CNI 网络流量 5.1 Cilium 介绍和原理

最新推荐文章于 2024-07-14 20:43:40 发布
最新推荐文章于 2024-07-14 20:43:40 发布
阅读量1.1k 收藏 2
点赞数
分类专栏: CNI 从零开始 文章标签: kubernetes 容器 云原生
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/mr1jie/article/details/129234151
版权

文章目录

简介

Cilium 是一个用于容器网络领域的开源项目,主要是面向容器而使用,用于提供并透明地保护应用程序工作负载(如应用程序容器或进程)之间的网络连接和负载均衡。
Cilium 在第 3/4 层运行,以提供传统的网络和安全服务,还在第 7 层运行,以保护现代应用协议(如 HTTP, gRPC 和 Kafka)的使用。 Cilium 被集成到常见的容器编排框架中,如 Kubernetes 和 Mesos。
Cilium 的底层基础是 BPF,Cilium 的工作模式是生成内核级别的 BPF 程序与容器直接交互。区别于为容器创建 overlay 网络,Cilium 允许每个容器分配一个 IPv6 地址(或者 IPv4 地址),使用容器标签而不是网络路由规则去完成容器间的网络隔离。它还包含创建并实施 Cilium 规则的编排系统的整合。
在这里插入图片描述

安装

$ curl -L --remote-name-all https://github.com/cilium/cilium-cli/releases/latest/download/cilium-linux-amd64.tar.gz{,.sha256sum}

$ tar -zxvf cilium-linux-amd64.tar.gz

$ cilium install
ℹ️  Using Cilium version 1.13.0
🔮 Auto-detected cluster name: kubernetes
🔮 Auto-detected datapath mode: tunnel
🔮 Auto-detected kube-proxy has not been installed
ℹ️  Cilium will fully replace all functionalities of kube-proxy
ℹ️  helm template --namespace kube-system cilium cilium/cilium --version 1.13.0 --set bpf.masquerade=true,cluster.id=0,cluster.name=kubernetes,encryption.nodeEncryption=false,k8sServiceHost=1.2.3.226,k8sServicePort=6443,kubeProxyReplacement=strict,operator.replicas=1,serviceAccounts.cilium.name=cilium,serviceAccounts.operator.name=cilium-operator,tunnel=vxlan
ℹ️  Storing helm values file in kube-system/cilium-cli-helm-values Secret
🔑 Created CA in secret cilium-ca
🔑 Generating certificates for Hubble...
🚀 Creating Service accounts...
🚀 Creating Cluster roles...
🚀 Creating ConfigMap for Cilium version 1.13.0...
🚀 Creating Agent DaemonSet...
🚀 Creating Operator Deployment...
⌛ Waiting for Cilium to be installed and ready...

^[[A♻️  Restarting unmanaged pods...
♻️  Restarted unmanaged pod kube-system/coredns-6d8c4cb4d-4nf2s
✅ Cilium was successfully installed! Run 'cilium status' to view installation health

// 安装 hubble
$ cilium hubble enable --ui
🔑 Found CA in secret cilium-ca
ℹ️  helm template --namespace kube-system cilium cilium/cilium --version 1.13.0 --set bpf.masquerade=true,cluster.id=0,cluster.name=kubernetes,encryption.nodeEncryption=false,hubble.enabled=true,hubble.relay.enabled=true,hubble.tls.ca.cert=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,hubble.tls.ca.key=[--- REDACTED WHEN PRINTING TO TERMINAL (USE --redact-helm-certificate-keys=false TO PRINT) ---],hubble.ui.enabled=true,k8sServiceHost=1.2.3.226,k8sServicePort=6443,kubeProxyReplacement=strict,operator.replicas=1,serviceAccounts.cilium.name=cilium,serviceAccounts.operator.name=cilium-operator,tunnel=vxlan
✨ Patching ConfigMap cilium-config to enable Hubble...
🚀 Creating ConfigMap for Cilium version 1.13.0...
♻️  Restarted Cilium pods
⌛ Waiting for Cilium to become ready before deploying other Hubble component(s)...
🚀 Creating Peer Service...
✨ Generating certificates...
🔑 Generating certificates for Relay...
✨ Deploying Relay...
✨ Deploying Hubble UI and Hubble UI Backend...
⌛ Waiting for Hubble to be installed...
ℹ️  Storing helm values file in kube-system/cilium-cli-helm-values Secret
✅ Hubble was successfully enabled!

