而这些路由器使用一种AS内部的路由选择协议和共同的度量以确定分组在该AS内的路由,同时还使用一种AS之间的路由协议以确定在AS之间的路由 路由选择协议分为: 内部网关协议IGP:一个AS内使用的,如RIP、OSPF 外部网关协议EGP:AS之间使用的,如BGP 边界网关协议(BGP)是不同自治系统的路由器之间交换路由信息的协议,是一种外部网关协议 BGP的工作原理如下:每个自治系统的管理员要选择至少一个路由器(可以有多个)作
玩坏docker笔记(二十二):容器网络calico
BigData_Mining的博客
12-14 554
0、准备工作 Calico 是一个纯三层的虚拟网络方案,Calico 为每个容器分配一个 IP,每个 host 都是 router,把不同 host 的容器连接起来。 与 VxLAN 不同的是,Calico 不对数据包做额外封装,不需要 NAT 和端口映射,扩展性和性能都很好。 Calico 优势:network policy 用户可以动态定义 ACL 规则,控制进出容器的数据包,实现业务需求。 ...
第31讲 容器网络Calico:为高效说出善意的谎言1
08-03
容器网络Calico详解】 Calico是一种针对容器网络的解决方案,旨在提供高效、高性能的网络连接,尤其在大规模容器部署的环境中。Calico的独特之处在于它不依赖于Overlay网络,而是利用三层网络的路由机制来实现...
31-容器网络Calico:为高效说出善意的谎言1
08-03
总的来说,Calico通过利用IP路由而不是Overlay网络,实现了高效且高性能的容器网络。它简化了网络配置,减少了网络开销,并提供了强大的网络策略功能,使得容器网络更加灵活、安全。这种网络模型对于大规模容器部署...
calico-v3.20.6版本容器镜像+calico.yaml文件
06-26
Calico 是一个开源项目,专为 Kubernetes 和其他容器编排系统提供网络网络策略解决方案。在Kubernetes集群中,Calico 提供了高效、安全的网络连接,允许容器之间的通信,并实现了细粒度的网络策略控制。本次我们...
容器网络Calico:为高效说出善意的谎言
Bruceandcai的博客
07-17 494
这里写目录标题Calico 网络模型的设计思路Calico 的架构路由配置组件路由广播组件 BGP Speaker安全策略组件全连接复杂性与规模问题跨网段访问问题小结 上一节我们讲了 Flannel 如何解决容器跨主机互通的问题,这个解决方式其实和虚拟机的网络互通模式是差不多的,都是通过隧道。但是 Flannel 有一个非常好的模式,就是给不同的物理机设置不同网段,这一点和虚拟机的 Overlay 的模式完全不一样。 在虚拟机的场景下,整个网段在所有的物理机之间都是可以“飘来飘去”的。网段不同,就给了我们做
容器云架构】确定容器网络calico最佳网络选项
全网:架构师研究会
06-02 335
大图了解 Calico 支持的不同网络选项,以便您可以根据需要选择最佳选项。价值Calico 灵活的模块化架构支持广泛的部署选项,因此您可以选择适合您特定环境和需求的最佳网络方法。这包括使用各种 CNI 和 IPAM 插件以及底层网络类型以非覆盖或覆盖模式运行的能力,无论是否使用 BGP。概念如果您想全面了解可供您选择的网络,我们建议您确保熟悉并理解以下概念。如果您想跳过学习并直接获得选择和建议,...
第31讲 | 容器网络Calico:为高效说出善意的谎言
qq_37756660的博客
01-24 996
上一节我们讲了 Flannel 如何解决容器跨主机互通的问题,这个解决方式其实和虚拟机的网络互通模式是差不多的,都是通过隧道。但是 Flannel 有一个非常好的模式,就是给不同的物理机设置不同网段,这一点和虚拟机的 Overlay 的模式完全不一样。在虚拟机的场景下,整个网段在所有的物理机之间都是可以“飘来飘去”的。网段不同,就给了我们做路由策略的可能。
第十二节 Docker网络Calico
最新发布
weixin_36876470的博客
07-20 73
1、Calico介绍Calico不会有任何网桥!!! 它会为每一个容器创建一个Veth pair 设备,一端在容器内,一端设置到宿主机上 数据的转发,靠 Calico 维护的路由规则 它是基于三层的二层通信 三层指的是实际物理网络架构 二层通信指的是,需要维护「MAC 地址级别的信息」,即「虚拟IP」与「MAC 地址」的映...
