k8s(十六): VXLAN和Flannel

已于 2022-04-29 12:41:40 修改
阅读量4.2k 收藏 11
点赞数 1
CC 4.0 BY-SA版权
分类专栏: kubernetes 网络 kubernetes那些事儿 文章标签: kubernetes VXLAN
于 2019-07-17 16:57:41 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/ywq935/article/details/96326680
本文深入探讨了 Flannel 的 VXLAN 工作模式,详细解释了 VXLAN 解决方案如何克服传统二层网络的限制,以及 Flannel 在容器网络环境中如何利用 VXLAN 实现高效的数据通信。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

前言

目前k8s中比较常用的cni有calico、flannel、kube-router等,个人比较熟悉的是kube-router/calico的bgp纯直通方案,flannel则是另一款使用较多的比较简单易用的方案,这里着重了解一下flannel的vxlan这一常用模式

VXLAN

在了解flannel之前,有必要掌握vxlan的基础知识。首先来看看vxlan协议的报文封装格式:
在这里插入图片描述

说明:

vxlan,给数据中心大二层网络使用,何为大二层,又为何需要vxlan?

1.vlan数量有限

vlan的tag位一个4个字节,其中12bit是给vlan id使用,也即是一共有4096个vlan id支持,在大型数据中心中不够用,但这个问题其实QinQ(IEEE 802.1 ad)标准可以解决,重点原因是因为第二点

2.mac地址表限制

虚拟化/容器化场景下,一台物理机内部有众多虚拟网卡,而外部的二层设备(交换机)是将mac地址都缓存入内存中的,且交换机内存空间一般较小,在虚拟化的数据中心中,如果mac表满了,会出现大量的广播泛洪,造成
极大的网络资源和计算资源的浪费

3.灵活部署限制

如果虚机和物理机之间使用桥接网络,那么虚拟机则同样受物理机网络的限制,只能使用那一个vlan的地址,不同vlan下的虚机受制于vlan无法顺畅的进行互相迁移,容易主机的资源利用率的不均衡。虽然可以通过物理机与交换设备全部通过trunk的方式连接来解决vlan切换这个问题,但是这样无疑会形成一个巨大的传统二层网络空间,相应的BUM(Broadcast,Unknown Unicast,Multicast)风暴和交换机MAC地址表的问题也会随之产生,这是无法接受的。

那么vxlan是怎么解决上面几个问题的呢?

从上面的报文封装图可以看出,vxlan外层(二层头部、三层头部)继续沿用现有标准,只是在传输层,使用了udp封装,udp封装之内,就是vxlan的协议封装。VXLAN Tunnel EndPoint(简称VTE, 是指支持vxlan封装、拆包的交换设备,一般可理解为承载着虚拟机的物理机),通过vxlan header内部封装的信息,拆包后直接将original layer 2 frame数据,转发给相应的虚拟网卡。

如此,在外部的网络设备层面,vxlan保持着传统的通信方式,即各个VTE之间以UDP的方式互相通信;而在VTE层面,则通过报文封装,实现了内部众多的虚拟网卡mac地址之间的数据交换:
其一,24bit的VNID标识,实现了1600多万个不同二层子网的区分;
其二,通过报文封装的格式,
其三,通过VXLAN的封装,实现了虚拟网卡之间越过传统三层网络,以特殊的二层数据帧交换的方式通信,走的是一套独立于物理网络(underlay network)的overlay network,在物理网络上可以保持不变,但是同时,虚拟机的部署和迁移,又不用受物理网络的限制,有利于物理资源利用率维持均衡

以上也就是为什么vxlan又称为虚拟大二层网络,有了以上基础铺垫,下面来简述一下flannel 的vxlan实现的工作具体流程。

Flannel

按照惯例,先上流程图:

在这里插入图片描述

步骤详解:
源端:

1)源容器veth0向目标容器发送数据,根据容器内的默认路由,数据首先发送给宿主机的docker0网桥
2)宿主机docker0网桥接受到数据后,宿主机查询路由表,pod相关的路由都是交由flannel.1网卡,因此,将其转发给flannel.1虚拟网卡处理
3)flannel.1接受到数据后,查询etcd数据库,获取目标pod网段对应的目标宿主机地址、目标宿主机的flannel网卡的mac地址、vxlan vnid等信息。然后对数据进行udp封装如下:
udp头封装:
source port 8285,target port 8285
udp内部封装:
1.vxlan封装:vxlan vnid等信息
2. original layer 2 frame封装:source {源 flannel.1网卡mac地址} target{目标flannel.1网卡的mac地址}
完成以上udp封装后,将数据转发给物理机的eth0网卡

