Calico使用BGP做网络隔离

最新推荐文章于 2025-04-24 17:39:32 发布
最新推荐文章于 2025-04-24 17:39:32 发布
阅读量1.4k 收藏
点赞数
分类专栏: k8s网络 文章标签: calico 网络隔离 k8s
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_42758299/article/details/121471494
版权

Calico使用BGP做网络隔离,关闭全互联模式,自定义BGPPeer做网络隔离

本次测试环境节点情况

[root@bgp-node1 ~]# calicoctl get node -o wide

NAME          ASN       IPV4              IPV6  

bgp-master1   (64512)   172.20.42.80/32         

bgp-node1     (64512)   172.20.42.81/32         

bgp-node2     (64512)   172.20.42.82/32

关闭全互联模式

calicoctl get bgpconfiguration -o yaml > bgpconfiguration.yaml

将nodeToNodeMeshEnabled改为false

apiVersion: projectcalico.org/v3

kind: BGPConfiguration

metadata:

  name: default

spec:

  asNumber: 64512

  logSeverityScreen: Info

  nodeToNodeMeshEnabled: false

应用使其生效

calicoctl apply -f bgpconfiguration.yaml

此时主机路由中已没有跨节点路由,只有本机到本机容器的路由

[root@bgp-master1 bgp]# ip route

default via 172.20.43.253 dev enp1s0 proto static metric 100

blackhole 10.233.94.0/24 proto bird

10.233.94.1 dev cali36dac03ac5d scope link

10.233.94.2 dev cali05c862e5940 scope link

10.233.94.3 dev cali0e83553fade scope link

172.17.0.0/16 dev docker0 proto kernel scope link src 172.17.0.1 linkdown

172.20.40.0/22 dev enp1s0 proto kernel scope link src 172.20.42.80 metric 100


配置全局对等体

表示所有的节点都把172.20.42.80当做对等体去连,172.20.42.80将会有到其他所有节点容器的路由,172.20.42.81和172.20.42.82只会有到172.20.42.80节点容器的路由

apiVersion: projectcalico.org/v3

kind: BGPPeer

metadata:

  name: my-global

spec:

  peerIP: 172.20.42.80

  asNumber: 64512

在172.20.42.80中
对等体连接情况,与81和82都建立了对等连接

root@bgp-master1 bgp]# calicoctl node status

Calico process is running.

IPv4 BGP status

+--------------+---------------+-------+----------+-------------+

| PEER ADDRESS | PEER TYPE | STATE | SINCE | INFO |

+--------------+---------------+-------+----------+-------------+

| 172.20.42.81 | node specific | up | 01:30:03 | Established |

| 172.20.42.82 | node specific | up | 01:30:03 | Established |

+--------------+---------------+-------+----------+-------------+

路由情况,拥有到172.20.42.81和172.20.42.82所有容器路由

[root@bgp-master1 bgp]# ip route

default via 172.20.43.253 dev enp1s0 proto static metric 100

10.233.87.0/24 via 172.20.42.81 dev tunl0 proto bird onlink

blackhole 10.233.94.0/24 proto bird

10.233.94.1 dev cali36dac03ac5d scope link

10.233.94.2 dev cali05c862e5940 scope link

10.233.124.0/24 via 172.20.42.82 dev tunl0 proto bird onlink

172.17.0.0/16 dev docker0 proto kernel scope link src 172.17.0.1 linkdown

172.20.40.0/22 dev enp1s0 proto kernel scope link src 172.20.42.80 metric 100

在172.20.42.81中
只与80建立了对等连接

[root@bgp-node1 ~]# calicoctl node status

Calico process is running.

