calicoctl命令简介

原创 已于 2022-03-02 10:05:44 修改 · 1.1w 阅读 · 5 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#calicoctl #calico #etcd

于 2018-03-01 05:41:36 首次发布
本文介绍如何使用calicoctl命令行工具来控制Calico中的多种网络资源,包括创建、获取、替换、应用和删除网络资源的方法。

背景

在calico中,有多种网络资源。以v1.6.1为例,网络资源包含:node,bgpPeer,hostEndpoint,workloadEndpoint,ipPool,policy,profile等。

下面我将讲解如何使用calicoctl命令行工具来控制这些网络资源。

用法

create

创建一个网络资源。比如说我们要创建一个“profile” 的网络资源,那么先以json或者yaml的文件格式定义这个profile的属性,然后使用-f参数来指定。例如,属性文件名为profile1.json,其内容为:

{
    "kind": "profile",
    "apiVersion": "v1",
    "metadata": {
      "name": "calico-test",
      "tags": [
        "calico-test"
      ]
    },
    "spec": {
      "ingress": [
        {
          "action": "allow",
          "source": {
            "tag": "calico-test"
          },
          "destination": {}
        }
      ],
      "egress": [
        {
          "action": "allow",
          "source": {},
          "destination": {}
        }
      ]
    }
 }

使用calicoctl命令创建profile:

# calicoctl create -f profile1.json
Successfully created 1 'profile' resource(s)

另外,还可以使用-c选项来指定配置文件。

ps:这里需要注意的是,创建了calico网络之后,使用同一个calico网络的容器之间可以实现网络互通。但如果想让一个外部的节点也可以和这个calico网络互通,那么需要进行一些修改,在profile的spec.ingress中添加一个配置。

{
          "action": "allow",
          "source": {
            "nets": [
              "115.105.115.0/24"
            ]
          },
          "destination": {}
        }

然后,再通过下面会讲到的“calicoctl replace”命令替换profile。这样,ip段位于"115.105.115.0/24"的docker host便可以访问该calico网络下的容器。

get

获取一个网络资源的信息。

这里我们也以上面创建的profile为例。

# calicoctl get profile calico-test -o json
[
  {
    "kind": "profile",
    "apiVersion": "v1",
    "metadata": {
      "name": "calico-test",
      "tags": [
        "calico-test"
      ]
    },
    "spec": {
      "ingress": [
        {
          "action": "allow",
          "source": {
            "tag": "calico-test"
          },
          "destination": {}
        }
      ],
      "egress": [
        {
          "action": "allow",
          "source": {},
          "destination": {}
        }
      ]
    }
  }
]

这里是以json的格式来输出,还可以使用yaml、GoFormat等形式。

replace

替换一个网络资源。修改上述的profile1.json文件中的内容后,直接执行下面命令可以替换网络资源的相关属性。

# calicoctl replace -f profile1.json
Successfully replaced 1 'profile' resource(s)

apply

综合了create和replace命令。没有资源时就创建,有资源时就替换。

delete

删除一个网络资源。

创建替换网络资源时,都是通过文件来创建,而配置文件中都指明了网络资源的类型、属性等。但删除网络资源就简单多了,只需要通过网络资源的类型和名称就可以删除对应的资源。

# calicoctl delete profile calico-test
Successfully deleted 1 'profile' resource(s)

config

管理系统级别和节点级别的配置选项。

该命令下又包含三个子命令:set、unset和get。设置、取消和获取。

具体的设置项包含:logLevel(配置值有none,debug,info,warning,error,critical),nodeToNodeMesh(on,off),asNumber(0-4294967295),ipip(on,off)。

ipam

IP地址管理。

该命令下又包含三个子命令:release和show。其中:

  • release:释放已经被calico分配的IP;
  • show:显示分配IP的详细详细。

node

calico节点管理。

该命令下又包含四个子命令:run、status、diags和checksystem。其中:

  • run命令可用于在该服务器上运行一个calico实例;
  • status命令可检查整个calico网络的状态;
  • diags用于手机calico节点的诊断信息;
  • checksystem命令用于检查改服务器是否可以运行一个calico实例。

我们经常使用run命令来创建一个calico实例,比如:

# calicoctl node run --node-image=calico/node:v2.6.2 --ip=192.168.115.73
Running command to load modules: modprobe -a xt_set ip6_tables
Enabling IPv4 forwarding
Enabling IPv6 forwarding
Increasing conntrack limit
Removing old calico-node container (if running).
Running the following command to start calico-node:

docker run --net=host --privileged --name=calico-node -d --restart=always -e NODENAME=dcos-agent1 -e CALICO_NETWORKING_BACKEND=bird -e CALICO_LIBNETWORK_ENABLED=true -e IP=192.168.115.73 -e ETCD_ENDPOINTS=http://192.168.115.111:2379 -v /var/log/calico:/var/log/calico -v /var/run/calico:/var/run/calico -v /lib/modules:/lib/modules -v /run:/run -v /run/docker/plugins:/run/docker/plugins -v /var/run/docker.sock:/var/run/docker.sock calico/node:v2.6.2

Image may take a short time to download if it is not available locally.
Container started, checking progress logs.

Skipping datastore connection test
Using IPv4 address from environment: IP=109.105.115.73
IPv4 address 109.105.115.73 discovered on interface em1
No AS number configured on node resource, using global value
Using node name: dcos-agent1
Starting libnetwork service
Calico node started successfully

这里,使用了的calico镜像版本为calico/node:v2.6.2,通过日志可以看到其启动calico容器时的具体命令。

此外,“calicoctl node run”有相当多的选项可以使用,可以通过“calicoctl node run --help”来查看。但是,这些选项还不足够覆盖所有的calico自身的选项(如etcd的url等),我们可以配置/etc/calico/calicoctl.cfg文件来实现。当然,也可以配置到其他文件,再通过-f选项来指定该文件。配置文件的示例如下:

apiVersion: v1
kind: calicoApiConfig
metadata:
spec:
  datastoreType: "etcdv2"
  etcdEndpoints: "http://${etcd-ip1}:2379,http://${etcd-ip2}:2379"

