k8s 的 CNI 网络模型

原创 已于 2022-05-30 09:09:52 修改 · 2.5k 阅读 · 15 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#CNI #K8s-CNI #网络模型 #CNI 插件

于 2021-03-07 23:43:04 首次发布
本文探讨了Kubernetes的网络模型,包括Pod间通信机制、CNI及其优点,CNI插件分类与选型,以及NetworkPolicy在网络策略中的应用。重点介绍了基于CNI的网络方案如Canal和其在实际部署中的应用。

目录

k8s 网络模型产生的背景和目的

k8s 的网络模型下集群中的各种实体如何通信?

CNI 网络模型

CNI 的优点

CNI 插件的分类及选型参考

Network Policy/网络策略

k8s 基于 CNI 网络模型实现的网络方案

k8s 网络模型产生的背景和目的

k8s 作为编排引擎管理着分布在不同节点上的容器和 Pod。而 Pod、Service 以及外部组件之间需要一种可靠的方式找到批次并进行互相通信,此时 k8s 网络则负责提供这个保障。下面将介绍如下内容:

  1. k8s 网络模型;
  2. k8s 基于 CNI 实现的各种网络方案;
  3. Network Policy 网络策略;

k8s 的网络模型下集群中的各种实体如何通信?

1. Pod内容器之间的通信

  • 当 Pod 被调度到某个节点,Pod 中的所有容器都在这个节点上运行,这些容器共享相同的本地文件系统、IPC 和网络命名空间。
  • 不同 Pod 之间不存在端口冲突的问题,因为每个 Pod 都有自己的 IP 地址。当某个容器使用 lalhost 时,意味着使用的是容器所属 Pod 的地址空间。
  • 比如 PodA 有两个容器 container-AI 和 container-A2,container-A1 在端口1234 上监听,当 container-A2 连接到 laltost:12324 时, 实际上就是在访问 cntaine-Al。这不会与同个节点上的 PodB 冲突,即使 PodB 中的容器 container-BI 也在监听1234端口。

2. Pod之间的通信

  • Pod的IP是集群可见的,即集群中的任何其他Pod和节点都可以通过IP直接与Pod通信,这种通信不需要借助任何网络地址转换、隧道或代理技术。Pod 内部和外部使用的是网个 IP,这也意味着标准的命名服务和发现机制,比如DNS可以直接使用。

3. Pod与Service的通信

  • Pod 间可以直接通过 IP 地址通信,但前提是 Pod 知道对方的 IP。在 Kabenete 集群中,Pod 可能会频繁地销级和创建,也就是说 Pod 的 IP 不是固定的。为了解决这个问题,Service 提供了访问 Pod 的抽象层。无论后端的 Pod 如何变化,Service 都作为稳定的前端对外提供服务。同时 Serice 还提供了高可用和负载均衡功能,Service 负责将请求转发给正确的Pod。

