Cilium 官方文档翻译(8) IPAM CRD backed模式

已于 2022-11-20 03:54:09 修改
阅读量409 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: 基于eBPF的高性能容器网络Cilium 文章标签: kubernetes 云原生 网络
于 2022-11-20 03:53:32 首次发布
原文链接:https://docs.cilium.io/en/stable/concepts/networking/ipam/crd/

CRD-Backed

cilium 的CRD-Backed 模式IPAM通过kubernetes自定义资源CRD提供了一种扩展IP地址管理的接口。它允许每个节点可配置并将IPAM委托给外部operator。

架构

image.png

启动该模式后,cilium agent运行时会监听与节点同名的ciliumnodes.cilium.io自定义对象。
当自定义资源更新时,每个节点的可用IP地址池会通过spec.ipam.available数据域列出。当从池中删除一个已分配的IP时,这个已经分配的IP会继续被pod使用不会立即被回收,但是无法再被重用。
在IP地址池申请分配了一个IP地址时,已分配的IP地址会被纪录在status.ipam.inuse数据域。

节点状态更新最多每15秒运行一次。因此,如果同时调度多个POD,状态部分的更新可能会滞后

配置

cilium IPAM的CRD-Backed 模式可以通过cilium-configConfigMap 中设置ipam: crd或者通过helm 选项--ipam=crd开启。启用CRD-Backed 模式后,agent将等待与Kubernetes节点名称匹配的CiliumNode自定义资源变为可用,其中至少有一个IP地址列为可用。启用连接健康检查时,必须至少有两个IP地址可用。
agent 在等待时会打印以下日志

Waiting for initial IP to become available in '<node-name>' custom resource

Enable CRD IPAM mode

  1. 在kubernetes中安装cilium
  2. 使用--ipam=crd选项运行Cilium,或在Cilium配置ConfigMap中设置ipam: crd
  3. 重启cilium,cilium将自动注册CRD(如果还不可用)。
msg="Waiting for initial IP to become available in 'k8s1' custom resource" subsys=ipam
  1. 验证CRD是否已注册:
$ kubectl get crds
NAME                              CREATED AT
[...]
ciliumnodes.cilium.io             2019-06-08T12:26:41Z

Create a CiliumNode CR

  1. 导入以下自定义资源,使cilium agent有可用IP。
apiVersion: "cilium.io/v2"
kind: CiliumNode
metadata:
  name: "k8s1"
spec:
  ipam:
    pool:
      192.168.1.1: {}
      192.168.1.2: {}
      192.168.1.3: {}
      192.168.1.4: {}
  1. 验证cilium agent是否正确启动
$ cilium status --all-addresses
KVStore:                Ok   etcd: 1/1 connected, has-quorum=true: https://192.168.60.11:2379 - 3.3.12 (Leader)
[...]
IPAM:                   IPv4: 2/4 allocated,
Allocated addresses:
  192.168.1.1 (router)
  192.168.1.3 (health)
  1. 验证status.IPAM.used部分:
$ kubectl get cn k8s1 -o yaml
apiVersion: cilium.io/v2
kind: CiliumNode
metadata:
  name: k8s1
  [...]
spec:
  ipam:
    pool:
      192.168.1.1: {}
      192.168.1.2: {}
      192.168.1.3: {}
      192.168.1.4: {}
status:
  ipam:
    used:
      192.168.1.1:
        owner: router
      192.168.1.3:
        owner: health

目前地址池只允许使用单个IP地址。不支持CIDR。

权限

为了使自定义资源正常工作,需要以下附加权限。使用标准Cilium制品部署时,会自动授予这些权限:

apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRole
metadata:
  name: cilium
rules:
- apiGroups:
  - cilium.io
  resources:
  - ciliumnodes
  - ciliumnodes/status
  verbs:
  - '*'

CRD 定义

CilumNode自定义资源以标准Kubernetes资源为模型,并分为specstatus部分:

type CiliumNode struct {
        [...]

        // Spec is the specification of the node
        Spec NodeSpec `json:"spec"`

        // Status it the status of the node
        Status NodeStatus `json:"status"`
}

IPAM 规范

spec部分嵌入了一个IPAM特定字段,该字段允许定义节点可用于分配的所有IP的列表:

// AllocationMap is a map of allocated IPs indexed by IP
type AllocationMap map[string]AllocationIP

// NodeSpec is the configuration specific to a node
type NodeSpec struct {
        // [...]

