Calico网络策略原理

最新推荐文章于 2023-05-11 14:05:14 发布
最新推荐文章于 2023-05-11 14:05:14 发布
阅读量1.2k 收藏 2
点赞数 1
分类专栏: Kubernetes 文章标签: calico网络策略 网络策略原理 iptables
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u010039418/article/details/122031609
版权

注:本文基于Calico v3.20.1版本编写

1 calico支持网络策略的基础

calico网络插件中,所有pod的网络设备并没有像flannel一样连接到网桥docker0上,这样每个pod的网络都有独立的链路,而这就是支持网络策略的基础。如果都连接到网桥,那所有pod都互通,并且没有办法做隔离。

2 实例分析

我们以上一篇——Calico网络策略为背景,看下我们添加的策略是如何生效的。

kind: NetworkPolicy
apiVersion: projectcalico.org/v3
metadata:
  name: allow-same-namespace-green
  namespace: default
spec:
  selector: color == 'green'

  ingress:
  - action: Allow
    protocol: TCP
    source:
      selector: color == 'yellow'

  egress:
  - action: Allow
    protocol: TCP
    source:
      selector: color == 'green'
    destination:
      ports:
        - 9999

网络策略的实现仍然是基于iptables,因此还是raw->mangle->nat->filter这一套,我们就不一一展开,只对filter这个进行说明。

测试所在pod的网卡为,cali93097fbc44d

[root@node1 ~]# route -n
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
10.244.166.129  0.0.0.0         255.255.255.255 UH    0      0        0 cali93097fbc44d
...

当报文从测试pod发出,经过raw->mangle->nat的各个表链,经过路由决策,确定报文不是发完当前host,就会进入forward流程,来到filter表中,进入cali-FORWARD chain中,

[root@node1 ~]# iptables -vn -t filter -L FORWARD
Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         
41360 4224K cali-FORWARD  all  --  *      *       0.0.0.0/0            0.0.0.0/0            /* cali:wUHhoiAYhphO9Mso */
...

在cali-FORWARD中,由于报文是从cali93097fbc44d进入,因此会匹配到第二条cali-from-wl-dispatch

[root@node1 ~]# iptables -vn -t filter -L cali-FORWARD
Chain cali-FORWARD (1 references)
 pkts bytes target     prot opt in     out     source               destination         
41471 4240K MARK       all  --  *      *       0.0.0.0/0            0.0.0.0/0            /* cali:vjrMJCRpqwy5oRoX */ MARK and 0xfff1ffff
41471 4240K cali-from-hep-forward  all  --  *      *       0.0.0.0/0            0.0.0.0/0            /* cali:A_sPAO0mcxbT9mOV */ mark match 0x0/0x10000
 2192  246K cali-from-wl-dispatch  all  --  cali+  *       0.0.0.0/0            0.0.0.0/0            /* cali:8ZoYfO5HKXWbB3pk */
39279 3994K cali-to-wl-dispatch  all  --  *      cali+   0.0.0.0/0            0.0.0.0/0            /* cali:jdEuaPBe14V2hutn */
    7   420 cali-to-hep-forward  all  --  *      *       0.0.0.0/0            0.0.0.0/0            /* cali:12bc6HljsMKsmfr- */
    7   420 cali-cidr-block  all  --  *      *       0.0.0.0/0            0.0.0.0/0            /* cali:NOSxoaGx8OIstr1z */