IPv4 BGP status

+--------------+-----------+-------+----------+-------------+

| PEER ADDRESS | PEER TYPE | STATE | SINCE | INFO |

+--------------+-----------+-------+----------+-------------+

| 172.20.42.80 | global | up | 01:30:04 | Established |

+--------------+-----------+-------+----------+-------------+

路由情况,只有到80也就是全局对等体所在节点容器的路由

[root@bgp-node1 ~]# ip route

default via 172.20.43.253 dev enp1s0 proto static metric 100

blackhole 10.233.87.0/24 proto bird

10.233.87.1 dev calie8d9aa79070 scope link

10.233.87.11 dev calia3e6aa9defc scope link

10.233.94.0/24 via 172.20.42.80 dev tunl0 proto bird onlink

172.17.0.0/16 dev docker0 proto kernel scope link src 172.17.0.1 linkdown

172.20.40.0/22 dev enp1s0 proto kernel scope link src 172.20.42.81 metric 100

在172.20.42.82中

只与80建立了对等连接

[root@bgp-node2 ~]# calicoctl node status

Calico process is running.

IPv4 BGP status

+--------------+-----------+-------+----------+-------------+

| PEER ADDRESS | PEER TYPE | STATE | SINCE | INFO |

+--------------+-----------+-------+----------+-------------+

| 172.20.42.80 | global | up | 01:30:04 | Established |

+--------------+-----------+-------+----------+-------------+

路由情况,路由也只有到80也就是全局对等体所在节点容器的路由

[root@bgp-node2 ~]# ip route

default via 172.20.43.253 dev enp1s0 proto static metric 100

10.233.94.0/24 via 172.20.42.80 dev tunl0 proto bird onlink

blackhole 10.233.124.0/24 proto bird

10.233.124.1 dev calia64c26be845 scope link

10.233.124.2 dev cali569dfdef2c4 scope link

10.233.124.3 dev cali0f9f35a43e6 scope link

172.17.0.0/16 dev docker0 proto kernel scope link src 172.17.0.1 linkdown

172.20.40.0/22 dev enp1s0 proto kernel scope link src 172.20.42.82 metric 100


其他节点没有共享80节点的路由,是由于BGP的安全机制,需要将80节点设置为路由反射器才行,详见后文


配置节点间的对等协议

和全局对等体的区别在于加了nodeSelector,将匹配符合节点选择器的节点
先给节点打上标签,将bgp-master1(172.20.42.80)和bgp-node1(172.20.42.81)都打上rack=rack-1的标签

kubectl label node bgp-master1 rack=rack-1

kubectl label node bgp-node1 rack=rack-1


将原来的global对等体删除,创建新的BGPPeer

apiVersion: projectcalico.org/v3

kind: BGPPeer

metadata:

  name: rack-1

spec:

  peerIP: 172.20.42.80

  asNumber: 64512

  nodeSelector: rack=rack-1

应用使其生效

calicoctl apply -f rack-bgppeer.yaml

172.20.42.80只与172.20.42.81建立了对等连接

Calico process is running.[root@bgp-master1 bgp]# calicoctl node status

IPv4 BGP status

+--------------+---------------+-------+----------+-------------+

| PEER ADDRESS | PEER TYPE | STATE | SINCE | INFO |

+--------------+---------------+-------+----------+-------------+

| 172.20.42.81 | node specific | up | 01:50:08 | Established |

+--------------+---------------+-------+----------+-------------+

IPv6 BGP status

No IPv6 peers found.

172.20.42.81只与172.20.42.80建立了对等连接

[root@bgp-node1 ~]# calicoctl node status

Calico process is running.

IPv4 BGP status

+--------------+---------------+-------+----------+-------------+

| PEER ADDRESS | PEER TYPE | STATE | SINCE | INFO |

+--------------+---------------+-------+----------+-------------+

| 172.20.42.80 | node specific | up | 01:50:08 | Established |

+--------------+---------------+-------+----------+-------------+

IPv6 BGP status

No IPv6 peers found.

