CNI 网络流量 5.3 Cilium 流量分析(二)

最新推荐文章于 2024-02-10 09:10:34 发布
最新推荐文章于 2024-02-10 09:10:34 发布
阅读量774 收藏 2
点赞数
分类专栏: CNI 从零开始 文章标签: 网络 云原生
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/mr1jie/article/details/129827910
版权

文章目录

Native Routing

除了 overlay 的 vxlan 和 geneve ,通过支持 native routing 模式,L2 层直接互通可以直接使用,否则可以利用 bgp 等协议进行打通。

部署

修改配置

 kubectl edit cm cilium-config -n kube-system
auto-direct-node-routes: "true"
ipv4-native-routing-cidr: 10.0.0.0/16             // 需要本地路由的地址段
tunnel: disabled                                  // 关掉 tunnel

检查

# ip r
default via 172.18.22.1 dev ens3 proto static metric 101 
10.0.0.0/24 via 10.0.0.161 dev cilium_host src 10.0.0.161 
10.0.0.161 dev cilium_host scope link 
10.0.1.0/24 via 192.168.100.112 dev ens10            // 到其他节点 pod 网段的路由
10.0.2.0/24 via 192.168.100.113 dev ens10 
172.18.22.0/24 dev ens3 proto kernel scope link src 172.18.22.111 metric 101 
192.168.100.0/24 dev ens10 proto kernel scope link src 192.168.100.111 metric 100

pod 到 同节点,跨节点 pod
在这里插入图片描述

同节点 pod 到 node

Pod 1<-> node111
10.0.0.225 <-> 172.18.22.111

Pod veth pair host 侧 ingress from-container

函数流程
  |-cil_from_container
     |-tail_handle_ipv4
       |-__tail_handle_ipv4
       |-->invoke_tailcall_if
       ...// svc 的查询等。
         |-tail_handle_ipv4_cont                // 根据 TAIL_CT_LOOKUP4,上一章节有介绍
           |-handle_ipv4_from_lxc
           |--> lookup_ip4_remote_endpoint      // 根据目的 IP 从 IPCACHE map 找 endpoint
           // 172.18.22.111/32     identity=1 encryptkey=0 tunnelendpoint=0.0.0.0 nodeid=0 
           // dst_id = 1
           |--> lookup_ip4_endpoint             // 根据目的 IP 从 ENDPOINTS_MAP 找 endpoint
           // 172.18.22.111:0     (localhost)
             |- redirect_ep                     // redirect HOST_IFINDEX flag BPF_F_INGRESS 到宿主机

回包 host -> pod
根据路由 10.0.0.0/24 via 10.0.0.161 dev cilium_host src 10.0.0.161 ,到 本地 pod 的流量会命中 cilium_host egress hook,即

from-host 
 |-cil_from_host
   |-handle_netdev
     |- do_netdev
     |-->ep_tail_call(ctx, CILIUM_CALL_IPV4_FROM_HOST);
       |-tail_handle_ipv4_from_host
         |-tail_handle_ipv4
           |-handle_ipv4
             |->rewrite_dmac_to_host            // 写目的 mac, cilium_net 的 mac
             |->ep = lookup_ip4_endpoint(ip4);  // 根据目的 mac 查 endpoint 10.0.0.225:0        id=213   flags=0x0000 ifindex=13  mac=72:15:17:10:C5:1C nodemac=5E:A1:FC:9D:FE:E5
               |-ipv4_local_delivery            // 本地 endpoint 进行处理
                 |-ipv4_l3                      // 设置 ttl,mac,源 mac 为 ep->node_mac, 目的 mac 为 ep->mac, 即 veth 的两侧
                   |-redirect_ep                // redirect 到 netns 里处理

跨节点 pod 到 node

Pod veth pair host 侧 ingress from-container
和上面流程相同,
在 lookup_ip4_remote_endpoint 时,获取到对面 node 的 ip
192.168.100.112/32 identity=6 encryptkey=0 tunnelendpoint=0.0.0.0 nodeid=0
在 ep = lookup_ip4_endpoint(ip4) 时,获取不到 endpoint,因为不是本地 endpoint

|- redirect_direct_v4
  |- ipv4_l3       设置 ttl 
  |-> return CTX_ACT_OK  内核协议栈继续处理

内核协议栈根据路由表 192.168.100.0/24 dev ens10 proto kernel scope link src 192.168.100.111 metric 100,进行协议栈处理,将源 mac 该为 本地 ens10 的 mac,目的 mac 为对端 ens10 mac
ens10 出包挂载程序 to-netdev,未有什么动作