修改 svc 为 nodeport 提供访问

组件和原理

Cilium-agent

daemonset 在集群中的每个节点上运行,通过 Kubernetes 或 API 接受配置,这些配置描述了网络、服务负载平衡、网络策略以及可见性和监控要求。监听来自 Kubernetes 等编排系统的事件,以了解何时启动和停止容器或工作负载。它管理 eBPF 程序,Linux 内核使用这些程序来控制进出这些容器的所有网络访问。

初始化

Init 生成 节点的 cilium 信息
路径:/var/run/cilium/state/globals/node_config.h

cilium-agent --config-dir=/tmp/cilium/config-map

创建 bpfMap,map 存储地址 /sys/fs/bpf/tc/globals/

   ctmap.InitMapInfo(option.Config.CTMapEntriesGlobalTCP, option.Config.CTMapEntriesGlobalAny,
        option.Config.EnableIPv4, option.Config.EnableIPv6, option.Config.EnableNodePort)
    policymap.InitMapInfo(option.Config.PolicyMapEntries)
    lbmapInitParams := lbmap.InitParams{
        IPv4: option.Config.EnableIPv4,
        IPv6: option.Config.EnableIPv6,

        MaxSockRevNatMapEntries:  option.Config.SockRevNatEntries,
        ServiceMapMaxEntries:     option.Config.LBMapEntries,
        BackEndMapMaxEntries:     option.Config.LBMapEntries,
        RevNatMapMaxEntries:      option.Config.LBMapEntries,
        AffinityMapMaxEntries:    option.Config.LBMapEntries,
        SourceRangeMapMaxEntries: option.Config.LBMapEntries,
        MaglevMapMaxEntries:      option.Config.LBMapEntries,
    }

将本 node 注册到 nodeMgr

nodeMngr.Subscribe(dp.Node())

m.nodeHandlers[nh] = struct{}{}

Domain 创建,包含所有的 manager

    // datapath is the underlying datapath implementation to use to
    // implement all aspects of an agent
    datapath datapath.Datapath

    // nodeDiscovery defines the node discovery logic of the agent
    nodeDiscovery *nodediscovery.NodeDiscovery

    // ipam is the IP address manager of the agent
    ipam *ipam.IPAM

    netConf *cnitypes.NetConf

    endpointManager endpointmanager.EndpointManager

    identityAllocator CachingIdentityAllocator

    ipcache *ipcache.IPCache

    k8sWatcher *watchers.K8sWatcher
    
    redirectPolicyManager *redirectpolicy.Manager

    egressGatewayManager *egressgateway.Manager

    cgroupManager *manager.CgroupManager

设置系统配置

rp_filter
fib_multipath_use_neigh
unprivileged_bpf_disabled
forwarding

IPAM

IPAM 先获取 InternalIP
为每个节点分配 cidr v4Prefix=10.0.0.0/24

AllocteIPs
Cluster-Name: kubernetes
Local node-name: cilium1"
External-Node IPv4: 1.2.3.226
Internal-Node IPv4: 10.0.0.2
IPv4 allocation prefix: 10.0.0.0/24
Loopback IPv4: 169.254.42.1
Local IPv4 addresses:
    - 1.2.3.226
    - 10.0.0.2

CNI

向 cilium agent 请求本节点配置

    conf, err = getConfigFromCiliumAgent(c)
    if err != nil {
        return
    }

配置中 ipammode:cluster-role

通过 cilium-agent 请求地址

   podName := string(cniArgs.K8S_POD_NAMESPACE) + "/" + string(cniArgs.K8S_POD_NAME)
    ipam, err := client.IPAMAllocate("", podName, true)

allocate_ip

func (h *postIPAM) Handle(params ipamapi.PostIpamParams) middleware.Responder {

通过现有的 allocated 的 ip 和数量,计算下一个 ip 的偏移量,然后得到申请的 IP

网卡创建
创建 veth-pair,DisableRpFilter,SetMTU,SetUp,SetGROMaxSize,SetGSOMaxSize,设置 ns 内部 IP 和路由