version

展示版本。

选项

-h --help

显示帮助。

-l --log-level=

设置日志级别。日志级别包含:panic,fatal,error,warn,info,debug。默认是fatal级别。

calicoctl 常用命令
weixin_40548182的博客
01-02 1035
【代码】calicoctl 常用命令
calicoctl 发现不了节点 的解决方法 No IPv4 peers found.
JAVA程序哥
05-22 5649
root@ubuntu:~# calicoctl get nodes --out=wideFailed to get resources: client: etcd cluster is unavailable or misconfigured; error #0: dial tcp 127.0.0.1:2379: getsockopt: connection refusedroot@ubuntu...
Kubernetes CNI Calico:二进制安装 calicoctl工具
weixin_48711696的博客
02-05 1183
calicoctl 允许从命令创建,读取,更新和删除 Calico 对象。二进制方式安装 calicoctl 工具。
Calico问题排障
最新发布
运维老生常谈
10-23 769
原因应该是,我们的master与etcd都在新加坡区域,因此新加坡节点从etcd获取数据较快,calico-node启动速度也就更快,可以在限定的时间内启动完毕。查看美东那两台问题机器的security-groups是 DY-Default-10.12,而其他机器的 security-groups是DY-Default-10.12。在BGP网络中出现了一个未知的IP地址172.18.0.1,我们集群中的机器都是10开头的网络地址,所以登录有问题的机器上查看对应的网络信息。等待了数分钟,发现居然启动成功了。
calico客户端工具calicoctl
lldhsds的专栏
07-02 1812
calicoctl提供了丰富的命令集来管理和配置 Calico 的网络资源。熟练掌握这些命令可以帮助您更好地管理 Kubernetes 集群中的网络和安全策略。
calicoctl
weixin_34310127的博客
08-27 1338
为什么80%的码农都做不了架构师?>>> ...
深度学习框架TensorFlowEnterprise实践:从零开始搭建企业级TensorFlow集群环境
AI天才研究院
07-31 2063
在自然语言处理、图像识别、自动驾驶、视频分析等领域,深度学习框架是现代机器学习的一个重要组成部分。近年来,大量研究人员将其应用到各种各样的计算机视觉、自然语言处理、自动驾驶、医疗健康等领域中。为了能够实现这些目标,深度学习框架对集群环境的支持已经成为一个亟待解决的问题。Tensorflow在国内的应用相对较少,国内很多公司并没有那么多资源进行深度学习的部署。
kubespray安装高可用k8s集群
琦彦
05-02 4257
kubespray快速安装高可用k8s集群 Kubespray 简介 Kubespray (opens new window)是 Kubernetes incubator 中的项目,目标是提供 Production Ready Kubernetes 部署方案,该项目基础是通过 Ansible Playbook 来定义系统与 Kubernetes 集群部署的任务,具有以下几个特点: 可以部署在 AWS, GCE, Azure, OpenStack 以及裸机上. 部署 High Available Kube
Calico-基本安装、IPIP同节点通信和Proxy_ARP实践 Day01
qq_42515722的博客
03-05 1284
本章主要介绍ipip模式。
【星海出品】Calico研究汇总
weixin_41997073的博客
04-24 1374
Tigera是一家专注于云原生安全的公司,于2016年成立,其核心产品包括开源的Calico项目以及商业版的Calico Enterprise。Calico项目的首次提交出现在2015年(根据GitHub提交历史)项目早期专注于为容器和Kubernetes提供网络连接与安全策略,后续持续迭代成为云原生领域的核心网络方案。作为Kubernetes的CNI(容器网络接口)插件,提供Pod间的网络通信和IP地址管理(IPAM)。
calicoctl命令
06-10
calicoctl命令包v3.23.1版本
calicoctl:Calico CLI 工具
08-03
花椰菜 这个存储库是calicoctl的家。 请注意,此 repo 中的文档针对 Calico 贡献者。 Calico 用户的文档在这里: 有关calicoctl用法的信息,请参阅 安装 calicoctl二进制下载可以在上找到。 解压calicoctl二进制文件并将其添加到您的 PATH 中,您就可以开始使用了! 如果要使用包管理器: 用户可以使用brew install calicoctl 。 发展 使用make help打印有用的操作。 构建calicoctl 为简单起见, calicoctl可以构建在 Docker 容器中,使用以下命令消除对主机开发人员环境中的任何依赖项的需要: make build 二进制文件将放在./dist/并命名为calicoctl-<os>-<arch> ,例如: $ ls -1 ./dist/ calicoctl-linux-am
Centos7使用kubeadm搭建k8s集群(一主两从--小白教程)
小石潭记丶
05-09 1557
下载地址:选择对应的版本即可,我下载的:CentOS-7-x86_64-DVD-2207-02.iso。