将节点设置为路由反射器

此处将80节点设置为路由反射器

calicoctl get node bgp-master1 -o yaml > bgp-master1.yaml


修改bgp-master1.yaml

spec:

  bgp:

    ipv4Address: 172.20.42.80/32

    ipv4IPIPTunnelAddr: 10.233.94.0

    routeReflectorClusterID: 244.0.0.1   #添加此行

  orchRefs:

  - nodeName: bgp-master1

    orchestrator: k8s

应用使其生效

calicoctl apply -f bgp-master1.yaml

因为可以配置多个路由反射器,不再直接使用ip,而是用peerSelector来匹配多个路由反射器

apiVersion: projectcalico.org/v3

kind: BGPPeer

metadata:

  name: peer-with-route-reflectors

spec:

  nodeSelector: rack ==  'rack-1'

  peerSelector: route-reflector == 'true'

为了让BGPPeer匹配到,因此还需要给80节点添加标签

kubectl label node bgp-master1 route-reflector=true

此时在81节点查看对等体情况,依然还是和80建立了对等体连接

[root@bgp-node1 ~]# calicoctl node status

Calico process is running.

IPv4 BGP status

+--------------+---------------+-------+----------+-------------+

| PEER ADDRESS | PEER TYPE | STATE | SINCE | INFO |

+--------------+---------------+-------+----------+-------------+

| 172.20.42.80 | node specific | up | 06:01:44 | Established |

+--------------+---------------+-------+----------+-------------+

IPv6 BGP status

No IPv6 peers found.


在81节点查看路由情况,此时已经同步了80节点的路由规则,既有到80节点的路由,还有到82节点的路由

[root@bgp-node1 ~]# ip route

default via 172.20.43.253 dev enp1s0 proto static metric 100

blackhole 10.233.87.0/24 proto bird

10.233.87.1 dev calie8d9aa79070 scope link

10.233.87.11 dev calia3e6aa9defc scope link

10.233.94.0/24 via 172.20.42.80 dev tunl0 proto bird onlink

10.233.124.0/24 via 172.20.42.82 dev tunl0 proto bird onlink

172.17.0.0/16 dev docker0 proto kernel scope link src 172.17.0.1 linkdown

172.20.40.0/22 dev enp1s0 proto kernel scope link src 172.20.42.81 metric 100

82节点情况同81节点,确保82节点也添加了rack='rack-1'标签

如果需要设置多个路由选择器,则也需要如80节点一样,先添加routeReflectorClusterID: 244.0.0.1,在添加标签route-reflector=true

