【5】CNI组件:Calico

已于 2024-01-03 14:52:24 修改
阅读量887 收藏 21
点赞数 19
分类专栏: Kubernetes重难点 文章标签: kubernetes 运维 devops docker
于 2024-01-03 08:47:49 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sinat_33076015/article/details/135354466
版权

第五章 Calico

官网: https://projectcalico.docs.tigera.io/about/about-calico

GitHub: https://github.com/projectcalico/calico/tree/master

Calico架构图

Calico是一种开源网络和网络安全解决方案,适用于容器,虚拟机和基于主机的本机工作负载。符合CNI标准的网络插件,每个pod生成一个唯一的ip地址,并且把每个节点当做路由器。(未来 cilium ebpf)

Calico支持广泛的平台,包括 Kubernetes,docker,OpenStack 和裸机服务。

5.1 Calico网络模型主要工作组件:

  • Felix:运行在每一台Host的agent进程,主要负责网络接口管理和监听、路由、ARP管理、ACL管理和同步、状态上报等。

    Felix会监听ETCD中心的存储,从它获取事件,比如说用户在这台机器上加了一个IP,或者创建了一个容器等。用户创建pod后,Felix将其网卡,MAC、IP都设置好,然后在内核的路由表里写一条,注明这个IP应该到这张网卡。同样用户若是设定了隔离策略,Felix同样会将该策略创建到ACL中,以实现隔离。

  • Etcd:分布式键值存储,主要负责网络元数据的一致性,确保Calico网络状态的准确性,可以与kubernetes共用。

  • BGP Client(BIRD):Calico为每一台Host部署一个BGP Client,使用BIRD实现,BIRD是一个单独的持续发展的项目,实现了众多动态路由协议比如BGP、OSPF、RIP等。在Calico中的角色是监听Host上由Felix注入的路由信息,然后通过BGP协议广播告诉剩余Host节点,从而实现网络互通。

    BIRD是一个标准的路由程序,它会从内核里面获取哪一些IP的路由发生了变化,然后通过标准BGP的路由协议扩散到整个其他的宿主机上,让外界都知道这个IP在这里,你们路由的时候得到这里来。

  • BGP Route Reflector:在大型网络规模中,如果仅仅使用 BGP client 形成 mesh 全网互联的方案就会导致规模限制,因为所有节点之间俩俩互联,需要 N^2 个连接,为了解决这个规模问题,可以采用 BGP 的 Router Reflector 的方法,使所有 BGP Client 仅与特定 RR 节点互联并做路由同步,从而大大减少连接数。

5.2 Calico 后端支持多种网络模式:

  • BGP模式:

    边界网关协议(Border Gateway Protocol, BGP)是互联网上一个核心的去中心化自治路由协议。将节点作为虚拟路由器,通过BGP路由协议来实现集群内容器之间的网络访问。

  • IPIP模式:

    在原有的IP报文中封装一个新的IP报文,新的IP报文中将源地址和目的地址IP都修改为对端宿主机IP。

    默认情况下calico使用的是IPIP模式进行通信,所有节点之间建立tunl0隧道。每创建一个pod在宿主机上都会产生一个以cali开头的虚拟接口。

    它的作用其实基本上就相当于一个基于IP层的网桥!一般来说,普通的网桥是基于mac层的,根本不需 IP,而这个 ipip 则是通过两端的路由做一个 tunnel,把两个本来不通的网络通过点对点连接起来。

  • cross-subnet:Calico-ipip 模式和 calico-bgp 模式都有对应的局限性,对于一些主机跨子网而又无法使网络设备使用 BGP 的场景可以使用 cross-subnet 模式,实现同子网机器使用 calico-BGP 模式,跨子网机器使用 calico-ipip 模式。

5.2.1 IPIP工作模式

1、环境:

[root@k8s-master01 ~]# kubectl  get node -owide
NAME           STATUS   ROLES    AGE     VERSION   INTERNAL-IP    
k8s-master01   Ready    <none>   8d      v1.25.3   10.10.10.164 
k8s-master02   Ready    <none>   7d5h    v1.25.3   10.10.10.31 
k8s-master03   Ready    <none>   7d22h   v1.25.3   10.10.10.201 
k8s-node01     Ready    <none>   4d5h    v1.25.3   10.10.10.112   
k8s-node02     Ready    <none>   2d23h   v1.25.3   10.10.10.207

