手工体验docker 是怎么管理网络的-kubelet 如何创建网络(3)

最新推荐文章于 2022-08-31 19:46:00 发布
最新推荐文章于 2022-08-31 19:46:00 发布
阅读量256 收藏 1
点赞数 2
分类专栏: kubernetes 网络 云计算 文章标签: CNI k8s 网络 docker kubernetes
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xialingming/article/details/108886887
版权
云计算 同时被 3 个专栏收录
20 篇文章 1 订阅
订阅专栏
kubernetes
11 篇文章 0 订阅
订阅专栏
网络
3 篇文章 0 订阅
订阅专栏

我们已经从浅入深的总结了两篇文章,来分析docker 如何利用cni 创建网络。今天我们来到终结篇,分析下kubelet 是如何利用cni 创建网络。

1. kubelet 创建容器的过程

在这里插入图片描述
我们把这张图放在这里。kubelet 是一个本地的服务,会定期watch 分配到自己头上的pod,当发现自己需要处理一个addpod 的动作的时候。会通过一个kubecontainer.Runtime去执行pod 的生命周期管理,这个Runtime 的一个实现就是kuberuntime.NewKubeGenericRuntimeManager,代码位于/kubelet/kuberuntime/kuberuntime_manager.go。我们看下SyncPod 这个方法。它的注释说的很清楚:

//  1. Compute sandbox and container changes.
//  2. Kill pod sandbox if necessary.
//  3. Kill any containers that should not be running.
//  4. Create sandbox if necessary.
//  5. Create ephemeral containers.
//  6. Create init containers.
//  7. Create normal containers.

代码中注释的也非常清楚。我们重点看下NewKubeGenericRuntimeManager.runtimeService 这个字段。因为这个字段,是真正去访问运行时服务的client。我们看到图中,cri 会发起一个grpc请求,请求的对象是一个被称之为dockershim(垫钱)的grpc server。这个server是在kubelet启动时run起来的,它全权代理了针对docker.sock 的本地请求,至于请求发给了docker 以后,数据怎么走,我们并不关心。 参见我之前的文章,dockerd,containerd,runc 和 container-shim 的关系。其中我们所关心的pod 的网络设置,也就是设置在pod 的沙箱中的网络设置,发生在步骤4。我们下面重点跟踪。

2. 网络的创建

其创建pod 的第一步 就是创建pod 的沙箱环境也就是pause 容器,我们重点看下创建沙箱的过程。

Step 1: Pull the image for the sandbox.
Step 2: Create the sandbox container.
Step 3: Create Sandbox Checkpoint.
Step 4: Start the sandbox container.
Step 5: Setup networking for the sandbox.

实现在:runtimeService.RunPodSandbox,dockershim 就会先调用Docker API创建并启动infra容器。最终会来到:r.runtimeClient.RunPodSandbox,这是一个grpc 请求,请求的server 真实响应在代码在
kubernetes\pkg\kubelet\dockershim\docker_sandbox.go: RunPodSandbox中实现的。

第5步的时候就会给pod设置网络,CNI插件在pod启动的时候设置pod网络,分配IP地址,设置路由关系,创建网卡等。这个实现在这里:ds.network.SetUpPod。这个方法会调用kubelet 在启动时曾经初始化过的cni插件的相关接口方法,这个接口就是CNI接口,

plugin.addToNetwork

type CNI interface {
	AddNetworkList(ctx context.Context, net *NetworkConfigList, rt *RuntimeConf) (types.Result, error)
	CheckNetworkList(ctx context.Context, net *NetworkConfigList, rt *RuntimeConf) error
	DelNetworkList(ctx context.Context, net *NetworkConfigList, rt *RuntimeConf) error
	GetNetworkListCachedResult(net *NetworkConfigList, rt *RuntimeConf) (types.Result, error)

	AddNetwork(ctx context.Context, net *NetworkConfig, rt *RuntimeConf) (types.Result, error)
	CheckNetwork(ctx context.Context, net *NetworkConfig, rt *RuntimeConf) error
	DelNetwork(ctx context.Context, net *NetworkConfig, rt *RuntimeConf) error
	GetNetworkCachedResult(net *NetworkConfig, rt *RuntimeConf) (types.Result, error)

