K8S 中 Pod 网络通信:
(1)Pod 内容器与容器之间的通信
在同一个 Pod 内的容器(Pod 内的容器是不会跨宿主机的)共享同一个网络命令空间,相当于它们在同一台机器上一样,可以用 localhost 地址访问彼此的端口。
(2)同一个 Node 内 Pod 之间的通信
每个 Pod 都有一个真实的全局 IP 地址,同一个 Node 内的不同 Pod 之间可以直接采用对方 Pod 的 IP 地址进行通信,Pod1 与 Pod2 都是通过 Veth 连接到同一个 docker0 网桥,网段相同,所以它们之间可以直接通信。
(3)不同 Node 上 Pod 之间的通信
Pod 地址与 docker0 在同一网段,docker0 网段与宿主机网卡是两个不同的网段,且不同 Node 之间的通信只能通过宿主机的物理网卡进行。
要想实现不同 Node 上 Pod 之间的通信,就必须想办法通过主机的物理网卡 IP 地址进行寻址和通信。因此要满足两个条件:Pod 的 IP 不能冲突;将 Pod 的 IP 和所在的 Node 的 IP 关联起来,通过这个关联让不同 Node 上 Pod 之间直接通过内网 IP 地址通信。
Overlay Network:
叠加网络,在二层或者三层基础网络上叠加的一种虚拟网络技术模式,该网络中的主机通过虚拟链路隧道连接起来(类似于VPN)。
VXLAN:
将源数据包封装到UDP中,并使用基础网络的IP/MAC作为外层报文头进行封装,然后在以太网上传输,到达目的地后由隧道端点解封装并将数据发送给目标地址。
5.2 Flannel 插件
Flannel 的功能是让集群中的不同节点主机创建的 Docker 容器都具有全集群唯一的虚拟 IP 地址。
Flannel 是 Overlay 网络的一种,也是将 TCP 源数据包封装在另一种网络包里面进行路由转发和通信,目前支持 udp、vxlan、 host-GW 3种数据转发方式。
- UDP(默认方式,基于应用转发,配置简单,性能最差)
- VXLAN(基于内核转发)
- Host-gw(性能最好、配置麻烦)
5.2.1 Flannel UDP 模式(端口8285)
udp模式的工作原理:(基于应用进行转发,Flannel提供路由表,Flannel封装、解封装)
数据从 node01 上 Pod 的源容器中发出后,经由所在主机的 docker0 虚拟网卡转发到 flannel.1 虚拟网卡,flanneld 服务监听在 flannel.1 虚拟网卡的另外一端。
Flannel 通过 Etcd 服务维护了一张节点间的路由表。源主机 node01 的 flanneld 服务将原本的数据内容封装到 UDP 中后根据自己的路由表通过物理网卡投递给目的节点 node02 的 flanneld 服务,数据到达以后被解包,然后直接进入目的节点的 flannel.1 虚拟网卡,之后被转发到目的主机的 docker0 虚拟网卡,最后就像本机容器通信一样由 docker0 转发到目标容器。
ETCD 之 Flannel 提供说明:
- 存储管理Flannel可分配的IP地址段资源
- 监控 ETCD 中每个 Pod 的实际地址,并在内存中建立维护 Pod 节点路由表
5.2.2 vxlan 模式(端口4789)
vxlan 是一种overlay(虚拟隧道通信)技术,通过三层网络搭建虚拟的二层网络,跟 udp 模式具体实现不太一样:
(1)udp模式是在用户态实现的,数据会先经过tun网卡,到应用程序,应用程序再做隧道封装,再进一次内核协议栈,而vxlan是在内核当中实现的,只经过一次协议栈,在协议栈内就把vxlan包组装好。
(2)udp模式的tun网卡是三层转发,使用tun是在物理网络之上构建三层网络,属于ip in udp,vxlan模式是二层实现, overlay是二层帧,属于mac in udp。
(3)vxlan由于采用mac in udp的方式,所以实现起来会涉及mac地址学习,arp广播等二层知识,udp模式主要关注路由
Flannel VXLAN模式跨主机的工作原理:(Flannel提供路由表,由内核封装、解封装)
1、数据帧从主机A上Pod的源容器中发出后,经由所在主机的docker0/cni0 网络接口转发到flannel.1 接口
2、flannel.1 收到数据帧后添加VXLAN 头部,封装在UDP报文中
3、主机A通过物理网卡发送封包到主机B的物理网卡中
4、主机B的物理网卡再通过VXLAN 默认端口4789转发到flannel.1 接口进行解封装
5、解封装以后,内核将数据帧发送到Cni0, 最后由Cni0 发送到桥接到此接口的容器B中。
5.2.3 UDP和VXLAN的区别
由于UDP模式是在用户态做转发(即基于应用进行转发,由应用程序进行封装和解封装),会多一次报文隧道封装,因此性能上会比在内核态做转发的VXLAN模式差。
UDP和VXLAN的区别:
- UDP基于应用程序进行转发,由应用程序进行封装和解封装;VXLAN由内核进行封装和解封装,内核效率比应用程序要高,所以VXLAN比UDP要快。