创建2个pod,IP地址分分别为172.16.58.194、172.16.85.194:

[root@k8s-master01 ~]# kubectl  get pod -owide    
NAME       READY   STATUS    RESTARTS      AGE     IP              NODE      
busybox1   1/1     Running   0             143m    172.16.58.194   k8s-node02  
busybox3   1/1     Running   0             6m35s   172.16.85.194   k8s-node01

pod busybox1 ping pod busybox3

[root@k8s-master01 ~]# kubectl  exec -it busybox1 -- bash
bash-4.3# ping 172.16.85.195
PING 172.16.85.195 (172.16.85.195): 56 data bytes

2、 ping 包的旅程

pod busybox1的路由信息:

bash-4.3# route -n
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
0.0.0.0         169.254.1.1     0.0.0.0         UG    0      0        0 eth0
169.254.1.1     0.0.0.0         255.255.255.255 UH    0      0        0 eth0

根据路由信息ping 172.16.85.195,会匹配到第一条。第一条路由信息的意思是:去往任何网段的数据包都发往网管169.254.1.1,然后从eth0网卡发送出去。

路由表中Flags标志的含义:

  • U: up表示当前为启动状态
  • H:Host表示该路由为一个主机,多为达到数据包的路由
  • G:Gateway 表示该路由是一个网关,如果没有说明目的地是直连的
  • D:Dynamicaly 表示该路由是重定向报文修改
  • M:表示该路由已被重定向报文修改

3、node2节点上路由信息:

[root@k8s-node02 ~]# route -n
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
0.0.0.0         10.10.10.1      0.0.0.0         UG    0      0        0 eth0
10.10.10.0      0.0.0.0         255.255.255.0   U     0      0        0 eth0
169.254.0.0     0.0.0.0         255.255.0.0     U     1002   0        0 eth0
169.254.169.254 10.10.10.1      255.255.255.255 UGH   0      0        0 eth0
172.16.58.192   0.0.0.0         255.255.255.192 U     0      0        0 *
172.16.58.195   0.0.0.0         255.255.255.255 UH    0      0        0 cali4405ed05989
172.16.85.192   10.10.10.112    255.255.255.192 UG    0      0        0 tunl0

当ping 来到node2节点上,会匹配路由tunl0。该路由的意思是:去往172.16.85.192/26的网段的数据包都发往网关10.10.10.112,即为node1,所以数据包就通过设备tunl0发往到node1节点上。

4、node1节点上路由信息:

[root@k8s-node01 ~]# route -n
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
0.0.0.0         10.10.10.1      0.0.0.0         UG    0      0        0 eth0
10.10.10.0      0.0.0.0         255.255.255.0   U     0      0        0 eth0
169.254.0.0     0.0.0.0         255.255.0.0     U     1002   0        0 eth0
169.254.169.254 10.10.10.1      255.255.255.255 UGH   0      0        0 eth0
172.16.58.192   10.10.10.207    255.255.255.192 UG    0      0        0 tunl0
172.16.85.192   0.0.0.0         255.255.255.192 U     0      0        0 *
172.16.85.195   0.0.0.0         255.255.255.255 UH    0      0        0 cali0d5af60a6c5
172.16.85.196   0.0.0.0         255.255.255.255 UH    0      0        0 cali17a895e22ab
172.16.85.197   0.0.0.0         255.255.255.255 UH    0      0        0 cali33cc94a40c2

当node1节点网卡收到数据包之后,发现发往的目的ip为172.16.85.195,匹配到路由,该路由的意思是:172.16.85.195是本机直连设备,去往设备的数据包发往cali0d5af60a6c5。

每个pod发出去的数据包会直接转发到cali开头的网卡,这个接口跟pod里的网卡是veth pair的关系。

veth pair最直接的理解就是“网线直连”,pod1发出去的所有数据包,“闭着眼”转发给calixxxxx,calixxxxx从其他地方收到的数据包“闭着眼”转发给pod1。

cali 开头的网卡会连接到tunl0,pod1和pod2通信时,pod1发出的数据先到达caliXXXXX,然后进入到node节点 vms71的tunl0接口,然后到达隧道的另一端node节点vms72的tunl0接口,然后转发到caliyyyyy,最终到达pod2。所以tunl0隧道的作用是封装所有pod之间的流量。