4)宿主机eth0接收到来自flannel.1的udp包,还需要将其封装成正常的通信用的数据包,为它加上通用的ip头、二层头,这项工作在由linux内核来完成。
Ethernet Header的信息:
source:{源宿主机机网卡的MAC地址}
target:{目标宿主机网卡的MAC地址}
IP Header的信息:
source:{源宿主机网卡的IP地址}
target:{目标宿主机网卡的IP地址}
通过此次封装,一个真正可用的数据包就封装完成,可以通过物理网络传输了。

目标端:

5)目标宿主机的eth0接收到数据后,对数据包进行拆封,拆到udp层后,将其转发给8285端口的flannel进程
6)目标宿主机端flannel拆除udp头、vxlan头,获取到内部的原始数据帧,在原始数据帧内部,解析出源容器ip、目标容器ip,重新封装成通用的数据包,查询路由表,转发给docker0网桥;
7)最后,docker0网桥将数据送达目标容器内的veth0网卡,完成容器之间的数据通信。

总结:

通过对vxlan设计思想和flannel的落地方案的互相印证,对这两者会有更为深刻的理解,同时,不难发现,flannel性能表现不佳的原因很可能是因为反复拆封包过程、etcd查询这几个步骤带来的额外开销。

参考:

https://blog.youkuaiyun.com/u010039418/article/details/90451081
https://www.cnblogs.com/cwind/p/10085146.html
https://events.static.linuxfound.org/sites/events/files/slides/2013-linuxcon.pdf