	ValidateNetworkList(ctx context.Context, net *NetworkConfigList) ([]string, error)
	ValidateNetwork(ctx context.Context, net *NetworkConfig) ([]string, error)
}

CNI的插件有一段很简单的代码,调用了CNI插件的相关代码处理。

// AddNetworkList executes a sequence of plugins with the ADD command
func (c *CNIConfig) AddNetworkList(ctx context.Context, list *NetworkConfigList, rt *RuntimeConf) (types.Result, error) {
	var err error
	var result types.Result
	for _, net := range list.Plugins {
		result, err = c.addNetwork(ctx, list.Name, list.CNIVersion, net, result, rt)
		if err != nil {
			return nil, err
		}
	}

	if err = setCachedResult(result, list.Name, rt); err != nil {
		return nil, fmt.Errorf("failed to set network %q cached result: %v", list.Name, err)
	}

	return result, nil
}

func (c *CNIConfig) addNetwork(ctx context.Context, name, cniVersion string, net *NetworkConfig, prevResult types.Result, rt *RuntimeConf) (types.Result, error) {
	c.ensureExec()
	pluginPath, err := c.exec.FindInPath(net.Network.Type, c.Path)
	if err != nil {
		return nil, err
	}

	newConf, err := buildOneConfig(name, cniVersion, net, prevResult, rt)
	if err != nil {
		return nil, err
	}

	return invoke.ExecPluginWithResult(ctx, pluginPath, newConf.Bytes, c.args("ADD", rt), c.exec)
}

我们看到 CNI driver 会根据配置调用具体的 cni 插件,cni 插件将给 pause 容器配置正确的网络,其处理就像我们在前一篇文章中所写的一样,这里只是用代码的方式调用而已。

3. 其他容器的绑定

这一步很简单了,因为pod 是容器组,所以当pause 容器的网络设置好了以后,只要把sandboxid 传递给接下来的容器创建接口就好了。
很简单,这里的接口在创建容器时只是传入的上一步的sandboxID。

containerID, err := m.runtimeService.CreateContainer(podSandboxID, containerConfig, podSandboxConfig)

4. 多节点的容器互通

我们忽略了一步,当我们安装插件的逻辑,设置好了当前容器的network namespace后,多节点的互通由谁负责呢?这一步的解决,我们以flannel 为例。

我们在k8s环境上用命令安装的flannel,又是干什么用的呢?

https://raw.githubusercontent.com/coreos/flannel/a70459be0084506e4ec919aa1c114638878db11b/Documentation/kube-flannel.yml

从yaml文件上看有两个容器,分别为install-cni和 kube-flannel

install-cni:为初始化容器,执行后就消失了,用于从etcd 获取当前节点的网段信息,生成该主机/etc/cni/net.d/的flannel配置,我们看到它也的确做了mount。k8s创建、删除容器的时候就可以按照CNI流程挂载和删除网卡。

kube-flannel:主要启动flanneld,flanneld启动的时候会传入两个参数ip-masq和kube-subnet-mgr。
第一个参数–ip-masq,是为容器配置snat,容器默认都是可以直接访问外网的。MASQUERADE和SNAT都是用于将内网地址出局时转变为外部地址的方式,但MASQ本质上还是SNAT,只不过特殊一点。网络出口为动态分配IP时,MASQ是唯一的选择,它先判断当前系统的默认网关,再根据默认网关找到本机对应的出口IP地址,再做SNAT。
第二个参数–kube-subnet-mgr代表其使用kube类型的subnet-manager。该类型有别于使用etcd的local-subnet-mgr类型,使用kube类型后,flannel上各Node的IP子网分配均基于K8S Node的spec.podCIDR属性。
flanneld初始化创建基本的网络接口flannel,打通不同节点上的网络。CNI就负责将各个pod挂载到这个网络上。 flanneld 就是来去封装和解包vxlan的软件组件。数据到了vxlan 以后,容器就可以通过这种overlay 的方式,达到了集群内容器与容器的直接可达。

