Calico 的网络结构是什么？- 每天5分钟玩转 Docker 容器技术（68）

最新推荐文章于 2024-09-22 13:19:22 发布

转载最新推荐文章于 2024-09-22 13:19:22 发布 · 437 阅读

本文介绍了如何在两个主机上部署Calico网络，并通过运行容器来分析其网络结构。具体包括容器的网络配置、IP地址分配及主机间的路由设置。

上一节我们部署了 Calico 网络，今天将运行容器并分析 Calico 的网络结构。

在 host1 中运行容器 bbox1 并连接到 cal_net1：

docker container run --net cal_net1 --name bbox1 -tid busybox

查看 bbox1 的网络配置。

cali0 是 calico interface，分配的 IP 为 192.168.119.2。cali0 对应 host1 编号 11 的 interface cali5f744ac07f0。

host1 将作为 router 负责转发目的地址为 bbox1 的数据包。

所有发送到 bbox1 的数据都会发给 cali5f744ac07f0，因为 cali5f744ac07f0 与 cali0 是一对 veth pair，bbox1 能够接收到数据。

host1 网络结构如图所示：

接下来我们在 host2 中运行容器 bbox2，也连接到 cal_net1：

docker container run --net cal_net1 --name bbox2 -tid busybox

IP 为 192.168.183.65。

host2 添加了两条路由：

目的地址为 host1 容器 subnet 192.168.119.0/26 的路由。
目的地址为本地 bbox2 容器 192.168.183.65 的路由。

同样的，host1 也自动添加了到 192.168.183.64/26 的路由。

完成了上面这些准备工作，下一节我们将讨论 Calico 网络的连通性。

二维码+指纹.png

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

linux12a

关注关注

0
点赞
踩
0

收藏

觉得还不错? 一键收藏
1
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

东西向流量组件 Calico 的落地实践

Tommy Xiao

10-28

576

Kubernetes 网络并没有原生的方案，它从一开始就给我们送来了一个选择题。到底选哪种网络方案才是最佳的方案呢？网络问题一直让社区用户很困惑，以至于在早期，不同场景下的方案如雨后春笋般涌现出来。其中比较优秀的就是今天选择给大家介绍的网络组件 Calico。这里我们要强调的是，Calico 方案并不是唯一方案，我们在社区仍然能看到很多优秀的方案比如 Cilium、OvS、Contiv、Flann...

kubernetes CNI Calico | calico部署与网卡绑定 |calico READY值 1/2

weixin_48711696的博客

03-15

1320

官方的step by step，没有把IP_AUTODETECTION_METHOD这个IP检测方法的参数放入calico.yaml中，calico会使用第一个找到的network interface（往往是错误的interface），导致Calico把master也算进nodes，于是master BGP启动失败，而其他workers则启动成功。等待几分钟后，pod calico-node-jm74b和calico-node-xk4fg的READY值依然是1/2。calico问题排障。

1 条评论您还未登录，请先登录后发表或查看评论

Calico简介

chengfangdong的博客

07-03

4311

calico

详解 Calico 三种模式（与 Fannel 网络对比学习）

叮当猫的喵i

08-04

1万+

之后「源 VTEP 设备」 —— 会将此「 Vxlan 数据包」进行「UDP封装」,其中「 Vxlan 数据包」会视为「UDP数据包的基础数据信息」通过「目的 Pod IP」—— 得知「目的 VTEP 设备的 MAC 地址」 —— 「源 VTEP 设备」根据得到的信息构建 Vxlan 数据包。”二层“通信 —— 指的是，需要维护「MAC 地址级别的信息」，即「虚拟IP」与「MAC 地址」的映射关系。之后此封装好的「UDP数据包」，将会通过三层网络，到达目的容器所在的主机的「目的VTEP设备」......

为了1024

热门推荐

谷咕咕

10-24

12万+

为了1024

Calico网络模型

weixin_30498807的博客

08-16

419

由于两台物理机的容器网段不同，我们完全可以将两台物理机配置成为路由器，并按照容器的网段配置路由表。在物理机A中，我们可以这样配置：要想访问网段172.17.9.0/24，下一跳是192.168.100.101，也即到物理机B上去。这样在容器A中访问容器B，当包到达物理机A的时候，就能够匹配到这条路由规则，并将包发给下一跳的路由器，也即发给物理机B。在物理机B上也有...

