CNCF CNI系列之二:CNI(container network interface)概览(以macvlan为例)

最新推荐文章于 2025-09-29 09:32:51 发布
原创 最新推荐文章于 2025-09-29 09:32:51 发布 · 2k 阅读 · 6 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#container #docker #CNI #macvlan #kubernetes

本文介绍了CNCF的CNI接口规范及其应用,详细解析了CNI接口支持的操作、设计考量及环境变量参数等内容,并通过手动配置和调用macvlan CNI插件的实际案例,展示了如何实现容器网络配置。

一、前言

CNCF的CNI是一个接口规范,这个规范定义了输入、输出的标准和调用的接口。只要调用CNI插件的实体遵守这个规范,就能从CNI拿到满足网络互通条件的网络参数(如IP地址、网关、路由、DNS等),这些网络参数可以配置container实例。

本文通过分析手动调用macvlan CNI的过程,了解CNI接口规范的运行模式。

转载自https://blog.youkuaiyun.com/cloudvtech

二、container宿主机配置

所在网段:192.168.122.0/24

网卡配置:

 eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP qlen 1000
    link/ether 52:54:00:d8:d2:1e brd ff:ff:ff:ff:ff:ff
    inet 192.168.122.135/24 brd 192.168.122.255 scope global dynamic eth0
       valid_lft 2355sec preferred_lft 2355sec
    inet6 fe80::5054:ff:fed8:d21e/64 scope link
       valid_lft forever preferred_lft forever

转载自https://blog.youkuaiyun.com/cloudvtech

三、CNI接口规范

1. CNI接口支持的调用法方

添加网络、删除网络、添加网络列表、删除网络列表。

CNI plugin的功能可以概括为将container加入网络并被container的网络接口配置网络信息。

2. CNI插件

CNI插件必须是一个可执行文件。CNI插件负责将网络接口(比如veth的一端)插入container network namespace里面,并在主机上进行link level(比如veth的另一端)配置,使得container的在link level能够联通到主机。然后,CNI将IP配置给网络接口并设置相关路由。

3. 设计考量

CNI设计的时候考虑了以下问题(https://github.com/containernetworking/cni/blob/master/SPEC.md, "General considerations"):
  • CRT(container run time)必须在调用CNI plugin之前为容器创建一个network namespace。
  • CRI必须确定这个container应属于哪个网络,并为每个网络确定哪些插件必须被执行。
  • 网络配置采用JSON格式。网络配置包括必填字段,如name和type以及插件(类型)。网络配置允许不同的CNI plugin有一部分自定义的参数,为此,有一个可选的字段args,可以包含特定CNI plugin所需的不同的信息。
  • CRI必须按顺序为每个网络执行相应的CNI plugin,将container添加到每个网络中。
  • 在完成container生命周期后,运行时必须以相反的顺序执行插件(相对于执行添加container的顺序)以将container与网络断开连接。
  • CRI关注CNI plugin的ADD和DEL操作,并且DEL操作具有等幂性。
  • container必须由ContainerID唯一标识。
  • CRI不能调用同一个网络名称或containerID执行两次ADD(没有相应的DEL)。换句话说,给定的container ID必须只能添加到特定的网络一次。

4. ADD操作

参数

  • Container ID
  • Network namespace 路径,比如 /proc/[pid]/ns/net
  • JSON格式CNI网络配置参数,告诉container需要加入什么样的网络
  • 不同CNI plugin特定的参数
  • container内部的网卡名字

返回值

  • container内部网卡或宿主机上受影响的网卡(如macvlan plugin)列表
  • 给每个网卡分配的网络配置(IP、网关、路由)
  • DNS信息

5. DEL操作

与ADD操作类似

6. 环境变量参数

  • CNI_COMMAND: CNI操作,ADD, DEL or VERSION.
  • CNI_CONTAINERID: Container ID
  • CNI_NETNS: 指向container network namespace文件的路径
  • CNI_IFNAME: container内部网络接口的名字
  • CNI_ARGS: key-value对的额外参数
  • CNI_PATH: CNI plugin binary的路径

