k8s calico网络原理以及多租户实现设计

最新推荐文章于 2025-06-05 23:13:19 发布
最新推荐文章于 2025-06-05 23:13:19 发布
阅读量1.7w 收藏 10
点赞数 1
CC 4.0 BY-SA版权
分类专栏: kubernetes calico
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/ptmozhu/article/details/69645091
本文介绍了Calico作为Kubernetes的网络解决方案,如何实现多租户网络隔离,通过Felix、etcd、BIRD等组件确保网络资源的安全性和效率。Calico利用纯三层网络和BGP协议,提供高效的数据转发,同时支持iptables网络策略以增强工作负载的安全性。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

  1.     软件定义网络SDN

基础概念介绍

租户(Tenant):在网络资源上完全隔离的一个用户,在业务上可以代表一个对于网络有隔离和管理需求的部门。一个租户可以对应多个网络。

网络(Network):在业务上可以代表一个部门下的一个项目组。一个网络只能挂在一个租户下面,同时可以有多个子网。

子网(Subnet):在业务上可以代表一个部门下项目组的一个开发或测试环境同一个networksubnet之间可以默认配置成隔离或者连通。

默认版本提供:tenant隔离,tenant下的network隔离,network下的subnet全通。(network下的subnet可以由用户可选配置成隔离

模块功能概述

软件定义网络(software-definednetworking,SDN)的核心思想是采用控制和转发相分离的策略,实现网络和业务的可编程,从而实现网络资源的动态管理。用户可以通过程序动态构建各种特性的数据转发网络,以达到不同网络对各种应用的承载需求。

云环境下的网络已经变得非常复杂,特别是在多租户场景里,用户随时都可能需要创建、修改和删除网络,网络的连通性和隔离性也不可能通过手工配置来保证了。为快速响应业务的需求,HarmonyCloud提供了软件定义网络的解决方案,具有非常高的灵活性和自动化优势。

主要功能:

租户网络隔离

  • 不同租户之间的网络进行隔离,每个租户只能访问自己的网络资源,不可访问其他租户的网络资源。

  • 解决了租户与其他租户服务间的网络隔离问题,保障了租户对自身服务访问的合法权益,禁止其他租户的恶意访问。

网络的安全性

  • 谐云网络服务利用LinuxiptablesACLs特性,实现访问虚机的安全性。

网络的多粒度隔离控制

  • 根据业务需求,通过policy提供网络的多粒度隔离控制。

可以在同一tenant下配置如下6种用户自定义policytenant之间不可配置。

最低0.47元/天 解锁文章

200万优质内容无限畅学
k8s cluster ip VS node port 网络原理
博然的宝藏库
10-23 540
nat后: srt: 2.2.2.30 (node ip ) dest: 1.1.1.1:443 (真实的pod ip + 端口)nat前: srt: 1.1.1.30 (client ip ) dest: 2.2.2.30:38888 (node ip + 端口)nat前: srt: 1.1.1.1:443 (真实的pod ip ) dest: 2.2.2.30 (node ip )
K8S系列】深入解析k8s网络插件—Calico
热门推荐
颜淡慕潇
07-20 2万+
Calico是一个强大的开源容器网络网络安全解决方案,广泛应用于Kubernetes集群和其他容器编排平台。 它通过利用BGP(Border Gateway Protocol)协议和Linux网络命名空间来实现高性能的容器间通信和网络策略控制。
Calico 介绍、原理与使用
qq_24794401的博客
05-08 5233
什么是 CalicoCalico是一套开源的网络网络安全方案,用于容器、虚拟机、宿主机之前的网络连接,可以用在kubernetes、OpenShift、DockerEE、Open...
k8s network-namespace网络资源隔离类型详解
最新发布
abcy071213的博客
06-05 482
创建命名空间:为不同的应用或团队创建独立的命名空间。选择和配置网络插件:根据需求选择合适的 CNI 插件并配置。定义网络策略:使用 NetworkPolicy 来限制 Pods 的通信。部署应用:在命名空间中部署应用,并确保它们使用正确的网络设置。通过这些步骤,你可以在 Kubernetes 中实现有效的网络资源隔离,提高系统的安全性和可管理性。
10 张图解 K8S CNI Calico 网络模型原理与功能实战
2201_75362610的博客
08-15 2553
Calico` 是一个联网和网络策略供应商。Calico 支持一套灵活的网络选项,因此你可以[根据自己的情况选择最有效的选项,包括非覆盖和覆盖网络,带或不带 BGP。
【kubernetes/k8s概念】calico 介绍与与原理
zhonglinzhang
07-28 9109
WHAT Calico Calico是一个纯三层的协议,使用虚拟路由代替虚拟交换,每一台虚拟路由通过BGP协议可达信息(路由)到剩余数据中心。与 Flannel 不同的是 Calico 不使用隧道或 NAT 来实现转发,而是巧妙的把所有二三层流量转换成三层流量,并通过 host 上路由配置完成跨 Host 转发 把 Host 当作 Internet 中的路由器,同样...
Kubernetes(k8s)CNI(Calico网络模型原理
匠人精神,持之以恒!
11-19 3581
Calico 是一个联网和网络策略供应商。 Calico 支持一套灵活的网络选项,因此你可以根据自己的情况选择最有效的选项,包括非覆盖和覆盖网络,带或不带 BGP。 Calico 使用相同的引擎为主机、Pod 和(如果使用 Istio 和 Envoy)应用程序在服务网格层执行网络策略。Calico以其性能、灵活性而闻名。Calico的功能更为全面,更为复杂。它不仅提供主机和pod之间的网络连接,还涉及网络安全和管理。Calico CNI插件在CNI(container network interface)框
K8S+Calico网络组件详解
2302_82091138的博客
06-06 2386
源主机的 flanneld 服务将原本的数据内容 UDP 封装后根据自己的路由表投递给目的节点的 flanneld 服务,数据到达以后被解包,然后直接进入目的节点的 flannel0 虚拟网卡,之后被转发到目的主机的 docker0 虚拟网卡,最后就像本机容器通信一下的有 docker0 路由到达目标容器。它的作用相当于一个基于 IP 层的网桥。一般来说,普通的网桥是基于 mac 层的,根本不需 IP,而这个 ipip 则是通过两端的路由做一个 tunnel,把两个本来不通的网络通过点对点连接起来。
k8sCalico网络
binqian的专栏
12-29 1354
Felix会监听ECTD中心的存储,从它获取事件,比如说用户在这台机器上加了一个IP,或者是创建了一个容器等。用户创建pod后,Felix负责将其网卡、IP、MAC都设置好,然后在内核的路由表里面写一条,注明这个IP应该到这张网卡。同样如果用户制定了隔离策略,Felix同样会将该策略创建到ACL中,以实现隔离。BIRD是一个标准的路由程序,它会从内核里面获取哪一些IP的路由发生了变化,然后通过标准BGP的路由协议扩散到整个其他的宿主机上,让外界都知道这个IP在这里,你们路由的时候得到这里来。
k8s 多租户_Kubernetes多租户隔离利器-Calico
weixin_39796839的博客
12-19 589