- UDP是数据包,VXLAN是数据帧。
- UDP的网卡Flannel0,VXLAN的网卡Flannel.1。
5.3 Calico 插件
5.3.1 k8s组网方案对比
1)flannel 方案:
需要在每个节点_上把发向容器的数据包进行封装后,再用隧道将封装后的数据包发送到运行着目标Pod的node节点上。目标node节点再负责去掉封装,将去除封装的数据包发送到目标Pod上。数据通信性能则大受影响。
2)calico方案:
Calico不使用隧道或NAT来实现转发,而是把Host当作Internet中的路由器,使用BGP同步路由,并使用iptables来做安全访问策略,完成跨Host转发来。
采用直接路由的方式,这种方式性能损耗最低,不需要修改报文数据,但是如果网络比较复杂场景下,路由表会很复杂,对运维同事提出了较高的要求。
5.3.2 Calico的组成和工作原理
基于三层路由表进行转发,不需要封装和解封装。
Calico主要由三个部分组成:
- Calico CNI插件:主要负责与kubernetes对接,供kubelet 调用使用。
- Felix:负责维护宿主机上的路由规则、FIB转发信息库等。
- BIRD:负责分发路由规则,类似路由器。
- Confd:配置管理组件。
Calico工作原理:
- Calico是通过路由表来维护每个pod的通信。
- Calico 的CNI插件会为每个容器设置一个 veth pair设备,然后把另一端接入到宿主机网络空间,由于没有网桥,CNI插件还需要在宿主机上为每个容器的veth pair设备配置一条路由规则,用于接收传入的IP包。
- 有了这样的veth pair设备以后,容器发出的IP包就会通过veth pair设备到达宿主机,然后宿主机根据路由规则的下一跳地址,发送给正确的网关,然后到达目标宿主机,再到达目标容器
- 这些路由规则都是Felix 维护配置的,而路由信息则是Calico BIRD 组件基于BGP(动态路由协议,可以选路)分发而来。
- calico实际上是将集群里所有的节点都当做边界路由器来处理,他们一起组成了一个全互联的网络,彼此之间通过BGP交换路由,这些节点我们叫做BGP Peer。
5.4 flannel和calico对比
flannel
- 配置方便,功能简单,是基于overlay叠加网络实现的(在原有数据包中再封装一层),由于要进行封装和解封装的过程对性能会有一定的影响,同时不具备网络策略配置能力。
- 三种模式:UDP、 VXLAN、HOST-GW
- 默认网段是:10.244.0.0/16
calico
- 功能强大,基于路由表进行转发,没有封装和解封装的过程,对性能影响较小,具有网络策略配置能力,但是路由表维护起来较为复杂。
- 模式:BGP、IPIP
- 默认网段192 .168.0.0/16
目前比较常用的CNI网络组件是flannel和calico,flannel的功能比较简单,不具备复杂的网络策略配置能力,calico是比较出色的网络管理插件,但具备复杂网络配置能力的同时,往往意味着本身的配置比较复杂,所以相对而言,比较小而简单的集群使用flannel,考虑到日后扩容,未来网络可能需要加入更多设备,配置更多网络策略,则使用calico更好。
(flannel在封装和解封装的过程中,会有性能损耗。calico没有封装解封装过程,没有性能损耗)
总结
1、node安装步骤:
- 准备kubeconfig文件
- 启动kubelet,发送csr请求证书
- 启动kube-proxy
- 安装CNI 网络插件,实现 pod 跨主机的通信
- 安装CoreDNS 插件,可以实现 service 名称解析到clusterIP
2、vxlan与vlan区别:
1)vxlan支持更多的二层网络
vlan使用12位bit表示vlan ID,因此最多支持2^12=4096个vlan(可用数量为4094)
vxlan使用的ID使用24位bit,最多可以支持2^24个
2)vxlan对已有的网络路径利用效率更高
vlan使用STP(spanning tree protocol)避免环路,会将一半的网络路径阻塞。
vxlan的数据包封装成UDP通过网络层传输,可以使用所有的网络路径。
3)vxlan可以防止物理交换机Mac表耗尽
vlan需要在交换机的Mac表中记录Mac物理地址。
vxlan采用隧道机制,Mac物理地址不需记录在交换机。
4)VXLAN在一定程度上可以实现逻辑网络拓扑和物理网络拓扑的解耦
VXLAN技术通过隧道技术在物理的三层网络中虚拟二层网络,处于VXL AN网络的终端无法察觉到VXL AN的通信过程,这样也就使得逻辑网络拓扑和物理网络拓扑实现了一定程度的解耦,网络拓扑的配置对于物理设备的配置的依赖程度有所降低,配置更灵活更方便。
5)VXLAN技术还具有多租户支持的特性
VLAN技术仅仅解决了二层网络广播域分割的问题,而VXL AN技术还具有多租户支持的特性,通过VXLAN分割,各个租户可以独立组网、通信,地址分配方面和多个租户之间地址冲突的问题也得到了解决。
