calico跨主机ping不通_戳穿 Calico 的谎言

最新推荐文章于 2023-12-25 09:57:25 发布
最新推荐文章于 2023-12-25 09:57:25 发布
阅读量1k 收藏 1
点赞数
文章标签: calico跨主机ping不通
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39601794/article/details/112120865
版权
本文揭示了Calico如何利用纯三层网络方案和代理ARP实现跨主机通信。通过具体示例,解释了Calico如何在容器和主机间创建路由并利用169.254.1.1特殊地址引导流量,以及如何通过开启主机的代理ARP功能抑制广播风暴。同时,文中还模拟实验验证了Calico的数据转发流程。
摘要由CSDN通过智能技术生成
2069f1d89e7fe04dd9665066887c4c27.gif

前言

Calico 是一个纯三层的数据中心网络方案,而且无缝集成像 OpenStack 这种 Iaas 云架构,能够提供可控的 VM、容器、裸机之间的 IP 通信。为什么说它是纯三层呢?因为所有的数据包都是通过路由的形式找到对应的主机和容器的,然后通过 BGP 协议来将所有路由同步到所有的机器或数据中心,从而完成整个网络的互联。

简单来说,Calico 在主机上创建了一堆的 veth pair,其中一端在主机上,另一端在容器的网络命名空间里,然后在容器和主机中分别设置几条路由,来完成网络的互联。

1.

Calico 网络模型揭秘

下面我们通过具体的例子来帮助大家理解 Calico 网络的通信原理。任意选择 k8s 集群中的一个节点作为实验节点,进入容器 A,查看容器 A 的 IP 地址:

$ ip a
1: lo:  mtu 65536 qdisc noqueue state UNKNOWN qlen 1000
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
3: eth0@if771:  mtu 1440 qdisc noqueue state UP
    link/ether 66:fb:34:db:c9:b4 brd ff:ff:ff:ff:ff:ff
    inet 172.17.8.2/32 scope global eth0
       valid_lft forever preferred_lft forever

这里容器获取的是 /32 位主机地址,表示将容器 A 作为一个单点的局域网。

瞄一眼容器 A 的默认路由:

$ ip route
default via 169.254.1.1 dev eth0
169.254.1.1 dev eth0 scope link

现在问题来了,从路由表可以知道 169.254.1.1 是容器的默认网关,但却找不到任何一张网卡对应这个 IP 地址,这是个什么鬼?

莫慌,先回忆一下,当一个数据包的目的地址不是本机时,就会查询路由表,从路由表中查到网关后,它首先会通过 ARP获得网关的 MAC 地址,然后在发出的网络数据包中将目标 MAC 改为网关的 MAC,而网关的 IP 地址不会出现在任何网络包头中。也就是说,没有人在乎这个 IP 地址究竟是什么,只要能找到对应的 MAC 地址,能响应 ARP 就行了。

想到这里,我们就可以继续往下进行了,可以通过 ip neigh 命令查看一下本地的 ARP 缓存:

$ ip neigh
169.254.1.1 dev eth0 lladdr ee:ee:ee:ee:ee:ee REACHABLE

这个 MAC 地址应该是 Calico 硬塞进去的,而且还能响应 ARP。但它究竟是怎么实现的呢?

我们先来回想一下正常情况,内核会对外发送 ARP 请求,询问整个二层网络中谁拥有 169.254.1.1 这个 IP 地址,拥有这个 IP 地址的设备会将自己的 MAC地址返回给对方。但现在的情况比较尴尬,容器和主机都没有这个 IP 地址,甚至连主机上的端口 calicba2f87f6bb,MAC 地址也是一个无用的 ee:ee:ee:ee:ee:ee。按道理容器和主机网络根本就无法通信才对呀!所以 Calico 是怎么做到的呢?