而cali-from-wl-dispatch里就是各个pod网络设备的匹配规则了,该node上有几个pod,就会有几条匹配规则,这里肯定就匹配到cali-fw-cali93097fbc44d

root@node1 ~]# iptables -vn -t filter -L cali-from-wl-dispatch
Chain cali-from-wl-dispatch (2 references)
 pkts bytes target     prot opt in     out     source               destination         
35037 3502K cali-fw-cali4a245372073  all  --  cali4a245372073 *       0.0.0.0/0            0.0.0.0/0           [goto]  /* cali:3ZusskG_3Ca3VOIL */
    0     0 cali-fw-cali707398f917c  all  --  cali707398f917c *       0.0.0.0/0            0.0.0.0/0           [goto]  /* cali:M-QKg0w_9mBlCw0H */
 7272  607K cali-fw-cali8515f2aefbe  all  --  cali8515f2aefbe *       0.0.0.0/0            0.0.0.0/0           [goto]  /* cali:Gzwe6u1_zA2pfkwA */
    2   168 cali-fw-cali93097fbc44d  all  --  cali93097fbc44d *       0.0.0.0/0            0.0.0.0/0           [goto]  /* cali:1p5khMZK7EFGJyut */
    0     0 cali-fw-calic3248e80700  all  --  calic3248e80700 *       0.0.0.0/0            0.0.0.0/0           [goto]  /* cali:GCPyCoAiS9kNxEWA */
    0     0 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0            /* cali:K3T6ZG38-FX9omYZ */ /* Unknown interface */

cali-fw-cali93097fbc44d chain就是关于这个pod的所有出口规则,也就是egress,首先会匹配到的是cali-po-_sLkPxPTmSi3LEyBEL_F

[root@node1 ~]# iptables -vn -t filter -L cali-fw-cali93097fbc44d
Chain cali-fw-cali93097fbc44d (2 references)
 pkts bytes target     prot opt in     out     source               destination         
...
    3   252 MARK       all  --  *      *       0.0.0.0/0            0.0.0.0/0            /* cali:gPKxhI74-DaPbbKA */ /* Start of policies */ MARK and 0xfffdffff
    3   252 cali-po-_sLkPxPTmSi3LEyBEL_F  all  --  *      *       0.0.0.0/0            0.0.0.0/0            /* cali:90eQeqZMb-_qic6G */ mark match 0x0/0x20000
    0     0 RETURN     all  --  *      *       0.0.0.0/0            0.0.0.0/0            /* cali:GlgnD49_7My26f-d */ /* Return if policy accepted */ mark match 0x10000/0x10000
    1    84 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0            /* cali:fDkgHxOLOpTv9xD6 */ /* Drop if no policies passed packet */ mark match 0x0/0x20000
...

cali-po-_sLkPxPTmSi3LEyBEL_F其实对应的就是我们测试的策略规则里的egress,源ip使用ipset保存,即测试pod ip,

[root@node1 ~]# iptables -vn -t filter -L cali-po-_sLkPxPTmSi3LEyBEL_F
Chain cali-po-_sLkPxPTmSi3LEyBEL_F (1 references)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 MARK       tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            /* cali:LcJtzkK0Ol0FbU8Z */ match-set cali40s:Dg3pLGe1BF-EMx2RxAeEJIv src multiport dports 9999 MARK or 0x10000
    0     0 RETURN     all  --  *      *       0.0.0.0/0            0.0.0.0/0            /* cali:SFUTPPobAHfmUfeo */ mark match 0x10000/0x10000
[root@node1 ~]# ipset list cali40s:Dg3pLGe1BF-EMx2RxAeEJIv
Name: cali40s:Dg3pLGe1BF-EMx2RxAeEJIv
Type: hash:net
Revision: 3
Header: family inet hashsize 1024 maxelem 1048576
Size in memory: 16816
References: 1
Members:
10.244.166.129

匹配到这条规则后,报文会被标记0x10000,返回后就会被cali-fw-cali93097fbc44d里的下一条规则return,然后继续后面的postrouting和发送报文。