4. 外部访问

  • 无论是 Pod 的 IP 还是 Service 的 Cluster IP,它们只能在 Kubermetes 集群中可见,对集群之外的世界,这些 IP 都是私有的。
  • Kubermetes 提供了两种方式让外界能够与 Pod 通信:
最低0.47元/天 解锁文章
k8s 部署 CNI 网络组件
lcy913的博客
02-24 3307
使用BGP模式会把每个node节点看作成路由器,通过Felix、BIRD组件来维护和分发路由规则,可实现直接通过BGP路由协议实现路由转发,传输过程中不需要额外封包和解包过程,因此性能较好,但是只能在同一个网段里使用,无法跨子网传输。③flanneld进程会根据在etcd中维护的路由表查到目标Pod所在的nodeIP,并在UDP报文外封装nodeIP头部、MAC头部,再通过物理网卡发送到目标node节点。VXLAN采用隧道机制,Flannel产品成熟,依赖性较少,易于安装,功能简单,配置方便,利于管理。
k8s中Container Networking Interface (CNI)解析
专注于数据库技术分享,包含但不限于Oracle,MySQL,PostgreSQL,ElasticSearch及国产数据库等
04-25 1247
Container Networking Interface (CNI) 是一种标准化的网络插件接口,用于在容器运行时(如Docker、containerd、CRI-O等)与底层网络堆栈之间建立桥梁,为容器提供网络连接能力。CNI简化了容器网络的配置和管理,使得不同的容器运行时和网络解决方案能够无缝集成到Kubernetes等容器编排平台中。
Kubernetes网络核心:CNI超简指南
最新发布
2303_78660565的博客
10-04 1106
【摘要】CNI(容器网络接口)是Kubernetes集群中实现容器网络通信的关键组件,相当于为Pod提供"网络连接器"。它主要完成两项核心工作:自动为Pod分配唯一IP地址,并配置网络路由规则确保Pod间及对外通信。主流CNI工具包括简单易用的Flannel、功能强大的Calico和支持跨地域的WeaveNet,用户可根据场景选择。安装CNI后,Kubernetes集群才能实现完整的网络功能,否则Pod将处于"网络孤岛"状态。理解CNI机制是掌握Kubernetes网
【Kubernetes】二进制部署k8s集群(中)之cni网络插件flannel和calico
F12138X的博客
07-30 1805
失败就自暴自弃,无异于放弃人生
k8s 各种网络方案 - 每天5分钟玩转 Docker 容器技术(170)
weixin_33850890的博客
05-20 443
网络模型有了,如何实现呢? 为了保证网络方案的标准化、扩展性和灵活性,Kubernetes 采用了 Container Networking Interface(CNI)规范。 CNI 是由 CoreOS 提出的容器网络规范,它使用了插件(Plugin)模型创建容器的网络栈。 CNI 的优点是支持多种容器 runtime,不仅仅是 Docker。CNI...
K8S 网络CNI
elihe2011的专栏
02-14 3002
1. 简介 CNI: 容器网络接口(Container Network Interface):由Google和Core OS主导制定的容器网络标准,它仅仅是一个接口,具体的功能由各个网络插件自己去实现: 创建容器网络空间(network namespace) 将网络接口(interface)放到对应的网络空间 为网络接口分配IP等 容器删除时,回收网络资源 CNI不仅定义了接口规范,同时也提供了一些内置的标准实现,以及libcni这样的“胶水层”,大大降低了容器运行时与网络插件的接入门槛 注意:Doc
什么是 k8s CNI
渔夫.AI
12-07 1417
CNI 是容器网络接口 (Container Network Interface)的缩写。定义了容器运行时如何与网络插件进行交互,从而管理容器网络。只要开发者遵循 CNI 定义的规范就可以接入 kubernetes ,为 Pod 创建虚拟网卡、分配 IP 地址、设置路由规则等,这样就实现 “IP-Per-Pod” 网络模型CNI 为网络插件定义了一些以系列通用接口,可以使容器运行时与多种不同的网络插件(Flannel、Calico、Cilium等网络插件)进行交互,不同网络插件可以提供不同的网络策略。
k8s网络打鱼篇一-弄懂CNI插件底层网络技术
qq_37167115的博客
08-25 1721
k8s 向我们提供各种网络插件、网络资源,例如 Flannel、Calico、Cilium、Weave 各种网络插件。在使用之前我们需要理解它们是如何工作的,这样才能在遇到问题时能有清晰的认识,能够知其所以然。本文将依次介绍 Linux 为我们提供的工具:namespace、veth pair、iptables、Linux bridge、tun/tap 设备、iptables、ipip、vxlan、macvlan、ipvlan,以及当前最新的 ebpf 技术,这个后续开单独模块介绍。
浅谈K8S cni和网络方案
jessicaiu的博客
11-30 4414
此文已由作者黄扬授权网易云社区发布。欢迎访问网易云社区,了解更多网易技术产品运营经验。在早先的k8s版本中,kubelet代码里提供了networkPlugin,networkPlugin是一组接口,实现了pod的网络配置、解除、获取,当时kubelet的代码中有个一个docker_manager,负责容器的创建和销毁,亦会负责容器网络的操作。而如今我们可以看到基本上kubelet的启动参数中,n...
10 张图解 K8S CNI Calico 网络模型原理与功能实战
因上努力,果上随缘。但行好事,莫问前程。
11-23 1537
边界网关协议(BGP)是运行于 TCP 上的一种自治系统的路由协议,也是互联网上一个核心的去中心化自治路由协议。网络可达信息包括列出的自治系统(AS)的信息。这些信息有效地构造了 AS 互联的拓朴图并由此清除了路由环路,同时在 AS 级别上可实施策略决策。在互联网中,一个自治系统(AS)是一个有权自主地决定在本系统中应采用何种路由协议的小型单位。BGP 是路由器之间的通信协议,主要用于 AS(AutonomousSystem,自治系统)之间的互联。