这里我就不绕弯子了,实际上 Calico 利用了网卡的代理 ARP 功能。代理 ARP 是 ARP 协议的一个变种,当 ARP 请求目标跨网段时,网关设备收到此 ARP 请求,会用自己的 MAC 地址返回给请求者,这便是代理 ARP(Proxy ARP)。举个例子:

f86b2f0861e8ed7552239ab22ae1f506.png

上面这张图中,电脑发送 ARP 请求服务器 8.8.8.8 的 MAC 地址,路由器(网关)收到这个请求时会进行判断,由于目标 8.8.8.8 不属于本网段(即跨网段),此时便返回自己的接口 MAC 地址给 PC,后续电脑访问服务器时,目标 MAC 直接封装为 MAC254。

现在我们知道,Calico 本质上还是利用了代理 ARP 撒了一个“善意的谎言”,下面我们来确认一下。

查看宿主机的网卡信息和路由信息:

$ ip addr
...
771: calicba2f87f6bb@if4:  mtu 1440 qdisc noqueue state UP group default
    link/ether ee:ee:ee:ee:ee:ee brd ff:ff:ff:ff:ff:ff link-netnsid 14
    inet6 fe80::ecee:eeff:feee:eeee/64 scope link
       valid_lft forever preferred_lft forever
...
$ ip route 
...
172.17.8.2 dev calicba2f87f6bb scope link
...

查看是否开启代理 ARP:

$ cat /proc/sys/net/ipv4/conf/calicba2f87f6bb/proxy_arp
1

如果还不放心,可以通过 tcpdump 抓包验证一下:

$ tcpdump -i calicba2f87f6bb -e -nn
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on calicba2f87f6bb, link-type EN10MB (Ethernet), capture size 262144 bytes


14:27:13.565539 ee:ee:ee:ee:ee:ee > 0a:58:ac:1c:ce:12, ethertype IPv4 (0x0800), length 4191: 10.96.0.1.443 > 172.17.8.2.36180: Flags [P.], seq 403862039:403866164, ack 2023703985, win 990, options [nop,nop,TS val 331780572 ecr 603755526], length 4125
14:27:13.565613 0a:58:ac:1c:ce:12 > ee:ee:ee:ee:ee:ee, ethertype IPv4 (0x0800), length 66: 172.17.8.2.36180 > 10.96.0.1.443: Flags [.], ack 4125, win 2465, options [nop,nop,TS val 603758497 ecr 331780572], length 0

总结:

  1. Calico 通过一个巧妙的方法将 workload 的所有流量引导到一个特殊的网关 169.254.1.1,从而引流到主机的 calixxx 网络设备上,最终将二三层流量全部转换成三层流量来转发。

  2. 在主机上通过开启代理 ARP 功能来实现 ARP 应答,使得 ARP 广播被抑制在主机上,抑制了广播风暴,也不会有 ARP 表膨胀的问题。

2.

模拟组网

既然我们已经掌握了 Calico 的组网原理,接下来就可以手动模拟验证了。架构如图所示:

50ceaaee4c1c8b629d4360eb007aaab4.png

先在 Host0 上执行以下命令:

$ ip link add veth0 type veth peer name eth0
$ ip netns add ns0
$ ip link set eth0 netns ns0
$ ip netns exec ns0 ip a add 10.20.1.2/24 dev eth0
$ ip netns exec ns0 ip link set eth0 up
$ ip netns exec ns0 ip route add 169.254.1.1 dev eth0 scope link
$ ip netns exec ns0 ip route add default via 169.254.1.1 dev eth0
$ ip link set veth0 up
$ ip route add 10.20.1.2 dev veth0 scope link
$ ip route add 10.20.1.3 via 192.168.1.16 dev ens192
$ echo 1 > /proc/sys/net/ipv4/conf/veth0/proxy_arp

在 Host1 上执行以下命令:

$ ip link add veth0 type veth peer name eth0
$ ip netns add ns1
$ ip link set eth0 netns ns1
$ ip netns exec ns1 ip a add 10.20.1.3/24 dev eth0
$ ip netns exec ns1 ip link set eth0 up
$ ip netns exec ns1 ip route add 169.254.1.1 dev eth0 scope link
$ ip netns exec ns1 ip route add default via 169.254.1.1 dev eth0
$ ip link set veth0 up
$ ip route add 10.20.1.3 dev veth0 scope link
$ ip route add 10.20.1.2 via 192.168.1.32 dev ens192
$ echo 1 > /proc/sys/net/ipv4/conf/veth0/proxy_arp

网络连通性测试:

# Host0
$ ip netns exec ns1 ping 10.20.1.3
PING 10.20.1.3 (10.20.1.3) 56(84) bytes of data.
64 bytes from 10.20.1.3: icmp_seq=1 ttl=62 time=0.303 ms
64 bytes from 10.20.1.3: icmp_seq=2 ttl=62 time=0.334 ms

实验成功!

具体的转发过程如下:

  1. ns0 网络空间的所有数据包都转发到一个虚拟的 IP 地址 169.254.1.1,发送 ARP 请求。

  2. Host0 的 veth 端收到 ARP 请求时通过开启网卡的代理 ARP 功能直接把自己的 MAC 地址返回给 ns0。

  3. ns0 发送目的地址为 ns1 的 IP 数据包。

  4. 因为使用了 169.254.1.1 这样的地址,Host 判断为三层路由转发,查询本地路由 10.20.1.3 via 192.168.1.16 dev ens192 发送给对端 Host1,如果配置了 BGP,这里就会看到 proto 协议为 BIRD。

  5. 当 Host1 收到 10.20.1.3 的数据包时,匹配本地的路由表 10.20.1.3 dev veth0 scope link,将数据包转发到对应的 veth0 端,从而到达 ns1。

  6. 回程类似

通过这个实验,我们可以很清晰地掌握 Calico 网络的数据转发流程,首先需要给所有的 ns 配置一条特殊的路由,并利用 veth 的代理 ARP 功能让 ns 出来的所有转发都变成三层路由转发,然后再利用主机的路由进行转发。这种方式不仅实现了同主机的二三层转发,也能实现跨主机的转发。

4e81a8987c01c539fa862de5bd65fe12.gif

下方查看 精选文章 4713d1ac4a747e4a86e39cd0eb900f79.png

深入理解 Linux Cgroup 系列(三):内存

云原生周报:第 3 期

kubernetes 1.15 有哪些让人眼前一亮的新特性?

Kube-scheduler 源码分析(二):调度程序启动前逻辑

你确定你会写 Dockerfile 吗?

b19d2f39edf8bcd2e0d00d65c6364537.gif

云原生是一种信仰 ?

