【译】比较Kubernetes容器网络接口(CNI)供应商

最新推荐文章于 2024-08-18 23:33:46 发布
最新推荐文章于 2024-08-18 23:33:46 发布
阅读量254 收藏
点赞数
分类专栏: Kubernetes 文章标签: kubernetes 网络 智能路由器
原文链接:https://kubevious.io/blog/post/comparing-kubernetes-container-network-interface-cni-providers
版权

一、前言

Kubernetes作为一个高度模块化的开源项目,在网络实施方面提供了很大的灵活性。在Kubernetes生态系统中出现了许多项目,使容器之间的通信变得简单、一致和安全。

CNI是容器网络接口的缩写,是这些项目中的一个,它支持基于插件的功能,以简化Kubernetes的网络。CNI背后的主要目的是为管理员提供足够的控制,以监控通信,同时减少手动生成网络配置的开销。

通过CNI,通信是通过一个集成的插件发生的,该插件旨在通过允许Kubernetes供应商实现自定义的网络模型,为你的所有pod提供一个一致和可靠的网络。

CNI插件分配了命名空间隔离、流量和IP过滤等功能,在默认情况下,Kubernetes Kube-Net插件不提供这些功能。假设一个开发者想要实现这些高级网络功能。在这种情况下,他们必须使用带有容器网络接口(CNI)的CNI插件,使网络的创建和管理更容易。

市场上有各种CNI插件。但是对于这个博客,我们将讨论最流行的开源的,如Flannel、Calico、WeaveNet、Cilium和Canal。在我们开始讨论不同的CNI插件列表之前,让我们先快速了解一下CNI。

二、什么是容器网络接口(CNI)?

CNI是一个网络框架,它允许通过一组去编写的规范和库来动态配置网络资源。插件提到的规范概述了一个接口,它将配置网络,提供IP地址,并保持多主机连接。

在Kubernetes背景下,CNI与kubelet无缝集成,允许使用 underlay 或 overlay 网络在pod之间自动配置网络。底层网络被定义在由路由器和交换机组成的网络层的物理层面。相比之下,overlay 网络使用VxLAN等虚拟接口来封装网络流量。

一旦指定了网络配置类型,运行时就会定义一个供容器加入的网络,并调用CNI插件将接口添加到容器命名空间,并通过调用IPAM(IP地址管理)插件来分配链接的子网络和路由。

除了Kubernetes网络,CNI还支持基于Kubernetes的平台,如OpenShift,通过软件定义的网络(SDN)方法提供整个集群的统一容器通信。

2.1. Flannel

由CoreOS开发的Flannel是目前Kubernetes最成熟的开源CNI项目之一。Flannel提供了一个易于使用的网络模型,可以部署覆盖基本的Kubernetes网络配置和管理用例。

Flannel通过配置一个overlay网络运行,为每个Kubernetes集群节点分配子网,用于内部IP地址分配。子网的租赁和管理是通过一个名为flanneld的守护神代理完成的,它被打包成一个二进制文件,以便在Kubernetes集群和发行版上轻松安装和配置。

在分配IP地址后,Flannel利用Kubernetes、etcd集群或API来存储主机映射和其他与网络有关的配置,并通过封装的数据包维持主机/节点之间的通信。

默认情况下,Flannel使用VXLAN配置进行封装和通信,但也有几种不同类型的后端可用,如host-gw、UDP。使用Flannel,还可以启用VxLAN-GBP进行路由,当几个主机在同一个网络上时,就需要这样做。

对于封装流量的加密,Flannel默认没有实现任何机制。不过,它还是提供了对IPsec加密的支持,它可以在Kubernetes集群的工作节点之间建立加密的隧道。

对于那些想从集群管理员角度开始Kubernetes CNI之旅的初学者来说,Flannel是一个很好的CNI插件。它简单的网络模型在用于控制主机之间的流量运输之前并没有缺点。

优点

  • 支持IPsec加密
  • 单一的二进制安装和配置

缺点

  • 不支持网络策略
  • 不能通过一个守护程序运行多个主机、多个网络,而为每个主机运行多个守护程序是可能的。

2.2. Calico

Calico是另一个流行的开源CNI插件,可用于Kubernetes生态系统。Calico由Tigera维护,定位于对网络性能、灵活性和功率等因素至关重要的环境。与Flannel不同,Calico提供先进的网络管理安全功能,同时提供主机和pod之间连接的整体概述。

