【kubernetes】集群网络(二):Flannel的VxLan、Host-GW模式

2024-02-02 08:12

本文主要是介绍【kubernetes】集群网络(二):Flannel的VxLan、Host-GW模式,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

文章目录

      • 1 Pod的IP地址的分配
      • 2 CNI
      • 3 Flannel
        • 3.1 Flannel的安装
        • 3.2 VxLan
        • 3.3 Host-GW
      • 4 总结

1 Pod的IP地址的分配

当节点上只安装了docker,则会用veth pair+docker0实现单个节点上容器之间的通信,并且这些容器都在同一个IP段,如果不修改,则默认为172.17.0.0/16,此时,docker0的ip就是网段的网关地址:172.17.0.1/16。那么,多个节点上的容器都在同一个网段,跨节点通信肯定会出现问题。

因此,在k8s集群中,对于网络而言,需要有以下准则:

集群中的每个Pod都有独立的IP地址,且不能出现冲突

集群中的Pod之间可以直接通过Pod IP进行通信,且不需要做地址转换

总的来说就是,集群中的Pod都会有自己的IP地址,且能够通过这个IP地址进行通信,就好像所有Pod都在同一个网络。

因此,第一个问题就是,如何给每个Pod分配一个不冲突的IP地址。

k8s的策略是:

整个集群在一个大的网段中,通常是一个16位的网段,kube-controller-manager的参数–cluster-cidr就是该网段

每个节点从集群的网段中取一个小的网段作为这个节点上所有Pod所在的网段,通常是一个24位的网段,node.spec.podCIDR可以看到该节点的Pod网段

每个Pod则从节点得到的网段中获取一个IP地址

这样就保证了所有Pod的IP都在一个大的网段中,并且不会冲突。

但是,如何让Pod之间可以通过Pod IP进行通信呢?这些IP毕竟是虚拟的,需要有一种机制能够实现Pod IP的相互通信。

2 CNI

CNI是容器网络接口的缩写,是K8S安装Pod网络的接口。

当kubelet创建Pod时,需要调用CNI接口为Pod安装网络:

分配Pod的IP

设置Pod的网络命名空间

配置Pod的路由

3 Flannel

Flannel是最简单也比较容易理解的一个网络插件。它的主要思想是将宿主机的网络作为隧道,将Pod之间通信的网络数据包封装为可以直接在宿主机上传输的数据包。由于Pod之间传输的数据包经过了底层网络的再封装和再解封装,可以知道,这种方式存在一定的性能损耗,不过,这种损耗在大部分场景下都是可以接受的,除非对性能要求非常高。

3.1 Flannel的安装

Flannel的yaml可以从官网直接下载安装,需要注意的有两个地方:

使用的flannel镜像如果无法下载,可以将镜像仓库修改为quay.mirrors.ustc.edu.cn

如果有需要可以调整Pod网段,默认的网段是10.244.0.0/16

3.2 VxLan

VxLan是一项用于在三层网络传输二层网络数据包的技术,只要底层的三层网络可达,就可以在三层网络之上建立二层网络,从而构建逻辑上的大二层网络。

在这里插入图片描述

上图就是两个node上的Pod之间通信的流程。

  • node0的网段是10.244.0.0/24,node1的网段是10.244.1.0/24
  • cni0是个网桥,网桥的IP地址是网段的网关,Pod中的容器通过veth pair接入到cni0,而机器上可以看到以veth开头的网卡
  • 当node0上的container1发送数据给node1上的container1时,发送端是知道目的端的IP地址的,由于目的IP不在当前网段,因此,会发送给cni0网桥
  • cni0网桥收到数据后,根据路由表将数据转发给flannel.1
  • flannel.1是一个vxlan的设备,VNI是1,本地地址是172.16.16.202,本地设备是eth0,目的端口是8472,也就是说,当flannel.1收到数据包后,就会将数据包封装到UDP数据包中,然后发送到对端的8472端口,问题是,flannel.1怎么知道目的IP在哪个宿主机上呢?不然,发出去的数据包如何根据宿主机网络路由到目的IP所在的宿主机呢?按照k8s的机制,是可以通过查询etcd根据目的IP的网段知道宿主机网络中的目的IP。
  • 由于目的端的网络子系统会监听8472,当node1收到数据后,flannel.1就会收到数据,然后将数据解封装后,根据路由交给cni0
  • cni0收到数据后,根据目的IP的mac地址转发给对应的容器
3.3 Host-GW

host-gw是直接走宿主机的网络,将对方的宿主机当做路由器进行转发。

在这里插入图片描述

  • Pod1向Pod3发送数据时,同样的,会通过veth pair将数据发送给cni0
  • cni0根据路由表将数据发送给Pod3所在的宿主机
  • Pod3所在的宿主机收到数据后,根据路由表将数据发送给cni0
  • cni0再根据目的IP转发给Pod3

这里指导数据包流向的就是宿主机上面的路由,对于我们这里的场景,宿主机上面的路由可能是:

Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
0.0.0.0         192.168.80.2    0.0.0.0         UG    0      0        0 ens33
10.244.0.0      192.168.80.241  255.255.255.0   UG    0      0        0 ens33
10.244.1.0      192.168.80.242  255.255.255.0   UG    0      0        0 ens33
10.244.2.0      0.0.0.0         255.255.255.0   U     0      0        0 cni0

