calico工作原理_Calico原理

最新推荐文章于 2023-08-30 11:16:25 发布
最新推荐文章于 2023-08-30 11:16:25 发布
阅读量1k 收藏 3
点赞数
文章标签: calico工作原理
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39823017/article/details/113019487
版权

容器网络的解决方案

跨节点的容器网络要解决两个问题:

容器如何分配IP

flannel设计了一种全局的网络地址分配机制,即使用etcd存储网段和节点之间的关系,然后flannel配置各个节点上的Docker(或其他容器工具),只在分配到当前节点的网段里选择容器IP地址。这样就确保了IP地址分配的全局唯一性。

容器IP地址如何路由

overlay网络

vxlan

udp

直接路由

host-gateway

在overlay网络模式下,不论是UDP模式还是VXLAN模式,容器发送到网络中的数据包都会进行封包操作,这就难免会对性能造成一定的影响。在host-hateway模式下flannel通过在各个节点上运行的agent将容器网络的路由信息刷到主机的路由表上,目标容器的宿主机IP就是吓一跳地址,然而flannel只能修改各个主机的路由表,一旦主机之间隔了其他路由设备,比如三层路由器,这个包就会在路由设备上被丢掉。这样一来,Host-Gateway的模式就只能用于二层直接可达的网络。由于广播风暴问题,这种网络通常都是较小规模的。这篇文章将会介绍另一种基于直接路由方式的容器网络方案。

Calico

Calico主要组件

Calico和hots-gateway模式很类似,都是通过在宿主机增加路由规则实现容器组网,但是Calico并不像Flannel那样通过Etcd和宿主的Flanned维护路由信息,而是使用BGP协议(边界网关协议) 在集群内分发路由信息。

Felix

Felix是一个守护程序(在k8s中以DeaemonSe部署),以agent形式运行在宿主机上,负责刷新主机路由表信息,维护网络接口和报告主机状态等工作。

BGPClient

BGPClinet的作用是读取Felix编写到内核中的路由信息,并将路由信息分发到集群中的其他节点。

Calico工作原理

以容器1访问容器2为例,先进入容器1查看它的路由表和网络配置。

root@nginx-deployment-6b474476c4-p82xb:/# ip addr

1: lo: mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000

link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00

inet 127.0.0.1/8 scope host lo

valid_lft forever preferred_lft forever

3: eth0@if4: mtu 1440 qdisc noqueue state UP group default

link/ether f6:64:05:f3:4b:be brd ff:ff:ff:ff:ff:ff link-netnsid 0

inet 172.16.123.5/32 brd 172.16.123.5 scope global eth0

valid_lft forever preferred_lft forever

4: tunl0@NONE: mtu 1480 qdisc noop state DOWN group default qlen 1000

link/ipip 0.0.0.0 brd 0.0.0.0

复制代码

可以看到容器1的IP地址为172.16.123.5/32,而MAC地址为ff:ff:ff:ff:ff:ff,这明显是一个固定的MAC地址,因为Calico不关心二层的MAC地址,只关心三层的IP地址。

当容器1执行ping 172.16.215.3/32时,因为两者不在同一网络内,所以容器1会查看自己的路由表。

root@nginx-deployment-6b474476c4-p82xb:/# ip route

default via 169.254.1.1 dev eth0

169.254.1.1 dev eth0 scope link

复制代码

容器的的所有报文都会通过eth0发送到下一跳169.254.1.1,容器需要知道下一跳的MAC地址,那ARP请求发送到哪里那。eth0是veth pair 的一端,那它的另一端在哪那。我们可以通过ethtool -S eth0列出对端网卡的index。

root@nginx-deployment-6b474476c4-p82xb:/# ethtool -S eth0

NIC statistics:

peer_ifindex: 4

rx_queue_0_xdp_packets: 0

rx_queue_0_xdp_bytes: 0

rx_queue_0_xdp_drops: 0

复制代码

主机上index为4的网卡

root@work2:/home/work2/Desktop# ip addr

4: cali85354e41ec1@if3: mtu 1440 qdisc noqueue state UP group default

link/ether ee:ee:ee:ee:ee:ee brd ff:ff:ff:ff:ff:ff link-netnsid 0

inet6 fe80::ecee:eeff:feee:eeee/64 scope link

valid_lft forever preferred_lft forever

复制代码

这块网卡并没有IP第地址,它接收到查询169.254.1.1的ARP报文会进行"代答",即将自己的MAC地址告诉容器1,后续报文则会转发给主机处理。

root@work2:/home/work2/Desktop# cat /proc/sys/net/ipv4/conf/cali85354e41ec1/proxy_arp