如果没匹配到,就会到再下一条规则,而这就是默认的drop,报文也就被丢弃了。

    1    84 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0            /* cali:fDkgHxOLOpTv9xD6 */ /* Drop if no policies passed packet */ mark match 0x0/0x20000
Blue summer
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
CentOS 7 使用 Calico 网络插件部署Kubernetes 集群
03-17
在本教程中,我们将深入探讨如何在CentOS 7操作系统上使用Calico网络插件部署Kubernetes集群。Calico是一个开源的网络网络策略项目,它为容器化环境提供了高效、安全的网络解决方案。Kubernetes作为当今最流行的...
calico容器镜像
05-21
通过使用Calico网络策略,用户可以定义哪些容器可以与哪些容器通信,甚至可以精确到端口级别。这种强大的策略模型有助于提高安全性,防止未授权的访问,并实现微服务间的安全隔离。 Calico的安装通常涉及到以下步骤...
kubernetes网络之---Calico原理解读
ccy19910925的博客
09-05 3万+
  Calico简单简介 Calico是一个纯三层的协议,为OpenStack虚机和Docker容器提供多主机间通信。Calico不使用重叠网络比如flannel和libnetwork重叠网络驱动, 它是一个纯三层的方法,使用虚拟路由代替虚拟交换,每一台虚拟路由通过BGP协议传播可达信息(路由)到剩余数据中心。   Calico 架构 Calico 是一个三层的数据中心网络方案,而且...
Kubernetes_容器网络_Calico_02_Calico网络策略NetworkPolicy
毛毛的专栏
02-19 864
Calico网络策略NetworkPolicy
kubernetes 网络之 flannel 与 calico
03-16
Kubernetes是Google开源的一个容器编排引擎,它支持自动化部署、大规模可伸缩、应用容器化管理。在生产环境中部署一个应用程序时,通常要部署该应用的多个实例以便对应用请求进行负载均衡。在Kubernetes中,我们可以创建多个容器,每个容器里面运行一个应用实例,然后通过内置的负载均衡策略,实现对这一组应用实例的管理、发现、访问,而这些细节都不需要运维人员去进行复杂的手工配置和处理。 K8s网络在kubernetes的管理中是不可或缺的部分,本套课程主要围绕目前主流的flannel和calico两个网络组件进行讲解。还深入的剖析了calico和k8s网络策略等。主要讲解K8S网络的以下几个方面:  1. Flannel网络在k8s中的应用,及三种后端模式的演示。  2. Calico网络在k8s中的架构及部署。  3. Calico各选项的调整及对网络性能的优化。  4. Calico网络策略和K8s网络策略的常见用法及案例。  5. Calico网络策略的高级使用场景,比如限制到k8s节点的流量及高并发流量的旁路等。  6. Flannel网络的迁移及和calico策略的集成。注意: 本课程学习需要具有一定的Linux基础,网络基础,至少需要您了解网络七层协议,路由等基础知识,并掌握Docker和k8s相关知识点。
Kubernetes(k8s)CNI(Calico网络模型原理
匠人精神,持之以恒!
11-19 3303
Calico 是一个联网和网络策略供应商。 Calico 支持一套灵活的网络选项,因此你可以根据自己的情况选择最有效的选项,包括非覆盖和覆盖网络,带或不带 BGP。 Calico 使用相同的引擎为主机、Pod 和(如果使用 Istio 和 Envoy)应用程序在服务网格层执行网络策略Calico以其性能、灵活性而闻名。Calico的功能更为全面,更为复杂。它不仅提供主机和pod之间的网络连接,还涉及网络安全和管理。Calico CNI插件在CNI(container network interface)框
k8s Error from server no route to host 问题处理
啊苏哥哥好的博客
05-11 300
k8s 没有永久关闭防火墙导致的问题
详解 Calico 三种模式(与 Fannel 网络对比学习)
叮当猫的喵i
08-04 1万+
之后「源 VTEP 设备」 —— 会将此「 Vxlan 数据包」进行「UDP封装」,其中「 Vxlan 数据包」会视为「UDP数据包的基础数据信息」通过「目的 Pod IP」—— 得知「目的 VTEP 设备的 MAC 地址」 —— 「源 VTEP 设备」根据得到的信息构建 Vxlan 数据包。”二层“通信 —— 指的是,需要维护「MAC 地址级别的信息」,即「虚拟IP」与「MAC 地址」的映射关系。之后此封装好的「UDP数据包」,将会通过三层网络,到达目的容器所在的主机的「目的VTEP设备」......