5. 总结

这里的过程总结可以看到,kubelet 做了大量的解耦的工作,调用CNI插件也是通过二进制直接操作的方式,以后当我们编写新的CNI插件时可以直接学习flannel的做法了。

xialingming
关注
  • 2
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
如何实现一个 Kubernetes 网络插件
weixin_41020960的博客
08-06 458
目前容器的网络解决方案越来越多,每出现一种新的解决方案,都要为网络方案和不同的容器运行时进行适配,这显然是不合理的,而 CNI 就是为了解决这个问题。 春节假期在家维护「家庭级 Kubernetes 集群」时,萌生了写一个网络插件的想法,于是基于 cni/plugin 仓库已有的轮子,写了 Village Net( https://github.com/zwwhdls/village-net )。以这个网络插件为例,本文着重介绍如何实现一个 CNI 插件。 CNI 工作原理 要了解如何实现一个 C..
k8s 1.24及以后版本kubelet如何对接 docker(额外安装 cri-dockered 充当 dockershim)
学亮编程手记
11-17 244
【代码】k8s 1.24及以后版本kubelet如何对接 docker(额外安装 cri-dockered 充当 dockershim)
《云原生入门级开发者认证》学习笔记之云原生基础设施之Kubernetes(三)
山河已无恙
04-13 2052
傍晚时分,你坐在屋檐下,看着天慢慢地黑下去,心里寂寞而凄凉,感到自己的生命被剥夺了。当时我是个年轻人,但我害怕这样生活下去,衰老下去。在我看来,这是比死亡更可怕的事。--------王小波
kubectl 命令详解(二):create
youzhouliu的博客
04-27 2348
kubectl create命令详解。
Kubernetes 组件和pod创建
荒-于嬉的博客
05-31 525
Kubernetes组件和调度时发挥的作用
Docker网络管理机制实例解析+创建自己Docker网络
02-25
删除docker名称,docker的名称都是唯一的,即一但使用了就不能在另一个镜像使用该名称,可以删除后重新命名.(只删除名字,镜像不会被删除)2.1.Docker通过网络驱动(networkdriver),默认网络驱动分别是桥接(bridge)
第三章:Docker容器进阶--创建镜像、数据管理、网络、存储类型 (2)1
08-08
第三章:Docker容器进阶--创建镜像、数据管理、网络一、Docker镜像创建方法--基于已有镜像、基于本地模板;二、Docker镜像创建方法--基于dock
Docker容器的网络管理和网络隔离的实现
09-29
在实践中,创建管理网络隔离容器的命令示例如下: ```bash # 创建并启动一个使用Bridge模式的容器 docker run -d --net=bridge --name my_container image_name # 进入容器进行交互式操作 docker exec -it my_...
docker-compose-linux-aarch64
最新发布
12-14
标题中的"docker-compose-linux-aarch64"表明这是一个针对Linux系统,特别是基于AArch64(也称为ARM64)架构的Docker Compose版本。AArch64是ARM架构的一种64位变体,广泛应用于服务器、嵌入式设备和移动设备,如高...
k8s 1.24 及以后版本如何对接 docker
yjf147369的博客
08-31 7298
关注 k8s 的小伙伴门都知道在 k8s 1.24 版 dockershim 代码正式的从 k8s 移除了。这也就意味着k8sdocker 的对接再也不像以前那么丝滑了。这篇文档记录一下我在使用 docker 作为 CRI 插件时部署 k8s 的步骤。我依然借助 kubeadm 来部署 k8s,关于 kubeadm 的使用可以参考我前面的文档,和这篇文档重复的步骤我就不在这儿写了,我们只关注和 docker 相关的部分。............
Kubelet CRI 容器运行时 Containerd
小楼一夜听春雨,深巷明朝卖杏花
07-26 1121
如果是通过kubelet去调用docker的话,这个请求是在kubelet的cri接口调用docker-shim,docker-shim再连接到docker-daemon,docker-daemon里面红圈的这部分才是有用的,也就是和image相关的操作,以及正真去去调用containerd的这部分操作是有用的,上面存储网络,已经docker提供的cli这些都是不需要的,那么这些都是冗余的。不再使用docker自身的daemon了,但是可以用你docker自身所带的containerd的。...
K8S 集群搭建
zk86547462的博客
01-16 1951