浅谈k8s cni 插件
weixin_34277853的博客
11-28 1057
目前不论是个人还是企业,在使用k8s时,都会采用CNI作为集群网络方案实现的规范。 在早先的k8s版本中,kubelet代码里提供了networkPlugin,networkPlugin是一组接口,实现了pod的网络配置、解除、获取,当时kubelet的代码中有个一个docker_manager,负责容器的创建和销毁,亦会负责容器网络的操...
K8s中的CNI网络模型
weixin_44522586的博客
09-29 1483
容器中的网络模型早年有CNM(Container Network Model, 容器网络模型) ,是一个由Docker提出的规范。CNM中有代表性的就是Libnetwork,在Docker daemon和网络驱动之间提供接口,网络控制器负责将驱动和网络进行连接。CNM的问题:● 容器运行时有不同的插件,运行复杂● 需要使用分布式存储来保存网络配置模型● Network Sandbox:容器内部的网络栈,包括网络接口、路由表、DNS 等配置的管理。
K8S CNI及各CNI网络解决方案简述
不忘初心,方得始终
09-19 4387
CNi:什么是CNICNI是Container Network Interface的缩写,是一个标准的通用的接口。为了让用户在容器创建或销毁时都能够更容易地配置容器网络,现在容器平台:docker,kubernetes,mesos。 CNI如何实现?CNI用于连接容器管理系统和网络插件。提供一个容器所在的network namespace,将network interface插入该network......
k8s部署 CNI 网络组件与k8s集群搭建(二)
whtqwq的博客
12-28 1151
仪表板是基于Web的Kubernetes用户界面。您可以使用仪表板将容器化应用程序部署到Kubernetes集群,对容器化应用程序进行故障排除,并管理集群本身及其伴随资源。您可以使用仪表板来概述群集上运行的应用程序,以及创建或修改单个Kubernetes资源(例如deployment,job,daemonset等)。例如,您可以使用部署向导扩展部署,启动滚动更新,重新启动Pod或部署新应用程序。仪表板还提供有关群集中Kubernetes资源状态以及可能发生的任何错误的信息。
K8s 部署 CNI 网络组件+k8s 多master集群部署+负载均衡
m0_56509725的博客
10-25 2193
目前比较常用的CNI网络组件是flannel和calico,flannel的功能比较简单,不具备复杂的网络策略配置能力,calico是比较出色的网络管理插件,但具备复杂网络配置能力的同时,往往意味着本身的配置比较复杂,所以相对而言,比较小而简单的集群使用flannel,考虑到日后扩容,未来网络可能需要加入更多设备,配置更多网络策略,则使用calico更好。------------------------------ 部署 CNI 网络组件 ------------------------------
kubernetes 集群内端口_浅谈 Kubernetes 网络模型CNI
weixin_39793434的博客
11-27 259
来源:https://morven.life/notes/networking-6-k8s-summary/Kubernetes通过整合规模庞大的容器实例形成集群,这些容器实例可能运行在异构的底层网络环境中,如何保证这些容器间的互通是实际生产环境中首要考虑的问题之一。Kubernetes网络基本要求Kubernetes对容器技术做了更多的抽象,其中最重要的一点是提出pod的概念,pod是...
浅谈 K8s 网络模型CNI协议
腾讯技术工程
12-01 2464
作者:successwang(王成),腾讯 CSIG 研发工程师,Kubernetes member。1. 概述进入 K8s 的世界,会发现有很多方便扩展的 Interface,包括 CN...
【 云原生 | K8S 】部署 CNI 网络组件+k8s 多master集群部署+负载均衡及Dashboard k8s仪表盘图像化展示管理
2302_78835233的博客
11-04 2422
1 部署 CNI 网络组件 1.1 部署 flannel 1.2 部署 Calico 1.3 部署 CoreDNS 2 负载均衡部署 3 部署 Dashboard
k8sCNI详解
woshihlf的博客
02-11 2280
CNI 是 Kubernetes 网络模型的核心组件,通过灵活的插件机制实现了容器网络的配置和管理。选择合适的 CNI 插件和网络方案,能够显著提升 Kubernetes 集群的网络性能和安全性。常见的 CNI 插件如 Calico、Flannel 和 Canal,各有其特点和适用场景,用户可以根据实际需求进行选择和配置。
k8s cni 网络插件 bindwith 怎么设置pod的网络带宽使用
03-27
<think>好的,用户现在想了解如何在Kubernetes中使用CNI网络插件来设置Pod的网络带宽使用。特别是提到了“bindwith”,看起来可能是“bandwidth”的拼写错误。我需要确认用户的意图,可能他们想问的是如何通过CNI插件来限制Pod的带宽。 首先,我需要回想一下Kubernetes的网络模型。Kubernetes本身不直接管理网络带宽,而是依赖于CNI插件CNI插件中,例如带宽管理插件,可以用来设置Pod的入口和出口带宽限制。常见的带宽管理插件包括使用Linux的tc(traffic control)工具来实现。 接下来,我需要确定用户具体需要的是哪个插件或者方法。例如,CNI社区有一个带宽插件,叫bandwidth,它允许在Pod的annotations中指定带宽限制。另外,像Calico这样的CNI插件是否支持带宽限制?或者用户是否在使用其他插件如Cilium? 然后,用户可能对具体配置步骤感兴趣。我需要分步骤说明,比如如何安装带宽插件,如何配置Pod的annotations,以及验证方法。