k8s calico vxlan式详解
魏志标的博客
04-23 4031
之前的文章讲了k8s ipip模式的使用以及流量路径,本篇文章主要是来讲解一下vxlan 模式下pod 流量是如何通信的。
K8S网络系列--Flannel网络下UDP、VXLAN模式的通信流程机制分析
菜鸟运维升级之路
12-01 1887
在传统的单机环境下,容器之间的网络通信相对简单,通常通过Docker默认的网桥模式就可以实现。然而,将容器部署到分布式的集群环境中时,跨主机的容器网络通信就成为了一个亟待解决的问题。因为在Docker的默认配置下,不同宿主机上的容器是无法直接通过IP地址进行互相访问的。这是因为每个宿主机上的Docker网络都是独立的,它们各自管理着自己的私有网段。这种隔离虽然在安全性方面有所裨益,但也阻碍了容器之间的直接通信。因此为了解决这个"跨主通信"的难题,容器社区提出了多种网络方案。
flannel网络模式---vxlan介绍
wanger5354的博客
07-20 975
微信公众号:运维开发故事,作者:华仔 说明 本文主要包括以下内容: vxlan简单介绍 为什么要使用vxlan k8s使用flannel(vxlan)如何进行pod之间的通信 vxlan简单介绍 VXLAN(Virtual eXtensible LAN,虚拟可扩展的局域网),是一种虚拟化隧道通信技术。它是一种overlay(覆盖网络)技术,通过三层的网络搭建虚拟的二层网络。 简单来讲,VXLAN是在底层物理网络(underlay)之上使用隧道技术,依托UDP层构建的overlay的逻辑网络,使逻辑网.
Kubernetes 网络方案:Flannel 插件全解析
小刘运维
06-04 1408
特性VXLANhost-gw封装UDP+VXLAN无封装条件性封装性能中 (~20%开销)(接近原生)同子网高,跨子网中网络要求仅需三层连通需二层连通混合要求跨子网支持不支持支持但性能下降复杂度中等低中等Flannel 作为 Kubernetes 网络生态的基石:简单可靠的 Overlay 网络,适用于中小集群、混合云环境,部署简单、社区支持好。
KUbernetes FlannelVXLAN模式
小楼一夜听春雨,深巷明朝卖杏花
03-11 4113
K8s网络模型: CNI(容器网络接口) CNI(Container Network Interface,容器网络接口):是一个容器网络规范,Kubernetes网络采用的就是这个CNI规 范,负责初始化infra容器的网络设备。 CNI二进制程序默认路径:/opt/cni/bin/ 项目地址:https://github.com/containernetworking/cni 以Flannel网络组件为例,当部署Flanneld后,会在每台宿主机上生成它对应的CNI配置文件(它其实是一个Config
kubernetes系列】flannelvxlan模式分析
margu_168的博客
07-26 1218
Kubernetes中要保证容器之间网络互通,网络至关重要。而Kubernetes本身并没有自己实现容器网络,而是而是借助CNI标准,通过插件化的方式自由接入进来。
k8s容器互联-flannel vxlan 原理篇
我活在当下,我巨他妈勇敢。
03-15 889
flannel 在为不同主机的pod分配ip地址的时候,会在一个大的网段范围内分配ip地址,而同一台主机上的pod,则是在大的网段下延伸出一个较小的子网,同一台主机上的ip地址则是在较小的子网范围内去进行分配。例如k8s启动flannel插件时,会通过flannel的配置文件指定大的网段的范围flannel启动方式,我们选用的是vxlan模式这样整个集群的ip地址就是在10.10.0.0/16 网段去进行分配。
K8S flannel网络模式对比
m0_37680131的博客
11-02 1333
Flannel 是一个 Kubernetes 中常用的网络插件,用于在集群中的节点之间提供网络连接。Flannel 提供了多种后端实现方式,vxlan host-gw 是两种常见的模式。本文主要介绍两种模式的使用场景区别。
--- kind: Namespace apiVersion: v1 metadata: name: kube-flannel labels: k8s-app: flannel pod-security.kubernetes.io/enforce: privileged --- kind: ClusterRole apiVersion: rbac.authorization.k8s.io/v1 metadata: labels: k8s-app: flannel name: flannel rules: - apiGroups: - "" resources: - pods verbs: - get - apiGroups: - "" resources: - nodes verbs: - get - list - watch - apiGroups: - "" resources: - nodes/status verbs: - patch --- kind: ClusterRoleBinding apiVersion: rbac.authorization.k8s.io/v1 metadata: labels: k8s-app: flannel name: flannel roleRef: apiGroup: rbac.authorization.k8s.io kind: ClusterRole name: flannel subjects: - kind: ServiceAccount name: flannel namespace: kube-flannel --- apiVersion: v1 kind: ServiceAccount metadata: labels: k8s-app: flannel name: flannel namespace: kube-flannel --- kind: ConfigMap apiVersion: v1 metadata: name: kube-flannel-cfg namespace: kube-flannel labels: tier: node k8s-app: flannel app: flannel data: cni-conf.json: | { "name": "cbr0", "cniVersion": "0.3.1", "plugins": [ { "type": "flannel", "delegate": { "hairpinMode": true, "isDefaultGateway": true } }, { "type": "portmap", "capabilities": { "portMappings": true } } ] } net-conf.json: | { "Network": "10.244.0.0/16", "EnableNFTables": false, "Backend": { "Type": "vxlan" } } --- apiVersion: apps/v1 kind: DaemonSet metadata: name: kube-flannel-ds namespace: kube-flannel labels: tier: node app: flannel k8s-app: flannel spec: selector: matchLabels: app: flannel template: metadata: labels: tier: node app: flannel spec: affinity: nodeAffinity: requiredDuringSchedulingIgnoredDuringExecution: nodeSelectorTerms: - matchExpressions: - key: kubernetes.io/os operator: In values: - linux hostNetwork: true priorityClassName: system-node-critical