        // IPAM is the address management specification. This section can be
        // populated by a user or it can be automatically populated by an IPAM
        // operator
        //
        // +optional
        IPAM IPAMSpec `json:"ipam,omitempty"`
}

// IPAMSpec is the IPAM specification of the node
type IPAMSpec struct {
        // Pool is the list of IPs available to the node for allocation. When
        // an IP is used, the IP will remain on this list but will be added to
        // Status.IPAM.InUse
        //
        // +optional
        Pool AllocationMap `json:"pool,omitempty"`
}

// AllocationIP is an IP available for allocation or already allocated
type AllocationIP struct {
        // Owner is the owner of the IP, this field is set if the IP has been
        // allocated. It will be set to the pod name or another identifier
        // representing the usage of the IP
        //
        // The owner field is left blank for an entry in Spec.IPAM.Pool
        // and filled out as the IP is used and also added to
        // Status.IPAM.InUse.
        //
        // +optional
        Owner string `json:"owner,omitempty"`

        // Resource is set for both available and allocated IPs, it represents
        // what resource the IP is associated with, e.g. in combination with
        // AWS ENI, this will refer to the ID of the ENI
        //
        // +optional
        Resource string `json:"resource,omitempty"`
}

IPAM 状态

status部分包含IPAM特定字段。IPAM状态报告该节点正在使用的所有地址:

// NodeStatus is the status of a node
type NodeStatus struct {
        // [...]

        // IPAM is the IPAM status of the node
        //
        // +optional
        IPAM IPAMStatus `json:"ipam,omitempty"`
}

