K8S Calico网络插件之IPIP模式

最新推荐文章于 2023-06-28 07:16:47 发布
最新推荐文章于 2023-06-28 07:16:47 发布
阅读量3.9k 收藏 17
点赞数 6
分类专栏: Kubernetes 文章标签: Calico IPIP模式 K8S网络插件
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u010039418/article/details/120589775
版权

注:本文基于Calico v3.20.1版本编写

1 关于Calico

flannel是overlay网络, 主要工作在L2(VXLAN),calico主要是L3,通过BGP路由协议在机器之间传送报文。

2 安装Calico(IPIP模式)

因为之前有安装flannel,因此需要先删除,

kubectl delete -f kube-flannel.yml

同时需要删除flannel.1和cni0这两个网络设备,

ip link delete cni0
ip link delete flannel.1

之后就可以根据官网安装了,

curl https://docs.projectcalico.org/manifests/calico.yaml -O
kubectl apply -f calico.yaml

是的,就是这么简单,然后就可以在机器上看到新生成的网络设备,

cali00dc074ce54: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1480
...
tunl0: flags=193<UP,RUNNING,NOARP>  mtu 1480

因为默认情况下,calico使用的是ipip隧道模式,这一点我们可以从calico的日志里看出,

2021-10-02 05:04:26.657 [INFO][9] startup/startup.go 651: CALICO_IPV4POOL_NAT_OUTGOING is true (defaulted) through environment variable
2021-10-02 05:04:26.657 [INFO][9] startup/startup.go 992: Ensure default IPv4 pool is created. IPIP mode: Always, VXLAN mode: Never
2021-10-02 05:04:26.718 [INFO][9] startup/startup.go 1002: Created default IPv4 pool (10.244.0.0/16) with NAT outgoing true. IPIP mode: Always, VXLAN mode: Never

所以多了一个tunl0设备,

[root@master home]# ip -d link show tunl0
9: tunl0@NONE: <NOARP,UP,LOWER_UP> mtu 1480 qdisc noqueue state UNKNOWN mode DEFAULT group default qlen 1
    link/ipip 0.0.0.0 brd 0.0.0.0 promiscuity 0 
    ipip ...

与此同时,host上也多了两条通往node的路由记录,

[root@master calico]# route -n
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
0.0.0.0         192.168.0.1     0.0.0.0         UG    0      0        0 ens33
10.244.104.0    192.168.0.112   255.255.255.192 UG    0      0        0 tunl0
10.244.166.128  192.168.0.111   255.255.255.192 UG    0      0        0 tunl0
...

3 Calico ipip模式工作原理

所谓ipip,也就是IP in IP,即在IP报文的基础上,又封装了一个IP头,和overlay网络相似。
在这里插入图片描述

我们以两个node上的两个容器为例,说一下报文的流动过程。

报文从Pod A发出,根据路由发往容器中的网关169.254.1.1,

[root@centos-bc2sm /]# route -n
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
0.0.0.0         169.254.1.1     0.0.0.0         UG    0      0        0 eth0
169.254.1.1     0.0.0.0         255.255.255.255 UH    0      0        0 eth0

但是你会发现,host上并没有这设备,这就是calico独特之处。那报文到底是如何发送出去的呢?

我们先看下网关通向的二层地址,即mac地址,

[root@centos-bc2sm /]# arp -n
Address                  HWtype  HWaddress           Flags Mask            Iface
169.254.1.1              ether   ee:ee:ee:ee:ee:ee   C                     eth0

可以看到,容器中网关的arp地址是ee:ee:ee:ee:ee:ee,所以现在的问题就变成,哪个网卡的mac地址是这个。

我们在host上查看所有网卡,会发现,cali的所有网卡的mac地址都是ee:ee:ee:ee:ee:ee

[root@node2 ~]# ifconfig | grep -E "flags|ether"
cali0a4fde325ea: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1480
        ether ee:ee:ee:ee:ee:ee  txqueuelen 0  (Ethernet)
cali43af9e40d9b: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1480
        ether ee:ee:ee:ee:ee:ee  txqueuelen 0  (Ethernet)
cali61a9554ce92: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1480
...