在一个标准的Kubernetes集群上,Calico可以作为一个DaemonSet轻松地部署在每个节点上。集群中的每个节点都会安装三个Calico组件: Felix、BIRD和confd用于管理几个网络任务。Felix作为Calico代理处理节点路由,BIRD和confd管理路由配置的变化。

对于节点之间的路由数据包,Calico利用BGP路由协议而不是overlay网络。通过IP-IN-IP或VXLAN可以使用overlay网络模式,它可以像overlay网络一样封装跨子网发送的数据包。

Calico BGP协议使用未封装的IP网络结构,不需要用封装层包裹数据包,从而提高了Kubernetes工作负载的网络性能。簇内的pod流量使用Wireguard进行加密,Wireguard在节点之间创建和管理隧道,以提供安全的通信。

有了Calico,跟踪和调试比其他工具容易得多,因为没有操作数据包的包装器。开发人员和管理员可以很容易地理解数据包行为,并使用策略管理和访问控制列表等高级网络功能。

Calico中的网络策略实现了deny/match规则,可以通过清单应用,将入口策略分配给pod。用户可以定义全局范围的策略,并与Istio服务网整合,以控制pods流量,提高安全性并治理Kubernetes工作负载。

总的来说,对于希望控制其网络组件的用户来说,Calico是一个很好的选择。Calico可以很容易地与不同的Kubernetes平台(如kops、Kubespray)一起使用,并通过Calico企业提供商业支持。

优点

  • 支持网络策略
  • 网络性能高
  • 支持SCTP

缺点

  • 不支持组播

2.3. Cilium

Cilium是一个由Linux内核开发人员开发的开源、高度可扩展的Kubernetes CNI解决方案。Cilium通过增加利用eBPF过滤技术的高级应用规则,确保Kubernetes服务之间的网络连接安全。Cilium作为一个守护进程`cilium-agent’部署在Kubernetes集群的每个节点上,以管理操作并将网络定义转化为eBPF程序。

Pods之间的通信是通过 overlay 网络或利用路由协议进行的。IPv4和IPv6地址都支持。overlay 网络的实现利用VXLAN隧道进行数据包封装,而本地路由则通过未封装的BGP协议发生。

Cilium可以与多个Kubernetes集群一起使用,并可以提供多CNI功能,高水平的检查,跨所有集群的pod-to-pod连接。

它的网络和应用层意识管理着数据包检查,以及应用协议数据包的使用。

Cilium还通过HTTP请求过滤器支持Kubernetes网络策略。政策配置可以写入YAML或JSON文件,并提供入口和出口执行。管理员可以根据请求方法或路径头接受或拒绝请求,同时将策略与Istio等服务网整合。

优点

  • 支持多个集群
  • 可与其他CNI一起使用

缺点

  • 可能需要与其他CNI配对使用BGP
  • 为多个集群进行设置很复杂

2.4. WeaveNet

Weave Net由Weavescope开发,是一个具有CNI能力的网络解决方案,可以在Kubernetes集群中灵活联网。WeaveNet最初是为容器开发的,但后来演变成了Kubernetes网络插件。Weavenet可以很容易地在Kubernetes集群上安装和配置,作为一个daemonset在每个节点上安装必要的网络组件。

WeaveNet的工作原理是创建一个网状overlay网络,负责连接集群中的所有节点。在网络内部, Weave Net利用一个内核系统在节点之间进行数据包传输。内核所利用的协议被称为快速数据路径,它可以将数据包直接传输到目标 pod,而无需多次进出用户空间。

如果快速数据路径不起作用,或者数据包必须传送到另一台主机。Weavenet利用慢速套接协议进行传输。主机名解析、负载平衡和容错等功能是通过Weavenet的DNS服务器WeaveDns提供的。

