一起来学k8s 17.calico

最新推荐文章于 2025-06-24 11:18:33 发布
最新推荐文章于 2025-06-24 11:18:33 发布
阅读量1.4k 收藏 4
点赞数 1
CC 4.0 BY-SA版权
分类专栏: kubernetes 文章标签: kubernetes
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/tangwei0928/article/details/95919447

Calico

在容器生态中,要说到像 Flannel host-gw 这样的三层网络方案,我们就不得不提到这个领域里的“龙头老大”Calico 项目了。

实际上,Calico 项目提供的网络解决方案,与 Flannel 的 host-gw 模式,几乎是完全一样的。也就是说,Calico 也会在每台宿主机上,添加一个格式如下所示的路由规则:

< 目的容器 IP 地址段 > via < 网关的 IP 地址 > dev eth0

其中,网关的 IP 地址,正是目的容器所在宿主机的 IP 地址。

而正如前所述,这个三层网络方案得以正常工作的核心,是为每个容器的 IP 地址,找到它所对应的、“下一跳”的网关

不过,不同于 Flannel 通过 Etcd 和宿主机上的 flanneld 来维护路由信息的做法,Calico 项目使用了一个“重型武器”来自动地在整个集群中分发路由信息。

这个“重型武器”,就是 BGP。

BGP 的全称是 Border Gateway Protocol,即:边界网关协议。它是一个 Linux 内核原生就支持的、专门用在大规模数据中心里维护不同的“自治系统”之间路由信息的、无中心的路由协议。

这个概念可能听起来有点儿“吓人”,但实际上,我可以用一个非常简单的例子来为你讲清楚。

img

图 2 自治系统

在这个图中,我们有两个自治系统(Autonomous System,简称为 AS):AS 1 和 AS 2。而所谓的一个自治系统,指的是一个组织管辖下的所有 IP 网络和路由器的全体。你可以把它想象成一个小公司里的所有主机和路由器。在正常情况下,自治系统之间不会有任何“来往”。

但是,如果这样两个自治系统里的主机,要通过 IP 地址直接进行通信,我们就必须使用路由器把这两个自治系统连接起来。

比如,AS 1 里面的主机 10.10.0.2,要访问 AS 2 里面的主机 172.17.0.3 的话。它发出的 IP 包,就会先到达自治系统 AS 1 上的路由器 Router 1。

而在此时,Router 1 的路由表里,有这样一条规则,即:目的地址是 172.17.0.2 包,应该经过 Router 1 的 C 接口,发往网关 Router 2(即:自治系统 AS 2 上的路由器)。

所以 IP 包就会到达 Router 2 上,然后经过 Router 2 的路由表,从 B 接口出来到达目的主机 172.17.0.3。

但是反过来,如果主机 172.17.0.3 要访问 10.10.0.2,那么这个 IP 包,在到达 Router 2 之后,就不知道该去哪儿了。因为在 Router 2 的路由表里,并没有关于 AS 1 自治系统的任何路由规则。

所以这时候,网络管理员就应该给 Router 2 也添加一条路由规则,比如:目标地址是 10.10.0.2 的 IP 包,应该经过 Router 2 的 C 接口,发往网关 Router 1。