 以上的配置必须在CNI plugin可执行文件被调用时作为CNI plugin的STDIN(JSON文件)或者环境变量被传输给CNI plugin。

转载自https://blog.youkuaiyun.com/cloudvtech

四、手动配置和调用macvlan CNI plugin

1. 启动一个container

docker run --net=none -dt centos
ffecae44150e #container ID

docker inspect -f '{{ .State.Pid }}'  ffecae44150e
7077 #container进程号

2. 准备JSON格式CNI需要加入的网络的描述文件

/etc/cni/net.d/10-maclannet.conf  
{
    "name": "macvlannet", #CNI实例名字
    "type": "macvlan",    #CNI类型
    "master": "eth0",     #CNI作用的网卡
    "ipam": {             #IP管理的子plugin的设置

        "type": "host-local", #IP管理plugin的类型
        "subnet": "192.168.122.0/24", #IP管理plugin所需的子网参数
        "routes": [ #IP管理plugin所需的路由参数
            { "dst": "0.0.0.0/0" }
        ]
    } 
}

3. CNI的环境变量参数

export CNI_COMMAND=ADD #CNI的命令,ADD或者DEL
export CNI_IFNAME=eth0 #container内网卡的名字
export CNI_CONTAINERID=ffecae44150e #container的ID
export CNI_PATH=/opt/cni/bin/ #CNI可执行文件的路径
export CNI_NETNS=/proc/7077/ns/net #CNI所需的container namespace的路径

4. 手动运行CNI plugin可执行文件

/opt/cni/bin/macvlan < /etc/cni/net.d/10-maclannet.conf  

输出结果如下:

{
    "ip4": {
        "ip": "192.168.122.3/24",
        "gateway": "192.168.122.1",
        "routes": [
            {
                "dst": "0.0.0.0/0",
                "gw": "192.168.122.1"
            }
        ]
    },
    "dns": {}
}

包括分配的IP地址、网关、路由等信息


5. 在container内验证CNI的返回结果

docker exec -it ff bash 
[root@ffecae44150e /]# ifconfig
eth0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
        inet 192.168.122.3  netmask 255.255.255.0  broadcast 0.0.0.0
        inet6 fe80::858:c0ff:fea8:7a03  prefixlen 64  scopeid 0x20<link>
        ether 0a:58:c0:a8:7a:03  txqueuelen 0  (Ethernet)
        RX packets 5589  bytes 15085040 (14.3 MiB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 5155  bytes 356496 (348.1 KiB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

lo: flags=73<UP,LOOPBACK,RUNNING>  mtu 65536
        inet 127.0.0.1  netmask 255.0.0.0
        inet6 ::1  prefixlen 128  scopeid 0x10<host>
        loop  txqueuelen 1  (Local Loopback)
        RX packets 0  bytes 0 (0.0 B)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 0  bytes 0 (0.0 B)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

从宿主机ping container IP

[root@os-cni-test ~]# ping 192.168.122.3
PING 192.168.122.3 (192.168.122.3) 56(84) bytes of data.
64 bytes from 192.168.122.3: icmp_seq=1 ttl=64 time=0.312 ms
64 bytes from 192.168.122.3: icmp_seq=2 ttl=64 time=0.518 ms
64 bytes from 192.168.122.3: icmp_seq=3 ttl=64 time=0.449 ms
^C
--- 192.168.122.3 ping statistics ---
3 packets transmitted, 3 received, 0% packet loss, time 2000ms
rtt min/avg/max/mdev = 0.312/0.426/0.518/0.087 ms