calico-3.9.0.tar.gz
10-11
Calico 是一个开源的网络网络策略项目,广泛应用于 Kubernetes 和其他容器编排系统中。在Kubernetes(k8s)环境中,Calico 提供了一种高效、灵活且高度可扩展的方式来实现网络连接和网络策略控制。Calico-3.9.0 是...
quickstart-eks-tigera-calico:Tigera Calico提供了Kubernetes网络网络安全性的行业标准
02-15
Calico通过定义细粒度的网络策略(Network Policies),可以精确控制Kubernetes集群中的流量流动。这些策略基于标签选择器,允许或拒绝特定Pod之间的通信,实现了微隔离和安全控制。 ### 3. 安全性 Calico网络...
kubernetes-flannel网络插件
最新发布
01-12
1. **Calico**:提供高度可扩展的安全性,支持 BGP 并具有丰富的网络策略,适合大型企业级部署。 2. **Cilium**:基于 eBPF 技术,提供 L3/L4 和 L7 级别的网络策略,对微服务和云原生环境友好。 3. **Weave Net**:...
Kubernetes进阶 -- calico网络插件
thermal_life的博客
06-28 1775
k8s的主流网络插件 calico ,配合 flannel 共同使用效果更佳
Kubernetes NetworkPolicy工作原理浅析
weixin_30773135的博客
03-08 386
Kubernetes能够把集群中不同Node节点上的Pod连接起来,并且默认情况下,每个Pod之间是可以相互访问的。但在某些场景中,不同的Pod不应该互通,这个时候就需要进行访问控制。那么如何实现呢? 简介   Kubernetes提供了NetworkPolicy的Feature,支持按Namespace和按Pod级别的网络访问控制。它利用label指定namespaces或pod,底层用ipt...
关于 kubernetes网络(CNI规范)中Calico,NetworkPolicy(网络策略)方面的一些笔记
山河已无恙
01-09 1561
认定一件事,即使拿十分力气都无法完成,也要拿出十二分力气去努力——烽火戏诸侯《剑来》
Kubernetes访问报错: No route to host
qq_42353939的博客
10-08 4754
背景 搭建完集群式k8s后,各个节点都已经Ready,但是在创建echo服务进行访问时报错:No route to host 解决 参考链接:https://imlc.me/v/zh-cn/kuai-su-jie-jue-kubernetes-no-route-to-host (一)集群式部署 [root@k8s-master kong]# systemctl stop kubelet [root@k8s-master kong]# systemctl stop docker [root@k
calico网络学习一(容器和calico的veth pair通讯过程)
纵横四海的博客
05-22 3879
容器和calico的veth pair通讯过程 本文章分析的前提是在calico部署在k8s上,并开启了ipip的功能 root@test-master-113 ~]# calicoctl get ippool -oyaml - apiVersion: v1 kind: ipPool metadata: cidr: 192.168.0.0/16 spec: ip...
数据中心工具———虚拟网络方案Calico初探
lanyu_sola的博客
02-23 2009
特点与对比 Calico是一个基于BGP协议的虚拟网络工具,在数据中心中的虚拟机、容器或者裸金属机器(在这里都称为workloads)只需要一个IP地址就可以使用Calico实现互连。 项目主页:https://www.projectcalico.org/ Workloads间的网络隔离是通过iptables实现的。相比其他基于模拟的二层网络Calico更加简单,有以下
k8s使用本地镜像
热门推荐
Blue summer的博客
01-21 4万+
背景 在机器上使用Dockerfile,打包了自己的镜像,但是没有push到仓库里,想本地直接通过k8s测试一下,但是通过yaml文件创建rc后,一直显示镜像拉取错误。从describe的信息看,k8s一直从远端拉取。 [root@CentOS-7-2 /home/k8s]# kubectl describe pod myweb-2959s ...... 58s 25s 2 {kubele...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值