像上面这样负责把自治系统连接在一起的路由器,我们就把它形象地称为:边界

最低0.47元/天 解锁文章

200万优质内容无限畅学
Kubernetes网络性能测试-calico插件环境
lldhsds的专栏
07-17 1448
场景calio网络模式带宽(Gbits/sec)不同node之间不涉及2.85不同node的pod之间Native Routing (BGP) 模式2.75node与不同node的pod之间Native Routing (BGP) 模式2.78不同node的pod之间VXLAN0.98node与不同node的pod之间VXLAN2.67不同node的pod之间IP-IP1.23node与不同node的pod之间IP-IP2.77。
k8s 1.23.17版本部署(使用Calico插件)
dingzy1的博客
04-08 1194
官方文档:https://kubernetes.io/zh/docs/setup/production-environment/tools/kubeadm/install-kubeadm/ 2.系统环境准备 三个节点都需要准备 2.2 确保各个节点MAC地址或product_uuid唯一 ​ 一般来讲,硬件设备会拥有唯一的地址,但是有些虚拟机的地址可能会重复。​ Kubernetes使用这些值来唯一确定集群中的节点。 如果这些值在每个节点上不唯一,可能会导致安装失败。 2.3 检查网络节点是否互通 ​
kubernetes(三):部署非IPIP模式的Calicok8s测试环境
ljyfree的专栏
04-09 1006
前面《kubernetes(二):kubeasz部署基于Calicok8s测试环境》是按照默认步骤部署的calico网络,是IPIP模式,就是说跨node的通信是通过tunl0封装成IP-in-IP形式,本质上跟Flannel还是很类似的,并未将docker的IP暴露出来。下面记录一下关掉IPIP之后的部署验证过程 环境准备 参考前文 在最后ansible运行playbook之前,一定...
K8s一主一从快速部署指南
最新发布
Everyone_的博客
06-24 615
本文档记录了在CentOS 8最小化系统上部署Kubernetes v1.28集群的准备工作。主要内容包括: 基础环境配置:关闭防火墙/SELinux,设置阿里云yum源,安装必要工具 集群环境准备:同步时间,内核参数优化,配置主机映射 网络配置:启用ipvs模块,设置网络转发规则 容器环境部署:安装Docker并配置镜像加速器,设置cgroup驱动为systemd 安装cri-docker(需注意版本兼容性) 文档特别强调服务器内核版本要求不低于CentOS 7,并提供了详细的命令行操作步骤。所有操作均需
kubernetes(二):kubeasz部署基于Calicok8s测试环境
ljyfree的专栏
04-09 614
#测试环境 准备三台虚拟机(CentOS7.5),强烈建议不要有任何跟docker/k8s/flannel等相关的残留配置! k8s-master:10.25.151.100 k8s-node-1:10.25.151.101 k8s-node-2:10.25.151.102 前期绝大多数信息和配置请参照前作《kubernetes(一):kubeasz部署基于Flannel的k8s测试环...
k8s calico 网络不通
u010181847的专栏
07-31 2238
问题描述: 虚拟机挂起后,重新激活连接,k8s 容器网络不通 ping 同宿主机 容器ip 成功 ping 跨宿主机 容器ip 失败 ping 同宿主机 容器主机名 失败 ping 跨宿主机 容器主机名 失败 route -n 查看路由 路由缺失 tunl0的路由 ifconfig 查看网卡 tunl0 消失解决方法: 在所有宿主机节点执行命令 systemctl restart NetworkManager ifconfig...
k8s网络插件-calico
jingzhiz 专属移动笔记
07-19 930
calico的核心组件 (1)Felix:Calico的客户端,跑在每台node节点上,主要负责配置路由及ACLs等信息来确保各pod之间的连通状态 (2)etcd:分布式键值存储,主要负责网络元数据一致性,确保Calico网络状态的准确性; (3)BGPClient:主要负责把Felix写入kernel的路由信息分发到当前Calico网络,确保节点间通信的有效性; (4)BGPRoute Re...
一起来k8s 25.二进制k8s集群安装Weave Scope
隔壁小翔
08-14 535
二进制k8s集群安装Weave Scope 环境准备 ##/etc/hosts 192.168.48.101 master01 192.168.48.102 master02 192.168.48.103 master03 192.168.48.201 node01 192.168.48.202 node02 ## keepalived的vip 192.168.48.66 IP Hos...