转载自https://blog.youkuaiyun.com/cloudvtech

k8s之multus cni
fengcai_ke的博客
07-11 2297
k8s multus cni介绍
KubernetesMACVLAN CNI
烟云的计算
06-17 2673
目录 文章目录目录MACVLAN使用 MACVLAN CNI MACVLAN MACVLAN 是 Linux Kernel 的新特性,在 Linux kernel v3.9-3.19 v4.0+ 版本中支持。 通过 MACVLAN 可以将一个 Physical Network Interface 虚拟成多个 Virtual Network Interfaces(虚拟网络子接口),这些 VNIs 可以拥有自己独立的 MAC/IP 地址,且与主机网络处在同一个 LAN 里面,共享同一个广播域。 粗略的看,M
CNIContainer Network Interface)机制是一种用于容器网络的标准化接口,旨在为容器提供一致的网络插件模型。
wangqiaowq的博客
09-29 1522
CNIContainer Network Interface)机制是一种标准化的容器网络接口,旨在为容器提供一致的网络插件模型。通过 CNI 插件,可以实现容器之间的网络连接,并支持多种网络实现技术。在 Kubernetes 中,CNI 插件用于实现 Pod 之间的网络连接,通过配置 CNI 插件,可以轻松实现复杂的网络功能。
CNIContainer Network Interface,容器网络接口)
weixin_38805083的博客
09-10 642
CNI IPAM是容器网络接口中的地址管理组件,负责为容器动态分配、回收IP地址。它以插件形式与网络插件协同工作,支持host-local(节点本地)、dhcp(外部服务器)、calico-ipam(全局池)等多种模式,满足不同网络场景需求。核心功能包括IP分配、子网管理、DNS配置地址回收,相比传统IPAM更轻量化,专注容器快速创建/销毁的特性。配置通过JSON定义,典型场景如bridge插件搭配host-local实现单机容器网络。选择IPAM插件需权衡性能、规模及现有架构兼容性。
Container Networking Interface (CNI):重新定义容器网络编排标准
最新发布
gitblog_00508的博客
09-29 950
你是否还在为容器网络配置的复杂性而头疼?是否在不同容器平台间切换时面临网络兼容性问题?本文将深入解析CNIContainer Networking Interface)如何解决这些痛点,帮助你理解其核心原理、使用方法及在实际场景中的应用价值。读完本文,你将能够:掌握CNI的基本概念与工作流程、了解如何配置使用CNI插件、理解CNI在容器生态中的地位与作用。 ## CNI概述:容器网络的通用语...
CNI插件之CNI插件最简实现之macvlan plugin
m0_48594855的博客
06-20 4052
CNICNICNI插件分类网络方案实现设计考量接口方法macvlan插件配置示 CNI CNI(container network interface),是一个接口规范,这个规范定义了输入、输出的标准调用的接口, 只要调用CNI插件的实体遵守这个规范,就能从CNI拿到满足网络互通条件的网络参数(如IP地址、网关、路由、DNS等),这些网络参数可以配置containerCNI接口支持的调用方法,比如添加网络,删除网络 CNI插件的功能可以概括为:将容器加入网络,设置容器里面网络接口的ip,路由等信
K8S 网络插件详解 CNI Container Network Interface(容器网络接口)
tiger_xia的博客
12-09 4712
k8s 网络插件 CNI
kubernetes CNI(Container Network Inferface)
daemon365的博客
05-26 565
cni 创建的 process 进程是一个用户态的进程,每个包要在 node1 上从内核态 copy 到用户态,然后再封包,再 copy 到内核态,再发给 node2,再从内核态 copy 到用户态,再解包,再 copy 到内核态,再发给 pod2。所以我们像做一些网络操作,就不能在五层做了,只能在二三四层做。这个协议很重,之前都是用到互联网上,比如我们刚才距离的百度的时候,经过那么多路由器,每个路由器怎么知道要跳到哪,他们之间就是通过 BGP 协议来告诉对方自己的路由表,再经过一系列的学习优化。
multus-cni主题介绍1:如何在本地构建多网络CNI插件multus-cni镜像并进行部署测试呢
码二哥的技术池
05-11 1266
1  go grpc-go 相关技术专栏 总入口 2  Protobuf介绍与实战 图文专栏 文章目录 //如果本文章中的图片不能正常观看的,360浏览器可能会出现此种现象,可以使用Google Chrome浏览器进行正常观看。 multui-cni可以实现Pod的多网络功能, 版本地址 https://github.com/intel/multus-cni/tree/v3.4 1、测试环境 说明 本次测试的版本是:3.4 本次的测试环境: 三台虚拟机 centos7系统 kubernetes1.1
k8s RoCE 部署: k8s-rdma-shared-dev-plugin + macvlan cni
sunshuying1010的博客
05-24 9286