创建 endpoint
调 cilium-agent 创建 endpoint

Endpoint 创建

func (d *Daemon) createEndpoint(ctx context.Context, owner regeneration.Owner, epTemplate *models.EndpointChangeRequest) (*endpoint.Endpoint, int, error)

Endpoint 内容

为 endpoint 申请 ID

err = mgr.expose(ep)

func (mgr *endpointManager) expose(ep *endpoint.Endpoint) error {
    newID, err := mgr.AllocateID(ep.ID)
    if err != nil {
        return err
    }

    mgr.mutex.Lock()
    // Get a copy of the identifiers before exposing the endpoint
    identifiers := ep.IdentifiersLocked()
    ep.Start(newID)
    


func (e *Endpoint) Regenerate(regenMetadata *regeneration.ExternalRegenerationMetadata) <-chan bool {

// BPF 程序会被下发到宿主机 /var/run/cilium/state 目录中,regenerateBPF() 函数会重写 bpf headers,以及更新 BPF Map。更新 BPF Map 很重要,下发到网卡中的 BPF 程序执行逻辑时会去查 BPF Map 数据:
func (e *Endpoint) regenerateBPF(regenContext *regenerationContext) (revnum uint64, stateDirComplete bool, reterr error) {

    // Compile and install BPF programs for this endpoint
    compilationExecuted, err = e.realizeBPFState(regenContext)

编译 BPF 程序

err = e.owner.Datapath().Loader().CompileOrLoad(datapathRegenCtxt.completionCtx, datapathRegenCtxt.epInfoCache, &stats.datapathRealization)

/var/run/cilium/state/<ENDPOINT ID>/
err := compileDatapath(ctx, dirs, ep.IsHost(), ep.Logger(Subsystem))

挂载 BPF 程序

err = l.reloadDatapath(ctx, ep, dirs)

// bpf_lxc.o

    filter := &netlink.BpfFilter{
        FilterAttrs: netlink.FilterAttrs{
            LinkIndex: link.Attrs().Index,
            Parent:    qdiscParent,
            Handle:    1,
            Protocol:  unix.ETH_P_ALL,
            Priority:  option.Config.TCFilterPriority,
        },
        Fd:           prog.FD(),
        Name:         fmt.Sprintf("cilium-%s", link.Attrs().Name),
        DirectAction: true,
    }

挂载结果

// 普通 pod, from_container
# tc filter show dev lxc1466f225c091 ingress
filter protocol all pref 1 bpf chain 0 
filter protocol all pref 1 bpf chain 0 handle 0x1 cilium-lxc1466f225c091 direct-action not_in_hw id 1717 name cil_from_contai tag a6c2cf4a8cf17a1c jited

// cilium_net,cilium_host, to_host, from_host
# tc filter show dev  cilium_host  ingress
filter protocol all pref 1 bpf chain 0 
filter protocol all pref 1 bpf chain 0 handle 0x1 cilium-cilium_host direct-action not_in_hw id 1597 name cil_to_host tag 6b89d4d09c799b6f jited

# tc filter show dev  cilium_host  egress
filter protocol all pref 1 bpf chain 0 
filter protocol all pref 1 bpf chain 0 handle 0x1 cilium-cilium_host direct-action not_in_hw id 1612 name cil_from_host tag ec83ff303e14698d jited

// cilium_vxlan to_overlay,from_overlay
# tc filter show dev  cilium_vxlan   ingress
filter protocol all pref 1 bpf chain 0 
filter protocol all pref 1 bpf chain 0 handle 0x1 bpf_overlay.o:[from-overlay] direct-action not_in_hw id 1509 name cil_from_overla tag 10c7559775622132 jited 
# tc filter show dev  cilium_vxlan   egress
filter protocol all pref 1 bpf chain 0 
filter protocol all pref 1 bpf chain 0 handle 0x1 bpf_overlay.o:[to-overlay] direct-action not_in_hw id 1520 name cil_to_overlay tag 4d78a91325ebff94 jited