对于数据包的封装和加密,WeaveNet为Kubernetes使用VxLAN,并为快速数据通路和套接字流量使用NaCl和IPsec加密。

Weavenet不使用etcd来存储网络配置。设置被持久化在一个数据库文件中,由DaemonSet创建的每个pod共享。

在网络策略支持方面,WeaveNet使用weave-npc容器来管理Kubernetes网络策略。该容器是默认安装和配置的,只需要网络规则来保证主机之间的通信。

优点

  • 内核级通信
  • 网络策略和加密支持
  • 提供付费支持以排除故障

缺点

  • 由于基于内核的路由,只支持Linux
  • 由于默认的加密标准,网络速度有所下降

2.5. Canal

Canal是一个CNI供应商,它结合了Flannel和Calico的网络功能,为Kubernetes集群提供一个统一的网络解决方案。Canal将Flannel overlay 网络层和VXLAN封装与Calico的网络组件(如Felix、主机代理和网络策略)整合在一起。总的来说,对于想要利用overlay网络模型和网络策略规则来实现更严格的安全的组织来说,Canal是一个很好的选择。

优点

  • 使用Flannel叠加网络的网络策略支持
  • 为部署Flannel和Calico提供了一个统一的方式。

缺点

  • 两个项目之间没有那么多的深度整合

2.6. 对比总结

FlannelCalicoCiliumWeavenetCanal
部署方式DaemonSetDaemonSetDaemonSetDaemonSetDaemonSet
封装和路由VxLANIPinIP,BGP,eBPFVxLAN,eBPFVxLANVxLAN
是否支持网络策略
数据存储EtcdEtcdEtcdEtcd
加密
支持Ingress
企业支持

三、选择一个CNI供应商

没有一个CNI供应商能满足所有的项目需求。对于简单的设置和配置,Flannel和Weavenet提供了很好的功能。Calico的性能更好,因为它通过BGP使用底层网络。Cilium通过BPF利用完全不同的应用层过滤模型,更倾向于企业安全。