配置linux环境 # su root # 切换到root用户先 # 关闭防火墙 $ systemctl stop firewalld $ systemctl disable firewalld # 关闭 selinux $ sed -i 's/enforcing/disabled/' /etc/selinux/config $ setenforce 0 # 关闭内存交换 $ swapoff -a # 临时,只关当前会话的 $ sed -ri 's/.*swap.*/#&/' /etc/fs
kubernetes: kubectl create与kubectl apply的区别
热门推荐
feiger的专栏
02-19 2万+
背景: 创建一个k8s资源的时候可以使用 kubectl create 也可以使用 kubectl apply,到底有什么区别呢? 分析: 1.官方解释 kubectl create和kubectl apply命令之间存在细微差别。 kubectl create命令可创建新资源。 因此,如果再次运行该命令,则会抛出错误,因为资源名称在名称空间中应该是唯一的。 kubectl get pods N...
实战 Kubectl 创建 Deployment 部署应用
CSDN云计算
07-11 2671
作者 | 洲的学习笔记来源 | CSDN博客本篇文章主要是实战 Kubectl 创建 Deployment 部署应用。通过本期文章:我们将学习创建Kubernetes 集群上运行应用程序的 Deployment 所需的最常见的 Kubectl 命令。用 Kubectl 创建 Deployment当运行Kubernetes 集群,就可以在其上部署容器化应用程序。此时,...
k8sk8s部署网络插件Calico、创建网络策略
sl963216757的博客
07-10 8580
一、简介 01_calico简介 calico官网 flannel实现的是网络通信 , calico的特性是在pod之间的隔离。 通过BGP路由,但大规模端点的拓扑计算和收敛往往需要一定的时间和计算资源。 纯三层的转发,中间没有任何的NAT和overlay,转发效率最好。 Calico仅依赖三层路由可达。Calico 较少的依赖性使它能适配所有VM、Container、白盒或者混合环境场景。 02_calico网络架构 Felix:监听ECTD中心的存储获取事件,用户创建pod后,Felix负责将其网
Kubernetes:(十八)flannel网络
ver_mouth__的博客
08-15 3221
覆盖网络,在基础网络上叠加的一种虚拟网络技术模式,该网络中的主机通过虚拟链路连接起来类似VPN隧道,原理为在物理网络上实现的逻辑网络将源数据包封装到UDP中,并使用基础网络的IP/MAC作为外层包头进行封装,然后在以太网上传输,到达目的地后由隧道断电解封并将数据发给目标地址是Overlay网络的一种,也是将源数据包封装在另一种网络包中进行路由转发和通信,目前已支持UDP、VXLAN、AWS VPN和GCE路由等数据转发方式特点hostgw这种方式就是直接路由vxlan。...
kubelet创建容器的流程分析
bodouer7979的博客
09-07 497
kubelet发起创建命令到真正创建容器并启动容器的过程流程内容分析kubelet通过gRPC调用dockershim发起创建容器,CRI即容器运行时接口(container runtime interface),目前dockershim的代码内嵌在kubele中,所以接受创建容器的就是kubelet进程。dockershim把创建容器的命令转换成docker daemon可...
kubernetes/k8s源码分析】kubelet源码分析之容器网络初始化源码分析
zhonglinzhang
10-16 3681
一. 网络基础 1.1 网络命名空间的操作 创建网络命名空间: ip netns add 命名空间内执行命令: ip netns exec 进入命名空间: ip netns exec bash 1.2bridge-nf-call-iptables 数据包进入网卡,协议栈代码就能“看到”整个数据包,剩下的问题就是如何来解析和过滤的问题了 由于网桥工作于数据链路层,在ip...
【原创】k8s源码分析-----kubelet(2)dockerClient
月牙寂
04-07 6306
                本人空间链接:http://user.qzone.qq.com/29185807/blog/1460023494 源码为k8s v1.1.1稳定版本 kubelet代码比较复杂,主要是因为其担负的任务比较多。下面我们将慢慢的分析   二、模块分析 2.1 、dockerClient 代码在k8s.io/kubernetes/cmd/kub...
Docker容器进阶:镜像创建、数据与网络管理
此外,`docker network`命令可以用于创建、查看和管理网络。 至于存储类型,Docker支持多种存储驱动,如aufs、overlay2和devicemapper等,它们在性能、安全性和复杂性上各有优缺点。选择合适的存储驱动对于容器的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值