容器CNI完全解读bridge实现(二)

最新推荐文章于 2024-07-02 16:57:30 发布
最新推荐文章于 2024-07-02 16:57:30 发布
阅读量1.9w 收藏 1
点赞数
分类专栏: Kubernetes Docker 网络 文章标签: docker 容器 网络 cni kubernetes
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u010278923/article/details/75234548
版权
Kubernetes 同时被 3 个专栏收录
71 篇文章 10 订阅
订阅专栏
网络
26 篇文章 1 订阅
订阅专栏
Docker
22 篇文章 0 订阅
订阅专栏

之前介绍CNI基本操作,现在介绍一个bridge的实现。
它也实现了创建和删除接口。
先看创建接口:

func cmdAdd(args *skel.CmdArgs) error {
    n, cniVersion, err := loadNetConf(args.StdinData)
    if err != nil {
        return err
    }

    if n.IsDefaultGW {
        n.IsGW = true
    }

    br, brInterface, err := setupBridge(n)
    if err != nil {
        return err
    }

    netns, err := ns.GetNS(args.Netns)
    if err != nil {
        return fmt.Errorf("failed to open netns %q: %v", args.Netns, err)
    }
    defer netns.Close()

    hostInterface, containerInterface, err := setupVeth(netns, br, args.IfName, n.MTU, n.HairpinMode)
    if err != nil {
        return err
    }

    // run the IPAM plugin and get back the config to apply
    r, err := ipam.ExecAdd(n.IPAM.Type, args.StdinData)
    if err != nil {
        return err
    }

    // Convert whatever the IPAM result was into the current Result type
    result, err := current.NewResultFromResult(r)
    if err != nil {
        return err
    }

    if len(result.IPs) == 0 {
        return errors.New("IPAM plugin returned missing IP config")
    }

    result.Interfaces = []*current.Interface{brInterface, hostInterface, containerInterface}

    for _, ipc := range result.IPs {
        // All IPs currently refer to the container interface
        ipc.Interface = 2
        if ipc.Gateway == nil && n.IsGW {
            ipc.Gateway = calcGatewayIP(&ipc.Address)
        }
    }

    if err := netns.Do(func(_ ns.NetNS) error {
        // set the default gateway if requested
        if n.IsDefaultGW {
            for _, ipc := range result.IPs {
                defaultNet := &net.IPNet{}
                switch {
                case ipc.Address.IP.To4() != nil:
                    defaultNet.IP = net.IPv4zero
                    defaultNet.Mask = net.IPMask(net.IPv4zero)
                case len(ipc.Address.IP) == net.IPv6len && ipc.Address.IP.To4() == nil:
                    defaultNet.IP = net.IPv6zero
                    defaultNet.Mask = net.IPMask(net.IPv6zero)
                default:
                    return fmt.Errorf("Unknown IP object: %v", ipc)
                }

                for _, route := range result.Routes {
                    if defaultNet.String() == route.Dst.String() {
                        if route.GW != nil && !route.GW.Equal(ipc.Gateway) {
                            return fmt.Errorf(
                                "isDefaultGateway ineffective because IPAM sets default route via %q",
                                route.GW,
                            )
                        }
                    }
                }

                result.Routes = append(
                    result.Routes,
                    &types.Route{Dst: *defaultNet, GW: ipc.Gateway},
                )
            }
        }

        if err := ipam.ConfigureIface(args.IfName, result); err != nil {
            return err
        }

        if err := ip.SetHWAddrByIP(args.IfName, result.IPs[0].Address.IP, nil /* TODO IPv6 */); err != nil {
            return err
        }

        // Refetch the veth since its MAC address may changed
        link, err := netlink.LinkByName(args.IfName)
        if err != nil {
            return fmt.Errorf("could not lookup %q: %v", args.IfName, err)
        }
        containerInterface.Mac = link.Attrs().HardwareAddr.String()

        return nil
    }); err != nil {
        return err
    }

    if n.IsGW {
        var firstV4Addr net.IP
        for _, ipc := range result.IPs {
            gwn := &net.IPNet{
                IP:   ipc.Gateway,
                Mask: ipc.Address.Mask,
            }
            if ipc.Gateway.To4() != nil && firstV4Addr == nil {
                firstV4Addr = ipc.Gateway
            }