另外,我们知道容器中的网卡用的是veth的pair虚拟网卡,一端连接到容器,另一端连着宿主机。所以我们需要查看下容器里网卡编号,

[root@centos-bc2sm /]# ethtool -S eth0
NIC statistics:
     peer_ifindex: 14

然后host中编号为14的即为另一端,

[root@node2 ~]# ip link show
...
14: cali0a4fde325ea@if4: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1480 qdisc noqueue state UP mode DEFAULT 
    link/ether ee:ee:ee:ee:ee:ee brd ff:ff:ff:ff:ff:ff link-netnsid 4

因此,容器中的报文就通过cali0a4fde325ea到达宿主机。

然后根据宿主机的路由,报文发往tunl0

10.244.166.128  192.168.0.111   255.255.255.192 UG    0      0        0 tunl0

报文到达tunl0时,会再次封装一层ip报文头,把目标node的ip作为目的ip,然后通过ens33将报文发出。

对端node收到报文后,解开外层ip报文头,发现是ipip报文,会转交给tunl0, tunl0把内层ip报文头解开,查找路由,就发送给cali7dadcb96356,

10.244.166.140  0.0.0.0         255.255.255.255 UH    0      0        0 cali7dadcb96356

而这个cali7dadcb96356正是目标容器的veth pair网络设备的另一端。

[root@node1 ~]# ip link show cali7dadcb96356
14: cali7dadcb96356@if4: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1480 qdisc noqueue state UP mode DEFAULT 
    link/ether ee:ee:ee:ee:ee:ee brd ff:ff:ff:ff:ff:ff link-netnsid 0

[root@centos-t854j /]# ethtool -S eth0
NIC statistics:
     peer_ifindex: 14

最终报文到达目标pod。

对于封装后的报文,我们可以通过tcpcump看下报文信息,
在这里插入图片描述而对于同个node的情况,就不需要经过tunl0设备了,因为报文到达host上时,直接根据路由规则就可以转发到对应的cali设备。

4 几个疑问

4.1 容器内网关为169.254.1.1,为什么报文会到宿主机cali网络设备

我们通过arp命令查询mac缓存是逆推而来,而实际上,在发送报文时,会先通过arp广播报文,查询网关的mac地址,由于cali网络设备都开启了arp代理,因此在接收到arp请求时,就会响应该请求,把自己的mac地址回复给ARP广播请求发送者,这样报文就会发往该cali网络设备,同时也就有了这条arp缓存记录。

[root@node2 ~]# cat /proc/sys/net/ipv4/conf/cali0a4fde325ea/proxy_arp
1

所以,理论上容器内的网关设置为什么并不重要,最终由于arp代理,报文到会发送到宿主机的cali设备上。

4.2 为什么cali网络设备mac地址都为ee:ee:ee:ee:ee:ee

因为有一些系统无法在启动时给网络设备分配好mac地址,并且cali的mac地址并不会在实际的链路层报文中使用,因此calico将所有cali网络设备的mac地址都设置为全e,便于管理。

4.3 calico的cali网络设备和flannel的docker0网桥设备有和不同

flannel中所有容器都连接到docker0上,意味着所有容器都可以互通。而对于cali网络设备,每个容器连接到不同的host cali设备中,就能通过网络策略规则实现容器间的隔离,这就为多租户的场景提供了可能。

4.4 每个host是如何获取其他host的路由信息

这是通过BGP协议获取的,calico会在每个host上运行felix和bird进程,

[root@node2 ~]# ps aux | grep -iE "felix|bird"
root       4204  0.0  0.0   4236   400 ?        Ss   Oct08   0:00 runsv felix
root       4207  0.0  0.0   4236   400 ?        Ss   Oct08   0:00 runsv bird
root       4208  0.0  0.0   4236   400 ?        Ss   Oct08   0:00 runsv bird6
root       4213  4.7  2.4 1510880 45552 ?       Sl   Oct08 105:50 calico-node -felix
root       4412  0.0  0.0   1712   516 ?        S    Oct08   1:45 bird6 -R -s /var/run/calico/bird6.ctl -d -c /etc/calico/confd/config/bird6.cfg
root       4414  0.0  0.0   1828   780 ?        S    Oct08   1:51 bird -R -s /var/run/calico/bird.ctl -d -c /etc/calico/confd/config/bird.cfg