55c7feb4d4199d198550fcdd652e46e1.gif

扫码关注公众号

回复 「电子书」下载 Kubernetes 指南

830afffb8aee18bee3352a87765462d7.gif

欢迎思想碰撞,点我留言交流

给个[在看],是对我最大的支持
weixin_39601794
关注
K8s 中主机 Pod 之间是如何通信的(CNI 使用 Calico)?
山河已无恙
04-08 834
被问到这个问题,整理相关笔记博文内容涉及:K8s 中 Pod 之间是如何通信的简单介绍,报文路径解析&&veth pair简单介绍理解 节点 Pod 通信,需要理解和veth pair没接触的小伙伴可以先看这两部分。理解不足小伙伴帮忙指正中国式催婚:爱不爱不重要,重要的是把婚结了。过的幸不幸福不重要,重要的是把婚结了。有钱没钱不重要,重要的是把婚结了。父母催你结婚的意义在于,你只要成家了,他们作父母的责任就尽完了。(余华)
calico主机ping不通_k8s网络CNI组件Calico和Flannel知识点复习
weixin_39988677的博客
12-21 988
CalicoCalico 支持网络策略,Calico 是纯三层虚拟网络方案,Calico 在每一个计算节点利用 Linux Kernel 实现了一个高效的 vRouter 来负责数据转发,而每个 vRouter 通过 BGP 协议负责把自己上运行的 workload 的路由信息像整个 Calico 网络内传播——小规模部署可以直接互联,大规模下可通过指定的 BGP route refle...
记一次k8s的calico节点网络不通的问题及排错过程和解决方法
Explore
11-06 1万+
集群内布有四个节点: 节点名称 主机IP km1 192.168.1.1 kn1 192.168.1.2 kn2 192.168.1.3 kn3 192.168.1.4 网络不通的表征:进入节点km1的pod,ping kn1-3节点上的pod的ip不通,kn1-3节点ping km1也不通,但是kn1 kn2 kn3之间他们各自节点上的pod的ip之间是可以相互ping通。 这种情况让我们想起了当时设置路由转发时候的配置,因为我们的四台服务器,只有一个公网IP,我们把19
【大数据】kubernetes(k8s)calico节点网络不通的问题及排错过程
如切如磋,如琢如磨,臻于至善。
02-11 6316
kubernetes在使用过程中,网络插件calico问题。
centos ping不通局域网_网络不通怎么办,用“ping”检查网络状态
weixin_39638468的博客
11-18 832
一、 在检查网络故障(不通)之前,必须先确定外部的网络连接没有问题,如果没有问题,就继续检查自己的网络问题。二、 在电脑中查找"网络和共享中心",点击进去,看到"本地连接",然后再在"本地连接"中查找本地IP。查找IP的方式就是进入我们当前的网络连接设置中去看。三、获取到本机的IP后,再在电脑"运行"中,输入"cmd",跳出一个"命令提示符"窗口,然后再这个窗口的光标处输入"Ping+本地IP地址...
calico主机ping不通_Calico 网络通信原理揭秘
weixin_30710557的博客
12-14 1186
Calico 是一个纯三层的数据中心网络方案,而且无缝集成像 OpenStack 这种 Iaas 云架构,能够提供可控的 VM、容器、裸机之间的 IP 通信。为什么说它是纯三层呢?因为所有的数据包都是通过路由的形式找到对应的主机容器的,然后通过 BGP 协议来将所有路由同步到所有的机器或数据中心,从而完成整个网络的互联。 简单来说,Calico主机上创建了一堆的 veth pair,其中...
虚拟机中k8s calico网络不通
kkkwant2050的博客
11-28 1781
k8s pod 主机pind pod 不通 一 改calico.yaml # 增加定位 - name: IP_AUTODETECTION_METHOD value: can-reach=192.168.31.168 #master节点内网ip - name: IP value: "autodetect" #取消注释,10.100.0.1/16为pod的网段 name: CALICO_IPV4POOL_CIDR value: "10.100.0.1/16" #延时改长 livenessPr
一次calico节点POD网络不通的解决方法
weixin_34107955的博客
04-15 8854
2019独角兽企业重金招聘Python工程师标准>>> ...
Kubernetes Flannel 主机ping不通Pod
ibless的博客
08-09 3720
Kubernetes Flannel 主机ping不通Pod1 问题2 解决方案 1 问题 Kubernetes搭建完成也使用了一段时间后,由于种种原因有些机器意外下线,然后又经过不同的人操作后。今天我突然发现宿主机ping不通。执行的测试例子如下: #1.检查节点状态 kubectl get nodes #正常情况下所有节点都处于Ready状态 #2.创建测试文件 nginx-ds.yml,其内容如下: apiVersion: v1 kind: Service metadata: name: ngin
calico主机node访问pod问题
虾米的博客
12-19 4999