本文介绍了一个数据中心网络方案Calico,包括其优势、架构、性能分析、工作原理,以及分析了生态云Kubernetes版应用引擎在Calico中的policy设置策略。背景小米生态云旨在为小米生态链企业及合作伙伴提供云计算、大数据、人工智能、安全及合规等一站式云服务和整体解决方案。生态云上有一款基于Kubernetes研发的新版应用引擎已经为几十家企业提供服务,每家企业的数据保护最为重要,为此我们...
k8s网络方案-calico
Kubernetes enthusiasts
02-08 6788
一、k8s网络通信模型 k8s网络中主要存在四种类型的通信: 同一pod内的容器间通信 pod与pod之间的通信 pod与service间的通信 Internet同service之间的通信 1, 同一pod内的容器间通信 同一pod内的容器共享同一个网络命名空间,所以可以直接通过lo直接通信 2, pod与pod之间的通信 又分为: 同node上pod之间通信 不同node上的pod之间通信 同node上pod之间通信 不同pod都有独立的IP,可以直接通信 它们在同一个网段上,通过Docke
k8s-netpol:Calico的Kubernetes网络策略
03-30
Kubernets网络策略 问题 许多人认为名称空间提供了网络隔离,但事实并非如此。 尝试这个: # Create a dev namespace kubectl create ns dev # Create a pod and a services kubectl run nginx --image=nginx:alpine --restart=Never --port=80 --expose -n dev # Access the service from a differente namespace kubectl run busybox --image=busybox -it --restart=Never --rm -- /bin/sh -n default # Cannot accesss the pod from the default namespace wget -O-
k8s网络插件之——flannel 和 calico网络原理
jj1130050965的博客
02-24 865
原文出处:无限飞翔 » 白话 flannel 和 calico 网络原理 概括 容器虚拟化网络方案,总体分为2种截然不同的发展路线: 基于隧道 基于路由 下面分别说一下这两种思路的原理,以及和flannel、calico的关系。 一 标题基于隧道 隧道方案最具普适性,在任何网络环境下都可以正常工作,这与它的原理密不可分。 最常见的隧道方案是flannel vxlan模式,以及calico的ipip模式,其核心原理包含了2个部分。 1.分配网段 每台宿主机上都有网络插件的agent进程,它们连
K8s为什么需要calico? calico 原理深入理解.
MyySophia的博客
07-10 4376
当arp请求目标网段的时候,网关收到ARP请求之后会用自己的MAC地址返回给请求者。k8中arp代理功能在calixxx 所在宿主机上开启.一般的三层数据报文:这里destmac不适用目标pod ip对应的mac而是使用网关的maclinux下这个参数控制器开启Calico 通过一个巧妙的方法将 workload 的所有流量引导到一个特殊的网关 169.254.1.1,从而引流到主机的 calixxx 网络设备上,最终将二三层流量全部转换成三层流量来转发。
k8scalico网络
fengcai_ke的博客
07-11 2258
k8s calico网络数据流分析
calico工作原理_Calico原理
weixin_39823017的博客
01-17 1125
容器网络的解决方案跨节点的容器网络要解决两个问题:容器如何分配IPflannel设计了一种全局的网络地址分配机制,即使用etcd存储网段和节点之间的关系,然后flannel配置各个节点上的Docker(或其他容器工具),只在分配到当前节点的网段里选择容器IP地址。这样就确保了IP地址分配的全局唯一性。容器IP地址如何路由overlay网络vxlanudp直接路由host-gateway在overl...
k8s add node calico_K8S网络架构弄清楚了吗?
weixin_39922769的博客
11-29 353
K8S 网络设计实现是在学习 K8S 网络过程中总结的内容。本文按照 K8S 网络设计原则、Pod 内部网络、Pod 之间网络等几个步骤讲解 K8S 复杂的网络架构。图片出自:《你女儿也能看懂的插画版 Kubernetes 指南》K8S 网络设计原则K8S 网络设计原则如下:每个 Pod 都拥有一个独立 IP 地址,Pod 内所有容器共享该 IP 地址。集群内所有 Pod 都在一个直接连通的扁平...
Kubernetes容器网络(二):Calico网络原理
hxt的博客
04-16 8199
1、前置网络知识 1)、BGP 自治系统AS:在单一的技术管理下的一组路由器,而这些路由器使用一种AS内部的路由选择协议和共同的度量以确定分组在该AS内的路由,同时还使用一种AS之间的路由协议以确定在AS之间的路由 路由选择协议分为: 内部网关协议IGP:一个AS内使用的,如RIP、OSPF 外部网关协议EGP:AS之间使用的,如BGP 边界网关协议(BGP)是不同自治系统的路由器之间交换路由信息的协议,是一种外部网关协议 BGP的工作原理如下:每个自治系统的管理员要选择至少一个路由器(可以有多个)作
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值