此外,没有必要倾向于单一的供应商,因为运营需求可能因项目而大不相同。使用和测试多种解决方案将满足复杂的网络需求,同时提供更可靠的网络体验。

markvivv
关注
专栏目录
Kubernetes网络难懂?快来看这篇文章
m0_67698950的博客
06-22 180
Kubernetes 是为运行分布式集群而建立的,分布式系统的本质使得网络成为 Kubernetes 的核心和必要组成部分,了解 Kubernetes 网络模型可以使你能够正确运行、监控和排查应用程序故障。网络是非常复杂的,拥有许多概念,对于不熟悉这个领域的用户来说,这可能会有一定的难度,这里面有很多概念需要理解,并且还需要把这些概念整合起来形成一个连贯的整体,比如网络命名空间、虚拟接口、IP 转发、NAT 等概念。Kubernetes 中对任何网络实现都规定了以下的一些要求:所有 Pod 都可以在不使用
Kubernetes网络组件
lingshengxiyou的博客
04-01 520
OS: root@harbor:~# cat /etc/issue Ubuntu 20.04.2 LTS \n \l root@harbor:~# uname -r 5.4.0-81-generic IP分配: 192.168.1.101 k8s-master etcd 192.168.1.102 k8s-node1 192.168.1.103 k8s-node2 Host模式:各容器共享宿主机的根网络名称空间,它们与所在宿主机使用同一个网络接口设备和网络协议栈,共享宿主机的网络,用户必须精心管理共
认识一下容器网络接口 CNI
hanfengzxh的博客
12-09 1529
写在最前,周末写到这篇的时候我就发现可能是给自己挖了很大的坑,整个 Kubernetes 网关相关的内容会非常复杂且庞大。 深入探索 Kubernetes 网络模型和网络通信 认识一下容器网络接口 CNI(本篇) 源码分析:从 kubelet、容器运行时看 CNI 的使用 从 Flannel 学习 Kubernetes VXLAN 网络 Cilium CNI 与 eBPF ... 看自己能学到哪一步~ 在 《深入探索 Kubernetes 网络模型和网络通信》 文章中,我们介绍了网络命名空间(net
容器网络接口(CNI)深入理解
爱死亡机器人
10-28 1543
CNI 简介 容器网络的配置是一个复杂的过程,为了应对各式各样的需求,容器网络的解决方案也多种多样,例如有Flannel,Calico,Kube-OVN,Weave等。同时,容器平台/运行时也是多样的,例如有Kubernetes,OpenShift,rkt等。如果每种容器平台都要跟每种网络解决方案一一对接适配,这将是一项巨大且重复的工程。当然,聪明的程序员们肯定不会允许这样的事情发生。想要解决这个问题,我们需要一个抽象的接口层,将容器网络配置方案与容器平台方案解耦。 CNI(Container Networ
KubernetesCNI、CRI、OCI的定义
最新发布
a1546464545454的博客
08-18 522
CNI负责容器网络配置和管理,确保容器之间以及容器与外部网络之间的连接。CRI提供了 Kubernetes容器运行时之间的标准化接口,使得 Kubernetes 可以与不同的容器运行时兼容。OCI定义了容器镜像和运行时的标准,确保容器镜像和运行时工具之间的互操作性。这些接口和标准是 Kubernetes 容器生态系统的基础,确保了容器管理的灵活性、可扩展性和互操作性。
KubernetesCNI 网络插件大对比
linus.lin的博客
07-27 1116
网络模型提供了一个逻辑二层(L2)网络,该网络封装在跨 Kubernetes 集群节点的现有三层(L3)网络拓扑上。使用此模型,你可以为容器提供一个隔离的 L2 网络,而无需分发路由。封装网络带来了少量的处理开销以及由于覆盖封装生成 IP header 造成的 IP 包大小增加。封装信息由 Kubernetes worker 之间的 UDP 端口分发,交换如何访问 MAC 地址的网络控制平面信息。此类网络模型中常用的封装是 VXLAN、Internet 协议安全性 (IPSec) 和 IP-in-IP。
k8s pod内部容器_第三章 pod:运行于kubernetes中的容器
weixin_39648539的博客
12-22 846
本章内容涵盖创建、 启动和停止 pod使用标签组织 pod 和其他资源使用特定标签对所有 pod 执行操作使用命名空间将多个 pod 分到不重叠的组中调度 pod 到指定类型的工作节点上一章 已经大致介绍了在 Kubemetes 中创建的基本组件,包括它们的基本功 能概述。 那么接下来我们将更加详细地介绍所有类型的 Kubemetes 对象(或资源), 以便你理解在何时、 如何及为何要使用每一个对...
CNI开发的基本套路
zyxpaomian的博客
10-30 1205
背景 CNI 这东西搞容器的运维想必都不陌生,要知道,kubernetes的设计之初是不包含网络的,网络这玩意每家公司有每家公司自己的玩法,对各个公司来说,没有那种大一统的完美方案,只有最适合自己的方案,所以,kubernetes在设计的时候,没有设计统一的网络方案,只提供了统一的容器网络接口,Container Network Interface,也就是所谓的CNICNI 和 IPAM 一般说的CNI都是包含IPAM的,但其实2个功能是分开实现的。 CNI用于实现网络构建(network部分,网
Antrea对Kubernetes Pod网络的加速和一键诊断.pptx
10-12