// ens3 from_netdev,to_netdev
# tc filter show dev  ens3  ingress
filter protocol all pref 1 bpf chain 0 
filter protocol all pref 1 bpf chain 0 handle 0x1 cilium-ens3 direct-action not_in_hw id 1635 name cil_from_netdev tag 764697679c641345 jited
# tc filter show dev  ens3  egress
filter protocol all pref 1 bpf chain 0 
filter protocol all pref 1 bpf chain 0 handle 0x1 cilium-ens3 direct-action not_in_hw id 1636 name cil_to_netdev tag 8a513eccee57644b jited

Cilium cli 的使用

工具很强大,支持查看几乎所有的信息

# kubectl exec  cilium-wkfqx    -n kube-system  -- cilium --help
Available Commands:
  bpf          Direct access to local BPF maps
  build-config Resolve all of the configuration sources that apply to this node
  cleanup      Remove system state installed by Cilium at runtime
  completion   Output shell completion code
  config       Cilium configuration options
  debuginfo    Request available debugging information from agent
  encrypt      Manage transparent encryption
  endpoint     Manage endpoints
  fqdn         Manage fqdn proxy
  help         Help about any command
  identity     Manage security identities
  ip           Manage IP addresses and associated information
  kvstore      Direct access to the kvstore
  lrp          Manage local redirect policies
  map          Access userspace cached content of BPF maps
  metrics      Access metric status
  monitor      Display BPF program events
  node         Manage cluster nodes
  nodeid       List node IDs and associated information
  policy       Manage security policies
  prefilter    Manage XDP CIDR filters
  preflight    Cilium upgrade helper
  recorder     Introspect or mangle pcap recorder
  service      Manage services & loadbalancers
  status       Display status of daemon
  version      Print version information

可以查看 k8s endpoint 内容

kubectl exec  cilium-wkfqx    -n kube-system  -- cilium endpoint  list

甚至可以查看 cilium_lxc map 有多少内容

kubectl exec  cilium-wkfqx    -n kube-system  -- cilium map  get cilium_lxc
Key            Value                                                                               State   Error
10.0.0.77:0    id=1033  flags=0x0000 ifindex=9   mac=8A:65:66:99:93:67 nodemac=66:52:92:66:66:01   sync    
10.0.0.231:0   id=692   flags=0x0000 ifindex=13  mac=F6:DF:83:C1:42:AE nodemac=4A:D2:EC:B7:41:7C   sync    
10.0.0.157:0   id=2351  flags=0x0000 ifindex=19  mac=36:B0:81:DD:CB:53 nodemac=5A:E7:3B:D0:B8:C5   sync    
10.0.0.243:0   id=505   flags=0x0000 ifindex=21  mac=9A:A7:AD:85:CC:E3 nodemac=E6:5B:CE:77:AA:3D   sync

监控

kubectl exec  cilium-wkfqx    -n kube-system  -- cilium monitor

bpfMap 的操作

Cilium-agent

当 pod 增加时,将对应 endpoint 存入 map

err = lxcmap.WriteEndpoint(datapathRegenCtxt.epInfoCache)

    for _, v := range GetBPFKeys(f) {
        if err := LXCMap().Update(v, info); err != nil {
            return err
        }
    }
    
    if err = m.open(); err != nil {
        return err
    }

    err = UpdateElement(m.fd, m.name, key.GetKeyPtr(), value.GetValuePtr(), 0)
    if option.Config.MetricsConfig.BPFMapOps {
        metrics.BPFMapOps.WithLabelValues(m.commonName(), metricOpUpdate, metrics.Error2Outcome(err)).Inc()
    }

如 endpointInfo

   info := &EndpointInfo{
        IfIndex: uint32(e.GetIfIndex()),                // 网卡索引
        // Store security identity in network byte order so it can be
        // written into the packet without an additional byte order
        // conversion.
        LxcID:   uint16(e.GetID()),                     // endpoint ID
        MAC:     mac,                                   // 网卡 mac
        NodeMAC: nodeMAC,                               // 宿主机侧 mac
    }

Key

type EndpointKey struct {
    // represents both IPv6 and IPv4 (in the lowest four bytes)
    IP        types.IPv6 `align:"$union0"`              ip bytes
    Family    uint8      `align:"family"`               1       // ipv4
    Key       uint8      `align:"key"`                  0
    ClusterID uint8      `align:"cluster_id"`           0
    Pad       uint8      `align:"pad"`                  0
}