            if err = ensureBridgeAddr(br, gwn, n.ForceAddress); err != nil {
                return err
            }
        }

        if firstV4Addr != nil {
            if err := ip.SetHWAddrByIP(n.BrName, firstV4Addr, nil /* TODO IPv6 */); err != nil {
                return err
            }
        }

        if err := ip.EnableIP4Forward(); err != nil {
            return fmt.Errorf("failed to enable forwarding: %v", err)
        }
    }

    if n.IPMasq {
        chain := utils.FormatChainName(n.Name, args.ContainerID)
        comment := utils.FormatComment(n.Name, args.ContainerID)
        for _, ipc := range result.IPs {
            if err = ip.SetupIPMasq(ip.Network(&ipc.Address), chain, comment); err != nil {
                return err
            }
        }
    }

    // Refetch the bridge since its MAC address may change when the first
    // veth is added or after its IP address is set
    br, err = bridgeByName(n.BrName)
    if err != nil {
        return err
    }
    brInterface.Mac = br.Attrs().HardwareAddr.String()

    result.DNS = n.DNS

    return types.PrintResult(result, cniVersion)
}

这个里面有几个步骤
1、创建网桥并启动网桥,
setupBridge里面调用ensureBridge,先通过err := netlink.LinkAdd(br)创建网桥,然后通过 err := netlink.LinkSetUp(br)启动网桥

2.创建veth,这个是一个管道,Linux的网卡对。
hostInterface, containerInterface, err := setupVeth(netns, br, args.IfName, n.MTU, n.HairpinMode)
当前先通过hostVeth, containerVeth, err := ip.SetupVeth(ifName, mtu, hostNS)创建网卡对,一个是主机网卡一个容器网卡,并且把主机网卡设置成hairpin模式

3.通过ipam获取IP,这个是调用另一个获取IP的二进制文件ipam,这个里面返回一个网络配置列表(result.IPs)

4.配置容器内网卡,通过ipam.ConfigureIface和ip.SetHWAddrByIP配置容器的IP地址和网卡mac,其中SetHWAddrByIP通过IP地址计算出mac地址,详见
hwAddr, err := hwaddr.GenerateHardwareAddr4(ip4, hwaddr.PrivateMACPrefix)

5.配置网桥,这个里面配置网桥的IP地址和mac。最后如果可以设置ipmasq,这样容器就可以通过SNAT去连接外部网络了,这样容器就可以加入网络了

介绍完创建的过程,删除的过程就简单了。

func cmdDel(args *skel.CmdArgs) error {
    n, _, err := loadNetConf(args.StdinData)
    if err != nil {
        return err
    }

    if err := ipam.ExecDel(n.IPAM.Type, args.StdinData); err != nil {
        return err
    }

    if args.Netns == "" {
        return nil
    }

    var ipn *net.IPNet
    err = ns.WithNetNSPath(args.Netns, func(_ ns.NetNS) error {
        var err error
        ipn, err = ip.DelLinkByNameAddr(args.IfName, netlink.FAMILY_V4)
        return err
    })
    if err != nil {
        return err
    }

    if n.IPMasq {
        chain := utils.FormatChainName(n.Name, args.ContainerID)
        comment := utils.FormatComment(n.Name, args.ContainerID)
        if err = ip.TeardownIPMasq(ipn, chain, comment); err != nil {
            return err
        }
    }

    return nil
}

这个里面显示通过ipam.ExecDel是释放IP地址的占用,然后通过 ip.DelLinkByNameAddr去删除veth,如果设置了ipmasq,这是就可以通过TeardownIPMasq删除这些iptables规则。