参考

Configure BGP peering

如何在kubernetes中配置Calico路由反射器 - KubeSphere 开发者社区

calico 二、配置BGP对等体 | 大番茄

Calico 如何通过BGP协议来实现网络策略的自动化控制,将带领大家理解Kubernetes网络管理系统是如何工作的,以及如何借助于开源项目Calico构建自己的Kubernetes网络管理系统
AI天才研究院
08-05 888
2020年初,随着容器技术的火爆发展,容器集群已经成为IT世界中应用最广泛、流量处理能力最强大的基础设施平台。Kubernetes作为容器编排领域的王者,其网络管理系统–网络策略(NetworkPolicy)也越来越受到越来越多人的关注。由于Kubernetes网络管理系统采用了iptables规则来实现容器间通信,并且与容器网络模型(flannel)或底层物理网络平台绑定,导致容器网络隔离功能缺失或性能影响较大。因此,传统基于路由器或交换机的网络隔离方案就显得力不从心了。
K8S系列】深入解析k8s网络插件—Calico
热门推荐
颜淡慕潇
07-20 2万+
Calico是一个强大的开源容器网络网络安全解决方案,广泛应用于Kubernetes集群和其他容器编排平台。 它通过利用BGP(Border Gateway Protocol)协议和Linux网络命名空间来实现高性能的容器间通信和网络策略控制。
k8s网络插件calico实现网络隔离
qq_41582851的博客
12-18 3186
@[TOC]存失败,源站可能有防盗链机制,建议将图片保(这里写自定义目录标题im211202)(6FC47FC043454CDAB36765A5)] #2欢迎2、创建命名空间 创建明明空间sub1和sub2,分别打上对应标签ns:sub1和 ns:sub2 sion: v1 ainr: Namespace metadata: name: sub1 labels: ns: sub1 --- apiVersikn: v1 kind: Namespace metadata: oame:
CalicoBGP打通Kubernetes网络和局域网
南宫乘风-Linux运维-虚拟化容器-Python编程 ownit.top
05-11 2483
Calico 是一个开源的容器网络解决方案,可以通过使用 BGP 协议来管理容器网络。与传统的基于 VXLAN 的解决方案相比,使用 Calico 可以避免网络数据包的封装和解封过程,提高了网络传输的效率和吞吐量。在 Kubernetes 集群中,Calico 可以用来打通 Pod 和局域网的网络,从而实现跨主机通信。
【星海出品】Calico研究汇总
最新发布
weixin_41997073的博客
04-24 1168
Tigera是一家专注于云原生安全的公司,于2016年成立,其核心产品包括开源的Calico项目以及商业版的Calico Enterprise。Calico项目的首次提交出现在2015年(根据GitHub提交历史)项目早期专注于为容器和Kubernetes提供网络连接与安全策略,后续持续迭代成为云原生领域的核心网络方案。作为Kubernetes的CNI(容器网络接口)插件,提供Pod间的网络通信和IP地址管理(IPAM)。
Kubernetes CNI CalicoBGP 模式 / Route Reflector 模式(RR)
小楼一夜听春雨,深巷明朝卖杏花
03-17 6957
Ipip模式是通过宿主机的网络去传输的,这个模式和flannel的vxlan工作模式差不多是一样的,都是一种复杂的网络方案,IPIP和vxlan模式的性能基本上接近,所以在性能方面要相对于路由方面损失10-20%。 Calio和flannel一样也支持路由方案,在calio里面使用BGP路由方案去实现的,BGP就是基于路由去转发的,每个节点通过BGP协议同步路由表,将每个节点作为路由器转发。 现在要将IPIP模式改为BGP模式 [root@k8s-master ~]# calicoctl get
Calico BGP 功能介绍:实现
云原生实验室
05-17 1765
Calico 作为一种常用的 Kubernetes 网络插件,使用 BGP 协议对各节点的容器网络进行路由交换。本文是《Calico BGP 功能介绍》系列的第二篇,介绍 Calico 中...
calico多租户网络隔离和部分租户业务隔离方案
weixin_42688255的博客
01-19 1901
calico网络隔离方案摘要一.前提条件二.Ingress入口网关2.1 不同namespace间的多租户网络隔离2.1.1 创建frontend, backend, client, and management-ui 等应用2.1.2 启用隔离策略2.1.3 增加一个授权策略以允许UI应用访问stars和client命名空间中的服务2.1.4 创建一个backend-policy.yaml的授权...
kubernetes网络插件-calico
01-12
1. **网络路由**:Calico 使用 BGP (Border Gateway Protocol) 实现网络路由,允许跨主机的Pods直接通信,无需通过NAT (Network Address Translation)。这种扁平化的网络模型提高了网络性能和效率。 2. **网络策略*...
Kubernetes网络插件详解 - Calico- 网络基础