1

复制代码

主机上的calixx网卡接收到报文后,再根据路由表转发

root@work2:/home/work2/Desktop# route -n

Kernel IP routing table

Destination Gateway Genmask Flags Metric Ref Use Iface

0.0.0.0 192.168.2.2 0.0.0.0 UG 100 0 0 ens33

169.254.0.0 0.0.0.0 255.255.0.0 U 1000 0 0 ens33

172.16.123.0 0.0.0.0 255.255.255.192 U 0 0 0 *

172.16.123.5 0.0.0.0 255.255.255.255 UH 0 0 0 cali85354e41ec1

172.16.123.6 0.0.0.0 255.255.255.255 UH 0 0 0 cali35e3a5cb80b

172.16.215.0 192.168.2.132 255.255.255.192 UG 0 0 0 tunl0

172.16.243.192 192.168.2.131 255.255.255.192 UG 0 0 0 tunl0

172.17.0.0 0.0.0.0 255.255.0.0 U 0 0 0 docker0

192.168.2.0 0.0.0.0 255.255.255.0 U 100 0 0 ens33

复制代码

接下来数据包会通过tun0设备发送到下一跳,也就是容器2的宿主机192.168.2.132/32。当数据包到达宿主机时,会先经过iptables规则,如果被iptables拦截那么数据包将会被丢弃。然后通过路由表转发,接着从cali34af9914629网卡,发送到容器2。

# 容器2宿主机路由表

root@work1:/home/work1/Desktop# route -n

Kernel IP routing table

Destination Gateway Genmask Flags Metric Ref Use Iface

0.0.0.0 192.168.2.2 0.0.0.0 UG 100 0 0 ens33

169.254.0.0 0.0.0.0 255.255.0.0 U 1000 0 0 ens33

172.16.123.0 192.168.2.133 255.255.255.192 UG 0 0 0 tunl0

172.16.215.0 0.0.0.0 255.255.255.192 U 0 0 0 *

172.16.215.3 0.0.0.0 255.255.255.255 UH 0 0 0 cali34af9914629

172.16.243.192 192.168.2.131 255.255.255.192 UG 0 0 0 tunl0

172.17.0.0 0.0.0.0 255.255.0.0 U 0 0 0 docker0

192.168.2.0 0.0.0.0 255.255.255.0 U 100 0 0 ens33

复制代码

以上过程如下图所示

c0db41b882b81938efae3d094e3d6a7f.png

IPIP模式

通过上面的分析可以看出calico和host一样要求二层网络是可达的,但是在实际的部署中集群的网络通常划分在不同的网段中,calico如何处理跨网段通信那。在这种情况下就需要为Calico打开IPIP模式。

在IPIP模式下,calico会使用tunl0设备,tunl0是一个ip隧道设备,通过上面的路由表发现,IP包会被tunl0设备接管。tunl0设备会将IP包封装为宿主机IP包。经过封装后的IP包,如下图所示

c68ef48cc50fcb377ab10bc9acc8eeac.png

这样新的IP包就可以通过宿主机路由器发送了,如下图所示

bb3704c51e7044ab4dec8cdd553b8277.png

Cailco在IPIP模式下会进行封包,也会对性能造成一定的影响,但是相对Flannel的VXLAN模式来说要好一些。

BGP Route Reflector

在默认配置下每台宿主机的BGPClient需要和集群所有的BGPClient建立连接,进行路由信息交换,随着集群规模的扩大,集群的网络将会面临巨大的压力并且宿主机的路由表也会变的过大。所以在大规模的集群中,通常使用BGP Route Reflector充当BGP客户端连接的中心点,从而避免与互联网中的每个BGP客户端进行通信。Calico使用BGP Route Reflector是为了减少给定一个BGP客户端与集群其他BGP客户端的连接。用户也可以同时部署多个BGP Route Reflector服务实现高可用。Route Reflector仅仅是协助管理BGP网络,并没有工作负载的数据包经过它们。