同时,需要注意不同Kubernetes版本和CNI插件的兼容性问题。 另外,用户可能会遇到问题,比如设置后带宽未生效,这时候需要检查是否加载了正确的内核模块(如sch_tbf),或者是否有权限问题。此外,带宽限制的单位是否正确,比如Mbit和MB的区别,需要明确说明。 可能用户是运维人员或开发人员,需要在集群中为不同Pod分配不同的带宽,比如测试环境限制带宽,生产环境保证带宽。因此,实际应用场景中的最佳实践和注意事项也需要提及,例如如何合理设置带宽值,避免影响其他服务。 最后,我需要确保回答结构清晰,步骤详细,并包含示例配置,这样用户可以直接参考使用。同时,提醒用户某些CNI插件可能需要额外配置,或者某些环境(如云提供商)可能有特定的限制。</think>在Kubernetes中,**Pod的网络带宽限制**需要通过CNI(Container Network Interface)插件实现。社区提供的`bandwidth`插件是专门用于设置Pod入口(ingress)和出口(egress)带宽的扩展工具,它基于Linux的`tc`(Traffic Control)实现流量整形。以下是详细的配置步骤和原理说明: --- ### **1. 前置条件** - **CNI插件支持**:确认集群使用的CNI插件(如Calico、Cilium、Flannel等)已集成`bandwidth`插件或支持带宽限制功能。 - **内核模块**:节点需加载`sch_tbf`(令牌桶过滤器)和`sch_ingress`内核模块(一般默认已启用)。 - **安装带宽插件**:若CNI未内置带宽管理,需手动部署[CNI带宽插件](https://github.com/containernetworking/plugins/tree/main/plugins/meta/bandwidth)。 --- ### **2. 配置Pod带宽限制** #### **(1) 通过Pod注解(Annotations)设置** 在Pod的`metadata.annotations`中指定带宽: ```yaml apiVersion: v1 kind: Pod metadata: name: nginx annotations: # 设置入口带宽(从外部到Pod) kubernetes.io/ingress-bandwidth: "10M" # 设置出口带宽(从Pod到外部) kubernetes.io/egress-bandwidth: "20M" spec: containers: - name: nginx image: nginx ``` #### **(2) 带宽单位格式** - 支持单位:`Kbps`(千比特/秒)、`Mbps`(兆比特/秒)、`Gbps`。 - 示例:`"100M"`表示100Mbps,等价于`100Mbps`。 --- ### **3. 底层原理** - **入口带宽(ingress)**:通过`ifb`(Intermediate Functional Block)虚拟设备将入口流量重定向为出口流量,再使用`tbf`(Token Bucket Filter)限制。 - **出口带宽(egress)**:直接在Pod的veth接口上使用`tbf`或`htb`(Hierarchical Token Bucket)队列规则限制。 --- ### **4. 验证带宽限制** #### **(1) 检查Pod的网络接口** 进入Pod查看网络接口: ```bash kubectl exec -it nginx -- sh ip link show ``` #### **(2) 查看tc规则** 在节点上执行以下命令,查看Pod的veth接口流量控制规则: ```bash # 查找Pod的veth接口(如veth12345) ip link | grep veth # 查看tc规则 tc qdisc show dev veth12345 tc class show dev veth12345 ``` --- ### **5. 常见问题排查** #### **(1) 带宽未生效** - 检查是否加载`sch_tbf`内核模块:`lsmod | grep sch_tbf` - 确认CNI配置中启用了`bandwidth`插件。 #### **(2) 单位混淆** - 注意`1Mbps = 1,000,000 bits/sec`,而`1MB/s = 8,000,000 bits/sec`。若需限制为10MB/s,应设置为`80M`(即80Mbps)。 --- ### **6. 高级配置(CNI配置文件)** 若需全局默认带宽限制,可在CNI配置文件中添加`bandwidth`插件: ```json { "cniVersion": "0.3.1", "name": "mynet", "plugins": [ { "type": "calico", ... }, { "type": "bandwidth", "capabilities": { "bandwidth": true } } ] } ``` --- ### **7. 兼容性与限制** - **仅Linux支持**:带宽限制依赖Linux内核的`tc`工具,Windows节点不支持。 - **云厂商限制**:某些云平台(如AWS)可能对实例的网络带宽有物理限制,需结合实例类型配置。 - **实时性**:`tc`规则适用于稳态流量,突发流量可能短暂超过限制。 --- ### **8. 替代方案** - **Cilium带宽管理**:Cilium CNI通过eBPF实现更高效的带宽控制(需内核≥5.1)。 - **第三方工具**:如`kubernetes-network-bandwidth`项目支持动态调整带宽。 --- 通过以上配置,可以精确控制Pod的网络带宽使用,避免资源争抢并满足SLA要求。建议结合监控工具(如Prometheus)观察实际带宽使用情况。
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

ChaITSimpleLove

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值