Calico根据拓扑分配 IP 地址并隔离

最新推荐文章于 2022-12-02 16:01:06 发布
最新推荐文章于 2022-12-02 16:01:06 发布
阅读量2.1k 收藏
点赞数
分类专栏: k8s网络 文章标签: calico topology ippool
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42758299/article/details/121335614
版权

本文默认已安装calico,Calico可通过节点标签分配ip池,当pod落在特定标签的节点上时,会从给定的ip池中获取ip

10-calico.conflist文件确认

确认/etc/cni/net.d/10-calico.conflist中ipam字段为以下内容,不能在此处填入ipv4_pools: ["xx.xx.xx.xx/xx"],如果有,直接删除该字段即可

"ipam": {
        "type": "calico-ipam",
        "assign_ipv4": "true"
      },

配置calicoctl 

如已配置可忽略

下载对应架构及对应操作系统calicoctl二进制文件

Install calicoctl

连接etcd

Configure calicoctl to connect to an etcd datastore

calicoclt默认配置文件为/etc/calico/calicoctl.cfg,如果没有手动创建,本次示例如下

apiVersion: projectcalico.org/v3
kind: CalicoAPIConfig
metadata:
spec:
  etcdEndpoints: https://172.20.42.70:2379
  etcdKeyFile: etc/ssl/etcd/ssl/node-master1-key.pem
  etcdCertFile: etc/ssl/etcd/ssl/node-master1.pem 
  etcdCACertFile: etc/ssl/etcd/ssl/ca.pem

测试配置情况

calicoctl get ippool

ippool操作

删除默认ippool

如果calicoctl get ippool -o wide 获取到的默认ippool占据了整个cluster-cidr,可从kube-controller-manager.yaml文件中查看-cluster-cidr,需要删除默认ippool,ippool名字无影响,主要是nodeSelector字段如果为 all()则表示应用在所有node

calicoctl delete ippool default-pool

其他操作参考  Assign IP addresses based on topology即可

创建NetworkPolicy

 参考网络策略 | Kubernetes

上文中创建一个ippool,其cidr为10.233.1.0/24,此处创建一个NetworkPolicy,表示只能允许10.233.1.0/24网段的ip访问label为app: nginx的pod,label为app: nginx的pod也只能访问网段为10.233.1.0/24的pod,此处的标签可替换为整个隔离环境公共的一个标签

apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: my-network-policy
spec:
  podSelector:
    matchLabels:
      app: nginx
  policyTypes:
  - Ingress
  - Egress
  ingress:
  - from:
    - ipBlock:
        cidr: 10.233.1.0/24
  egress:
  - to:
    - ipBlock:
        cidr: 10.233.1.0/24
whz-emm
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
calicoIPIP模式和BGP模式对比分析
05-23
本文档主要介绍关于kubenertes网络插件calicoIPIP和BGP模式的说明以及进行对比分析,并说明calico针对不同场景所选用的模式。
calico+NetworkPolicy实践
09-27
calico简介 NetworkPolicy简介 租户间网络隔离方案及方案用例测试演示
手动搭建Kubernetes1.8高可用集群(6)calico
qq_27772267的博客
12-11 889
一、准备 1、etcd集群  2、Master 3、Node 3、创建目录 /etc/cni/net.d/  /etc/calico/certs /opt/cni/bin/    权限0755  属主kube 二、配置所有节点 1、链接etcd证书 ln /etc/ssl/etcd/ssl/ca.pem /etc/calico/certs/ca_cert.
k8s网络方案-calico
Kubernetes enthusiasts
02-08 6062
一、k8s网络通信模型 k8s的网络中主要存在四种类型的通信: 同一pod内的容器间通信 pod与pod之间的通信 pod与service间的通信 Internet同service之间的通信 1, 同一pod内的容器间通信 同一pod内的容器共享同一个网络命名空间,所以可以直接通过lo直接通信 2, pod与pod之间的通信 又分为: 同node上pod之间通信 不同node上的pod之间通信 同node上pod之间通信 不同pod都有独立的IP,可以直接通信 它们在同一个网段上,通过Docke
【kubernetes/k8s概念】calico 介绍与与原理
zhonglinzhang
07-28 8495
WHAT Calico Calico是一个纯三层的协议,使用虚拟路由代替虚拟交换,每一台虚拟路由通过BGP协议可达信息(路由)到剩余数据中心。与 Flannel 不同的是 Calico 不使用隧道或 NAT 来实现转发,而是巧妙的把所有二三层流量转换成三层流量,并通过 host 上路由配置完成跨 Host 转发 把 Host 当作 Internet 中的路由器,同样...
calico IPPOOL
不忘初心,方得始终
05-22 2448
提示:以下配置都要确认calico的类型是“calico-ipam” cat /etc/cni/net.d/10-calico.conflist "ipam": { "type": "calico-ipam" }, 一、IPPool配置 全局配置不区分某一个namespace apiVersion: projectcalico.org/v3
Readiness probe failed: caliconode is not ready: BIRD is not ready: BGP not established with 10.117.
热门推荐
誓言
09-06 1万+
Calico 问题排障 // 错误信息 :Readiness probe failed: caliconode is not ready: BIRD is not ready: BGP not established with 10.117.150.23 估计是没用发现实际真正的网卡 解决方法 /* 调整calicao 网络插件的网卡发现机制,修改IP_AUTODETECTION_METH...
【K8s网络】安装Calico系统要求
qq_43753286的博客
07-09 1631
【K8s网络】安装Calico系统要求,主要包括【K8s网络】安装Calico系统要求使用实例、应用技巧、基本知识点总结和需要注意事项,具有一定的参考价值,需要的朋友可以参考一下。x86-64、arm64、ppc64le 或 s390x 处理器具有 Linux 内核 3.10 或更高版本 所需依赖项的 。 以下发行版具有所需的内核及其依赖项,并且是 已知与 Calico 和 Kubernetes 配合良好。Calico 必须能够管理主机上的cali接口。 当 IPIP 是 启用(默认),Calico 也需要
calico3.25官网完整镜像包及yaml文件
08-21
calico官网镜像包,适用于大型集群,适用所有集群部署
安装包-calico-3.24.1
最新发布
12-25
IPIP 模式:在原有 IP 报文中封装一个新的 IP 报文,新的 IP 报文中将源地址 IP 和目的地址 IP 都修改为对端宿主机 IP。 cross-subnet:Calico-ipip 模式和 calico-bgp 模式都有对应的局限性,对于一些主机跨子网而...
calico v3.25.0镜像以及yaml文件下载
09-20
calico v3.25.0镜像以及yaml文件。使用它可以避免在kubernetes集群搭建过程中calico镜像无法下载的问题。 操作方法: 首先需先安装docker linux解压,unzip calico-image-v3.25.0.zip,获得calico.yaml和calico-...
k8s容器限速
weixin_45588686的博客
12-02 1203
k8s calico下的容器网络流量限速
calico更换ip地址池-k8s
suiyingday的博客
03-18 1628
注意:生产环境更换ip地址池会导致网络中断,请慎重 在Kubernetes中,以下所有三个参数必须等于或包含Calico IP池CIDR: kube-apiserver: --pod-network-cidr kube-proxy: --cluster-cidr kube-controller-manager: --cluster-cidr 部署cacicoctl,在node节点上:wget https://github.com/projectcalico/calicoctl/releases/downl
处理一次k8s、calico无法分配podIP的心路历程
云原生实验室
11-15 1370
又一次偷偷化解了可能发生的重大事故。不想看过程的可以直接跳到末尾看处理方案。一个网络错误某天,上kplcloud构建一个测试应用,构建完成之后发现新pod一直启动失败,并且抛出了以下错误...
【kubernetes/k8s概念】CNI plugin calico源码分析
zhonglinzhang
09-18 7174
https://github.com/projectcalico/cni-plugin,release-v3.8 calico 解决不同物理机上容器之间的通信,而 calico-plugin 是在 k8s 创建 Pod 时为 Pod 设置虚拟网卡(容器中的eth0和lo网卡),calico-plugin 是由两个静态的二进制文件组成,由 kubelet 以命令行的形式调用,这...
kubelet sandbox创建与calico cni网络配置流程 (二)
polarwu的博客
09-13 1954
上一篇文章分析了kubelet创建pod时首先需要创建一个sandbox容器,该容器保证了k8s的pod中多个容器使用同一个网络命名空间,每个容器能够像访问本地端口一样访问对端容器端口。虽然sandbox的创建流程和运行时参数配置的代码我们都一一分析过了,实际的容器网络也是调用cni插件配置,但是cni插件是怎么工作的呢,这一节我们着重从cni(以caliclo为例)插件一端分析网络配置过程。...
从零开始搭建基于calico的kubenetes
沈首二
10-27 8258
从零开始搭建基于calico的kubenetes安装之前之前搭建过基于CoreOS的kubernetes,毕竟在中国90%以上的公司都不是基于CoreOS的,本文将基于ubuntu 16.04 64bit与目前为止最新的kubernetes从0开始再次进行部署kubernetes。好久没有研究k8s了,借助这个机会再次温习下。本章重点放在搭建,在参考本文的时候可能会需要翻墙拉去镜像。下章节将讲部署中
Kubernetes集成Calico + 遇到的问题
weixin_34267123的博客
12-17 3098
1.背景 原来在使用kubernetes(v1.6.2)集群网络时,一直使用flannel,今天尝 试使用calico(v2.5.1)三层网络路由模式进行部署安装。 2.安装 完全参考官网手工搭建模式(Integration Guide)即可正常安装,也可以选择官方推荐的hosted方式更加简洁。官方指南: https://docs.projectcal...
kubernetes1.8.4 安装指南 -- 9. calico
陈海峰的博客
12-12 3313
在master节点通过kubectl建立calico policy controller calico-controller.yml apiVersion: rbac.authorization.k8s.io/v1beta1 kind: ClusterRoleBinding metadata: name: calico-kube-controllers roleRef: apiGrou
calico 无法指定ip资源池
03-28
Calico是一个网络和安全解决方案,它使用BGP...这些工具可以管理IP地址分配和回收,并与Calico集成,以确保网络中的IP地址分配正确。此外,您还可以使用Kubernetes的Pod IP地址分配功能来管理Calico网络中的IP地址

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值