一起来k8s 28.二进制k8s集群helm安装harbor
隔壁小翔
08-15 812
二进制k8s集群helm安装harbor 环境准备 ##/etc/hosts 192.168.48.101 master01 192.168.48.102 master02 192.168.48.103 master03 192.168.48.201 node01 192.168.48.202 node02 192.168.48.54 nfs ## keepalived的vip 192.168...
一起来k8s 27.二进制k8s集群安装helm
隔壁小翔
08-14 609
二进制k8s集群安装helm 环境准备 ##/etc/hosts 192.168.48.101 master01 192.168.48.102 master02 192.168.48.103 master03 192.168.48.201 node01 192.168.48.202 node02 192.168.48.54 nfs ## keepalived的vip 192.168.48.66...
虚拟机中k8s calico网络不通
kkkwant2050的博客
11-28 1900
k8s pod 跨主机pind pod 不通 一 改calico.yaml # 增加定位 - name: IP_AUTODETECTION_METHOD value: can-reach=192.168.31.168 #master节点内网ip - name: IP value: "autodetect" #取消注释,10.100.0.1/16为pod的网段 name: CALICO_IPV4POOL_CIDR value: "10.100.0.1/16" #延时改长 livenessPr
K8S网络浅析(一)
weixin_45747834的博客
10-25 1204
1、Linux 物理网卡与虚拟网卡 linux内核会无差别的对待物理网卡和虚拟网卡,唯一的不同是:物理网卡支持以比特流的方式传输数据,虚拟网卡则直接在内存中拷贝数据,因而虚拟网卡不支持向服务器外传送数据,虚拟网卡主要有三类: (1)tun:虚拟三层网卡,没有MAC地址,提供用户空间文件描述符仅用作tun应用空间程序像操作文件系统一样读取或写入数据,主要用于建立IP隧道 (2)tap:虚拟二层网卡,有MAC地址,可用于连接brdige,或者提供用户空间文件描述符像操作文件系统一样读取或写入数据,可用
k8s网络详解
weixin_43539320的博客
04-10 5749
cni0:他同docker网络模式不同的是,docker默认会创建一个名为docker0的网桥,而flannel会通过一个cni0来替换docker0。overlay:(覆盖网络),在现有的三层网络之下,“覆盖一层”虚拟的,由内核VXLAN模块负责维护的二层网络,使得在连接在这个VXLAN二层网络的pod之间,可以像在同一个局域网里一样,自由通讯。VXLAN:(虚拟可扩展局域网),是linux内核本身就支持的一种网络虚拟化技术。VXLAN完全就可以在内核实现封装和解封装的行为。架构图。
K8s扩容节点MTU引发跨网络段异常问题
u013488838的专栏
06-07 1556
容器新增主机,跨网段的话注意一下 网卡的 mtu设置问题,以下是问题解决说明,加跨网段机器前需要考虑调整mtu,否则新旧主机网络不通,新旧都要调整。具体可咨询zhaoyq。 「 和IP分片有关的,有一个重要的参数MTU。在默认的情况下,mtu不会有问题的,1500的默认值。集中化的MTU值不是1500 而是1450 现有集中化主机bond1的 mtu不是1500,而是1450tunl0 是1440(默认值)。calico的官网,翻到MTU的章节,IPIP有20个字节的ip 头, 要比硬件网卡的..
Kubernetes_容器网络_Calico_04_Calico不同节点间Pod通信tunl0手动选择网卡
毛毛的专栏
02-19 2981
Calico不同节点间Pod通信tunl0手动选择网卡
Calico IPIP模式mtu问题
阿拉斯加大闸蟹的博客
02-10 8204
昨日怀疑IPIP隧道tunl0的mtu有问题,今天分析后,修改集群Calico的mtu从1440到1430,问题解决。后续会针对Calico IPIP模式调整集群部署工具的参数。
k8s安装calico时如何选择网卡
weixin_45081220的博客
05-19 1570
k8s安装calico时如何选择网卡 1.了解calico的通信 默认情况下calico使用的是IPIP模式进行通信,所有节点之间建立tunl0隧道。每创建一个pod在宿主机上都会产生一个以cali开头的虚拟接口,如下图pod1生成了一个calixxxxx网卡,pod2生成了一个caliyyyyy虚拟网卡。每个pod发出去的数据包会直接转发到cali开头的网卡,这个接口跟pod里的网卡是veth pair的关系。 veth pair最直接的理解就是“网线直连”,pod1发出去的所有数据包,“闭着眼”转发给c