存入的 hashmap 以上面 key,value=endpointInfo 存储

Ebpf

当 ebpf 程序中需要查询 该 endpoint 时,通过 map_lookup_elem 在 map 查询

static __always_inline __maybe_unused struct endpoint_info *
__lookup_ip4_endpoint(__u32 ip)
{
    struct endpoint_key key = {};

    key.ip4 = ip;
    key.family = ENDPOINT_KEY_IPV4;

    return map_lookup_elem(&ENDPOINTS_MAP, &key);
}
junjie xu
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
cilium初探(二)
long75719507的专栏
12-05 2216
三、cilium网络通信详解 默认情况下,cilium使用vxlan的overlay模式。跨主机通信示例图如下: cilium安装完毕,会在主机创建一些网卡: cilium-vxlan,用于vxlan封包; cilium-host和cilium-net,一对veth-pair(类似于kube-proxy ipvs创建的dummy网卡)。 1、c1 ping c2的通信细节 (...
基于eBPF的k8s网络插件Cilium部署与流量治理浅尝
11-13 1737
1环境准备基于 ebpf的kubernetes 的 CNI 插件 cilium 最近的关注度也越来越高,并且有配套的可观测平台hubble,为流量治理、可视化追踪有很大帮助,本文先将k8s的网络插件改为 cilium 并将 hubble 进行部署使用,具体原理请期待下篇。Cilium 要求 Linux kernel 版本在 4.8.0 以上,Cilium 官方建议 kernel 版本至少在 ...
下一代数据平面 Cilium:支撑 100Gbit/s Kubernetes 集群
easylife206的专栏
11-22 643
公众号关注「奇妙的 Linux 世界」设为「星标」,每天带你玩转 Linux !译者序本文翻译自 KubeCon+CloudNativeCon North America 2022 的一篇分享:100 Gbit/s Clusters with Cilium: Building Tomorrow’s Networking Data Plane[1]。作者 Daniel Borkmann, Nik...
cilium系列之一:安装并配置cilium
李炜伦的博客
09-16 9726
cilium可以在内核转发和过滤数据包,可以解决现有的kube-proxy性能问题,这是有关介绍链接http://dockone.io/m/article/10046 现在主要的问题不仅在于网络是underlay还是overlay,也在于networkpolicy。
虚拟网络之Kubernetes Cilium CNI 快速部署实操
海渊_haiyuan的博客
11-30 2235
文章目录虚拟网络之Kubernetes Cilium CNI 快速部署实操前言卸载Flannel CNIInstall Cilium CNI 虚拟网络之Kubernetes Cilium CNI 快速部署实操 前言 在之前部署的kubernetes 集群,这里想把已部署的Flannel CNI 更换为 Cilium CNI,本篇记录下实操记录; 之前部署的记录见博客《记一次实操部署Kubernetes_v1.19.2》 卸载Flannel CNI # 一般生产环境是不会这样操作的,因为一旦把 cni 卸载后
体验新时代的CNI--cilium
qq_40406649的博客
01-21 1161
本文将介绍笔者体验cilium的过程Cilium 的基础是一种新的 Linux 内核技术,称为 eBPF,它支持将强大的安全性、可见性和网络控制逻辑动态插入到 Linux 内核中。eBPF 用于提供高性能网络、多集群和多云能力、高级负载均衡、透明加密、广泛的网络安全功能、透明的可观测性等等。
Cilium CNI深度指南
残星说梦话
02-08 1715
你好,我是俞凡,在Motorola做过研发,现在在Mavenir做技术工作,对通信、网络、后端架构、云原生、DevOps、CICD、区块链、AI等技术始终保持着浓厚的兴趣,平时喜欢阅读、思考,相信持续学习、终身成长,欢迎一起交流学习。然而,这样的限制增加了复杂性和处理成本。我们的长期目标包括为pod提供一种机制来选择对等身份验证,支持可插拔的证书管理系统(如SPIFFE、Vault、SMI、Istio、cert-manager等),提供可配置的证书粒度,以及利用现有的对数据平面的加密协议支持。
Kubernetes部署CNI网络插件