weixin_39823017
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
calico工作原理_【Calico系列】3 Calico的组件、架构与原理
weixin_42111465的博客
01-17 650
本文是 Calico 系列的第三篇文章,继上一篇了解 BGP 的基本概念,这一篇真正进入 Calico 的笔记。本篇以 Calico 3.4 版本 为基准。由于网络的水深与个人能力有限,本文不免存在错误之处。如有疑问,请查阅文末参考资料或与我线上/线下讨论。目录:一、Calico架构Felix 跑在每个节点上,负责配置路由、ACL、向etcd宣告状态等;etcd 主要负责网络元数据一致性,确保Ca...
K8S+Calico网络组件详解
2302_82091138的博客
06-06 1066
源主机的 flanneld 服务将原本的数据内容 UDP 封装后根据自己的路由表投递给目的节点的 flanneld 服务,数据到达以后被解包,然后直接进入目的节点的 flannel0 虚拟网卡,之后被转发到目的主机的 docker0 虚拟网卡,最后就像本机容器通信一下的有 docker0 路由到达目标容器。它的作用相当于一个基于 IP 层的网桥。一般来说,普通的网桥是基于 mac 层的,根本不需 IP,而这个 ipip 则是通过两端的路由做一个 tunnel,把两个本来不通的网络通过点对点连接起来。
Kubernetes容器网络(二):Calico网络原理
hxt的博客
04-16 7202
1、前置网络知识 1)、BGP 自治系统AS:在单一的技术管理下的一组路由器,而这些路由器使用一种AS内部的路由选择协议和共同的度量以确定分组在该AS内的路由,同时还使用一种AS之间的路由协议以确定在AS之间的路由 路由选择协议分为: 内部网关协议IGP:一个AS内使用的,如RIP、OSPF 外部网关协议EGP:AS之间使用的,如BGP 边界网关协议(BGP)是不同自治系统的路由器之间交换路由信息的协议,是一种外部网关协议 BGP的工作原理如下:每个自治系统的管理员要选择至少一个路由器(可以有多个)作
calico网络原理分析
jiang_shikui的博客
01-05 3万+
最近在公司搭建k8s生产环境的时候,采用了calico作为网络插件。于是写篇博客记录一下。 一、Calico基本介绍 Calico是一个纯三层的协议,为OpenStack虚机和Docker容器提供多主机间通信。Calico不使用重叠网络比如flannel和libnetwork重叠网络驱动,它是一个纯三层的方法,使用虚拟路由代替虚拟交换,每一台虚拟路由通过BGP协议传播可达信息(路由)到剩余数据中心...
Calico网络策略原理
Blue summer的博客
12-23 1217
注:本文基于Calico v3.20.1版本编写 1 calico支持网络策略的基础 calico网络插件中,所有pod的网络设备并没有像flannel一样连接到网桥docker0上,这样每个pod的网络都有独立的链路,而这就是支持网络策略的基础。如果都连接到网桥,那所有pod都互通,并且没有办法做隔离。
Calico 网络通信原理揭秘
因上努力,果上随缘。但行好事,莫问前程。
06-06 632
Calico 是一个纯三层的数据中心网络方案,而且无缝集成像 OpenStack 这种 Iaas 云架构,能够提供可控的 VM、容器、裸机之间的 IP 通信。为什么说它是纯三层呢?因为所有的数据包都是通过路由的形式找到对应的主机和容器的,然后通过 BGP 协议来将所有路由同步到所有的机器或数据中心,从而完成整个网络的互联。 简单来说,Calico 在主机上创建了一堆的 veth pair,其中一端在主机上,另一端在容器的网络命名空间里,然后在容器和主机中分别设置几条路由,来完成网络的互联。 1. Cal
Kubernetes_容器网络_Calico_05_Calico网络解决方案和高级特性
毛毛的专栏
02-05 1151
Calico的两种模式
【kubernetes系列】Calico原理及配置
margu_168的博客
08-30 3106
Calico是针对容器,虚拟机和基于主机的本机工作负载的开源网络和网络安全解决方案。Calico支持广泛的平台,包括Kubernetes,OpenShift,Docker EE,OpenStack和裸机服务。Calico在每个计算节点都利用Linux Kernel实现了一个高效的vRouter来负责数据转发。每个vRouter都通过BGP协议把在本节点上运行的容器的路由信息向整个Calico网络广播,并自动设置到达其他节点的路由转发规则。
【K8S系列】深入解析k8s网络插件—Calico
颜淡慕潇
07-20 2万+
Calico是一个强大的开源容器网络和网络安全解决方案,广泛应用于Kubernetes集群和其他容器编排平台。 它通过利用BGP(Border Gateway Protocol)协议和Linux网络命名空间来实现高性能的容器间通信和网络策略控制。
calico网络原理及与flannel对比
热门推荐
ganpuzhong42的博客
09-05 4万+