顾名思义,IPIP网络就是将IP网络封装在IP网络里。IPIP网络的特点是所有pod的数据流量都从隧道tunl0发送,并且在tunl0这增加了一层传输层的封包。

5.2.2 BGP工作模式
辰蒙关照
关注
  • 19
    点赞
  • 21
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
kubernetes运维---calico之ipip模式抓包分析
qq_34391821的博客
05-07 1786
一、calico介绍 CalicoKubernetes生态系统中另一种流行的网络选择。虽然Flannel被公认为是最简单的选择,但Calico以其性能、灵活性而闻名。Calico的功能更为全面,不仅提供主机和pod之间的网络连接,还涉及网络安全和管理。Calico CNI插件在CNI框架内封装了Calico的功能。 Calico是一个基于BGP的纯三层的网络方案,与OpenStack、Kubernetes、AWS、GCE等云平台都能够良好地集成。Calico在每个计算节点都利用Linux Kernel
Kubernetes ——Calico网络插件
lingshengxiyou的博客
03-28 1987
Calico 是一个开源网络和网络安全解决方案,适用于容器、虚拟机和基于本地主机的工作负载。Calico 支持广泛的平台,包括 Kubernetes、OpenShift、Mirantis Kubernetes Engine (MKE)、OpenStack 和裸机服务。(官网翻译:https://projectcalico.docs.tigera.io/about/about-calico
calico-3.26.1
最新发布
04-19
tigera-operator.yaml和custom-resources.yaml
Calico的入门和网络优化
琦彦
11-12 3185
Kubernetes Calico 1.简介 Calico是一个非常流行的Kubernetes网络插件和解决方案.Calico是一个开源虚拟化网络方案,用于为云原生应用实现互联及策略控制。与Flannel相比,Calico的一个显著优势是对网络策略(network policy)的支持,它允许用户动态定义ACL规则控制进出容器的数据报文,实现为Pod间的通信按需施加安全策略。事实上,Calico可以整合进大多数主流的编排系统,如Kubernetes、Apache Mesos、Docker和OpenStack
calico3.25官网完整镜像包及yaml文件
08-21
calico官网镜像包,适用于大型集群,适用所有集群部署
K8s --calico网络插件
ly660402的博客
02-24 564
官网:https://docs.projectcalico.org/getting-started/kubernetes/self-managed-onprem/onpremises calico简介: flannel实现的是网络通信,calico的特性是在pod之间的隔离。 通过BGP路由,但大规模端点的拓扑计算和收敛往往需要一定的时间和计算资源。 纯三层的转发,中间没有任何的NAT和overlay,转发效率最好。 Calico 仅依赖三层路由可达。Calico 较少的依赖性使它能适配所有 .
calico v3.22.1镜像包和安装文件
03-07
5. **felix**:Calico 的核心组件 Felix 负责在每个节点上配置网络规则,确保网络策略的正确实施。 6. **BGP (Border Gateway Protocol)**:Calico 使用 BGP 来传播路由信息,使得 Pod 可以跨节点通信,无需依赖...
calico-v3.20.6版本容器镜像+calico.yaml文件
06-26
本次我们关注的是 Calico 的 v3.20.6 版本,该版本包含了多个组件的镜像和一个核心配置文件 `calico.yaml`。 首先,我们来看四个以 `v3.20.6.tar` 结尾的文件: 1. **node_v3.20.6.tar**: 这是 Calico Node 的镜像...
安装 kubernetes 网络组件-Calico
06-18
下面将详细介绍如何安装和配置 Calico 作为 Kubernetes 的网络组件。 首先,理解 Calico 的核心概念是必要的。Calico 提供了容器网络接口(CNI),遵循 Kubernetes 网络模型,即每个 Pod 都有一个独立的 IP 地址,...
kubernetes1.25网络插件calico离线包
12-18
1、calico~cni~v3.24.3.tar.gz 2、calico~kube~controllers~v3.24.3.tar.gz 3、calico~node~v3.24.3.tar.gz calico.yml命令:kubectl apply -f calico.yaml 离线包安装命令: docker load -i calico~cni~v3.24.3.tar...
calico官网网络拓扑实现:基于eNSP与VMVare
期待幸福
10-09 436
Calico官网提供了两种网络设计模式: AS per rack: 每个rack(机架)组成一个AS,每个rack的TOR交换机与核心交换机组成一个AS AS per server: 每个node做为一个AS,TOR交换机组成一个transit AS 每个TOR分为四个交换机,每个node与每个交换机都有连接。通过颜色区分每一个平面。 在Kubernetes平台中,使用calico brid生成的路由条目与endpoint相关,会对路由分配网段,这样可以减少路由条目数量,但不会改变路由数量级。当集群
