calico网络原理分析

最新推荐文章于 2025-07-10 20:17:30 发布
最新推荐文章于 2025-07-10 20:17:30 发布
阅读量3.2w 收藏 81
点赞数 11
CC 4.0 BY-SA版权
分类专栏: kubernetes Docker calico 文章标签: calico kubernetes
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/jiang_shikui/article/details/85870560

最近在搭建k8s生产环境的时候,采用了calico作为网络插件。于是写篇博客记录一下。

一、Calico基本介绍

Calico是一个纯三层的协议,为OpenStack虚机和Docker容器提供多主机间通信。Calico不使用重叠网络比如flannel和libnetwork重叠网络驱动,它是一个纯三层的方法,使用虚拟路由代替虚拟交换,每一台虚拟路由通过BGP协议传播可达信息(路由)到剩余数据中心。

二、Calico结构组成

Calico不使用重叠网络比如flannel和libnetwork重叠网络驱动,它是一个纯三层的方法,使用虚拟路由代替虚拟交换,每一台虚拟路由通过BGP协议传播可达信息(路由)到剩余数据中心;Calico在每一个计算节点利用Linux Kernel实现了一个高效的vRouter来负责数据转发,而每个vRouter通过BGP协议负责把自己上运行的workload的路由信息像整个Calico网络内传播——小规模部署可以直接互联,大规模下可通过指定的BGP route reflector来完成。

在这里插入图片描述

结合上面这张图,我们来过一遍 Calico 的核心组件:

Felix: Calico agent,跑在每台需要运行 workload 的节点上,主要负责配置路由及 ACLs 等信息来确保 endpoint 的连通状态;

etcd: 分布式键值存储,主要负责网络元数据一致性,确保 Calico 网络状态的准确性;

BGPClient(BIRD): 主要负责把 Felix 写入 kernel 的路由信息分发到当前 Calico 网络,确保 workload 间的通信的有效性;

