Cilium 官方文档翻译(10) BGP - kube-router协作通过BGP在集群外传播路由

最新推荐文章于 2023-10-10 13:57:13 发布
最新推荐文章于 2023-10-10 13:57:13 发布
阅读量393 收藏
点赞数
分类专栏: 基于eBPF的高性能容器网络Cilium 文章标签: 运维 linux 网络 云原生 kubernetes
原文链接:https://docs.cilium.io/en/stable/gettingstarted/kube-router/
版权

本指南介绍如何配置Cilium和kube-router,使kube-router使用BGP协议进行对等路由传播,以及如何配置Cilium进行策略执行和负载平衡。

该功能尚在测试版。如果您遇到任何问题,请提供反馈并提交GitHub问题。
在这里插入图片描述

部署kube-router

下载kube-router DaemonSet模板

curl -LO https://raw.githubusercontent.com/cloudnativelabs/kube-router/v1.2/daemonset/generic-kuberouter-only-advertise-routes.yaml

打开generic-kuberouter-only-advertise-routes.yaml并编辑args:部分,需要为下面的这些参数设置特定值:

- "--run-router=true"
- "--run-firewall=false"
- "--run-service-proxy=false"
- "--enable-cni=false"
- "--enable-pod-egress=false"

以下参数是可选的,可以根据需要设置。为了简化本指南,使用了以下值,这些值在集群中需要最少的准备。有关更多信息,请参阅 [kube-router user guide](https://github.com/cloudnativelabs/kube-router/blob/master/docs/user-guide.md)。

- "--enable-ibgp=true"
- "--enable-overlay=true"
- "--advertise-cluster-ip=true"
- "--advertise-external-ip=true"
- "--advertise-loadbalancer-ip=true"

以下参数是可选的。如果希望BGP与外部路由器对等,则应设置这些参数。与外部路由器互为BGP peer的目的是为了实现外部可路由的Kubernetes Pod和服务IP。注意:此处使用的值应更改为外部路由器上配置的IP和ASNs。

- "--cluster-asn=65001"
- "--peer-router-ips=10.0.0.1,10.0.2"
- "--peer-router-asns=65000,65000"

应用DaemonSet以部署kube-router,并通过下面命令验证是否正确安装。

$ kubectl apply -f generic-kuberouter-only-advertise-routes.yaml
$ kubectl -n kube-system get pods -l k8s-app=kube-router
NAME                READY     STATUS    RESTARTS   AGE
kube-router-n6fv8   1/1       Running   0          10m
kube-router-nj4vs   1/1       Running   0          10m
kube-router-xqqwc   1/1       Running   0          10m
kube-router-xsmd4   1/1       Running   0          10m

部署Cilium

为了将路由委托给kube-router,必须禁用tunneling/encapsulation功能。在ConfigMap cilium-config配置中设置tunnel=disabled,或者通过调整agent程序启动选项--tunnel=disabled来禁用隧道功能。此外,在同一ConfigMap中,我们必须显式设置ipam: kubernetes,因为kube-router直接从K8s中提取pod CIDR:

# Encapsulation mode for communication between nodes
# Possible values:
#   - disabled
#   - vxlan (default)
#   - geneve
tunnel: "disabled"
ipam: "kubernetes"

然后,您可以根据cilium安装要求一节中的说明安装Cilium。

确认cilium成功安装并正常运行:

$ kubectl -n kube-system get pods -l k8s-app=cilium
NAME           READY     STATUS    RESTARTS   AGE
cilium-fhpk2   1/1       Running   0          45m
cilium-jh6kc   1/1       Running   0          44m
cilium-rlx6n   1/1       Running   0          44m
cilium-x5x9z   1/1       Running   0          45m

验证安装

验证kube-router成功安装了路由规则:

$ kubectl -n kube-system exec ds/cilium -- ip route list scope global
default via 172.0.32.1 dev eth0 proto dhcp src 172.0.50.227 metric 1024
10.2.0.0/24 via 10.2.0.172 dev cilium_host src 10.2.0.172
10.2.1.0/24 via 172.0.51.175 dev eth0 proto 17
10.2.2.0/24 dev tun-172011760 proto 17 src 172.0.50.227
10.2.3.0/24 dev tun-1720186231 proto 17 src 172.0.50.227

在上面的例子中,有三类路由规则:

  1. Local PodCIDR: 该路由指向主机上运行的所有pod,并使这些pod可用于* 10.2.0.0/24 via 10.2.0.172 dev cilium_host src 10.2.0.172
  2. BGP route: 如果kube-router确定可以通过本地主机已知的路由器访问远程PodCIDR,则安装这种类型的路由。它将指示Pod到Pod的流量转发到该路由器,不需要任何封装。* 10.2.1.0/24 via 172.0.51.175 dev eth0 proto 17
  3. PIP tunnel route: 如果不存在直接路由路径,kube-router将返回使用overlay,并在节点之间建立IPIP隧道。* 10.2.2.0/24 dev tun-172011760 proto 17 src 172.0.50.227* 10.2.3.0/24 dev tun-1720186231 proto 17 src 172.0.50.227

验证安装

安装最新版本的Cilium CLI。Cilium CLI可用于安装Cilium、检查Cilium安装状态以及启用/禁用各种功能(如clustermesh、Hubble)。

CILIUM_CLI_VERSION=$(curl -s https://raw.githubusercontent.com/cilium/cilium-cli/master/stable.txt)
CLI_ARCH=amd64
if [ "$(uname -m)" = "aarch64" ]; then CLI_ARCH=arm64; fi
curl -L --fail --remote-name-all https://github.com/cilium/cilium-cli/releases/download/${CILIUM_CLI_VERSION}/cilium-linux-${CLI_ARCH}.tar.gz{,.sha256sum}
sha256sum --check cilium-linux-${CLI_ARCH}.tar.gz.sha256sum
sudo tar xzvfC cilium-linux-${CLI_ARCH}.tar.gz /usr/local/bin
rm cilium-linux-${CLI_ARCH}.tar.gz{,.sha256sum}

要验证Cilium是否已正确安装,可以运行

$ cilium status --wait
   /¯¯\
/¯¯\__/¯¯\    Cilium:         OK
\__/¯¯\__/    Operator:       OK
/¯¯\__/¯¯\    Hubble:         disabled
\__/¯¯\__/    ClusterMesh:    disabled
   \__/

DaemonSet         cilium             Desired: 2, Ready: 2/2, Available: 2/2
Deployment        cilium-operator    Desired: 2, Ready: 2/2, Available: 2/2
Containers:       cilium-operator    Running: 2
                  cilium             Running: 2
Image versions    cilium             quay.io/cilium/cilium:v1.9.5: 2
                  cilium-operator    quay.io/cilium/operator-generic:v1.9.5: 2

运行以下测试用例以验证群集是否具有正确的网络连接:

$ cilium connectivity test
ℹ️  Monitor aggregation detected, will skip some flow validation steps
✨ [k8s-cluster] Creating namespace for connectivity check...
(...)
---------------------------------------------------------------------------------------------------------------------
📋 Test Report
---------------------------------------------------------------------------------------------------------------------69/69 tests successful (0 warnings)