tolerations: - operator: Exists effect: NoSchedule serviceAccountName: flannel initContainers: - name: install-cni-plugin image: ghcr.io/flannel-io/flannel-cni-plugin:v1.7.1-flannel1 command: - cp args: - -f - /flannel - /opt/cni/bin/flannel volumeMounts: - name: cni-plugin mountPath: /opt/cni/bin - name: install-cni image: ghcr.io/flannel-io/flannel:v0.27.0 command: - cp args: - -f - /etc/kube-flannel/cni-conf.json - /etc/cni/net.d/10-flannel.conflist volumeMounts: - name: cni mountPath: /etc/cni/net.d - name: flannel-cfg mountPath: /etc/kube-flannel/ containers: - name: kube-flannel image: ghcr.io/flannel-io/flannel:v0.27.0 command: - /opt/bin/flanneld args: - --ip-masq - --kube-subnet-mgr resources: requests: cpu: "100m" memory: "50Mi" securityContext: privileged: false capabilities: add: ["NET_ADMIN", "NET_RAW"] env: - name: POD_NAME valueFrom: fieldRef: fieldPath: metadata.name - name: POD_NAMESPACE valueFrom: fieldRef: fieldPath: metadata.namespace - name: EVENT_QUEUE_DEPTH value: "5000" - name: CONT_WHEN_CACHE_NOT_READY value: "false" volumeMounts: - name: run mountPath: /run/flannel - name: flannel-cfg mountPath: /etc/kube-flannel/ - name: xtables-lock mountPath: /run/xtables.lock volumes: - name: run hostPath: path: /run/flannel - name: cni-plugin hostPath: path: /opt/cni/bin - name: cni hostPath: path: /etc/cni/net.d - name: flannel-cfg configMap: name: kube-flannel-cfg - name: xtables-lock hostPath: path: /run/xtables.lock type: FileOrCreate
最新发布
07-01
关键配置:-在DaemonSet中,容器镜像通常为flannel镜像,例如:flannel/flannel:v0.22.0(具体版本需查看官方)-网络配置通过ConfigMap传递(kube-flannel-cfg)-需要指定网络后端(默认为vxlan)在官方提供的kube-...
calico flannel k8s 安装yaml文件
03-05
Kubernetesk8s)集群中,网络插件起着至关重要的作用,它们负责为Pod之间提供网络通信。在本话题中,我们将探讨两个流行的网络插件:CalicoFlannel,以及如何通过YAML文件来安装它们。YAML是Kubernetes的主要...
Kubernetes Flannel VxLAN 模式 Pod 间通信过程
weixin_53111196的博客
05-02 516
查看 cni0 接口,它是一个 Linux bridge,不仅能学习 MAC 地址、转发二层数据包,还能根据路由表转发跨网段数据包,类似于一个三层交换机。查看源 Pod 所在节点的路由表,数据包将交由 flannel.1 处理。查看源 Pod 所在节点的路由表,数据包交由 cni0 处理。查看 flannel.1 接口,它是一个 VxLAN 设备。表示该接口是挂载到网桥 cni0 的一个接口。查看源 Pod 对端 veth 的索引号。查看源 Pod 的路由表。查看源 Pod 的路由表。
Flannel-vxlan.docx
12-30
flannel网络vxlan模式原理及使用,这边文章主要介绍vxlan的实现原理以及简单模拟使用,如果有不对的地方请大家指导,喜欢k8s的同学要评论哦谢谢
flannel原理之vxlan模式解析
Deepexi_Date的博客
12-10 1311
作者:刘海峰,IT行业资深码农,从事.net/java/go语言开发十余年,长期关注springcloud/k8s/linux网络相关的技术,现为滴普科技容器产品首席架构师。 前言 上一章介绍完flannel的udp模式后,接着来介绍一下vxlan模式,因为很多生产的K8S都正在使用这个模式,所以将会介绍得详细些。 在前面的章节中,我们介绍过配置linux vxlan完成跨主机的容器通信,flannelvxlan模式大概完成的事情就是把那个章节中手工完成的事情自动化了而已,想了解的童鞋可以看回那一章:
K8S CNI:打通虚拟网络(vxlan二层网络(macvlan)
flynetcn的专栏
11-14 506
如何打通 K8s 虚拟网络(flannel vxlan 网络) K8s 2层网络(macvlan网络)
3层vni vxlan_flannel原理之vxlan模式
weixin_32768455的博客
01-06 839
vxlan模式vxlan是一种overlay技术,跟之前提到的udp模式思路是类似,但是具体实现不太一样:udp模式是在用户态实现的,数据会先经过tun网卡,到应用程序,应用程序再做隧道封装,再进一次内核协议栈,而vxlan是在内核当中实现的,只经过一次协议栈,在协议栈内就把vxlan包组装好udp模式的tun网卡是三层转发,使用tun是在物理网络之上构建三层网络,属于ip in udp,vxla...
kubernetes】集群网络(二):FlannelVxLan、Host-GW模式
追寻梦想的青春
02-01 1801
Flannel作为k8s中广泛使用的网络插件,它的实现相对容易理解,它还提供了不同的模式,常用的是VxLanHost-GW,由于Host-GW要求宿主机在同一个网段,使用受限,因此,最常用的还是VxLan
K8SFlannelvxlan网络模式初步源码解析
github_35735591的博客
08-14 650
之前详细解析过Flannelvxlan模式的网络通信原理,本篇将继续深入结合源码进行探索
CNI 网络分析 3.3 Flannel vxlan
mr1jie的博客
02-06 489
Flannel vxlan
flannel-VXLAN模式
qq_35311140的博客
11-22 944
flannel入门实践可知,flannel采用daemonset方式部署,flannel是一种no server架构方式,每个节点上的flannel pod只需管理本节点网络即可。名称IP所在节点10.244.1.610.244.1.710.244.2.7同节点pod上图展示了同节点下的网络拓扑图。以在中ping在中,由可知,先将请求报文发送到eth0,由于是veth pair,且另一端绑定到cni0上,所以请求报文会发送给cni0。cni0接收到报文,由于目的ip是10.244.1.7。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值