BGP Rout

最低0.47元/天 解锁文章

200万优质内容无限畅学
【K8S系列】深入解析k8s网络插件—Calico
颜淡慕潇
07-20 2万+
Calico是一个强大的开源容器网络和网络安全解决方案,广泛应用于Kubernetes集群和其他容器编排平台。 它通过利用BGP(Border Gateway Protocol)协议和Linux网络命名空间来实现高性能的容器间通信和网络策略控制。
Kubernetes_容器网络_Calico_05_Calico网络解决方案和高级特性
毛毛的专栏
02-05 1927
Calico的两种模式
calico网络原理、组网方式和使用
chuiyanyou9920的博客
07-09 4152
目录 目录 calico 名词解释 组网原理 BGP与AS BGP Speaker 全互联模式(node-to-node mesh) BGP Speaker RR模式 calico网络的部署 calico在Ethe...
Calico 网络通信原理揭秘
babian8671的博客
07-30 525
Calico 是一个纯三层的数据中心网络方案,而且无缝集成像 OpenStack 这种 Iaas 云架构,能够提供可控的 VM、容器、裸机之间的 IP 通信。为什么说它是纯三层呢?因为所有的数据包都是通过路由的形式找到对应的主机和容器的,然后通过 BGP 协议来将所有路由同步到所有的机器或数据中心,从而完成整个网络的互联。 简单来说,Calico 在主机上创建了一堆的 veth pair...
在Docker中运行macOS的超方便体验!
最新发布
weixin_44626085的博客
07-10 811
《Docker中运行macOS:开发者的跨平台利器》摘要:该项目通过Docker容器实现macOS系统在非苹果设备上的运行,支持KVM硬件加速和Web访问界面。提供Docker Compose、CLI和Kubernetes等多种部署方式,可自定义系统版本、存储、CPU/内存等配置。安装时需格式化虚拟磁盘并遵守苹果EULA条款。配套项目还包括Windows和Linux容器化方案,为跨平台开发提供高效灵活的测试环境。
10 张图解 K8S CNI Calico 网络模型原理与功能实战
2201_75362610的博客
08-15 2547
Calico` 是一个联网和网络策略供应商。Calico 支持一套灵活的网络选项,因此你可以[根据自己的情况选择最有效的选项,包括非覆盖和覆盖网络,带或不带 BGP。
Docker网络解决方案-Calico部署记录.docx
10-26
#### Calico原理分析 Calico的设计理念是将传统互联网的IP网络原则应用于数据中心层面。具体来说,Calico在每个计算节点上实现了高效的vRouter,这些vRouter通过BGP协议互相传递路由信息。这样一来,无论是在小规模...
Kubernetes容器网络(二):Calico网络原理
hxt的博客
04-16 8194
1、前置网络知识 1)、BGP 自治系统AS:在单一的技术管理下的一组路由器,而这些路由器使用一种AS内部的路由选择协议和共同的度量以确定分组在该AS内的路由,同时还使用一种AS之间的路由协议以确定在AS之间的路由 路由选择协议分为: 内部网关协议IGP:一个AS内使用的,如RIP、OSPF 外部网关协议EGP:AS之间使用的,如BGP 边界网关协议(BGP)是不同自治系统的路由器之间交换路由信息的协议,是一种外部网关协议 BGP的工作原理如下:每个自治系统的管理员要选择至少一个路由器(可以有多个)作
Calico网络策略原理
Blue summer的博客
12-23 1460
注:本文基于Calico v3.20.1版本编写 1 calico支持网络策略的基础 calico网络插件中,所有pod的网络设备并没有像flannel一样连接到网桥docker0上,这样每个pod的网络都有独立的链路,而这就是支持网络策略的基础。如果都连接到网桥,那所有pod都互通,并且没有办法做隔离。
calico网络原理、组网方式
运维老生常谈
11-17 641
在这种情况下,Calico 可以使用 IP-in-IP(IPIP)隧道来封装数据包,从而在不支持 BGP 的网络环境中实现节点间的 Pod 通信。通过 BGP,Calico 可以在节点之间动态传播 Pod 的路由,使得节点可以知道如何访问集群中其他节点上的 Pod。Calico 的核心思想是通过路由协议在节点之间传播路由信息,而不是依赖传统的二层网络(如 VXLAN 或 GRE)的隧道封装方式。: 可以在不支持 BGP 的网络中使用,例如在简单的二层网络或不具备复杂路由功能的云环境中。
Kubernetes(k8s)CNI(Calico)网络模型原理
匠人精神,持之以恒!
11-19 3579
Calico 是一个联网和网络策略供应商。 Calico 支持一套灵活的网络选项,因此你可以根据自己的情况选择最有效的选项,包括非覆盖和覆盖网络,带或不带 BGP。 Calico 使用相同的引擎为主机、Pod 和(如果使用 Istio 和 Envoy)应用程序在服务网格层执行网络策略。Calico以其性能、灵活性而闻名。Calico的功能更为全面,更为复杂。它不仅提供主机和pod之间的网络连接,还涉及网络安全和管理。Calico CNI插件在CNI(container network interface)框
calico网络
qq_34391821的博客
11-30 1062
Calico 是一种容器之间互通的网络方案。在虚拟化平台中,比如 OpenStack、Docker 等都需要实现 workloads 之间互连,但同时也需要对容器做隔离控制,就像在 Internet 中的服务仅开放80端口、公有云的多租户一样,提供隔离和管控机制。