测试用例全部通过,恭喜你成功安装了带有cilium且网络功能完备的kubernetes集群。
煮酒论架构
关注
专栏目录
干货 | 携程 Cilium+BGP 云原生网络实践
携程技术
11-19 3282
作者简介Arthur,Stephen,Jaff,Weir,几位均来自携程云平台基础设施和网络研发团队,目前专注于网络云原生安全相关的开发。Cilium 是近两年最火的云原生网络方案之...
[译]Kubernetes Multi-Cluster Networking -Cilium Cluster Mesh
海渊_haiyuan的博客
01-03 812
文章目录[译]Kubernetes Multi-Cluster Networking -Cilium Cluster Mesh前言Cilium CNI ImplementationCilium Cluster MeshMulti-node Pod-Pod Packet FlowTesting Multi-cluster Pod Interconnectivity with YugaByteDBMulti-Cluster Network Policy — Limiting Pod-Pod Communicat
CiliumBGP router模式
weixin_42562106的博客
01-10 1077
kube-router -> agrs 配置如下: - "--run-router=true" - "--run-firewall=false" - "--run-service-proxy=false" - "--enable-cni=false" - "--enable-pod-egress=false" - "--enable-ibgp=true" - "--enable-overla
基于BGP的地理分布服务器集群调度
weixin_34345753的博客
10-20 156
BGP(Border Gateway Protocol)是用于自治系统(Autonomous Systems)之间交换路由信息的协议,BGP可以设置路由策略,如政策、安全和经济上的考虑。 我们可以利用BGP协议在Internet的BGP路由器插入到Virtual IP Address的路由信息。在不同区域的LVS集群向它附近的BGP路由器广播到Virtual IP Add...
Cilium 中文指南》发布
ServiceMesher
06-21 225
最近开始对 eBPF 技术和 Cilium 开源项目颇为感兴趣,也翻译了一本 eBPF 相关的资料《什么是 eBPF》, 以及撰写了请暂时抛弃使用 eBPF 取代服务网格和 sidecar 模式的幻想的文章,想要再深入了解一下 Cilium 和 eBPF 这样的技术就服务网格领域究竟能发挥什么样的作用,那么就先从 Cilium 开始吧!阅读地址:https://lib...
[Kube-router 实践]K8s 1.9 Kube-router 对接BGP和发布内部路由
weixin_33933118的博客
01-10 1936
实验背景 新版本特性: k8s 1.9 做了很大组件性能改进 , 本版本用kube-router组件取代kube-proxy,用lvs做svc负载均衡,更快稳定。 用coredns取代kube-dns,DNS更稳定。 经过测试1.9版,消除了以往的kubelet docker狂报错误日志的错误 ,更完美 支持 add动态插件 功能需求: 发布内部k8s网络,到机房全网 cluster-ip,...
k8s系列08-负载均衡器之PureLB
tinychen
05-24 1107
本文主要在k8s原生集群上部署v0.6.1版本的PureLB作为k8s的LoadBalancer,主要涉及PureLB的Layer2模式和ECMP模式两种部署方案。由于PureLB的ECMP支持多种路由协议,这里选用的是在k8s中常见的BGP进行配置。由于BGP的相关原理和配置比较复杂,这里仅涉及简单的BGP配置。 文中使用的k8s集群是在CentOS7系统上基于docker和cilium组件部署v1.23.6版本,此前写的一些关于k8s基础知识和集群搭建的一些方案,有需要的同学可以看一下。 1、工作原理
网易数帆对 CIlium 容器网络的探索和实践
NetEaseResearch的博客
07-30 1325
本文会深入介绍 Cilium,并澄清一些认知误区,然后给出网易数帆轻舟云原生团队是如何使用 Cilium 的。目前国内这方面深入解析材料较少,如果您也正在探究,希望这篇文章能给您带来帮助。
k8s系列06-负载均衡器之MatelLB
tinychen
05-24 1009
本文主要在k8s原生集群上部署v0.12.1版本的MetalLB作为k8s的LoadBalancer,主要涉及MetalLB的Layer2模式和BGP模式两种部署方案。由于BGP的相关原理和配置比较复杂,这里仅涉及简单的BGP配置。 文中使用的k8s集群是在CentOS7系统上基于docker和flannel组件部署v1.23.6版本,此前写的一些关于k8s基础知识和集群搭建的一些方案,有需要的同学可以看一下。 1、工作原理 1.1 简介 在开始之前,我们需要了解一下MetalLB的工作原理。 Metal
Kubernetes 最强云原生网络组件 Cilium 常用故障排查中文指南
easylife206的专栏
12-22 858
公众号关注「奇妙的 Linux 世界」设为「星标」,每天带你玩转 Linux !我是 LEE,老李,一个在 IT 行业摸爬滚打 16 年的技术老兵。事件背景最近不少 k8s 底层网络模块都从 kubenet 升级到了 ciliumcilium 还是相对比较易用的,就是运维、监控和报警方案需要花点时间来适应。但是最近我们有一组 k8s 结构比较特殊,导致它在从 kubenet 升级到 cil...
[k8s]kube-router替代kube-proxy实现svc网络和pod网络