weixin_49925141的博客
09-03 776
云原生Kubernetes并且没有创造新的网络技术,而是根据各种场景灵活的聚合使用各种网络技术。从底层通信技术来看,容器网络有Overlay模式,路由模式,以及Underlay模式三种,其中Overlay模式主要是通过虚拟化与隧道技术,屏蔽底层网络复杂路由转发,面向应用提供简单高效的通信能力。
Calico网络隔离与NetworkPolicy实战
"本文主要探讨了如何利用Calico和Kubernetes的NetworkPolicy实现租户间的网络隔离,包括Calico的基本介绍、其架构以及NetworkPolicy的详细解析和应用案例。" 在Kubernetes环境中,网络隔离是确保多租户安全性的关键...
隔离装置网络测试工具V2.24.rar
11-02
隔离装置网络测试工具
Calico BGP通信分析
jiayu的博客
09-05 1190
查看MAC地址信息,这个 MAC 地址应该是 Calico 硬塞进去的,而且还能响应 ARP。这个 IP 地址,拥有这个 IP 地址的设备会将自己的 MAC地址返回给对方。,而网关的 IP 地址不会出现在任何网络包头中。也就是说,没有人在乎这个 IP 地址究竟是什么,只要能找到对应的 MAC 地址,能响应 ARP 就行了。k8s-node-1 ens160物理抓包查看报文,可以发现和k8s-master-1 ens160发出来的数据报文一致。是容器的默认网关,但却找不到任何一张网卡对应这个 IP 地址。
干货收藏!CalicoBGP RouteReflector策略实践
2401_85789772的博客
06-28 1427
容器网络组件Calico支持多种后端模式,有Overlay的IPIP、Vxlan模式,也有Underlay纯路由的BGP模式。相比于Overlay网络模型,Underlay网络具有更高的数据面转发性能。同时在纯路由模式下,也有两种方案:Calico BGP的fullmesh方案,该方案存在一些限制,适用于小规模kubernetes集群,集群节点越多,BGP连接就越多,需要建立大量连接来保证网络的互通性,每增加一个节点就要成倍的增加连接保证网络的互通性,这样的话就会使用大量的网络消耗。
vlan网络隔离实验
奔跑的小猫
11-28 4004
vlan网络隔离实验 实验工具:华为eNSP模拟器 实验思路:为四台PC机配置不同的IP地址,两台LSW交换机分别连接两台PC机,为交换机配置VLAN后对不同VLAN的PC机连通性进行测试,测试结果为相同vlan的PC能够通信,不同vlan的PC不能够通信。 本次实验所使用拓扑图如下: 下面将把PC1和PC3划分为vlan10,PC2和PC4划分为vlan20,然后对交换机进行配置并验证PC连通性。 注:由于LSW1和LSW2配置相似,此处仅展示LSW2配置步骤。 关闭提示功能并修改交换机名称 配置交换
BGP 模式下 Calico 与 MetalLB 的组合
05-12 725
最近我司业务扩展在机房新开了一个区域,折腾了一段时间的 Calico BGP,为了能将整个过程梳理得更简单明了,我还是决定将这个过程记录下来。不管是对当下的总结还是未来重新审视方案都是值得的。大家都知道,云原生下的网络架构在 Kubernetes 里可以算是百花齐放,各有所长,这无形中也导致网络始终是横在广大 K8S 爱好者面前迈向高阶管理的几座大山之一。通常大家在公有云上使用厂家提供的 CNI 组件可能还感受不到其复杂,但一旦要在 IDC 自建集群时,就会面临 Kubernetes 网络架构选型的问题。
网络工程师——网络隔离与入侵检测
衍生星球的博客
10-24 2187
此技术通过专用通信硬件和专有安全协议等安全机制来实现内外部网络隔离和数据交换,不仅解决了以前隔离技术存在的问题,并有效地把内外部网络隔离开来,而且高效地实现了内外网数据的安全交换,透明地支持多种网络应用,成为当前隔离技术的发展方向。(2)多重安全网关。利用转播系统分时复制文件的途径来实现隔离,切换时间非常久,甚至需要手工完成,不仅明显地减缓了访问速度,更不支持常见的网络应用,失去了网络存在的意义。网络隔离技术的目标是确保把有害的攻击隔离,在保证可信网络内部信息不外泄的前提下,完成网络间数据的安全交换。
Docker CE overlay网络隔离测试
weixin_34166472的博客
06-17 347
Docker 的多种网络模式中,bridge的网络模式是用于同一台宿主机上的docker之间的互通,如果要实现多台宿主机上docker之间跨节点的通讯就需要借助overlay网络在 docker swarm 模式中,通过 docker service create 创建的容器默认会使用名为ingress的overlay网络模式,在这种网络模式下,service会在不同节点(宿...
calico配置 BGP Peers
虾米的博客
05-02 1万+
calico配置 BGP Peers 本文档主要描述使用 calicoctl 来管理 BGP. 主要针对在私有云上部署calico的用户,使calico跟底层基础架构进行peer。 包含以下四个方面的配置: 全局默认 AS 号 node-to-node 全互联 全局 BGP Peers 指定节点BGP Peers 概念 全局默认 AS 号就是当cali
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值