Calico网络模型
weixin_30498807的博客
08-16 391
由于两台物理机的容器网段不同,我们完全可以将两台物理机配置成为路由器,并按照容器的网段配置路由表。 在物理机A中,我们可以这样配置:要想访问网段172.17.9.0/24,下一跳是192.168.100.101,也即到物理机B上去。 这样在容器A中访问容器B,当包到达物理机A的时候,就能够匹配到这条路由规则,并将包发给下一跳的路由器,也即发给物理机B。在物理机B上也有...
网络模型calico
qq_33448670的博客
04-15 497
docker 容器网络方案:calico 网络模型http://cizixs.com/2017/10/19/docker-calico-networkhttp://www.lijiaocn.com/%E9%A1%B9%E7%9B%AE/2017/04/11/calico-usage.htmlCalico网络的原理、组网方式与使用https://yq.aliyun.com/articles/6855...
k8s sserver 网络原理
04-30
### Kubernetes 服务器网络原理、架构与通信机制 Kubernetes 的网络模型设计旨在简化容器之间的通信,同时保持灵活性和可扩展性。以下是对其网络原理、架构及通信机制的详细介绍。 #### 1. **Kubernetes 网络模型** Kubernetes 提出了三个核心网络概念[^2]: - 每个 Pod 都有一个独立的 IP 地址。 - 所有的 Pods 可以直接通过它们各自的 IP 地址相互通信,无需 NAT。 - Services 获得自己的虚拟 IP 地址,并且可以在集群范围内路由到对应的 Pods。 #### 2. **Kubernetes 网络架构** Kubernetes 的网络由以下几个主要部分组成: #### 2.1 **Cluster Network** Cluster Network 是 Kubernetes 集群内部的专用网络,通常使用 CIDR 表示法定义地址空间。所有的 Nodes 和 Pods 都位于此网络中[^4]。 #### 2.2 **Pod-to-Pod Communication** 在同一个 Node 上的 Pods,默认情况下可以直接通过本地主机网络进行通信。不同 Nodes 上的 Pods 则依赖于底层网络插件(如 Flannel、Calico 或 Weave Net)来实现跨主机通信[^3]。 #### 2.3 **Service Abstraction** Kubernetes Service 是一组逻辑上的 Pods 的抽象表示形式。当创建一个 Service 后,Kubernetes 自动为其分配一个稳定的 VIP(Virtual IP)。所有发往该 VIP 的流量会被重定向到后端的实际 Pods 上[^1]。 #### 2.4 **Network Plugins** Kubernetes 支持多种 CNI(Container Networking Interface)兼容的网络解决方案,例如 Calico、Flannel 和 Canal。这些插件负责实施具体的网络策略,比如子网划分、VLAN 标记等[^2]。 #### 3. **Kubernetes 通信机制** #### 3.1 **Intra-cluster Communication** - **Pod to Pod**: 如前所述,同一节点内的 Pods 使用 localhost;对于跨节点的情况,则借助 Overlay Networks 或 Underlay Networks 实现互联[^4]。 - **Pod to Service**: 当某个 Pod 访问另一个 Service 时,请求会先匹配 DNS 名称解析成相应的 Service IP,再经由 iptables/ipvs 规则转发至目标 Pod[^3]。 #### 3.2 **External Access** 外部世界可以通过几种方法访问 Kubernetes 内的服务: - **NodePort**: 将 Service 映射到每个 Node 的特定端口上,使得外部设备能够通过 `<NodeIP>:<NodePort>` 的方式连接进来[^5]。 - **LoadBalancer**: 对于云提供商支持的情况下,可以自动创建 Load Balancer 并将其指向 Service。 - **Ingress Controller**: 更高级别的入口规则管理系统,允许基于域名、路径等方式精确控制外网流入的数据流方向[^2]。 #### 4. **关键技术点分析** ##### 4.1 **Pause Container Role** 每个新启动的 Pod 中都会包含一个名为 Pause 的特殊容器,它的作用主要是维持整个 Pod 的生命周期以及共享网络命名空间[^4]。 ##### 4.2 **Iptables Rules Management** Kubernetes 主要依靠 Linux 内核层面的 netfilter 框架来进行复杂的包过滤操作。每当新增或者删除某条记录时,系统便会即时更新相关的防火墙表项以便及时生效[^3]。 --- ```python # 示例 Python 脚本模拟简单的 Iptables 查看命令 import os def list_iptables_nat(): result = os.popen('iptables -t nat -L').read() return result print(list_iptables_nat()) ``` --- ###
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值