回包
收包后本地处理回包,根据路由 10.0.0.0/24 via 172.18.22.111 dev ens3,通过 ens3 网络通信,pod 所在节点 ens3 ingress
hook from-netdev

  |-cil_from_host
    |-handle_netdev
      |- do_netdev
        |-identity = resolve_srcid_ipv4()                // 从 ctx 中提取 src identity
        |-> lookup_ip4_remote_endpoint(ip4->saddr);      
          |-ctx_store_meta(ctx, CB_SRC_IDENTITY, identity);     // 将 identity 存储到 ctx->cb[CB_SRC_IDENTITY]
          |-->ep_tail_call(ctx, CILIUM_CALL_IPV4_FROM_NETDEV);  //宏 CILIUM_CALL_IPV4_FROM_LXC
            |-tail_handle_ipv4_from_netdev
              |-tail_handle_ipv4
                |-handle_ipv4
                  |-lookup_ip4_endpoint       // 通过目的地址查询 endpoint
                  |->ipv4_local_delivery
                    |- ipv4_l3                // 写 ttl 和 mac
                    |-> tail_call_dynamic     // 直接 tail endpoint BPF 这里是 to-container 

|- to-container
|- handle_to_container
  |-inherit_identity_from_host(skb, &identity)
    |-tail_ipv4_to_endpoint
      |-ipv4_policy
        |- redirect_ep  // 到 pod

跨节点 pod 到 pod

Pod veth pair host 侧 ingress from-container
和上面流程相同
在 lookup_ip4_remote_endpoint 时,获取到对面 pod 的 ip
10.0.1.230/32 identity=4502 encryptkey=0 tunnelendpoint=172.18.22.112 nodeid=797
在 ep = lookup_ip4_endpoint(ip4) 时,获取不到 endpoint,因为不是本地 endpoint

|- redirect_direct_v4
  |- ipv4_l3       设置 ttl 
  |-> 处理根据 ENABLE_SKIP_FIB,如果 true,redirect_neigh,如果 false ,下一跳到系统路由网卡