CC00095.CloudKubernetes——|KuberNetes&二进制升级.V06|——|kubernetes组件|calico.v3.15.3——>v3.19.1|
yanqi_vip
03-29 692
一、calico组件说明 ### --- calico官网 ~~~ https://docs.projectcalico.org/maintenance/kubernetes-upgrade#upgrading-an-installation-that-uses-the-kubernetes-api-datastore ### --- c...
calico 跨网段问题
discsthnew的博客
03-26 1万+
Calico 简介 Calico 是一个基于BGP协议的网络互联解决方案。它是一个纯3层的方法,使用路由来实现报文寻址和传输。 相比 flannel, ovs等SDN解决方案,Calico 避免了层叠网络带来的性能损耗。将节点当做 router ,位于节点上的 container 被当做 router 的直连设备。利用 Kernel 来实现高效的路由转发。 节点间的路由信息通过 BGP 协议在...
calico网络故障排查(calico/node is not ready: BIRD is not ready)
JH200811的博客
04-19 1万+
一、问题发现 1.执行kubectl get pod -o wide -n calico-system,发现有一个节点的calico-node没有出入READY状态,如下: 2.执行kubectl describe pod calico-node-5xskb -n calico-system,发现有如下报错: 3.执行kubectl exec -ti calico-node-5xskb -n calico-system -- bash,进入calico-node,打开bird配置文件,发现rout
calico集成详解
weixin_33892359的博客
06-15 1223
一、摘要 =======================================================================================        包括三项:     calico相关概念     calicodocker集成     calicokubernetes集成        不包括:               calico集群穿...
Calico 网络互连架构
discsthnew的博客
03-26 7324
IP Interconnect Fabrics in Calico Background Basic Calico architecture overview Overview of current common IP scale-out fabric architectures BGP-only interconnect fabrics Some BGP network design con...
calico网络原理及与flannel对比
热门推荐
ganpuzhong42的博客
09-05 4万+
最近在搞paas的内容,也刚接触了kubernetes,都涉及到了网络覆盖的内容,也就是跨主机容器之间的通信,本身docker有原生的跨主机通信方案,但是效率很差。所以出现了一系列的开源组件,如flannel,calico,weave等。这里主要介绍一下calico和fannel 一 calico架构 首先请看calico的架构图,如下图。 calico包括如下重要组
【k8s】k8s部署网络插件Calico、创建网络策略
sl963216757的博客
07-10 8709
一、简介 01_calico简介 calico官网 flannel实现的是网络通信 , calico的特性是在pod之间的隔离。 通过BGP路由,但大规模端点的拓扑计算和收敛往往需要一定的时间和计算资源。 纯三层的转发,中间没有任何的NAT和overlay,转发效率最好。 Calico仅依赖三层路由可达。Calico 较少的依赖性使它能适配所有VM、Container、白盒或者混合环境场景。 02_calico网络架构 Felix:监听ECTD中心的存储获取事件,用户创建pod后,Felix负责将其网
calico-node的启动顺序
01-10
calico-node 是一个用于连接容器网络的组件,它可以将容器的网络连接到 Calico 网络中。 要启动 calico-node,您需要先启动以下组件: 1. 容器引擎:calico-node 依赖于容器引擎来管理容器。例如,您可以使用 Docker 或 rkt 作为容器引擎。 2. etcd:Calico 网络使用 etcd 来存储网络配置信息。 3. calico-cniCalico 网络使用 CNI(容器网络接口)来为容器分配 IP 地址和网络命名空间。calico-cniCalicoCNI 插件,它可以将容器连接到 Calico 网络中。 然后,您就可以启动 calico-node 了。 希望这对您有帮助!
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值