写给自己的入门篇 文章目录前言一、创建 k8s 集群二、启用 primary network三、启用 secondary networkk8s-rdma-shared-dev-pluginMultus CNISecondary CNIMulti-Network CRD四、启用 pod五、在 pod 中启动 RoCE 流量总结 前言 写给自己的扫盲篇。后续会在原理方面持续更新 一、创建 k8s 集群 k8s 集群的创建有多种方法,可以按照官方文档的说明来.
multus-cni之源码解析
学习学习再学习
05-15 1854
从源码解析的角度介绍multus-cni的原理
深入理解CNI(容器网络接口)
Docker的专栏
09-21 2961
CNI简介容器网络的配置是一个复杂的过程,为了应对各式各样的需求,容器网络的解决方案也多种多样,如有Flannel,Calico,Kube-OVN,Weave等。同时,容器平台/运行时也...
CNI (Container Network Interface)
陈海峰的博客
06-25 1438
CNI的网址 https://github.com/containernetworking/cni Cloud Native Computing Foundation Kubernetes Orchestration              Prometheus Monit
容器网络接口(CNI)深入理解
爱死亡机器人
10-28 2409
CNI 简介 容器网络的配置是一个复杂的过程,为了应对各式各样的需求,容器网络的解决方案也多种多样,如有Flannel,Calico,Kube-OVN,Weave等。同时,容器平台/运行时也是多样的,如有Kubernetes,OpenShift,rkt等。如果每种容器平台都要跟每种网络解决方案一一对接适配,这将是一项巨大且重复的工程。当然,聪明的程序员们肯定不会允许这样的事情发生。想要解决这个问题,我们需要一个抽象的接口层,将容器网络配置方案与容器平台方案解耦。 CNIContainer Networ
k8s中Container Networking Interface (CNI)解析
专注于数据库技术分享,包含但不限于Oracle,MySQL,PostgreSQL,ElasticSearch及国产数据库等
04-25 1230
Container Networking Interface (CNI) 是一种标准化的网络插件接口,用于在容器运行时(如Dockercontainerd、CRI-O等)与底层网络堆栈之间建立桥梁,为容器提供网络连接能力。CNI简化了容器网络的配置管理,使得不同的容器运行时网络解决方案能够无缝集成到Kubernetes等容器编排平台中。
kubernetes/k8s CNI分析-容器网络接口分析
良凯尔的博客
08-22 1461
kubernetes CRI分析-k8s CRI分析。kubernetes中有3个功能接口,分别是容器网络接口CNI、容器运行时接口CRI容器存储接口CSI。本文会对CNI是什么、CNI系统架构做介绍,以及k8s对CNI进行相关操作来构建删除pod网络进行分析
【Kubernets】容器网络基础二:通讲CNIContainer Network Interface)容器网络接口实现方案
wendao76的专栏
10-10 1693
MacvlanIpvlan都是强大的 Linux 内核特性,能够为容器虚拟机提供高效的网络连接。选择哪种技术取决于具体的网络需求应用场景。如果你需要每个虚拟网络接口有独立的 MAC 地址,可以选择 Macvlan;如果你需要更高的网络隔离度灵活性,可以选择 Ipvlan。Flannel 的设计目的是为了简化 Kubernetes 集群中的网络配置,它通过分配子网段、建立网络覆盖以及封装解封数据包的方式,实现了不同节点上 Pod 之间的直接通信。
CNIContainer Network Plugin)
喝醉酒的小白
08-03 1786
CNIContainer Network Plugin)规范由CoreOS提出,并被Kubernetes采纳。当前container networking/cni项目实现了CNI接口规范。containernetworking/cni项目针对Linux container的网络配置提供了指定的接口以及具体的插件实现。宏观上来看,cni所做的很简单,就是将容器加入到一个网络中,并且保证容器之间的连通性。具体的实现方案由底层的不同cni插件来实现。............
K8S CNI:打通虚拟网络(vxlan)二层网络(macvlan
flynetcn的专栏
11-14 654
如何打通 K8s 虚拟网络(flannel vxlan 网络) K8s 2层网络(macvlan网络)
multus cni hostnetwork
09-01
<think> 嗯,用户想了解multus cni与hostnetwork的相关信息。之前的对话中系统强调了引用规范,这次用户给出的引用[1]提到multus是Kubernetes多网络接口管理的基石,支持NFV、边缘计算等场景;引用[2]则涉及multus镜像构建的环境变量配置。但用户实际关心的应该是两者的功能关联。 用户作为K8s网络方向的技术人员,可能正在设计需要多网卡且直通宿主网络的方案,比如边缘计算网关。ta特意强调"不是需求参考",说明需要深度原理而非基础教程。核心诉求应该是:如何让Pod既能通过multus附加多网卡,又能保留hostNetwork的特定用途。 先拆解关键点:hostNetwork是启用主机网络栈的Pod配置,会让Pod共享宿主机Network Namespace;而multus本质是CNI元插件,管理多个CNI插件的执行流程。