硬件加速接口标准化,使得不同硬件供应商的设备可以无缝对接,实现最佳的性能提升。 总结起来,Antrea作为Kubernetes Pod网络的加速器和诊断工具,通过Open vSwitch的硬件加速特性,实现了高效、稳定的网络连接,...
Kubernetes_K8s中的多云跨地域容器互联网络
# 1. 引言 ## 1.1 云计算和容器技术的发展 随着云计算和容器技术的迅速发展,越来越多的企业和组织开始将应用程序迁移到云端,并使用...Kubernetes提供了强大的容器编排和调度功能,可以帮助企业实现容器化应用的跨
kubernetes基础入门
09-27
- **4.4.1 CNI**: 容器网络接口规范。 - **4.4.2 Flannel**: 一种简单的网络模型。 - **4.4.3 Calico**: 提供高性能的网络策略。 - **4.4.4 Weave**: 支持复杂的网络拓扑。 - **4.4.5 Cilium**: 基于eBPF技术的网络...
CNI容器网络接口
纵横四海的博客
10-03 601
CNI 简介不管是 docker 还是 kubernetes,在网络方面目前都没有一个完美的、终极的、普适性的解决方案,不同的用户和企业因为各种原因会使用不同的网络方案。目前存在网络方案 flannel、calico、openvswitch、weave、ipvlan等,而且以后一定会有其他的网络方案,这些方案接口和使用方法都不相同,而不同的容器平台都需要网络功能,它们之间的适配如果没有统一的标准,会
Kubernetes基金会托管容器网络CNI
阿仆的专栏
06-14 958
Kubernetes基金会托管容器网络
容器CNI完全解读(一)
热门推荐
柳清风的专栏
07-17 2万+
CNI(Container Network Interface)容器网络接口CNI只专注解决容器网络连接和容器销毁时的资源释放,提供一套框架,所以CNI可以支持大量不同的网络模式,并且容易实现。 执行CNI需要传入一下变量# 添加或者删除网卡 CNI_COMMAND=ADD/DEL# 容器的ID CNI_CONTAINERID=xxxxxxxxxxxxxxxxxxx# 容器网络空间主机映射路
深入解读 CNI容器网络接口
ServiceMesher
05-06 166
容器化环境中,有效管理网络是至关重要的。容器网络接口CNI)是一个标准,定义了容器应如何配置网络。本文将深入探讨 CNI 的基础知识,并带你了解 CNI 与 CRI 的关系。什么是 CNICNI容器网络接口)规范为容器运行时和网络插件之间提供了一个通用的接口,旨在实现容器网络配置的标准化。CNI 规范包含以下几个核心组成部分:•网络配置的格式:定义了管理员如何定义网络配置。•请求协议:...
cni k8s 插件安装_K8S的CNI插件对比:flannel vs. calico
weixin_39900830的博客
12-21 627
我们知道在单个节点上的的容器之间通信是通过内部的容器网络进行通信,比如docker通过docker0网桥连接各容器子网,k8s作为一种分布式容器编排框架,那容器之间是怎么完成通信的呢?k8s 是一个分布式的容器编排框架,k8s 本身没有对容器之间的通信网络进行实现,而是通过 CNI 定义了容器网络的接口的形式,让其他组件实现CNI来实现容器间的网络通信,那么CNI主要解决什么问题呢?第一,如何保证...
Kube-OVN1.9.0新版本发布|支持集成 Cilium 策略,支持优先级QoS,VPC的网络能力增强等
KubeOVN的博客
01-14 701
1月12日,Kube-OVN 1.9.0 版本正式发布,感谢社区小伙伴们在这段时间来的贡献和支持! 新版本持续对VPC 的网络能力进行了增强,并且支持基于优先级的 QoS;支持集成 Cilium 策略,监控和 Service 优化;支持 Webhook 校验子网和固定 IP。并且增加了组播性能,非 Service 性能,内存使用等方面优化。全面提升了 Kube-OVN 的稳定性和安全性。欢迎大家安装使用! VPC能力进一步增强 用户自定义 VPC 下策略路由的支持 用户自定义 VPC 下
Kubernetes CNI网络最强对比:Flannel、Calico、Canal和Weave_canal calico
m0_74918915的博客
04-17 1412
同一主机中的Pod可以使用Docker桥接进行通信,而不同主机上的pod会使用flanneld将其流量封装在UDP数据包中,以便路由到适当的目标。这些插件既可以确保满足Kubernetes网络要求,又能为Kubernetes集群管理员提供他们所需的某些特定的网络功能。从管理角度来看,它提供了一个简单的网络模型,用户只需要一些基础知识,就可以设置适合大多数用例的环境。在overlay网络中,封装被用于从虚拟网络转换到底层地址空间,从而能路由到不同的位置(数据包可以被解封装,并继续到其目的地)。
Kubernetes CNI网络最强对比:Flannel、Calico、Canal和Weave_kubernets部署容器集群一般首选使用weave网络
2301_79058515的博客
04-15 858
同一主机中的Pod可以使用Docker桥接进行通信,而不同主机上的pod会使用flanneld将其流量封装在UDP数据包中,以便路由到适当的目标。如果对你的环境而言,支持网络策略是非常重要的一点,而且你对其他性能和功能也有需求,那么Calico会是一个理想的选择。从管理角度来看,它提供了一个简单的网络模型,用户只需要一些基础知识,就可以设置适合大多数用例的环境。在Kubernetes中,kubelet可以在适当的时间调用它找到的插件,来为通过kubelet启动的pod进行自动的网络配置。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值