其中,felix进程负责监听etcd事件,获取路由、ARP 管理、ACL 管理和同步、状态上报等;而bird进程则负责把felix注入的路由信息通过BGP协议发送给其他机器,这样整个集群中都能获取到相关node的路由信息。

参考资料:

  1. https://docs.projectcalico.org/getting-started/kubernetes/self-managed-onprem/onpremises
  2. https://docs.projectcalico.org/reference/faq
  3. https://docs.projectcalico.org/reference/architecture/overview
Blue summer
关注
  • 6
    点赞
  • 17
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
k8s网络插件calico启动yaml文件
06-10
k8s网络插件calico启动yaml文件
k8s----网络通信机制(calico-IPIP,fiannel-VXLAN)caclicoctl命令
weixin_45697293的博客
08-20 1343
calico 默认部署为 CrossSubnet,此种模式在部署完成后,有可能造成节点之间无法正常通行,如果已经确定部署模式为 IPIP 模式,可以在部署前将 CALICO_IPV4POOL_IPIP=“CrossSubnet”,修改为。,Pod中从网卡eth0发出的流量都会发送到Cni0网桥设备的端口(网卡)上,Cni0 设备获得的ip地 址是该节点分配到的网段的第一个地址。,但是会存在安全性问题,其在内核内置,可以通过Calico的配置文件设置是否启用IPIP,在公司内部如果k8s的node节点。
k8s集群calico网络插件的.yaml
03-01
k8s集群calico网络插件的.yaml
Kubernetes CNI组件Calico:IPIP工作模式
小楼一夜听春雨,深巷明朝卖杏花
03-16 3752
CNI存在的意义 为了对接第三方的网络组件,提供一种接口,实现接口逻辑的松耦合 K8s网络组件之Calico Calico是一个纯三层(基于路由的)的数据中心网络方案,Calico支持广泛的平台,包括Kubernetes、OpenStack等。 Calico 在每一个计算节点利用 Linux Kernel 实现了一个高效的虚拟路由器( vRouter) 来负责数据转发,而每个 vRouter 通过 BGP 协议负责把自己上运行的 workload 的路由信息向整个 Calico 网络内传播..
calico的IPIP模式和BGP模式对比分析
keyan的岁月阁
03-17 2732
calico的IPIP模式和BGP模式对比分析 1、IPIP 把一个IP数据包又套在一个IP包里,即把IP层封装到IP层的一个tunnel,它的作用其实基本上就相当于一个基于IP层的网桥,一般来说,普通的网桥是基于mac层的,根本不需要IP,而这个ipip则是通过两端的路由做一个tunnel,把两个本来不通的网络通过点对点连接起来; calico以ipip模式部署完毕后,node上会有一个tunnl0的网卡色号被,这是ipip做隧道封装用的,也是一种overlay模式网络。当我们把节点下线,calico
K8s网络实战分析之Calico-ipip模式
大德如危的博客
11-24 1万+
Kubernetes为每个Pod都分配了唯一的IP地址,一个Pod里的多个容器共享PodIp地址。Kubernetes要求底层网络支持集群内任意两个Pod间的TCP/IP直接通信。Kubernetes的跨主机任意Pod访问方式主要是遵循CNI容器网络规范,目前已经有多个开源组件支持CNI,包括Flannel、Open VSwitch、Calico等。本文主要介绍在Calico的ipip模式下,K...
k8s calico ipip模式详解
魏志标的博客
06-28 1546
Calico 是一种容器之间互通的网络方案。在虚拟化平台中,比如 OpenStack、Docker 等都需要实现 workloads 之间互连,但同时也需要对容器做隔离控制。而在多数的虚拟化平台实现中,通常都使用二层隔离技术来实现容器的网络,这些二层的技术有一些弊端,比如需要依赖 VLAN、bridge 和隧道等技术,其中 bridge 带来了复杂性,vlan 隔离和 tunnel 隧道则消耗更多的资源并对物理环境有要求,随着网络规模的增大,整体会变得越加复杂。
kubernetes运维---calico之ipip模式抓包分析
qq_34391821的博客
05-07 1681