柳清风09
关注
专栏目录
【云原生进阶之容器】第六章容器网络6.3--CNI及各CNI网络解决方案简述
junbaozi的专栏
04-08 524
CNI是Container Network Interface的缩写,是一个标准的通用的接口。linux 容器技术和容器网络不断发展,以适应在不同环境中运行的各种应用程序的需求。为了在一端实现各种网络解决方案与另一端不同容器运行时和容器编排平台之间的集成,而不是重复使网络可插入的努力,容器网络接口 ( CNI ) 的创建是为了在容器执行和网络层之间定义一个标准化的通用接口。CNI 项目是云原生计算基金会 (CNCF) 的一部分,其规范描述了如何为 Linux 容器配置网络接口。
【云原生进阶之容器】第五章容器运行时5.8--容器热迁移
junbaozi的专栏
04-12 558
容器使用 CRIU (Checkpoint Restore in Userspace)技术进行容器的迁移,它是一个 Linux 软件工具,使用此工具,可以冻结正在运行的应用程序,并将其导出为磁盘上的文件集合。然后,可以使用这些文件来恢复应用程序,恢复之后程序和被冻结的时候状态一致。使用 Checkpoint 和 Restore 功能,将进程组(传统容器从本质上来讲就是系统中的一个或者一组进程)冻结与恢复。
Kubernetes利用CNI-bridge插件打通网络
田园园野的博客
06-02 6493
使用CNI插件时,需要如下配置 1、将需要用到的cni组件(进制可执行文件)放到/opt/cni/bin目录下 2、在/etc/cni/net.d中增加cni的配置文件,配置文件中可以指定需要使用的cni组件及参数 3、kubelet启动参数中networkPlugin设置为cni 4、创建网桥 5、添加本机网络端口到网桥中 具体操作流程: 1、下载CNI插件 https://github.co...
KIND网络插件实验:使用bridge作为cni插件
Working hard and Focus
04-21 2100
实验cni-bridge插件在kind环境中的使用
浅谈k8s中cni0和docker0的关系和区别
最新发布
kfashfasf的博客
07-02 513
最近在复习k8s网络方面的知识,查看之前学习时整理的笔记和文档还有过往自己总结的博客之后发现一个问题,就是在有关flannel和calico这两个k8s网络插件的文章和博客中,会涉及到cni0和docker0这两个网桥设备,但是都没有明确说明他们俩之间的关系,有的甚至将两者混为一谈,这也是我之前的学习当中所忽略掉的问题,这次发现之后我疯狂查阅资料和认真思考后,对两者有了如下的总结和浅析:需要注意的是,CNI 网桥只是接管所有 CNI 插件负责的、即 Kubernetes 创建的容器(Pod)。而此时,如果你
CNI插件实现框架---以loopback为示例
weixin_30565327的博客
02-17 217
以最简单的loopback插件作为实例,来分析CNI plugin的执行流程 // cni/plugins/loopback/loopback.go 1、func main() main函数只是简单地调用skel.PluginMain(cmdAdd, cmdDel, version.All),注册插件中的插入和删除方法 // cni/pkg/skel/skel.go // ...
容器CNI完全解读(一)
热门推荐
柳清风的专栏
07-17 2万+
CNI(Container Network Interface)容器网络接口。CNI只专注解决容器网络连接和容器销毁时的资源释放,提供一套框架,所以CNI可以支持大量不同的网络模式,并且容易实现。 执行CNI需要传入一下变量# 添加或者删除网卡 CNI_COMMAND=ADD/DEL# 容器的ID CNI_CONTAINERID=xxxxxxxxxxxxxxxxxxx# 容器网络空间主机映射路
刨根问底 Kubernetes -- CNI (一)CNI 目录
mr1jie的博客
09-07 386
kubernetes cni
容器技术解读DockerKubernetes网络通信
容器技术的基本原理是利用 Linux 内核的命名空间和 cgroups 功能,实现进程的隔离和资源限制。通过隔离文件系统、网络和进程空间,使得每个容器拥有独立的运行环境,实现了轻量级的虚拟化。 ## 1.3 容器技术的应用...
Rancher v1.2:网络架构解读
Rancher
12-12 1166
原文来源:Rancher Labs在之前的Rancher版本上,用户时常抱怨Rancher的网络只有IPsec,没有其他选择。而容器社区的发展是十分迅猛的,各种容器网络插件风起云涌,欲在江湖中一争高下。Rancher v1.2版本中与时俱进,对之前的网络实现进行了改造,支持了CNI标准,除IPsec之外又实现了呼声比较高的VXLAN网络,同时增加了CNI插件管理机制,让我们可以hacking接入其他
WHAT - 容器化系列(四)- 网络
weixin_58540586的博客
06-04 710
容器网络通信可以分为**单主机容器网络通信**和**跨主机容器网络通信**两种情况。