两者关系要从网络栈层面理解——当Pod启用hostNetwork时,kubelet不会调用任何CNI插件(包括multus),这意味着: - 矛盾点:hostNetwork会绕过CNI机制 - 解决方案:需通过其他方式实现需求(如hostPort暴露端口+multus管理副网卡) 用户可能遇到的实际场景是:既需要Pod像主机进程一样监听低端口(需hostNetwork),又需要多张业务网卡(需multus)。这需要明确:hostNetworkmultus是互斥的,但可通过多容器Pod折衷——sidecar容器用hostNetwork主业务容器用multus。 接下来需要验证这个方案。查阅K8s文档确认:一个Pod内所有容器必须共享同一网络命名空间,因此多容器方案行不通。正确做法应是放弃hostNetwork,改用hostPort+multus附加网卡。需要提醒用户注意hostPort的端口冲突风险。 最后补充配置示时,要强调multus的NetworkAttachmentDefinition资源如何定义host-device插件(需预装),并警告nodeSelector的节点亲性配置必要性。用户大概率在生产环境部署,需给出健康检查建议(如用multus-tool验证网卡)。 </think> 以下是关于 Multus CNI 与 HostNetwork 的关联信息及技术解析: --- ### **1. 核心概念** #### **HostNetwork** - **原理**:Pod 直接共享宿主机的网络命名空间(Network Namespace),使用主机 IP 端口资源。 - **特点**: - 性能高(无虚拟网络开销) - 端口与宿主机强绑定,易冲突 - 不支持 Service Mesh、CNI 插件等网络扩展 - **配置示**: ```yaml spec: hostNetwork: true # 启用主机网络 containers: [...] ``` #### **Multus CNI** - **定位**:Kubernetes 的 **"CNI 元插件"**,管理多网络接口。 - **核心能力**: - 为 Pod 附加 **多张网卡**(主网卡 + 辅助网卡) - 支持混合使用不同 CNI 插件(如 Flannel + SR-IOV) - 通过 **NetworkAttachmentDefinition** CRD 定义辅助网络 --- ### **2. 两者关联场景** #### **场景一:HostNetwork 与 Multus 并存** Pod 可 **同时启用 HostNetwork Multus 附加网卡**: ```yaml spec: hostNetwork: true # 使用主机网络栈 annotations: k8s.v1.cni.cncf.io/networks: macvlan-conf # Multus 附加辅助网卡 ``` - **效果**: - `eth0`:继承宿主机网络(HostNetwork) - `net1`:Multus 附加的辅助网卡(如 Macvlan) - **典型用途**: - 需要主机网络性能 + 隔离业务流量的边缘网关 - 主机网络管理 + 多租户数据平面分离 #### **场景二:替代 HostNetwork** 用 Multus 实现 **"类 HostNetwork" 效果**: ```yaml # 创建直通宿主机物理接口的网卡 apiVersion: "k8s.cni.cncf.io/v1" kind: NetworkAttachmentDefinition metadata: name: host-device spec: config: '{ "cniVersion": "0.3.1", "type": "host-device", "device": "eth0" # 直接绑定宿主机网卡 }' ``` - **优势**: - 保留 CNI 标准接口,兼容 Service Mesh 等生态 - 规避 HostNetwork 的端口冲突问题 --- ### **3. 配置注意事项** 1. **网络优先级**: - 主网卡(`eth0`)由 `kubenet` 或默认 CNI 管理 - Multus **仅管理辅助网卡**(`net1`、`net2`...) 2. **安全限制**: - HostNetwork Pod 需高权限(`CAP_NET_ADMIN`) - 建议通过 **Pod Security Policy** 限制使用 3. **服务发现**: - HostNetwork Pod 的 Service 需显式设置 `.spec.externalTrafficPolicy: Local`[^1] - Multus 附加网卡的 IP **默认不可被 Service 访问**(需额外 CNI 如 Underlay) --- ### **4. 典型问题排查** | 现象 | 原因 | 解决方案 | |--------------------------|-------------------------------|------------------------------| | Multus 网卡未生效 | CRD 未定义或注解拼写错误 | 检查 `kubectl get nad` | | HostNetwork Pod 端口冲突 | 宿主机端口被占用 | 改用 `hostPort` + 端口调度 | | 辅助网卡无默认路由 | CNI 配置未设网关 | 在 NetworkAttachmentDefinition 中添加路由 | ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值