文章目录
-
-
- [1 Pod的IP地址的分配](#1 Pod的IP地址的分配)
- [2 CNI](#2 CNI)
- [3 Flannel](#3 Flannel)
-
- [3.1 Flannel的安装](#3.1 Flannel的安装)
- [3.2 VxLan](#3.2 VxLan)
- [3.3 Host-GW](#3.3 Host-GW)
- [4 总结](#4 总结)
-
1 Pod的IP地址的分配
当节点上只安装了docker,则会用veth pair+docker0实现单个节点上容器之间的通信,并且这些容器都在同一个IP段,如果不修改,则默认为172.17.0.0/16,此时,docker0的ip就是网段的网关地址:172.17.0.1/16。那么,多个节点上的容器都在同一个网段,跨节点通信肯定会出现问题。
因此,在k8s集群中,对于网络而言,需要有以下准则:
集群中的每个Pod都有独立的IP地址,且不能出现冲突
集群中的Pod之间可以直接通过Pod IP进行通信,且不需要做地址转换
总的来说就是,集群中的Pod都会有自己的IP地址,且能够通过这个IP地址进行通信,就好像所有Pod都在同一个网络。
因此,第一个问题就是,如何给每个Pod分配一个不冲突的IP地址。
k8s的策略是:
整个集群在一个大的网段中,通常是一个16位的网段,kube-controller-manager的参数--cluster-cidr就是该网段
每个节点从集群的网段中取一个小的网段作为这个节点上所有Pod所在的网段,通常是一个24位的网段,node.spec.podCIDR可以看到该节点的Pod网段
每个Pod则从节点得到的网段中获取一个IP地址
这样就保证了所有Pod的IP都在一个大的网段中,并且不会冲突。
但是,如何让Pod之间可以通过Pod IP进行通信呢?这些IP毕竟是虚拟的,需要有一种机制能够实现Pod IP的相互通信。
2 CNI
CNI是容器网络接口的缩写,是K8S安装Pod网络的接口。
当kubelet创建Pod时,需要调用CNI接口为Pod安装网络:
分配Pod的IP
设置Pod的网络命名空间
配置Pod的路由
3 Flannel
Flannel是最简单也比较容易理解的一个网络插件。它的主要思想是将宿主机的网络作为隧道,将Pod之间通信的网络数据包封装为可以直接在宿主机上传输的数据包。由于Pod之间传输的数据包经过了底层网络的再封装和再解封装,可以知道,这种方式存在一定的性能损耗,不过,这种损耗在大部分场景下都是可以接受的,除非对性能要求非常高。
3.1 Flannel的安装
Flannel的yaml可以从官网直接下载安装,需要注意的有两个地方:
使用的flannel镜像如果无法下载,可以将镜像仓库修改为quay.mirrors.ustc.edu.cn
如果有需要可以调整Pod网段,默认的网段是10.244.0.0/16
3.2 VxLan
VxLan是一项用于在三层网络传输二层网络数据包的技术,只要底层的三层网络可达,就可以在三层网络之上建立二层网络,从而构建逻辑上的大二层网络。
上图就是两个node上的Pod之间通信的流程。
- node0的网段是10.244.0.0/24,node1的网段是10.244.1.0/24
- cni0是个网桥,网桥的IP地址是网段的网关,Pod中的容器通过veth pair接入到cni0,而机器上可以看到以veth开头的网卡
- 当node0上的container1发送数据给node1上的container1时,发送端是知道目的端的IP地址的,由于目的IP不在当前网段,因此,会发送给cni0网桥
- cni0网桥收到数据后,根据路由表将数据转发给flannel.1
- flannel.1是一个vxlan的设备,VNI是1,本地地址是172.16.16.202,本地设备是eth0,目的端口是8472,也就是说,当flannel.1收到数据包后,就会将数据包封装到UDP数据包中,然后发送到对端的8472端口,问题是,flannel.1怎么知道目的IP在哪个宿主机上呢?不然,发出去的数据包如何根据宿主机网络路由到目的IP所在的宿主机呢?按照k8s的机制,是可以通过查询etcd根据目的IP的网段知道宿主机网络中的目的IP。
- 由于目的端的网络子系统会监听8472,当node1收到数据后,flannel.1就会收到数据,然后将数据解封装后,根据路由交给cni0
- cni0收到数据后,根据目的IP的mac地址转发给对应的容器
3.3 Host-GW
host-gw是直接走宿主机的网络,将对方的宿主机当做路由器进行转发。
- Pod1向Pod3发送数据时,同样的,会通过veth pair将数据发送给cni0
- cni0根据路由表将数据发送给Pod3所在的宿主机
- Pod3所在的宿主机收到数据后,根据路由表将数据发送给cni0
- cni0再根据目的IP转发给Pod3
这里指导数据包流向的就是宿主机上面的路由,对于我们这里的场景,宿主机上面的路由可能是:
Destination Gateway Genmask Flags Metric Ref Use Iface
0.0.0.0 192.168.80.2 0.0.0.0 UG 0 0 0 ens33
10.244.0.0 192.168.80.241 255.255.255.0 UG 0 0 0 ens33
10.244.1.0 192.168.80.242 255.255.255.0 UG 0 0 0 ens33
10.244.2.0 0.0.0.0 255.255.255.0 U 0 0 0 cni0
第二条路由就是当前集群中的另一个节点,该节点的宿主机IP是192.168.80.241,网段是10.2440.0./24,因此,当cni0收到发往10.244.0.0/24网段的Pod的数据包时,会根据该路由将数据包发送给192.168.80.241,发出去的接口是ens33。
第四条路由就是当前节点的网段,当本机收到发往当前节点的Pod的数据包时,会根据该条路由将数据包发送给cni0,然后cni0就可以将数据包发送给目的Pod。
这种方式是直接将目的Pod的宿主机作为网关,不会对数据包进行额外的封装解封装,因此,这种模式的性能比较高,它的缺点是,宿主机必须在同一个网段中,所以,在云环境中可能需要其他的组件支持。
4 总结
Flannel作为k8s中广泛使用的网络插件,它的实现相对容易理解,它还提供了不同的模式,常用的是VxLan和Host-GW,由于Host-GW要求宿主机在同一个网段,使用受限,因此,最常用的还是VxLan。