最近在搞paas的内容,也刚接触了kubernetes,都涉及到了网络覆盖的内容,也就是跨主机容器之间的通信,本身docker有原生的跨主机通信方案,但是效率很差。所以出现了一系列的开源组件,如flannel,calico,weave等。这里主要介绍一下calico和fannel 一 calico架构 首先请看calico的架构图,如下图。 calico包括如下重要组
calico容器镜像
05-21
通过深入学习和理解Calico,你将能够更好地掌握容器网络原理,提升你的容器化环境的管理和安全性。而"calico-3.1.1"这个压缩包文件则提供了实践和学习Calico的具体材料,是进一步掌握这一技术的好途径。
K8s calico 不同节点pod通讯抓包分析
04-13
通过对 K8s 使用 Calico 环境下不同节点 Pod 间通信的抓包分析,我们可以深入了解网络通信的过程以及 Calico工作原理。此案例不仅适用于调试网络故障,也有助于加深对 K8s 网络架构的理解。通过以上步骤的操作,...
calico-3.9.0.tar.gz
10-11
Calico 是一个开源的网络和网络策略项目,广泛应用于 Kubernetes 和其他容器编排系统中。...通过深入了解其组件、功能和工作原理,管理员可以更好地利用 Calico 来构建和维护高可用、高安全性的容器化应用程序环境。
CentOS 7 使用 Calico 网络插件部署Kubernetes 集群
03-17
解决这些问题通常需要熟悉Kubernetes和Calico工作原理,以及对Linux系统和网络有深入理解。不过,随着Calico和Kubernetes的广泛使用,社区提供了丰富的文档和资源,可以帮助你顺利部署和管理集群。 总之,通过在...
quickstart-eks-tigera-calico:Tigera Calico提供了Kubernetes网络和网络安全性的行业标准
02-15
Calico的网络原理 Calico利用BGP(边界网关协议)直接在主机之间路由IP流量,避免了传统的 Overlay 网络方案带来的性能损失。这种直接的IP到IP通信方式使得网络延迟降低,同时保持了网络的透明性。Calico还支持...
基于Springboot和Vue的图书借还管理系统源码 图书借还管理系统代码(高分毕设)
最新发布
07-28
图书借还管理系统源码(高分毕设),个人经导师指导并认可通过的98分毕业设计项目,主要针对计算机相关专业的正在做毕设的学生和需要项目实战练习的学习者。也可作为课程设计、期末大作业。包含全部项目源码[代码]、该项目可以直接作为毕设使用。项目技术栈:前端是vue,后端是springboot,项目代码都经过严格调试,代码没有任何bug! 系统源码(高分毕设),个人经导师指导并认可通过的98分毕业设计项目,主要针对计算机相关专业的正在做毕设的学生和需要项目实战练习的学习者。也可作为课程设计、期末大作业。包含全部项目源码[代码]、该项目可以直接作为毕设使用。项目技术栈:前端是vue,后端是springboot,项目代码都经过严格调试,代码没有任何bug! 系统源码(高分毕设),个人经导师指导并认可通过的98分毕业设计项目,主要针对计算机相关专业的正在做毕设的学生和需要项目实战练习的学习者。也可作为课程设计、期末大作业。包含全部项目源码[代码]、该项目可以直接作为毕设使用。项目技术栈:前端是vue,后端是springboot,项目代码都经过严格调试,代码没有任何bug!
C语言内存管理:静态与动态分配的较量
07-28
C语言是一种通用的编程语言,由丹尼斯·里奇(Dennis Ritchie)在20世纪70年代早期于美国电话电报公司(AT&T)的贝尔实验室开发。C语言以其高效性、灵活性和可移植性而闻名,它是一种过程式编程语言,提供了对底层硬件的直接访问能力。 C语言的特点包括: 1. **简洁高效**:C语言的语法简洁,执行效率高,适合编写系统软件。 2. **接近硬件**:C语言提供了对内存地址和位操作的直接控制,使其非常适合硬件级编程。 3. **可移植性**:C语言编写的程序可以在不同的操作系统和硬件平台上编译和运行,具有很好的可移植性。 4. **丰富的库支持**:C语言拥有大量的标准库,如标准输入输出库(stdio.h)、数学库(math.h)等。 5. **结构化编程**:C语言支持结构化编程,允许使用循环、条件判断和函数等控制结构。 6. **指针**:C语言的指针功能强大,可以操作内存地址,实现复杂的数据结构和算法。 7. **编译型语言**:C语言是一种编译型语言,源代码需要通过编译器转换成机器码才能运行。 C语言广泛应用于操作系统(如Unix和Linux)、嵌入式系统、高性能
通讯协议规范-命令包格式
07-28
提供一份通讯协议规范,包含命令包、格式等,在上下位机调试的时候可参考该文档,制定对应的通讯协议。
calico工作原理
02-06
Calico是一种容器网络管理工具,它通过在容器主机之间建立网络连接来管理容器的通信。Calico使用基于IP的路由策略来确定容器之间的连接,并使用网络报文过滤器来控制数据流。它还支持基于容器标签的策略,可以更灵活...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值