理解kubernetes网络插件工作原理

最新推荐文章于 2024-10-01 15:16:38 发布
最新推荐文章于 2024-10-01 15:16:38 发布
阅读量150 收藏 1
点赞数
文章标签: kubernetes 网络 linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_51445191/article/details/131204252
版权
Kubernetes中的CNI插件负责容器网络配置,如Calico通过CNI创建网络设备并分配IP地址。CNI配置文件定义了如bridge、dhcp和portmap等插件的组合使用。在容器启动时,CNI会设置网络命名空间,创建网桥,通过vethpair连接宿主机和容器,并配置IP地址和路由规则。Flannel作为CNI插件,通常委托给bridge插件完成实际工作。
摘要由CSDN通过智能技术生成

kubernetes的cni插件就是通过某些方法把宿主机上的特殊设备连通,比如vtep设备,它维护的网桥用tunl0代替了docker0
在这里插入图片描述k8s在启动infa初始化容器之后就可以调用cni网络插件为这个infa容器的网络命名空间配置需要的网络,包括网卡,回环设备,路由表和iptables规则,在安详好k8s后,在/opt/cni/bin目录下看到他们
在这里插入图片描述第一类叫做main插件,它是用来创建具体网络设备的二进制文件,比如bridge,第二类是ipam负责分配ip地址的二进制文件,比如dhcp,第三类是cni插件,比如calico,tuning是一个通过sysctl调整网络设备参数的二进制文件,portmap是一个通过iptables配置端口映射的二进制文件,bandwidth是用来限流的,我们在安装好比如calico之后会生成对应的cni配置文件,它其实也是一个configmap

{
  "name": "k8s-pod-network",
  "cniVersion": "0.3.1",
  "plugins": [
    {
      "type": "calico",
      "log_level": "info",
      "log_file_path": "/var/log/calico/cni/cni.log",
      "datastore_type": "kubernetes",
      "nodename": "k8s-master1",
      "mtu": 0,
      "ipam": {
          "type": "calico-ipam"
      },
      "policy": {
          "type": "k8s"
      },
      "kubernetes": {
          "kubeconfig": "/etc/cni/net.d/calico-kubeconfig"
      }
    },
    {
      "type": "portmap",
      "snat": true,
      "capabilities": {"portMappings": true}
    },
    {
      "type": "bandwidth",
      "capabilities": {"bandwidth": true}
    }
  ]

在k8s中处理容器网络的相关逻辑并不会出现在kubelet的主干代码里,而是会在具体的cri实现里完成,k8s不允许使用多个网络插件,但是可以在cni配置文件里通过pkugins字段定义多个插件,创建好infa容器后,会执行一个setuppod方法,为cni准备参数,为infa容器配置网络,参数中有一个cni_command,它取值有add和del,add参数包括,容器网卡名字,pod网络命名空间的文件路径,容器的id,Flannel 的 CNI 配置文件( /etc/cni/net.d/10-flannel.conflist)里有这么一个字段,叫作 delegate:Delegate 字段的意思是,这个 CNI 插件并不会自己做事儿,而是会调用 Delegate 指定的某种 CNI 内置插件来完成。对于 Flannel 来说,它调用的 Delegate 插件,就是前面介绍到的 CNI bridge 插件。所以说,dockershim 对 Flannel CNI 插件的调用,其实就是走了个过场。Flannel CNI 插件唯一需要做的,就是对 dockershim 传来的 Network Configuration 进行补充。比如,将 Delegate 的 Type 字段设置为 bridge,将 Delegate 的 IPAM 字段设置为 host-local 等。然后根据ipam分配ip地址,调用cni bridge配置网络,具体操作是,创建cni网桥,通过infa容器的网络命名空间文件进入network namespace里面创建veth pair ,把一段连接到宿主机上,另一端连接容器的eth0,相当于执行下面命令


