MicroK8s网络命名空间：隔离与共享网络资源技巧

MicroK8s网络命名空间：隔离与共享网络资源技巧

【免费下载链接】microk8s MicroK8s is a small, fast, single-package Kubernetes for datacenters and the edge. 项目地址: https://gitcode.com/gh_mirrors/mi/microk8s

在容器化应用部署中，网络隔离与资源共享是运维人员面临的核心挑战。MicroK8s（微型Kubernetes）通过网络命名空间（Network Namespace）技术，实现了Pod间网络环境的隔离，同时提供灵活的资源共享机制。本文将从实际操作角度，详解如何利用MicroK8s的网络命名空间功能优化容器网络管理。

网络命名空间基础

网络命名空间（Network Namespace）是Linux内核提供的网络隔离技术，可创建独立的网络协议栈实例。在MicroK8s中，每个Pod默认拥有独立网络命名空间，通过CNI（容器网络接口）插件实现网络连接。

命名空间管理机制

MicroK8s通过钩子脚本自动管理网络命名空间生命周期。删除节点时，系统执行 microk8s-resources/default-hooks/remove.d/20-cni-netns 清理残留命名空间：

for ns in `"${SNAP}/sbin/ip" netns list | grep "^cni-" | awk '{print $1}'`
do
  "${SNAP}/sbin/ip" netns delete "${ns}" || true
done

该脚本遍历所有以cni-前缀命名的网络命名空间并强制删除，确保资源释放。

网络隔离实现

CNI配置文件解析

Flannel是MicroK8s默认CNI插件，其配置文件 microk8s-resources/default-args/cni-network/flannel.conflist 定义网络隔离规则：

{
  "name": "microk8s-flannel-network",
  "plugins": [
    {
      "type": "flannel",
      "delegate": {
        "hairpinMode": true,
        "isDefaultGateway": true
      }
    },
    {
      "type": "portmap",
      "capabilities": {"portMappings": true},
      "snat": true
    }
  ]
}

配置中snat: true启用源地址转换，确保Pod间网络隔离的同时允许外部访问。

命名空间隔离验证

执行以下命令查看当前网络命名空间：

sudo ip netns list | grep cni-

输出类似：

cni-7f3d2a1b-4c5e-6f7a-8b9c-0d1e2f3a4b5c
cni-9a8b7c6d-5e4f-3a2b-1c0d-9e8f7a6b5c4d

每个cni-前缀的命名空间对应一个运行中的Pod网络环境。

网络资源共享策略

跨命名空间通信

通过Service资源实现跨命名空间服务发现。创建名为backend-service的Service：

apiVersion: v1
kind: Service
metadata:
  name: backend-service
  namespace: default
spec:
  selector:
    app: backend
  ports:
  - port: 80
    targetPort: 8080

其他命名空间Pod可通过backend-service.default.svc.cluster.local访问该服务。

主机网络共享

需要直接使用主机网络时，可在Pod配置中设置：

spec:
  hostNetwork: true

此模式下Pod将共享主机网络命名空间，适用于需要直接访问主机网络接口的场景。

高级网络配置

网络策略应用

使用NetworkPolicy资源精细化控制Pod间通信：

apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: default-deny
  namespace: production
spec:
  podSelector: {}
  policyTypes:
  - Ingress
  - Egress

该策略拒绝production命名空间所有Pod的入站和出站流量，实现严格网络隔离。

多CNI插件共存

MicroK8s支持Calico等高级CNI插件，通过以下命令切换：

microk8s disable flannel
microk8s enable calico

Calico提供更细粒度的网络策略控制，适合复杂网络隔离场景。

常见问题解决

命名空间残留问题

当执行microk8s reset后若仍有残留网络命名空间，手动清理：

sudo ip netns delete cni-<namespace-id>

网络性能优化

编辑Flannel配置文件启用VxLAN后端加速：

"delegate": {
  "hairpinMode": true,
  "isDefaultGateway": true,
  "mtu": 1450
}

调整MTU值减少网络分片，提升传输效率。

总结

MicroK8s通过网络命名空间和CNI插件实现Pod网络隔离，同时提供灵活的资源共享机制。合理配置网络策略和CNI插件，可满足从简单到复杂的网络隔离需求。更多高级配置可参考官方文档 docs/community.md 中的网络部分。

掌握网络命名空间管理技巧，能有效提升容器集群安全性和资源利用率，为微服务架构提供可靠网络基础。

【免费下载链接】microk8s MicroK8s is a small, fast, single-package Kubernetes for datacenters and the edge. 项目地址: https://gitcode.com/gh_mirrors/mi/microk8s