如何部署 Calico 网络？- 每天5分钟玩转 Docker 容器技术（67）

CloudMan6的博客

09-13

1309

Calico 是一个纯三层的虚拟网络方案，性能好。本节讨论如何部署 Calico 容器网络。

如何定制 Calico 的 IP 池？- 每天5分钟玩转 Docker 容器技术（71）

CloudMan6的博客

09-21

1631

Calico 会为自动为网络分配 subnet，当然我们也可以定制。

跨主机网络概述 - 每天5分钟玩转 Docker 容器技术（48）

CloudMan6的博客

07-31

2365

跨主机网络方案包括： 1. docker 原生的 overlay 和 macvlan。 2. 第三方方案：常用的包括 flannel、weave 和 calico。

一、容器生态系统简介（《每天5分钟玩转Docker容器技术》知识点点总结（第一章第一节））

qq_39935383的博客

07-02

448

事物不是孤立存在的，他的存在必须依存他所在的环境。容器技术也是这样，学习容器技术不仅仅只学习容器，还要学习了解容器生态系统的一系列技术。只有了解，知道了这一系列技术才能熟练掌握容器技术。容器生态系统分为容器核心技术，平台技术和支持技术。 1、容器核心技术容器核心技术解决的就是让容器在计算机上运行这一个最基本的问题。 1.1、容器规范没有规矩不成方圆。容器技术想要获得长久的发展，容器想要获得可移植性和互操作性。一份行业通用的规范...

读书笔记-每天5分钟玩转k8s

u013766836的博客

01-05

1085

一．K8s基本概念一．Pod Pod 是容器的集合，通常会将紧密相关的一组容器放到一个 Pod 中，同一个 Pod 中的所有容器共享 IP 地址和 Port 空间，也就是说它们在一个 network namespace 中。 Pod 是 Kubernetes 调度的最小单位，同一 Pod 中的容器始终被一起调度。运行kubectl get pods查看当前的 Pod。部署应用访问应用 Scale 应用滚动更新 Pod 是 Kubernetes 的最小工作单元。每个 Pod 包..

calico支持cross-subnet模式

XXX的博客

06-21

2321

在ippool里将ipipMode改成CrossSubnet即可 [root@shen-master150 calico]# kubectl get ippool -o yaml apiVersion: v1 items: - apiVersion: crd.projectcalico.org/v1 kind: IPPool metadata: annotations: projectcalico.org/metadata: '{"uid":"5150aaef-11c2-49

玩坏docker笔记(二十二)：容器网络calico

BigData_Mining的博客

12-14

723

0、准备工作 Calico 是一个纯三层的虚拟网络方案，Calico 为每个容器分配一个 IP，每个 host 都是 router，把不同 host 的容器连接起来。与 VxLAN 不同的是，Calico 不对数据包做额外封装，不需要 NAT 和端口映射，扩展性和性能都很好。 Calico 优势：network policy 用户可以动态定义 ACL 规则，控制进出容器的数据包，实现业务需求。 ...