iferr:生成“ if err!= nil {”块
05-13
生成“ if err!= nil {”块 if err != nil {当前功能块, if err != nil {生成。 用法 安装和更新方式 $ go get -u github.com/koron/iferr 运行, if err != nil {对于1234字节的位置块,则获取。 $ iferr -pos 1234 < main.go if err != nil { return "" } Vim插件 将vim/ftplugin/go/iferr.vim为~/.vim/ftplugin/go/iferr.vim 。 它为go文件类型定义了:IfErr命令。 if err != nil {将在光标的下一行插入,它将插入。 前: package foo import "io" func Foo () (io. Reader , error ) { // the cursor
Docker网络Bridge连接方式理解
Qi.zheng
06-07 1029
1.查看本址网络 #ip a 4: docker0: &lt;NO-CARRIER,BROADCAST,MULTICAST,UP&gt; mtu 1500 qdisc noqueue state DOWN link/ether 02:42:96:f6:53:7a brd ff:ff:ff:ff:ff:ff inet 172.17.0.1/16 brd 172.17.255....
CNI容器网络接口详解
陈海峰的博客
07-20 3314
CNI 简介 不管是 docker 还是 kubernetes,在网络方面目前都没有一个完美的、终极的、普适性的解决方案,不同的用户和企业因为各种原因会使用不同的网络方案。目前存在网络方案 flannel、calico、openvswitch、weave、ipvlan等,而且以后一定会有其他的网络方案,这些方案接口和使用方法都不相同,而不同的容器平台都需要网络功能,它们之间的适配如果没有统一
【译】比较Kubernetes容器网络接口(CNI)供应商
markvivv随笔
04-06 234
CNI是一个网络框架,它允许通过一组去编写的规范和库来动态配置网络资源。插件提到的规范概述了一个接口,它将配置网络,提供IP地址,并保持多主机连接。在Kubernetes背景下,CNI与kubelet无缝集成,允许使用 underlay 或 overlay 网络在pod之间自动配置网络。底层网络被定义在由路由器和交换机组成的网络层的物理层面。相比之下,overlay 网络使用VxLAN等虚拟接口来封装网络流量。
认识一下容器网络接口 CNI
hanfengzxh的博客
12-09 1509
写在最前,周末写到这篇的时候我就发现可能是给自己挖了很大的坑,整个 Kubernetes 网关相关的内容会非常复杂且庞大。 深入探索 Kubernetes 网络模型和网络通信 认识一下容器网络接口 CNI(本篇) 源码分析:从 kubelet、容器运行时看 CNI 的使用 从 Flannel 学习 Kubernetes VXLAN 网络 Cilium CNI 与 eBPF ... 看自己能学到哪一步~ 在 《深入探索 Kubernetes 网络模型和网络通信》 文章中,我们介绍了网络命名空间(net
拒绝千篇一律,这套Go错误处理的完整解决方案值得一看!
QcloudCommunity的博客
09-22 289
导语|在使用Go开发的后台服务中,对于错误处理,一直以来都有多种不同的方案,本文探讨并提出一种从服务内到服务外的一个统一的传递、返回和回溯的完整方案,抛砖引玉,希望与大家一起讨论分享。...
好家伙,hostPort 竟然劫持了我的请求
云原生实验室
08-02 447
最近排查了一个 kubernetes 中使用了 hostport 后遇到比较坑的问题,奇怪的知识又增加了。问题背景集群环境为 K8s v1.15.9,cni 指定了 flannel-vxl...
kubelet sandbox创建与calico cni网络配置流程 ()
polarwu的博客
09-13 2096
上一篇文章分析了kubelet创建pod时首先需要创建一个sandbox容器,该容器保证了k8s的pod中多个容器使用同一个网络命名空间,每个容器能够像访问本地端口一样访问对端容器端口。虽然sandbox的创建流程和运行时参数配置的代码我们都一一分析过了,实际的容器网络也是调用cni插件配置,但是cni插件是怎么工作的呢,这一节我们着重从cni(以caliclo为例)插件一端分析网络配置过程。...
Kubernetes网络模型解析:CNI网络插件与容器通信机制
CNIKubernetes实现这一目标的关键组件,它定义了一套标准的API,让不同的网络插件能够集成到Kubernetes系统中,负责容器网络的配置和管理。 CNI网络插件分为两类:Main插件和IPAM插件。Main插件主要负责创建...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

柳清风09

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值