一、calico介绍 Calico是Kubernetes生态系统中另一种流行的网络选择。虽然Flannel被公认为是最简单的选择,但Calico以其性能、灵活性而闻名。Calico的功能更为全面,不仅提供主机和pod之间的网络连接,还涉及网络安全和管理。Calico CNI插件在CNI框架内封装了Calico的功能。 Calico是一个基于BGP的纯三层的网络方案,与OpenStack、Kubernetes、AWS、GCE等云平台都能够良好地集成。Calico在每个计算节点都利用Linux Kernel
《Kubernetes部署篇:calico两种网络模式
东城绝神
12-06 5305
系列文章目录 提示:这里可以添加系列文章的所有文章的目录,目录需要自己手动添加 例如:第一章 Python 机器学习入门之pandas的使用 提示:写完文章后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录系列文章目录前言一、pandas是什么?二、使用步骤1.引入库2.读入数据总结 前言 提示:这里可以添加本文要记录的大概内容: 例如:随着人工智能的不断发展,机器学习这门技术也越来越重要,很多人都开启了学习机器学习,本文就介绍了机器学习的基础内容。 提示:以下是本篇文章正文内容,下面案例
K8S calico:v3.20网络插件资源包
10-15
K8S calico:v3.20网络插件资源包
kubernetes1.25网络插件calico离线包
12-18
kubernetes1.25网络插件calico离线包,包含calico.yml文件,如果网络不通可以离线安装 1、calico~cni~v3.24.3.tar.gz 2、calico~kube~controllers~v3.24.3.tar.gz 3、calico~node~v3.24.3.tar.gz calico.yml命令:...
k8s网络插件calico
03-15
网络插件calico的yaml文件,复制于官网https://docs.tigera.io/calico/3.25/getting-started/kubernetes/quickstart
k8s使用本地镜像
热门推荐
Blue summer的博客
01-21 4万+
背景 在机器上使用Dockerfile,打包了自己的镜像,但是没有push到仓库里,想本地直接通过k8s测试一下,但是通过yaml文件创建rc后,一直显示镜像拉取错误。从describe的信息看,k8s一直从远端拉取。 [root@CentOS-7-2 /home/k8s]# kubectl describe pod myweb-2959s ...... 58s 25s 2 {kubele...
K8S集群搭建——基于CentOS 7系统
Blue summer的博客
05-15 2万+
环境准备 集群数量此次使用3台CentOS 7系列机器,分别为7.3,7.4,7.5 节点名称 节点IP master 192.168.0.100 node1 192.168.0.101 node2 192.168.0.102 主要事项 1、master节点安装etcd服务,作为k8s集群主数据库,保存所有资源的信息 2、所有节点安装k8s服务,针对master和nod...
使用helm部署ingress-nginx
Blue summer的博客
09-26 5821
使用helm安装ingress-nginx helm install stable/nginx-ingress --set controller.hostNetwork=true,rbac.create=true -n nginx-ingress --namespace ingress-nginx 安装后查看服务状态, [root@CentOS-7-4 /home/k8s]# kubectl g...
K8S Calico网络插件之BGP模式
Blue summer的博客
10-17 5206
注:本文基于K8S v1.21.2版本编写 1 切换到BGP模式 因为按照官网的配置文件部署calico时,默认使用的是IPIP模式,如果需要使用BGP模式,就要做一些修改。 主要有两种方式, 修改IPPool中的ipipMode为Never,也就是禁用IPIP模式 [root@master home]# kubectl edit ippool ipipMode: Never 也可以使用calicoctl或者kubectl命令修改, [root@master home]# kubectl get
kubectl get pods一直显示ContainerCreating
Blue summer的博客
01-17 5008
注:本文基于CentOS 7.4编写 背景 根据yaml文件创建rc后,查询pods状态时,一直显示ContainerCreating, [root@CentOS-7-4 /home/k8s]# kubectl get pods NAME READY STATUS RESTARTS AGE redis-master-5zn2z ...