weixin_34308389的博客
01-02 464
本文讲解了kube-router部署,无需在部署kube-proxy了. kube-router采用lvs实现svc网络,采用bgp实现pod网络. kube-router也是基于cni网络,本文是容器方式跑的kube-router 1.替代了kube-proxy组件,无需在部署kube-proxy了,解决了svc网络 2.自带cni,bgp,解决了pod网络 3.基于ipvs转发 4.路...
【K8S系列】深入解析k8s 网络插件—kube-router
最新发布
颜淡慕潇
10-10 3万+
kube-router是一个高性能、可扩展的Kubernetes网络插件,适用于大规模和安全敏感的生产环境。虽然它的配置和部署可能有一定的复杂性,但它提供了出色的性能和自动化特性,可以大大简化Kubernetes集群网络管理。在选择网络插件时,考虑到您的集群规模和性能需求,kube-router可能是一个非常好的选择。
使用 Containerlab 搭建 Cilium BGP 环境解析
云原生实验室
09-28 799
❝本文转自 charlieroro 的博客,原文:https://www.cnblogs.com/charlieroro/p/16712641.html,版权归原作者所有。欢迎投稿,投稿请添加微信好友:cloud-native-yangcontainerLab 的简单用法containerLab[1]支持很多节点[2]和类型[3]设置,相对比较复杂,实际使用中只需要掌握基本的组网即可。安装[4]网...
Cilium 1.10 重磅发布!】支持 Wireguard, BGP, Egress IP 网关, XDP 负载均衡, 阿里云集成
云原生Serverless的专栏
05-26 2026
作者: 清弦 阿里云技术专家,主要负责ACK 容器网络设计与研发,阿里云开源CNI项目Terway 主要维护者,Cilium Alibaba IPAM 贡献者 本文翻译Cilium 1.10 发布文档[1]由于译者水平有限,本文不免存在遗漏或错误之处。如有疑问,请查阅原文。以下是译文。 Egress IP Gateway BGP for LoadBalancer VIP 阿里云集成 Wireguard 透明加密 Cilium ARM64 镜像 Cilium CL...
[译]Kube Router Documentation
weixin_34379433的博客
12-14 397
体系结构 Kube路由器是围绕观察者和控制器的概念而建立的。 观察者使用Kubernetes监视API来获取与创建,更新和删除Kubernetes对象有关的事件的通知。 每个观察者获取与特定API对象相关的通知。 在从API服务器接收事件时,观察者广播事件。 控制器注册以获取观察者的事件更新,并处理事件。 Kube-router由3个核心控制器和多个观察...
Cilium之VxLan模式
weixin_42562106的博客
01-10 925
Cilium数据转发与TC hook 对应上图的流量出口 抓包可以见是 overlay模式 tcpdump -i any -vvv 'host 192.168.8.66 and udp' -X 或者 tcpdump -i ens32 -n -vvv 'host 192.168.8.66 and udp' -X 进入cilium容器可以看到对应网络 kubectl exec -it -n kube-system cilium-wlkp5 -- bash root@node65:/hom
使用 Containerlab + Kind 快速部署 Cilium BGP 环境
cr7258的博客
08-28 2040
1 前置知识 1.1 Cilium 介绍 Cilium 是一款基于 eBPF 技术的 Kubernetes CNI 插件,Cilium 在其官网上对产品的定位为 “eBPF-based Networking, Observability, Security”,致力于为容器工作负载提供基于 eBPF 的网络、可观察性和安全性的一系列解决方案。Cilium 通过使用 eBPF 技术在 Linux 内部动态插入一些控制逻辑,可以在不修改应用程序代码或容器配置的情况下进行应用和更新,从而实现网络、可观察性和安全性相
cilium初探(二)
long75719507的专栏
12-05 2245
三、cilium网络通信详解 默认情况下,cilium使用vxlan的overlay模式。跨主机通信示例图如下: cilium安装完毕,会在主机创建一些网卡: cilium-vxlan,用于vxlan封包; cilium-host和cilium-net,一对veth-pair(类似于kube-proxy ipvs创建的dummy网卡)。 1、c1 ping c2的通信细节 (...
BGP--路由反射器与联邦
m0_48389042的博客
12-20 868
BGP协议的防环体现在EBGP和IBGP两个方面。EBGP的防环有AS_path路由属性,而IBGP的防环而是BGP的水平分割原则。BGP的水平分割原则是指从IBGP学到的路由不能再传递给它的IBGP对等体,这样严格的规则就导致了一些内部路由器无法得知BGP目的路由,进一步出现路由可以发出却无法返回的问题。路由反射器RR实际上就是对这一规则的一个合理放宽政策,从而解决上述问题。(IBGP全连接也可以解决,但大规模时配置量大,网络资源和CPU损耗也大)
Kube-OVN:云原生网络的全能之选,极致性能与易用性兼备
- 控制平面方面,通过裁剪OVN上游流表并运用缓存技术,Kube-OVN能够处理大规模集群,支持数千节点和数万Pod。 3. **简化操作**: - Kube-OVN提供一键安装脚本,便于快速部署生产环境。同时,内置监控工具和...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值