k8s calico ipip模式详解
魏志标的博客
06-28 3593
Calico 是一种容器之间互通的网络方案。在虚拟化平台中,比如 OpenStack、Docker 等都需要实现 workloads 之间互连,但同时也需要对容器做隔离控制。而在多数的虚拟化平台实现中,通常都使用二层隔离技术来实现容器的网络,这些二层的技术有一些弊端,比如需要依赖 VLAN、bridge 和隧道等技术,其中 bridge 带来了复杂性,vlan 隔离和 tunnel 隧道则消耗更多的资源并对物理环境有要求,随着网络规模的增大,整体会变得越加复杂。
kubernetes calico网络不通的排查思路
热门推荐
纵横四海的博客
03-11 2万+
网络不通通俗一点就是报文不可达 在这里就不多说了 举个例子 容器A访问不了容器B,也就是容器A ping 不通容器B 排查思路: 正向 1 容器A的内容是否发送到容器A所在的node上 2 容器A所在的节点node是否发送出去 3 容器B所在的节点node是否接收到容器A所在的节点node发送的报文 4 容器B所在的节点node是否把报文发送到容器B中 反向 1 容器B的内容...
k8s1.23安装calico插件
03-19
### Kubernetes 1.23 安装 Calico 网络插件教程 以下是关于在 Kubernetes 1.23 版本中安装 Calico 网络插件的具体方法: #### 准备工作 确保 Kubernetes 集群已经正确初始化并运行。可以通过以下命令验证集群的状态: ```bash kubectl get nodes ``` 确认所有节点处于 `Ready` 状态[^2]。 #### 步骤一:下载 Calico 的配置文件 执行以下命令来创建 Calico 插件所需的资源对象: ```bash kubectl create -f https://raw.githubusercontent.com/projectcalico/calico/v3.25.1/manifests/tigera-operator.yaml ``` 此操作会部署 Tigera Operator,它是管理 Calico 资源的核心组件[^1]。 #### 步骤二:应用默认的 Calico 配置 继续通过以下命令完成 Calico 的实际部署: ```bash kubectl create -f https://raw.githubusercontent.com/projectcalico/calico/v3.25.1/manifests/custom-resources.yaml ``` 这一步将定义具体的网络策略和其他必要的参数设置。 #### 检查安装状态 等待一段时间后,可以检查 Pod 和 Node 的状态以确认 Calico 是否已成功启动: ```bash kubectl get pods -n kube-system kubectl get nodes ``` 理想情况下,所有的 Calico Pods 应该进入 `Running` 或者其他稳定状态而不是 `CrashLoopBackOff` 等错误状态[^3]。 如果发现某些 Pod 存在于异常状态,则可进一步排查其日志信息: ```bash kubectl logs <pod-name> -n kube-system ``` #### 常见问题处理 - 如果部分 Pod 处于 Pending 状态,请检查是否有足够的资源分配给这些容器实例。 - 若遇到网络连通性问题,需重新审视 CNI (Container Network Interface) 的配置细节以及防火墙规则是否允许所需端口通信。 --- ### 注意事项 在整个过程中保持耐心很重要,因为有时由于镜像拉取延迟等原因可能导致一些初始阶段看起来像是失败的情况实际上只是时间上的差异而已。 ```python # 示例 Python 脚本用于自动化检测 calico pod 状态 import time from subprocess import run, PIPE def check_calico_status(): while True: result = run(['kubectl', 'get', 'pods', '-n', 'kube-system'], stdout=PIPE) output = result.stdout.decode('utf-8') if "calico-node" in output and "Running" in output: print("Calico is running successfully.") break print("Waiting for Calico to start...") time.sleep(10) check_calico_status() ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值