目标节点网卡的 ingress 处理跟 上面一样

junjie xu
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 4
    评论
专栏目录
cilium插件测试_Cilium Network Policy
weixin_29455479的博客
01-14 715
一、第三层配置示例1. 基于Label的策略使用busybox启动三个pod:box-a,box-b,box-c,测试a->b,c->b联通性入口策略配置基于label的策略:只允许a->bapiVersion: "cilium.io/v2"kind: CiliumNetworkPolicymetadata:name: "a-to-b-allow"spec:endpointSel...
Cilium 部署完成后,我们可以查看下部署的 ns 下的 Pod 情况:
qq_38512527的博客
09-12 274
(MoeLove) ➜ ~ kubectl -n kube-system get pods NAME READY STATUS RESTARTS AGE cilium-86dbc 1/1 Running 0 2m11s cilium-cjcps 1/1
云原生内容分享(十三):云原生网络利器--Cilium Service Mesh
之乎者也·的博客
02-10 854
突然想写一篇关于eBPF相关的文章,简单的写点部署,功能,解决方案不一定是大家要的,不如把我近些年对这块理解和看法写一写。得益于容器网络接口 (CNI),Kubernetes提供了大量选项来满足咱们的网络需求。经过多年不同场景下的不断迭代,我们面临着对以客户需求为后盾的,高级功能日益增长的需求。Cilium将K8s平台的网络提升到了一个新的水平。大家也都知道,今天有很多CNI选项可用。我们希望坚持使用eBPF,事实证明,eBPF是一项强大的技术,在可观测性、安全性等方面提供了许多好处。
AWS上的Cilium网络拓扑和流量路径
RToax
10-30 838
Table of Contents 1准备 1.1测试环境 1.2容器网和nsenter 1.3验证基本连接 2个出口:Pod->主机-> VPC网络 2.1容器内部网络 1.2 Veth对连接到主机 1.3出口BPF代码 1.4主机路由表 2入口 2.1主机路由表 2.2入口BPF代码 2.3集装箱收货 3小结 参考文献 相关阅读 发表于2019-10-26 |最后更新2019-10-26 这篇文章探讨了在AWS上由Cilium驱动的K8S集群...
关于Linux 下的错误路由产生火星包的问题
和盼晨的专栏
07-24 4775
关于linux下的错误路由产生火星包的问题错误原理linux 下的route表,不仅负责包的转发路径选择,还负责检验包的来源的合理性
cilium native-routing模式流程分析
fengcai_ke的博客
08-06 317
本文分析cilium native routing模式下的报文路径和涉及到的ebpf源码分析。实验环境在vxlan模式下修改参数后而来。native routing和vxlan模式的区别主要是跨节点通信时,vxlan模式需要封装,native routing模式需要根据目的ip查找路由表转发到其他节点。
cilium安装下封闭NodePort映射端口
m0_37642477的博客
09-27 186
cilium安装下封闭NodePort映射端口
CNI 网络流量 5.2 Cilium 流量分析(一)
mr1jie的博客
03-17 818
环境:fedora37,kernel:6.0.7-301.fc37.x86_64,cilium 版本 v1.13.0传统的基于层转发或三层路由的方式,数据包转发的路径是比较清晰,可以利用一些抓包工具直观的分析报文的走向,但在基于 ebpf 的 cilium 场景下,用传统的分析工具就没那么清晰了。下面通过 ebpf 代码和对应接口的挂载点就行数据包的分析。先进到 pod1 里查看 netns 网络环境。
Cilium系列-6-从地址伪装从IPtables切换为eBPF
east4ming的博客
07-27 308
启用本地路由(Native Routing)完全替换 KubeProxyIP 地址伪装(Masquerading)切换为基于 eBPF 的模式Kubernetes NodePort 实现在 DSR(Direct Server Return) 模式下运行绕过 iptables 连接跟踪(Bypass iptables Connection Tracking)主机路由(Host Routing)切换为给予 BPF 的模式 (需要 Linux Kernel >= 5.10)
Cilium CNI深度指南
残星说梦话
02-08 1627
你好,我是俞凡,在Motorola做过研发,现在在Mavenir做技术工作,对通信、网络、后端架构、云原生、DevOps、CICD、区块链、AI等技术始终保持着浓厚的兴趣,平时喜欢阅读、思考,相信持续学习、终身成长,欢迎一起交流学习。然而,这样的限制增加了复杂性和处理成本。我们的长期目标包括为pod提供一种机制来选择对等身份验证,支持可插拔的证书管理系统(如SPIFFE、Vault、SMI、Istio、cert-manager等),提供可配置的证书粒度,以及利用现有的对数据平面的加密协议支持。
Kubernetes部署CNI网络插件
04-18
部署CNI网络插件
kubernetes 使用cilium 网络插件 替换kube-proxy
02-10
简单来说可以理解为 Kube-proxy + CNI 网络实现。Cilium 位于容器编排系统和Linux Kernel 之间,向上可以通过编排平台为容器进行网络以及相应的安全配置,向下可以通过在 Linux 内核挂载 eBPF 程序,来控制容器网络...
k8s搭建Kubernetes(k8s)集群用到的部署CNI网络插件
最新发布
02-21
问题场景:由于k8s安装master一直处于NotReady状态查看日志出现 failed to find plugin “flannel” in path [/opt/cni/bin]【CentOS7.9】(ps:不需要积分) 解决办法:下载CNI插件,在此提供amd和arm,其他可访问链接...
搭建Kubernetes(k8s)集群用到的部署CNI网络插件
05-25
搭建Kubernetes(k8s)集群用到的部署CNI网络插件,因为这个插件是国外的源,很多小伙伴没办法拿到这里分享个大家 资源源地址在 ...
34 _ Kubernetes网络模型与CNI网络插件1
08-04
第一类,叫作 Main 插件,它是用来创建具体网络设备的进制文件 第类,叫作 IPAM(IP Address Management)插件,它是负责分配 IP
基于eBPF的k8s网络插件Cilium部署与流量治理浅尝
11-13 1678
1环境准备基于 ebpf的kubernetes 的 CNI 插件 cilium 最近的关注度也越来越高,并且有配套的可观测平台hubble,为流量治理、可视化追踪有很大帮助,本文先将k8s的网络插件改为 cilium 并将 hubble 进行部署使用,具体原理请期待下篇。Cilium 要求 Linux kernel 版本在 4.8.0 以上,Cilium 官方建议 kernel 版本至少在 ...
Cilium系列-1-Cilium特色 功能及适用场景
2301_78834737的博客
07-23 214
Cilium 是一个开源的云原生解决方案,用于提供、保护(安全功能)和观察(监控功能)工作负载之间的网络连接,由革命性的内核技术eBPF提供动力。Cilium 主要使用场景是在 Kubernetes中,但 Cilium 的优势并不仅限于 Kubernetes 环境。在 Kubernetes 环境中,Cilium 可充当网络插件,提供 pod 之间的连接。
Cilium架构简介&eBPF数据流向查看
04-26 806
1环境准备上一篇文章将 k8s 的网络插件改为 cilium 同时部署了观测平台 hubble,部署方式可参考上篇。基于eBPF的k8s网络插件Cilium部署与流量治理浅尝本篇讲一下 cilium的架构和数据流向的查看方式。首先,你需要一个kubernetes集群,并使用了 cilium 网络插件。部署后可以看到,每个节点上都启动了一个cilium pod,还有一个cilium-operato...
CNI 网络流量 5.1 Cilium 介绍和原理
mr1jie的博客
02-27 1084
cilium 介绍使用
multus-cni网络cni插件源码分析
05-09
multus-cni 是一个 Kubernetes 的多网络 CNI 插件,它是 Kubernetes 上负责多网络管理的代表性插件之一。它允许 Kubernetes 集群中的每个 Pod 拥有多个网络接口,并能针对每个网络接口对应的网络策略和路由进行不同...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值