04-18
部署CNI网络插件
k8s搭建Kubernetes(k8s)集群用到的部署CNI网络插件
02-21
问题场景:由于k8s安装master一直处于NotReady状态查看日志出现 ...解决办法:下载CNI插件,在此提供amd和arm,其他可访问链接下载 参考地址:https://github.com/containernetworking/plugins/releases/tag/v0.8.6
Cilium网络加速秘诀1
08-03
总结起来,Cilium通过集成eBPF技术,实现了对网络流量的高效管理和优化,为Kubernetes环境中的应用提供了高性能、安全和可扩展的网络基础设施。它的成功在于将用户态的灵活性与内核态的高性能结合起来,满足现代云...
34 _ Kubernetes网络模型与CNI网络插件1
08-04
Kubernetes 网络模型与 CNI 网络插件是 Kubernetes 集群中实现容器间网络通信的关键组成部分。CNI(Container Network ...了解和掌握 CNI 网络插件的工作原理对于管理和优化 Kubernetes 集群的网络性能至关重要。
部署CNI网络插件calico.yaml,下载这个自行修改
01-09
部署CNI网络插件calico.yaml,下载这个自行修改
最 Cool Kubernetes 网络方案 Cilium 入门教程
云原生实验室
04-21 2481
原文链接:https://davidlovezoe.club/wordpress/archives/851前言最近业界使用范围最广的 K8S CNI 网络方案 Calico 宣布支持 e...
CNI 网络流量 5.2 Cilium 流量分析(一)
mr1jie的博客
03-17 859
环境:fedora37,kernel:6.0.7-301.fc37.x86_64,cilium 版本 v1.13.0传统的基于二层转发或三层路由的方式,数据包转发的路径是比较清晰,可以利用一些抓包工具直观的分析报文的走向,但在基于 ebpf 的 cilium 场景下,用传统的分析工具就没那么清晰了。下面通过 ebpf 代码和对应接口的挂载点就行数据包的分析。先进到 pod1 里查看 netns 网络环境。
【云原生利器之Cilium】什么是Cilium
西京刀客
06-09 6892
Cilium 是一个在 eBPF 之上设计的开源项目,旨在满足容器工作负载的网络、安全和可观测性要求。它在 eBPF 之上提供了一个高级抽象。Cilium 之于 eBPF,就像 Kubernetes 和容器运行时之于 Linux 内核namespace、cgroups 和 seccomp。......
深入探索 Cilium 的工作机制
hanfengzxh的博客
05-22 443
这篇之前写记录的内容,隔了几个月终于想起把笔记完成,作为探索 Cilium 工作原理的入门,也还是 Cilium 冰山一角,像是高级的网络策略、网络加密、BGP 网络、服务网格等方面并没有深入。如果阅读过程中有发现任何问题,也烦请纠正。本文基于 Cilium v1.12 及 Kubernetes v1.25。
Cilium & Hubble
喝醉酒的小白
07-17 1584
Cilium在第3/4层运行,以提供传统的网络和安全服务,还在第7层运行,以保护现代应用协议(如HTTP,gRPC和Kafka)的使用。Hubble是建立在Cilium和eBPF之上,以一种完全透明的方式,提供网络基础设施通信以及应用行为的深度可视化,是一个应用于云原生工作负载,完全分布式的网络和安全可观察性平台。Cilium是一个用于容器网络领域的开源项目,主要是面向容器而使用,用于提供并透明地保护应用程序工作负载(如应用程序容器或进程)之间的网络连接和负载均衡。.........
【K8S系列】深入解析k8s网络插件—Cilium
热门推荐
颜淡慕潇
09-02 3万+
总结起来,Cilium是一个强大的Kubernetes网络插件,通过eBPF技术提供高性能和高级的网络功能。 尽管它可能具有一定的学习曲线和复杂性,但对于需要高性能和安全性的组织来说,它是一个有价值的选择。 通过了解其概念、优缺点、实现原理、使用场景、使用方法以及解决常见问题的方法,可以更好地利用Cilium来管理和保护Kubernetes集群中的网络通信。
k8s快速部署一个网站
最新发布
Sunny_Future的博客
07-14 296
【代码】k8s快速部署一个网站。
CNI的插件原理是什么
08-04
总而言之,CNI的插件原理是通过创建虚拟网络接口设备,并根据传递的网络配置信息为其分配IP地址和配置网络参数,从而为容器提供网络连接和通信能力。 ### 回答3: CNI(Container Network Interface,容器网络接口...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值