【kubernetes】集群网络(二):Flannel的VxLan、Host-GW模式

文章目录

      • [1 Pod的IP地址的分配](#1 Pod的IP地址的分配)
      • [2 CNI](#2 CNI)
      • [3 Flannel](#3 Flannel)
        • [3.1 Flannel的安装](#3.1 Flannel的安装)
        • [3.2 VxLan](#3.2 VxLan)
        • [3.3 Host-GW](#3.3 Host-GW)
      • [4 总结](#4 总结)

1 Pod的IP地址的分配

当节点上只安装了docker,则会用veth pair+docker0实现单个节点上容器之间的通信,并且这些容器都在同一个IP段,如果不修改,则默认为172.17.0.0/16,此时,docker0的ip就是网段的网关地址:172.17.0.1/16。那么,多个节点上的容器都在同一个网段,跨节点通信肯定会出现问题。

因此,在k8s集群中,对于网络而言,需要有以下准则:

集群中的每个Pod都有独立的IP地址,且不能出现冲突

集群中的Pod之间可以直接通过Pod IP进行通信,且不需要做地址转换

总的来说就是,集群中的Pod都会有自己的IP地址,且能够通过这个IP地址进行通信,就好像所有Pod都在同一个网络。

因此,第一个问题就是,如何给每个Pod分配一个不冲突的IP地址。

k8s的策略是:

整个集群在一个大的网段中,通常是一个16位的网段,kube-controller-manager的参数--cluster-cidr就是该网段

每个节点从集群的网段中取一个小的网段作为这个节点上所有Pod所在的网段,通常是一个24位的网段,node.spec.podCIDR可以看到该节点的Pod网段

每个Pod则从节点得到的网段中获取一个IP地址

这样就保证了所有Pod的IP都在一个大的网段中,并且不会冲突。

但是,如何让Pod之间可以通过Pod IP进行通信呢?这些IP毕竟是虚拟的,需要有一种机制能够实现Pod IP的相互通信。

2 CNI

CNI是容器网络接口的缩写,是K8S安装Pod网络的接口。

当kubelet创建Pod时,需要调用CNI接口为Pod安装网络:

分配Pod的IP

设置Pod的网络命名空间

配置Pod的路由

3 Flannel

Flannel是最简单也比较容易理解的一个网络插件。它的主要思想是将宿主机的网络作为隧道,将Pod之间通信的网络数据包封装为可以直接在宿主机上传输的数据包。由于Pod之间传输的数据包经过了底层网络的再封装和再解封装,可以知道,这种方式存在一定的性能损耗,不过,这种损耗在大部分场景下都是可以接受的,除非对性能要求非常高。

3.1 Flannel的安装

Flannel的yaml可以从官网直接下载安装,需要注意的有两个地方:

使用的flannel镜像如果无法下载,可以将镜像仓库修改为quay.mirrors.ustc.edu.cn

如果有需要可以调整Pod网段,默认的网段是10.244.0.0/16

3.2 VxLan

VxLan是一项用于在三层网络传输二层网络数据包的技术,只要底层的三层网络可达,就可以在三层网络之上建立二层网络,从而构建逻辑上的大二层网络。

上图就是两个node上的Pod之间通信的流程。

  • node0的网段是10.244.0.0/24,node1的网段是10.244.1.0/24
  • cni0是个网桥,网桥的IP地址是网段的网关,Pod中的容器通过veth pair接入到cni0,而机器上可以看到以veth开头的网卡
  • 当node0上的container1发送数据给node1上的container1时,发送端是知道目的端的IP地址的,由于目的IP不在当前网段,因此,会发送给cni0网桥
  • cni0网桥收到数据后,根据路由表将数据转发给flannel.1
  • flannel.1是一个vxlan的设备,VNI是1,本地地址是172.16.16.202,本地设备是eth0,目的端口是8472,也就是说,当flannel.1收到数据包后,就会将数据包封装到UDP数据包中,然后发送到对端的8472端口,问题是,flannel.1怎么知道目的IP在哪个宿主机上呢?不然,发出去的数据包如何根据宿主机网络路由到目的IP所在的宿主机呢?按照k8s的机制,是可以通过查询etcd根据目的IP的网段知道宿主机网络中的目的IP。
  • 由于目的端的网络子系统会监听8472,当node1收到数据后,flannel.1就会收到数据,然后将数据解封装后,根据路由交给cni0
  • cni0收到数据后,根据目的IP的mac地址转发给对应的容器
3.3 Host-GW

host-gw是直接走宿主机的网络,将对方的宿主机当做路由器进行转发。

  • Pod1向Pod3发送数据时,同样的,会通过veth pair将数据发送给cni0
  • cni0根据路由表将数据发送给Pod3所在的宿主机
  • Pod3所在的宿主机收到数据后,根据路由表将数据发送给cni0
  • cni0再根据目的IP转发给Pod3

这里指导数据包流向的就是宿主机上面的路由,对于我们这里的场景,宿主机上面的路由可能是:

Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
0.0.0.0         192.168.80.2    0.0.0.0         UG    0      0        0 ens33
10.244.0.0      192.168.80.241  255.255.255.0   UG    0      0        0 ens33
10.244.1.0      192.168.80.242  255.255.255.0   UG    0      0        0 ens33
10.244.2.0      0.0.0.0         255.255.255.0   U     0      0        0 cni0

第二条路由就是当前集群中的另一个节点,该节点的宿主机IP是192.168.80.241,网段是10.2440.0./24,因此,当cni0收到发往10.244.0.0/24网段的Pod的数据包时,会根据该路由将数据包发送给192.168.80.241,发出去的接口是ens33。

第四条路由就是当前节点的网段,当本机收到发往当前节点的Pod的数据包时,会根据该条路由将数据包发送给cni0,然后cni0就可以将数据包发送给目的Pod。

这种方式是直接将目的Pod的宿主机作为网关,不会对数据包进行额外的封装解封装,因此,这种模式的性能比较高,它的缺点是,宿主机必须在同一个网段中,所以,在云环境中可能需要其他的组件支持。

4 总结

Flannel作为k8s中广泛使用的网络插件,它的实现相对容易理解,它还提供了不同的模式,常用的是VxLan和Host-GW,由于Host-GW要求宿主机在同一个网段,使用受限,因此,最常用的还是VxLan。

相关推荐
Spring_java_gg6 分钟前
如何抵御 Linux 服务器黑客威胁和攻击
linux·服务器·网络·安全·web安全
全能全知者1 小时前
docker快速安装与配置mongoDB
mongodb·docker·容器
方方怪1 小时前
与IP网络规划相关的知识点
服务器·网络·tcp/ip
weixin_442643422 小时前
推荐FileLink数据跨网摆渡系统 — 安全、高效的数据传输解决方案
服务器·网络·安全·filelink数据摆渡系统
阑梦清川2 小时前
JavaEE初阶---网络原理(五)---HTTP协议
网络·http·java-ee
FeelTouch Labs3 小时前
Netty实现WebSocket Server是否开启压缩深度分析
网络·websocket·网络协议
长弓三石5 小时前
鸿蒙网络编程系列44-仓颉版HttpRequest上传文件示例
前端·网络·华为·harmonyos·鸿蒙
xianwu5436 小时前
反向代理模块
linux·开发语言·网络·git
follycat6 小时前
[极客大挑战 2019]HTTP 1
网络·网络协议·http·网络安全
xiaoxiongip6667 小时前
HTTP 和 HTTPS
网络·爬虫·网络协议·tcp/ip·http·https·ip