k8s----网络通信机制(calico-IPIP,fiannel-VXLAN)caclicoctl命令
weixin_45697293的博客
08-20 2528
calico 默认部署为 CrossSubnet,此种模式在部署完成后,有可能造成节点之间无法正常通行,如果已经确定部署模式为 IPIP 模式,可以在部署前将 CALICO_IPV4POOL_IPIP=“CrossSubnet”,修改为。,Pod中从网卡eth0发出的流量都会发送到Cni0网桥设备的端口(网卡)上,Cni0 设备获得的ip地 址是该节点分配到的网段的第一个地址。,但是会存在安全性问题,其在内核内置,可以通过Calico的配置文件设置是否启用IPIP,在公司内部如果k8s的node节点。
Kubernetes_容器网络_Calico_03_calicoctl工具的使用
weixin_41429874的博客
07-14 451
文章目录一、概述二、calicoctl 安装三、calicoctl 简单使用3.1 calicoctl 认证信息配置3.2 calicoctl 操作各种资源3.3 calicoctl 操作 IPPool3.3.1 calicoctl 查看 IPPool3.3.2 calicoctl 创建 IPPool方式1:使用 cal...
Calicoctl工具学习 —— 筑梦之路
筑梦之路
07-07 685
官方文档:https://docs.projectcalico.org/getting-started/clis/calicoctl/configure/文件的,所以需要为其提供 kubeconfig 配置文件,当其作为 kubectl 的插件运行时,系统会默认读取 kubectl 的配置文件。calico 的配置文件默认在 /etc/calico目录下,需要手动创建。calicoctl 使用来专门操作。是用来管理 calico 自己引入的。中与自己状态相关的数据的命令行工具。calicoctl 与。
如何利用 calicoctl 进行实时BGP路由表分析 calicoctl 命令常用实践
04-21
<think>好的,用户现在想了解如何使用calicoctl进行实时BGP路由表分析以及常用实践。我需要结合之前的回答和提供的引用内容来给出有用的信息。 首先,回顾用户之前的问题,他们询问了如何监控BGPFilter策略的实际生效状态,我给出了详细的监控方案,包括使用eBPF、Prometheus、Grafana等工具,以及相关的命令和脚本。现在用户的问题转向了calicoctl的具体命令和实时路由表分析,需要保持一致的风格,提供结构清晰的步骤和实践建议。 引用中的内容提到BGP的报文类型和邻居通信机制,比如OPEN、UPDATE、KEEPALIVE报文,这些可能在分析路由表时有用。用户可能需要检查邻居状态,确保BGP会话正常,这样才能正确交换路由信息。另外,引用里提到的calicoctl的安装方法(引用3)可能也需要提及,确保用户已经正确安装工具。 用户的需求是实时分析BGP路由表,所以需要介绍如何用calicoctl获取实时路由信息,比如常用的命令calicoctl get node, calicoctl get bgppeer,以及如何过滤和监控特定路由。之前的回答中提到了使用watch命令定期检查路由状态,这里可以再次推荐,并举例说明。 另外,在之前的监控方案中,有涉及自动化脚本和日志分析,这里可能需要建议用户结合这些方法,比如持续监控路由变化,使用jq处理JSON输出,或者集成到Prometheus中进行可视化。引用2中提到的BGP RouteReflector策略实践可能相关,可以建议用户检查路由反射器的配置,确保路由正确传播。 还要考虑用户可能遇到的实际问题,比如路由未按预期传播,需要排查邻居状态、路由策略是否正确应用,或者检查社区属性等。可以给出具体的命令示例,如查看节点状态、检查BGP对等体、过滤特定路由等。 此外,用户可能需要了解如何验证路由策略的实际效果,比如使用calicoctl get routes并对比预期路由,这在之前的回答中已有Python脚本示例,可以再次提及或简化成命令行方法。 最后,确保回答结构清晰,分步骤说明常用命令、实时监控方法、诊断技巧、最佳实践等,并附上相关问题引导用户进一步学习。需要避免重复之前的内容,但适当引用之前的监控方案中的工具和方法,保持连贯性。</think>--- ### 一、核心实时分析命令实践 #### 1. **基础路由表查询** ```bash # 查看全集群 BGP 路由表(含节点元数据) calicoctl get routes --output=wide # 按节点过滤路由(关键参数:--node) calicoctl get routes --node=k8s-node-01 -o yaml # 实时动态监控(每2秒刷新) watch -n 2 "calicoctl get routes --output=custom-columns=NETWORK:.net,ORIGIN:.type,NODE:.node" ``` 输出示例: ``` NETWORK ORIGIN NODE 10.1.1.0/24 node k8s-node-01 172.20.0.0/16 block global ``` #### 2. **路由传播分析** ```bash # 追踪特定路由的传播路径(需开启 debug 模式) calicoctl get routes 10.1.1.0/24 -o json | jq '.spec.routes[].bgpPaths[]' # 验证路由反射效果(结合引用[2]的RR配置) calicoctl node status --detailed | grep RouteReflector ``` 关键字段解释: - `asPath`: 显示 AS 路径序列,用于验证路由传播路径[^1] - `communities`: 社区属性,用于策略控制(如区域标记) --- ### 二、实时监控组合技 #### 1. **BGP 会话状态诊断 ```bash # 查看所有 BGP 对等体状态(核心命令calicoctl get bgppeer -o wide # 实时会话状态流式监控 watch -n 1 "calicoctl node status | grep Established" ``` 健康状态判断标准: - `State` 应为 `Established`(参考引用[1]的 KEEPALIVE 机制) - `Up` 时间持续增长 #### 2. **路由变更捕获 ```bash # 持续监听路由变更事件(需开启 etcd watch) calicoctl get routes --watch -o json | jq '.type + " " + .spec.net' # 结合时间戳记录变更历史 calicoctl get routes --output=timestamp > bgp_routes_$(date +%s).log ``` --- ### 三、高级分析场景实践 #### 1. **路由策略验证 ```bash # 验证 BGPFilter 实际生效情况(结合引用[1]的 UPDATE 报文原理) calicoctl get routes --include-ips --include-block | grep 'via' # 对比预期/实际路由条目(JSON 差异分析) diff <(calicoctl get routes -o json) expected_routes.json ``` #### 2. **性能深度分析 ```bash # 测量路由同步延迟(需节点时间同步) ts=$(date +%s%3N); calicoctl apply -f new_policy.yaml; \ calicoctl get routes -w -o json | jq -r --arg ts "$ts" \ '.items[] | select(.metadata.creationTimestamp > ($ts|tonumber))' ``` --- ### 四、生产环境诊断案例 #### **场景:路由未按预期传播** ```bash # 1. 检查 BGP 对等体状态 calicoctl get bgppeer -o custom-columns=NAME:.metadata.name,STATE:.status.state # 2. 验证路由策略匹配 calicoctl get bgpfilter -o yaml | yq '.spec.exportV4[].matchCommunity' # 3. 检查路由反射器配置(引用[2]实践) calicoctl get node -l route-reflector=true -o yaml | grep clusterID # 4. 抓取实时更新报文(需节点权限) tcpdump -i eth0 'tcp port 179 and (tcp[tcpflags] & tcp-push != 0)' -vv ``` --- ### 五、常用命令速查表 | 功能 | 命令 | 输出过滤参数 | |--------------------------|------------------------------------------|--------------------------| | 节点路由视图 | `calicoctl get routes --node=<NODE>` | `--output=wide` | | BGP 策略匹配测试 | `calicoctl apply --dry-run -f policy.yaml` | `--validate` | | 路由来源分析 | `calicoctl get routes --output=custom-columns=NETWORK:.net,ORIGIN:.type` | `--include-ips` | | 跨集群路由对比 | `diff <(ssh node1 calicoctl get routes) <(ssh node2 calicoctl get routes)` | `-y` 参数并排显示 | --- ### 六、最佳实践建议 1. **路由表缓存机制**:定期执行 `calicoctl delete routes --force` 强制刷新路由缓存 2. **JSON 管道分析**:结合 `jq` 实现复杂过滤,例如: ```bash calicoctl get routes -o json | jq '.items[] | select(.spec.node == "k8s-node-03")' ``` 3. **历史版本对比**:使用 `etcdctl get --prefix /calico/resources/v3/projectcalico.org/bgproutes` 直接查询存储数据 [^1]: BGP 协议运行机制与报文规范 [^2]: Calico 路由反射器生产实践指南 [^3]: Calico 官方命令行工具文档 --- ### 相关问题 1. 如何诊断 Calico BGP 邻居无法建立的问题? 2. 在混合云环境中如何实现跨集群 BGP 路由同步? 3. Calico 的 BGP 路由反射器如何实现高可用?
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值