// IPAMStatus is the IPAM status of a node
type IPAMStatus struct {
        // InUse lists all IPs out of Spec.IPAM.Pool which have been
        // allocated and are in use.
        //
        // +optional
        InUse AllocationMap `json:"used,omitempty"`
}
Cilium动手实验室: 精通之旅---17.Cilium IPAM
Q先生
06-10 904
LAB访问地址我们将使用 Kind 来设置我们的 Kubernetes 集群,并在该 Cilium 之上。该集群包含 3 个节点,包括 1 个 control plane 和 2 个 worker。由于 Cilium 和其他 CNI 都尚未安装,因此它们都处于NotReady状态。Cilium 实现了 CNI 规范,为 Kubernetes 提供网络。在 Kubernetes 中添加新的 Pod 时,首先通过 Kubernetes Scheduler 将其分配给节点。
Cilium动手实验室: 精通之旅---13.Cilium LoadBalancer IPAM and L2 Service Announcement
最新发布
Q先生
06-08 1479
由于我们的节点是 Docker 容器,因此删除节点不会完全关闭数据路径,因为它的 veth 对将留在后面。因此,为了模拟节点删除,我们需要识别 veth 对,以便我们可以关闭节点上的接口。也与我们之前部署的 L2 公告策略相对应,因此此服务应该已经通过 ARP 提供。的 Docker 容器已部署在与分配给服务的 IP 相同的网络中。再次检索服务 IP,对其进行 arping 并在 Docker 容器中检查它的 ARP 响应。目前没有外部 IP,因为它目前没有与 IPAM 池匹配的标签。
cilium 官方文档翻译(5)eBPF 数据路径
煮酒论架构
11-20 572
Linux内核在网络堆栈中支持挂载BPF Hook,可用于运行BPF程序。Cilium数据路径使用这些钩子加载BPF程序,组合使用并创建高级别的网络结构。下面是Cilium使用的钩子列表和简要说明。有关每个挂钩的详细信息,请参阅。容器通常使用称为veth对的虚拟设备,该虚拟设备充当将容器连接到主机的虚拟线路。通过连接到该veth对主机侧的TC入口钩子,Cilium可以监视并强制执行离开容器的所有流量的策略。
cilium路由模式和aws-eni模式下的IPAM
zhaojiew的学习笔记
05-09 1363
来看Cilium路由的几种核心模式
Cilium 中文指南》发布
ServiceMesher
06-21 316
最近开始对 eBPF 技术和 Cilium 开源项目颇为感兴趣,也翻译了一本 eBPF 相关的资料《什么是 eBPF》, 以及撰写了请暂时抛弃使用 eBPF 取代服务网格和 sidecar 模式的幻想的文章,想要再深入了解一下 Cilium 和 eBPF 这样的技术就服务网格领域究竟能发挥什么样的作用,那么就先从 Cilium 开始吧!阅读地址:https://lib...
Cilium 官方文档翻译(1)什么是cilium
煮酒论架构
11-20 418
Cilium 官方文档翻译第一篇
Cilium 官方文档翻译(6) IPAM Cluster scope模式
煮酒论架构
11-20 755
Cluster Pool模式cilium默认的IPAM模式,它为每个node分配PodCIDRs,并为每个节点提供host-scope级的分配器。这与 Kubernetes Host Scope 模式非常像,不同之处在于cilium operator会通过资源管理每个node的PodCIDRs,而Kubernetes Host Scope 模式是通过kubernetes的v1.Node来为每个node分配PodCIDRs。
Cilium 官方文档翻译(9) 替换kube-proxy
煮酒论架构
11-21 1834
本指南解释了如何在没有kube-proxy的情况下配置Kubernetes集群,以及如何使用Cilium完全替换它。cilium 使用 eBPF 实现了内核态高性能的负载均衡,并通过BPF Maps开放控制面的服务发现
kubernetes 使用cilium 网络插件 替换kube-proxy
02-10
Kubernetes环境中,传统的服务发现和网络代理方案是通过kube-proxy来实现的,它提供了iptables、ipvs等不同的工作模式。然而,随着云原生应用的发展,对网络性能、安全性和可观测性的需求日益增强,这催生了Cilium...
关于k8s的cilium网络插件踩坑记
qq_70531838的博客
10-25 1395
使用的系统镜像为centos7.6 内核是3.*** 然后用的工具来部署集群,开始以为是调度啥的,然后单节点试也出现CrashLoopBackOff、Pending等状态,更新内核在到5+ 集群自己就好了。注意:使用cilium网络插件保证系统内核在5以上,#这是容器接口cni,但原因还是cilium网络。#这条是查看cilium的容器详情发现的。#这条是containerd的日志信息。#这条是实时查询cgroup的。报错的关键字,方便大数据搜索。自己网上找个内核更新教程。
Cilium-实战系列-(一)Cilium-安装与部署
博然的宝藏库
10-05 854
前言:1、首先说一下和为 “一文一武”,一个注重点解,一个注重实际操作。Cilium + ebpf 系列文章-什么是ebpf?(一)_clium ebpf-优快云博客文章浏览阅读419次。一、We Create a container be a Server.二、We Create a container be a Client.三、Them link at a Bridge.四、 Do test.一、Test-tools。
cilium系列之一:安装并配置cilium
热门推荐
李炜伦的博客
09-16 1万+
cilium可以在内核转发和过滤数据包,可以解决现有的kube-proxy性能问题,这是有关介绍链接http://dockone.io/m/article/10046 现在主要的问题不仅在于网络是underlay还是overlay,也在于networkpolicy。
cilium ipam机制源码分析
fengcai_ke的博客
04-16 782
cilium作为k8s cni插件,提供了ipam的机制,可用来给pod分配ip地址,具体配置可参考,其中Kubernetes Host Scope表示每个node的cidr由k8s来分配,node上每个pod的ip由cilium-agent来分配;Cluster Scope为默认的ipam方式,每个node的cidr由cilium-operator来分配,并更新到ciliumnode crd中,node上每个pod的ip仍然由cilium-agent来分配,其他几种模式为云厂商提供的。
cilium系列之四:使用阿里云vpc作为ipam
李炜伦的博客
07-02 701
昨天试了一下cilium使用阿里云的vpc网络作为ipam,但是估计beta版ipam资源还没zhub
Cilium 官方文档翻译(7) IPAM Kubernetes Host模式
煮酒论架构
11-20 399
cilium IPAMkubernetes host-scope模式通过选项开启,将集群IP地址分配委托给每个独立的节点,并在每个kubernetes node的podCIDR范围内分配IP地址。这种模式下,cilium agent会等待kubernetes的v1.Node对象通过以下任意一种办法告知podCIDR。
cilium初探(一)
long75719507的专栏
12-04 7134
一、什么是cilium cilium是一个具备API感知的网络和安全的开源软件,用于透明保护使用Docker和Kubernetes等Linux容器管理平台部署的应用程序服务之间的网络连接。Cilium的基础是一种称为BPF的新Linux内核技术,该技术可在Linux自身内部动态插入强大的安全可见性和控制逻辑。由于BPF在Linux内核中运行,因此可以应用和更新Cilium安全策略,而无需...
Cilium & Hubble
喝醉酒的小白
07-17 2085
Cilium在第3/4层运行,以提供传统的网络和安全服务,还在第7层运行,以保护现代应用协议(如HTTP,gRPC和Kafka)的使用。Hubble是建立在Cilium和eBPF之上,以一种完全透明的方式,提供网络基础设施通信以及应用行为的深度可视化,是一个应用于云原生工作负载,完全分布式的网络和安全可观察性平台。Cilium是一个用于容器网络领域的开源项目,主要是面向容器而使用,用于提供并透明地保护应用程序工作负载(如应用程序容器或进程)之间的网络连接和负载均衡。.........
Cilium-实战系列-(三)Cilium-Multi Networking-多网络
博然的宝藏库
10-06 399
*主网络的isovalentpodnetworks default是默认生成的,你可以把这个CRD资源理解成配置路由。查看cilium为多网络pod分配的endpoint,endpoint就是一个逻辑上的表示,当然它有更多属性。*主网络ciliumpodippools.cilium.io default根据配置文件默认生成的。*通过Cilium管理节点上的pod cidr.网络分为主网络和第二网络。默认路由指的是未知路由目的地的数据包会丢向缺省路由,也就是主网络。3、禁用第二网络的SNAT。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值