CNI(Container Networking Interface) 容器网络接口
cnitool
cnitool是一个执行CNI配置的简单程序。它将在已创建的网络命名空间中添加或删除接口。
环境变量:
- NETCONFPATH:默认从/etc/cni/net.d下所有以*.conf和*.json结尾的文件中获取环境变量
- CNI_PATH:CNI插件路径
简单的示例
安装
            
            
              shell
              
              
            
          
          go get github.com/containernetworking/cni
go install github.com/containernetworking/cni/cnitool
git clone https://github.com/containernetworking/plugins.git
cd plugins
./build_linux.sh创建cni网络
            
            
              shell
              
              
            
          
          echo '{"cniVersion":"0.4.0","name":"myptp","type":"ptp","ipMasq":true,"ipam":{"type":"host-local","subnet":"172.16.29.0/24","routes":[{"dst":"0.0.0.0/0"}]}}' | tee /etc/cni/net.d/10-myptp.conf绑定cni
            
            
              shell
              
              
            
          
          # 创建ns
sudo ip netns add testing
# 把容器添加到cni网络中
sudo CNI_PATH=./bin cnitool add myptp /var/run/netns/testing
# 检查
sudo CNI_PATH=./bin cnitool check myptp /var/run/netns/testing
# 测试
sudo ip -n testing addr
sudo ip netns exec testing ping -c 1 4.2.2.2
# 清理
sudo CNI_PATH=./bin cnitool del myptp /var/run/netns/testing
sudo ip netns del testingIPAM插件
ip地址分配插件
- dhcp: 在宿主机上运行一个守护进程,代表容器发出dhcp请求
- host-local: 维护已分配ip的本地数据库
- static: 为容器分配静态IPv4/IPv6地址
Main插件
接口的创建插件
- bridge:创建一个桥接,将主机和容器添加到其中
- ipvlan:在容器中添加ipvlan接口
- macvlan:创建一个新的MAC地址,将所有流量转发到容器
- ptp:创建一对veth虚拟接口
- host-device:将已经存在的设备移动到容器中
- vlan:创建vlan接口
Windows的接口
- win-bridge:创建一个桥接,将主机和容器添加到其中
- win-overlay:为容器创建overlay接口
ptp
ptp插件通过使用veth虚拟设备在容器和主机之间创建点对点链接。host-local IPAM插件可以用来给容器分配ip。容器接口的流量将通过主机接口路由。
集群多cni部署:手工配置ptp-cni
有些时候因为网络环境的特殊性,并不能实现每个节点都在相同的网络环境下,我们可以通过独立部署cni的方式实现集群内的互通。
ptp节点信息
            
            
              shell
              
              
            
          
          prifcy-k8s-xx1.hz.163.org 7.34.xx.xx1 pod:10.178.128.0/24
prifcy-k8s-xx2.hz.163.org 7.34.xx.xx2 pod:10.178.129.0/24k8s集群中禁止原有cni调度
            
            
              yaml
              
              
            
          
                tolerations: # 配置了污点容忍
      - operator: Exists
    spec:
      affinity:
        nodeAffinity: # 添加节点亲和性
          requiredDuringSchedulingIgnoredDuringExecution:
            nodeSelectorTerms:
            - matchExpressions:
              - key: node.netease.com/ptp
                operator: DoesNotExist # 使用不存在检查cni插件
            
            
              shell
              
              
            
          
          $ ls /opt/cni/bin
bandwidth  bridge  dhcp  firewall  flannel  host-device  host-local  ipvlan  loopback  macvlan  portmap  ptp  sbr  scud-cni-bgp  static  tuning  vlan
$ less /etc/default/kubelet-extra
--kubeconfig=/etc/kubernetes/kubelet.conf \
--cni-bin-dir=/opt/cni/bin \
--cni-conf-dir=/etc/cni/net.d \
--config=/var/lib/kubelet/config.yaml \
--network-plugin=cni \配置kubelet-nci,编写/etc/cni/net.d/ptp.conflist,两个节点区分一下subnet
            
            
              shell
              
              
            
          
          {
  "cniVersion":"0.3.1",
  "name":"ptp-network",
  "plugins":[
    {
      "name": "ptpnet",
      "type": "ptp",
      "ipam": {
        "type": "host-local",
        "subnet": "10.178.128.0/24",
        "routes": [
          {
            "dst": "0.0.0.0/0"
          }
        ]
      },
      "mtu": 1450,
      "ipMasq": false
    }
  ]
}重启kubelet: systemctl restart kubelet.service,查看pod已经可以正常分配ip了
            
            
              shell
              
              
            
          
          skiff-agent-c2pln  1/1     Running   3   62s     10.178.128.6    prifcy-k8s-ptp-xx1.hz.163.org
skiff-agent-pbrsk  1/1     Running   3   62s     10.178.129.6    prifcy-k8s-ptp-xx2.hz.163.org现在需要保证集群内pod网络互通
            
            
              shell
              
              
            
          
          # ptp节点上启动tunl0
ip link set tunl0 up
# 2台ptp节点上也要添加对应的路由,保证ptp节点之间互通
ip route add 10.178.129.0/24 via 7.34.73.xx1 dev tunl0 onlink
ip route add 10.178.128.0/24 via 7.34.73.xx2 dev tunl0 onlink
# 贵州集群正常cni节点添加路由,节点上本身就启动了tunl0
ip route add 10.178.128.0/24 via 7.34.73.xx1 dev tunl0 onlink
ip route add 10.178.129.0/24 via 7.34.73.xx2 dev tunl0 onlink
# 完成后就可以在正常节点上ping通ptp的网段了
ping -c1 10.178.129.3ptp的pod可以访问外网
            
            
              shell
              
              
            
          
          iptables -t nat -A POSTROUTING -s 10.178.128.0/24 -d 10.48.160.0/22 -j RETURN # pod网段
iptables -t nat -A POSTROUTING -s 10.178.128.0/24 -d 10.48.164.0/26 -j RETURN # node网段
iptables -t nat -A POSTROUTING -s 10.178.128.0/24 -j MASQUERADE