第二条路由就是当前集群中的另一个节点,该节点的宿主机IP是192.168.80.241,网段是10.2440.0./24,因此,当cni0收到发往10.244.0.0/24网段的Pod的数据包时,会根据该路由将数据包发送给192.168.80.241,发出去的接口是ens33。

第四条路由就是当前节点的网段,当本机收到发往当前节点的Pod的数据包时,会根据该条路由将数据包发送给cni0,然后cni0就可以将数据包发送给目的Pod。

这种方式是直接将目的Pod的宿主机作为网关,不会对数据包进行额外的封装解封装,因此,这种模式的性能比较高,它的缺点是,宿主机必须在同一个网段中,所以,在云环境中可能需要其他的组件支持。

4 总结

Flannel作为k8s中广泛使用的网络插件,它的实现相对容易理解,它还提供了不同的模式,常用的是VxLan和Host-GW,由于Host-GW要求宿主机在同一个网段,使用受限,因此,最常用的还是VxLan。

这篇关于【kubernetes】集群网络(二):Flannel的VxLan、Host-GW模式的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/670041

相关文章

服务器集群同步时间手记

1.时间服务器配置(必须root用户) (1)检查ntp是否安装 [root@node1 桌面]# rpm -qa|grep ntpntp-4.2.6p5-10.el6.centos.x86_64fontpackages-filesystem-1.41-1.1.el6.noarchntpdate-4.2.6p5-10.el6.centos.x86_64 (2)修改ntp配置文件 [r

HDFS—集群扩容及缩容

白名单:表示在白名单的主机IP地址可以,用来存储数据。 配置白名单步骤如下: 1)在NameNode节点的/opt/module/hadoop-3.1.4/etc/hadoop目录下分别创建whitelist 和blacklist文件 (1)创建白名单 [lytfly@hadoop102 hadoop]$ vim whitelist 在whitelist中添加如下主机名称,假如集群正常工作的节

Hadoop集群数据均衡之磁盘间数据均衡

生产环境,由于硬盘空间不足,往往需要增加一块硬盘。刚加载的硬盘没有数据时,可以执行磁盘数据均衡命令。(Hadoop3.x新特性) plan后面带的节点的名字必须是已经存在的,并且是需要均衡的节点。 如果节点不存在,会报如下错误: 如果节点只有一个硬盘的话,不会创建均衡计划: (1)生成均衡计划 hdfs diskbalancer -plan hadoop102 (2)执行均衡计划 hd

Linux 网络编程 --- 应用层

一、自定义协议和序列化反序列化 代码: 序列化反序列化实现网络版本计算器 二、HTTP协议 1、谈两个简单的预备知识 https://www.baidu.com/ --- 域名 --- 域名解析 --- IP地址 http的端口号为80端口,https的端口号为443 url为统一资源定位符。CSDNhttps://mp.csdn.net/mp_blog/creation/editor

在JS中的设计模式的单例模式、策略模式、代理模式、原型模式浅讲

1. 单例模式(Singleton Pattern) 确保一个类只有一个实例,并提供一个全局访问点。 示例代码: class Singleton {constructor() {if (Singleton.instance) {return Singleton.instance;}Singleton.instance = this;this.data = [];}addData(value)

搭建Kafka+zookeeper集群调度

前言 硬件环境 172.18.0.5        kafkazk1        Kafka+zookeeper                Kafka Broker集群 172.18.0.6        kafkazk2        Kafka+zookeeper                Kafka Broker集群 172.18.0.7        kafkazk3

Kubernetes PodSecurityPolicy:PSP能实现的5种主要安全策略

Kubernetes PodSecurityPolicy:PSP能实现的5种主要安全策略 1. 特权模式限制2. 宿主机资源隔离3. 用户和组管理4. 权限提升控制5. SELinux配置 💖The Begin💖点点关注,收藏不迷路💖 Kubernetes的PodSecurityPolicy(PSP)是一个关键的安全特性,它在Pod创建之前实施安全策略,确保P

ASIO网络调试助手之一:简介

多年前,写过几篇《Boost.Asio C++网络编程》的学习文章,一直没机会实践。最近项目中用到了Asio,于是抽空写了个网络调试助手。 开发环境: Win10 Qt5.12.6 + Asio(standalone) + spdlog 支持协议: UDP + TCP Client + TCP Server 独立的Asio(http://www.think-async.com)只包含了头文件,不依

poj 3181 网络流,建图。

题意: 农夫约翰为他的牛准备了F种食物和D种饮料。 每头牛都有各自喜欢的食物和饮料,而每种食物和饮料都只能分配给一头牛。 问最多能有多少头牛可以同时得到喜欢的食物和饮料。 解析: 由于要同时得到喜欢的食物和饮料,所以网络流建图的时候要把牛拆点了。 如下建图: s -> 食物 -> 牛1 -> 牛2 -> 饮料 -> t 所以分配一下点: s  =  0, 牛1= 1~

poj 3068 有流量限制的最小费用网络流

题意: m条有向边连接了n个仓库,每条边都有一定费用。 将两种危险品从0运到n-1,除了起点和终点外,危险品不能放在一起,也不能走相同的路径。 求最小的费用是多少。 解析: 抽象出一个源点s一个汇点t,源点与0相连,费用为0,容量为2。 汇点与n - 1相连,费用为0,容量为2。 每条边之间也相连,费用为每条边的费用,容量为1。 建图完毕之后,求一条流量为2的最小费用流就行了