实验环境:calico版本:v0.23,kubernetes版本:1.35 kubernetes网络使用calico,当namespace使用以下命令配置隔离policy的后: kubectl annotate ns "net.beta.kubernetes.io/network-policy={\"ingress\": {\"isolation\": \"DefaultDeny\"}}"
kubernetes flannel 切换 calico 后节点 pod 无法通信
ygqygq2的IT博客
03-11 2279
文章目录1. 问题2. 问题排查3. 小结 1. 问题 版本: kubernetes version: NAME STATUS ROLES AGE VERSION master1 Ready control-plane,master 56d v1.23.4 master2 Ready control-plane,master 56d v1.23.4 master3 Ready control-plane,mas
kubernetes calico网络不通的排查思路
热门推荐
纵横四海的博客
03-11 2万+
网络不通通俗一点就是报文不可达 在这里就不多说了 举个例子 容器A访问不了容器B,也就是容器A ping 不通容器B 排查思路: 正向 1 容器A的内容是否发送到容器A所在的node上 2 容器A所在的节点node是否发送出去 3 容器B所在的节点node是否接收到容器A所在的节点node发送的报文 4 容器B所在的节点node是否把报文发送到容器B中 反向 1 容器B的内容...
安装calico网络插件后K8s集群节点间通信找不到主机路由(no route to host)
weixin_43757027的博客
03-18 6277
安装calico网络插件后K8s集群节点间通信找不到主机路由(no route to host) 背景:k8s安装calico网络插件后master节点ping不通其它node节点,但可以ping通外网,同时calico有一个pod启动异常,日志报错信息calico/node is not ready: BIRD is not ready: BGP not established with 192.168.8.xxx,192.168.8.xxx [root@master1 ~]# ping 192.168.
eNSP 模拟 calico 网段 bgp 网络
关注微信公众号【开源Linux】,后台回复『10T』,领取10T学习资源大放送,涵盖Linux、虚拟化、容器、云计算、网络、Python、Go等书籍和视频
12-14 1381
本篇使用ensp和workstation在自己家里就可以模拟测试网段k8s集群calico方案的纯bgp模式。架构搭建本测试搭建的是"每机柜独立自治系统"架构, 参考:The *AS ...
K8S Calico网络插件之BGP模式
Blue summer的博客
10-17 5873
注:本文基于K8S v1.21.2版本编写 1 切换到BGP模式 因为按照官网的配置文件部署calico时,默认使用的是IPIP模式,如果需要使用BGP模式,就要做一些修改。 主要有两种方式, 修改IPPool中的ipipMode为Never,也就是禁用IPIP模式 [root@master home]# kubectl edit ippool ipipMode: Never 也可以使用calicoctl或者kubectl命令修改, [root@master home]# kubectl get
K8s网络不通Calico网络不通flannel网络不通
风水道人
09-20 476
K8s网络不通Calico网络不通flannel网络不通
记一次kubernetes Pod节点访问不通的调查过程
最新发布
qd89zzx的博客
12-25 1520
环境部署成功后,出现了一个问题,在node上ping经由volcano创建调度的pod时,如果pod在本节点上,可以ping通,如果界点ping不通。客户现场的同事反馈说CNI使用的是calico,原来在测试环境使用的是flannel,读到这里有经验的读者可能已经知道大概是什么原因了。这里先卖个关子,其实问题很简单,但是恰逢周末,另外客户现场网络涉密也不能远程链接,所有的沟通都靠同事拍照回传,所以脑子混乱,一直到第二天周一使用了最麻烦的debug方式才找到问题所在。
Kubernetes_容器网络_Calico_04_Calico不同节点间Pod通信tunl0手动选择网卡
毛毛的专栏
02-19 2612
Calico不同节点间Pod通信tunl0手动选择网卡
calico网络重启后pod ip不通
yxy364792412的博客
09-02 1112
pod ping不通机器ip 问题:机器ip可通信,pod容器里不可通信机器ip 发现: 查询上次重启时间 who -b 查询重启信息: last reboot | less 查询路由表 ip route route -n 在容器ping机器ip地址 kubectl exec -it busybox1 ping 10.233.0.1 添加ip路由表-默认网关 ip route add 0.0.0.0/0 via 10.110.147.202 dev eno1 查询存储情况 df -h | gr
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值