k8s集群部署helm组件
Blue summer的博客
08-20 4938
背景 获取 参考 1、https://helm.sh/docs/using_helm/#quickstart-guide 2、https://helm.sh/docs/using_helm/#role-based-access-control
k8s calico 详细 安装
最新发布
09-24
### 回答1: 很高兴回答您的问题。K8sCalico的安装非常简单,首先需要安装Kubernetes集群,然后安装calicoctl工具,最后使用calicoctl命令安装Calico网络组件即可。具体的安装步骤可参考Calico的官方文档。 ### 回答2: Kubernetes(简称K8s)是一个开源的容器编排引擎,而Calico是一个为Kubernetes提供网络和安全策略的解决方案。在安装Kubernetes时,可以选择安装Calico来管理容器之间的网络通信和策略控制。 以下是K8s Calico的详细安装步骤: 1. 首先,需要安装Kubernetes集群。可以使用kubeadm、Minikube或其他Kubernetes集群管理工具进行安装。 2. 在集群中的每个节点上,需要设置网络策略为"ACCEPT",以便Calico可以正常工作。 3. 配置Calico网络插件。可以通过kubectl命令行工具在Kubernetes集群中创建Calico网络插件。 4. 创建Calico的RBAC授权。使用kubectl创建一个Calico的ServiceAccount、ClusterRole和ClusterRoleBinding。 5. 下载Calico的YAML文件。可以从Calico的官方网站或GitHub仓库下载Calico的YAML文件,用于创建Calico的资源和配置。 6. 在Kubernetes集群中使用kubectl来应用Calico的YAML文件。例如,可以运行kubectl apply -f calico.yaml命令来应用Calico的配置。 7. 等待Calico在Kubernetes集群中启动和生效。可以使用kubectl get pods命令来检查Calico的Pod是否正常运行。 8. 验证Calico的安装。可以创建一个简单的Pod,并使用kubectl exec命令进入Pod中,然后尝试与其他Pod进行通信,以验证Calico网络功能。 总的来说,安装K8s Calico需要先安装Kubernetes集群,然后配置Calico网络插件和RBAC授权,最后使用kubectl应用Calico的配置文件。安装完成后,可以验证Calico是否正常工作。这样,Kubernetes集群将能够使用Calico来管理容器之间的网络通信和策略控制。 ### 回答3: Kubernetes是一种容器编排平台,而Calico是一种网络插件,可以为Kubernetes集群提供高性能和高度可扩展的网络解决方案。下面是关于如何安装Kubernetes上的Calico的详细步骤: 1. 在Kubernetes集群中的每个节点上安装和配置Docker和Kubernetes。确保节点之间可以互相通信。 2. 下载最新版本的Calico二进制文件。可以在Calico的官方网站或者GitHub上找到相关的安装包。 3. 使用kubectl在每个节点上安装Calico的Kubernetes自定义资源和自定义控制器。这可以通过运行以下命令来完成: ``` kubectl apply -f calico.yaml ``` 这将安装Kubernetes Calico的必要组件和对象。 4. 等待Calico安装完成并运行。可以使用以下命令来检查Calico的运行状态: ``` kubectl get pods -n kube-system ``` 如果所有的Calico相关的pod都是运行状态,那么表示安装成功。 5. 配置Calico网络策略。可以使用calicoctl命令行工具来创建和管理Calico网络策略。首先,需要在每个节点上安装calicoctl。可以从Calico的官方网站或者GitHub上找到相关的安装包和使用说明。 6. 使用calicoctl创建和配置网络策略。可以创建一些允许或者拒绝特定网络流量的策略。例如,可以限制来自某个IP地址或者标签的流量的访问。具体的使用方法可以查阅Calico的官方文档。 7. 验证Calico网络策略是否生效。可以在Kubernetes集群中的各个容器之间进行通信,并根据配置的策略进行验证。 通过按照上述步骤,您就可以在Kubernetes上安装和配置Calico,以提供高性能和高度可扩展的网络解决方案。请注意,这只是一个简要的概述,并且确切的安装步骤可能会因具体的环境和版本而有所不同。在安装过程中,请始终参考官方文档和最新的安装说明。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值