kubernetes网络(一)之calico详解

鲜少伟的博客

09-22

3020

本文介绍Kubernetes最流行的网络解决方案calico。

calico网络原理、组网方式和使用

Yonx

09-16

1万+

calico网络

Calico

u011619480的专栏

01-09

3008

calico

calico详细介绍

ApexPredator的博客

05-27

1982

calico详细介绍

calico_backend是什么？

最新发布

11-10

<think>嗯……用户这次提问非常聚焦，直接询问calico_backend的定义。从引用内容看，用户可能正在搭建Calico网络，遇到了需要配置后端的场景。之前提供的引用虽然提到Calico的网络模型（第3条引用强调它是纯三层实现）和容器通信限制（第2条引用），但确实没明确解释backend定义。用户能准确提出这个术语，说明ta应该已经阅读过官方文档或配置模板。不过从引用内容看，用户参考的资料版本较旧（v2.6.10），可能需要提醒版本差异。考虑到用户之前关注过镜像下载和网络隔离问题，回答时需要把backend实现机制和网络隔离效果关联起来解释。值得注意的细节是第3条引用提到Calico的NAT限制，这点在bird后端中特别重要——因为bird直接路由需要避免IP冲突。用户没问但可能潜在的疑问是：不同后端对IP地址规划的要求是否不同？所以回答里特意对比了bird和vxlan对IP重叠的容忍度差异。用户连续两次询问Calico相关概念，可能是运维或开发人员正在部署生产环境。下次如果ta再问配置细节，可以补充说明calico_backend在calico.yaml里的具体字段位置。 </think>Calico 网络中的 `calico_backend` 是指 Calico 底层使用的**数据平面转发技术**，它决定了 Calico 如何实际处理和传输容器间的网络流量。核心定义如下： --- ### **`calico_backend` 的核心定义** `calico_backend` 是 Calico 的**后端数据平面实现方式**，主要负责： 1. **容器流量的实际转发**：处理容器发出的数据包如何路由到目标容器。 2. **网络策略的执行**：实现 Calico 的网络安全策略（如 ACL 规则）。 3. **跨主机通信机制**：定义不同节点间容器流量的封装或路由方式。 --- ### **常见 `calico_backend` 类型** #### 1. **`bird`（默认后端）** - **原理**：基于标准 **BGP 路由协议**，通过节点间的路由表同步实现容器直连。 - **特点**： - **纯三层路由**：无隧道封装，性能接近物理网络。 - **依赖路由表**：要求底层网络支持 BGP（如物理交换机或主机路由配置）。 - **IP 不重叠限制**：容器 IP 段不能与主机网络重叠[^3]。 - **适用场景**：数据中心内网、高性能集群。 #### 2. **`vxlan`** - **原理**：通过 **VXLAN 隧道**封装容器流量，在底层 IP 网络上构建 overlay 网络。 - **特点**： - **无视底层拓扑**：兼容任意二层/三层网络。 - **IP 可重叠**：容器 IP 段可独立于主机网络规划。 - **性能损耗**：封装/解封装带来约 10-15% 的带宽开销。 - **适用场景**：公有云、混合云等网络受限环境。 #### 3. **`windows`** - **专用后端**：针对 Windows 节点的 HNS（Host Network Service）实现，支持 VXLAN 或 BGP。 --- ### **配置示例（Calico 配置文件）** 在 Calico 的全局配置中指定后端类型： ```yaml apiVersion: projectcalico.org/v3 kind: IPPool metadata: name: default-pool spec: cidr: 192.168.0.0/16 ipipMode: Never # 关闭 IPIP 隧道 vxlanMode: Always # 启用 VXLAN 后端 natOutgoing: true ``` --- ### **关键区别总结** | 特性 | `bird` (BGP) | `vxlan` | |---------------|--------------------|--------------------| | **通信机制** | 直接路由 | 隧道封装 | | **性能** | ⭐⭐⭐⭐（接近裸机） | ⭐⭐⭐（有损耗） | | **网络要求** | 需支持 BGP/路由 | 无特殊要求 | | **IP 规划** | 禁止与主机网段重叠 | 可重叠 | | **典型场景** | 私有数据中心 | 公有云、跨网段环境 | --- ### **相关问题** 1. Calico 的 `bird` 后端在公有云环境中可能遇到什么问题？如何解决[^3]？ 2. 如何验证 Calico 当前使用的 `calico_backend` 类型？ 3. VXLAN 模式下 Calico 如何保证跨子网容器通信的安全性[^2]？ 4. BGP 后端是否需要额外的路由反射器（Route Reflector）？什么场景下需要部署？ [^1]: Calico 节点通过 etcd 同步状态，后端类型影响跨节点流量转发机制。 [^2]: VXLAN 通过隔离 VNI 实现网络分段，需配合 NetworkPolicy 实现精细控制。 [^3]: BGP 后端要求容器 IP 段独立，避免与主机网络冲突导致路由异常。