基于 Docker 环境及 Calico 网络的 Consul + Consul Template + Registrator + nginx 容器服务注册和发现 转载
二哈欢乐多的博客
03-26 1641
由于公司的基础环境为 Docker,有项目需要做 ZooKeeper 或者 Spring Cloud 的服务注册,服务注册的 IP 及端口均为 Docker 内部提供,所以需要搭建 Calico 网路来实现宿主机访问。 另测试环境的服务均为 IP + 端口的方式访问,一旦更换宿主机则导致无法调用的情况,所以需要配置域名来访问,而测试环境发布频繁,所以需要服务能自动注册及发现来生成域名。 介绍 ...
Kubernetes_容器网络_Calico_01_Calico作为CNI插件如何为Pod生成虚拟IP
毛毛的专栏
04-02 2216
Calico 设置静态IP以及设置IP范围
趣谈网络协议---容器网络Calico:为高效说出善意的谎言
新博客:https://aping-dev.com/
10-02 1962
Calico 网络模型的设计思路 不走 Overlay 网络,不引入另外的网络性能损耗,而是将转发全部用三层网络的路由转发实现。 1、两台物理机的网卡在同一个二层网络中。由于物理机的容器网段不同,可完全将物理机配置为路由器,并按照容器的网段配置路由表。 2、容器外,直接用路由转发到 veth pair 在物理机这一端的网卡,省掉一个 IP。容器内,把容器外面的 veth pair 网卡算作默认网...
Calico docker部署
二哈欢乐多的博客
03-26 2421
Calico 是一个纯三层的协议,为 OpenStack 虚机和 Docker 容器提供多主机间通信。Calico 不使用重叠网络比如 flannel 和 libnetwork 重叠网络驱动, Calico 依赖 etcd 在不同主机间共享和交换信息,存储 Calico 网络状态。Calico 网络中每个主机都要运行 Calico 组件,提供容器 interface 管理,动态路由,动态 ACL,...
部署容器网络calico
07-28
Calico是一种开源的容器网络解决方案,可以用于部署和管理容器网络。以下是部署Calico容器网络的步骤: 1. 准备环境:首先,需要确保你的服务器或虚拟机运行在一个支持容器运行环境的操作系统上,例如Linux。还要安装容器运行时,例如Docker或Kubernetes。 2. 下载Calico:在https://docs.projectcalico.org/getting-started/kubernetes/下载Calico的压缩包。将其解压到你选择的目录。 3. 配置Calico网络:通过编辑calico.yaml文件来配置Calico网络。可以设置Pod IP池,网络策略和其他选项。根据你的具体需求,进行相应的配置。 4. 部署Calico:运行calicoctl apply -f calico.yaml命令来部署Calico。该命令会将配置应用到Kubernetes集群中,并启动所需的容器和服务。 5. 验证部署:使用calicoctl命令行工具来验证部署是否成功。运行calicoctl node status命令来查看节点的状态。如果所有节点都处于正常状态,则说明部署成功。 6. 配置网络策略:根据需要,你可以通过calico.yaml文件或使用calicoctl命令行工具来配置网络策略。网络策略可用于控制容器间的网络通信,例如允许或禁止特定的流量。 7. 扩展和管理:在部署成功后,你可以使用calicoctl命令行工具管理Calico网络。你可以添加新的节点,更新配置,监控网络状态,解决故障等。可以根据需要进行扩展和管理。 使用Calico来部署容器网络可以提供可靠和高性能的容器网络解决方案。它支持网络策略,使得可以更好地控制容器间的通信。同时,Calico还提供了丰富的工具和命令,方便管理和扩展容器网络
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值