# 在宿主机上
$ ip link add cni0 type bridge
$ ip link set cni0 up

#在容器里

# 创建一对Veth Pair设备。其中一个叫作eth0,另一个叫作vethb4963f3
$ ip link add eth0 type veth peer name vethb4963f3

# 启动eth0设备
$ ip link set eth0 up 

# 将Veth Pair设备的另一端(也就是vethb4963f3设备)放到宿主机(也就是Host Namespace)里
$ ip link set vethb4963f3 netns $HOST_NS

# 通过Host Namespace,启动宿主机上的vethb4963f3设备
$ ip netns exec $HOST_NS ip link set vethb4963f3 up

接着吧设备连接到cni网桥上


# 在宿主机上
$ ip link set vethb4963f3 master cni0

为它设置 Hairpin Mode,用于自己访问自己,CNI bridge 插件会调用 CNI ipam 插件,从 ipam.subnet 字段规定的网段里为容器分配一个可用的 IP 地址。然后,CNI bridge 插件就会把这个 IP 地址添加在容器的 eth0 网卡上,同时为容器设置默认路由。这相当于在容器里执行


# 在容器里
$ ip addr add 10.244.0.2/24 dev eth0
$ ip route add default via 10.244.0.1 dev eth0

最后,CNI bridge 插件会为 CNI 网桥添加 IP 地址。这相当于在宿主机上执行:


# 在宿主机上
$ ip addr add 10.244.0.1/24 dev cni0

在执行完上述操作之后,CNI 插件会把容器的 IP 地址等信息返回给 dockershim,然后被 kubelet 添加到 Pod 的 Status 字段。

hanfengsasa1
关注
CNI 网络分析 3.1 Flannel 介绍与原理
mr1jie的博客
02-06 838
CNI flannel 原理与介绍
Kubernetes基础(十一)-CNI网络插件用法和对比
sre救赎之路
02-04 2489
网络模型提供了一个逻辑二层(L2)网络,该网络封装在跨 Kubernetes 集群节点的现有三层(L3)网络拓扑上。使用此模型,可以为容器提供一个隔离的 L2 网络,而无需分发路由。封装网络带来了少量的处理开销以及由于覆盖封装生成 IP header 造成的 IP 包大小增加。封装信息由 Kubernetes worker 之间的 UDP 端口分发,交换如何访问 MAC 地址的网络控制平面信息。此类网络模型中常用的封装是 VXLAN、Internet 协议安全性 (IPSec) 和 IP-in-IP。
理解CNICNI插件
琦彦
03-15 5615
理解CNICNI插件 本文将主要分享以下几方面的内容: CNI 是什么? Kubernetes 中如何使用 CNI? 哪个 CNI 插件适合我? 如何开发自己的 CNI 插件? 一、CNI 是什么 首先我们介绍一下什么是 CNI,它的全称是 Container Network Interface,即容器网络的 API 接口。 它是 K8s 中标准的一个调用网络实现的接口。Kubelet 通过这个标准的 API 来调用不同的网络插件以实现不同的网络配置方式。实现了这个接口的就是 CNI 插件,它实现了一
kubernetes网络CNI网络原理
爱死亡机器人
08-09 1622
回顾 在上一篇文章中,我以 Flannel 项目为例,为你详细讲解了容器跨主机网络的两种实现方法:UDP 和 VXLAN。不难看到,这些例子有一个共性,那就是用户的容器都连接在 docker0 网桥上。而网络插件则在宿主机上创建了一个特殊的设备(UDP 模式创建的是 TUN 设备,VXLAN 模式创建的则是 VTEP 设备),docker0 与这个设备之间,通过 IP 转发(路由表)进行协作。 然后,网络插件真正要做的事情,则是通过某种方法,把不同宿主机上的特殊设备连通,从而达到容器跨主机通信的目的。 实际
21. 理解CNICNI插件
变成习惯
01-25 1313
本文由 CNCF + Alibaba 云原生技术公开课 整理而来 CNI CNI 的全称是 Container Network Interface,即容器网络的 API 接口。 CNIKubernetes 中标准的一个调用网络实现的接口。Kubelet 通过这个标准的 API 来调用不同的网络插件以实现不同的网络配置方式。实现了这个接口的就是 CNI 插件,它实现了一系列的 CNI API 接口。常见的 CNI 插件包括 Calico、Flannel、Terway、Weave Net 以及 Con.
Kubernetes网络插件flannel原理简介
02-25 1676
Flannel是kubernetes网络插件之一,通过构建k8s集群节点之间的overlay网络,实现跨节点通信等功能。flannel常用的网络转发模式有hostgw、udp、vxlan...
深入理解Kubernetes网络:从原理到网络组件
weixin_41004518的博客
09-27 983
Kubernetes(K8s)是一个强大的容器编排平台,它的网络功能是其成功的关键之一。本文将带你了解K8s网络的实现原理、默认网络模式,以及常用的网络组件如Calico和Flannel,并展示如何使用Ingress,帮助你在不同场景下做出合适的选择。理解 Kubernetes网络架构及其插件是成功使用K8s的关键。Flannel适合小型集群和开发环境;Calico适合需要严格网络安全控制的生产环境;Weave Net适合需要高可用性和可扩展性的场景。Ingress适合需要通过域名访问多个服务的情况。
kubernetes网络通信实现原理
lhq1363511234的博客
04-21 659
Kubernetes网络模型是什么? ◎ Docker背后的网络基础是什么? ◎ Docker自身的网络模型和局限是什么? ◎ Kubernetes网络组件之间是怎么通信的? ◎ 外部如何访问Kubernetes集群? ◎ 有哪些开源组件支持Kubernetes网络模型?
kubernetes-flannel网络插件
01-12
尽管它在网络策略和性能方面可能不如其他高级插件,但对于初学者和快速部署场景,Flannel 提供了一个快速上手和理解 Kubernetes 网络模型的入口。了解并熟练使用 Flannel,将有助于更好地管理和优化 Kubernetes 集群...
CentOS 7 使用 Calico 网络插件部署Kubernetes 集群
03-17
解决这些问题通常需要熟悉Kubernetes和Calico的工作原理,以及对Linux系统和网络有深入理解。不过,随着Calico和Kubernetes的广泛使用,社区提供了丰富的文档和资源,可以帮助你顺利部署和管理集群。 总之,通过在...
Kubernetes网络插件详解 - Calico篇 - 概述
m0_72650596的博客
08-05 875
Kubernetes容器网络比较复杂,需要与底层基础设施及上层业务来确定容器网络方案,同时很多网络插件又支持多种模式,需要大量的网络的基础知识支撑才能了解清楚。选择合适的CNI插件,需要综合考虑底层网络网络拓扑,结合应用需要的网络功能,以及网络路由协议的需求。Calico是比较成熟的容器网络插件,功能上比较丰富,性能上也在不断优化。...
Kubernetes网络原理与实战配置:深入理解Kubernetes网络
[Kubernetes网络原理与实战配置:深入理解Kubernetes网络](https://www.securityandit.com/wp-content/uploads/2019/12/kubernetes-network-architecure-1-1.jpg) # 1. Kubernetes网络基础 Kubernetes网络是一个...
kubernetes K8S 挂载分布式存储 ceph
it知识分享 free for nothing..
09-25 1302
kubernetes K8S 挂载分布式存储 ceph
K8S篇之解析service和ingress区别
小橙子的笔记屋
09-26 272
k8s中service和ingress的区别
阿里云k8s发布vue项目
u014007760的博客
09-27 350
ps: Dockerfile中 是可以用 node.js作为基础镜像的 那就是另外一种构建方法了 不使用node build命令。比如后端springboot项目 肯定用例如 java8作为基础镜像 那vue为什么不用同理的运行环境node.js来构建。首先要编写对应的Dockerfile (花了一些时间弄清楚[为什么需要用nginx作为基础镜像 而不是node.js])作为一个后端 偶尔会承担一些运维工作 此次经历了发布vue项目的过程 因网上资料混乱 做个记录。一共在根目录添加了2个文件 1个文件夹。
【CKA】二、节点管理-设置节点不可用
weixin_43837718的博客
09-29 332
[CKA]二、节点管理-设置节点不可用
21.2 k8s中etcd的tls双向认证原理解
最新发布
福大大架构师每日一题
10-01 540
tls单向认证原理tls双向认证原理在k8s中etcd监控的应用以ca.crt client.crt client.key创建的secret并挂载到prometheus中prometheus配置证书信息打到采集etcd的目的。
k8s篇之数据挂载类型及区别
小橙子的笔记屋
09-26 312
k8s中数据挂载类型及各自用途
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值