《云原生网络数据面可观测性最佳实践》——二、全景剖析阿里云容器网络数据链路——2. Terway ENI 模式架构设计（中）

更多精彩内容，欢迎观看：

《云原生网络数据面可观测性最佳实践》——二、全景剖析阿里云容器网络数据链路——2. Terway ENI 模式架构设计（上）：https://developer.aliyun.com/article/1221647?groupCode=supportservice

4) 场景三：访问Pod IP，异节点pod访问pod

环境

ap-southeast-1.10.0.0.196节点上存在pod：centos-59cdc5c9c4-89f8x IP地址10.0.0.202。

ap-southeast-1.10.0.2.80节点上存在pod：nginx-6f545cb57c-jmbrq和10.0.2.86。

内核路由

centos-59cdc5c9c4-89f8x IP地址10.0.0.202，该容器在宿主机表现的PID是2314075，该容器网络命名空间有指向容器eth0的默认路由。和下一跳为veth1，目的网段为service的两条路由。

 

 

通过上述类似的办法，可以找到 nginx-6f545cb57c-jmbrq IP地址 10.0.2.86，该容器在宿主机表现的PID是1083623。

小结

可以访问到目的端

centos-59cdc5c9c4-89f8x netns eth0 可以抓到数据包。

 

nginx-6f545cb57c-jmbrq netns eth0 可以抓到数据包。

 

 

数据链路转发示意图：

 

 

● 数据链路是ECS1 Pod1 netns eth0 -> VPC ->ECS2 Pod2 netns eth0。数据链路不经过宿主机host namespace，数据链路会先出ECS1，到AVS再回到ECS2；

● 在pod内的net namespace中，直接命中默认路由规则，从eth0网卡出pod直接到VPC。这里的eth0 其实就是附属网卡ENI，直接被挂载在了pod的net ns，走了PCI设备；

● 该网卡为被分配的pod独占，无法和其他pod进行共享；

● 数据链路经过两次协议栈；

 

5) 场景四：集群内访问SVC IP （Cluster IP），源端和SVC后端Pod为同一节点

环境

 

ap-southeast-1.10.0.0.196节点上存在两个pod：centos-59cdc5c9c4-89f8x IP地址10.0.0.202和nginx1-5969d8fc89-9t99h和10.0.0.203。

Service是nginx1集群内clusterIP是192.168.41.244，external IP是8.219.175.179。

内核路由

centos-59cdc5c9c4-89f8x IP地址10.0.0.202，该容器在宿主机表现的PID是2314075，该容器网络命名空间有指向容器eth0的默认路由。和下一跳为veth1，目的网段为service的两条路由。

 

 

该容器eth0在ECS OS 内对应veth pair是cali38ef34581a9。

 

通过上述类似的办法，可以找到 nginx1-5969d8fc89-9t99h  IP地址10.0.0.203，该容器在宿主机表现的PID是1094736，该容器eth0在ECS OS 内对应veth pair是cali5068e632525。

 

在ECS OS内，有指向Pod IP，下一跳为calixxxx的路由，通过前文可以知道calixxx网卡是和每个pod内的veth1组成的pair，所以，pod内访问SVC的CIDR会有指向veth1的路由，不会走默认的eth0路由。

 

故calixx网卡在这里的主要作用是用于：节点访问Pod 2. 当节点或者Pod访问 SVC的CIDR时，会走ECS OS内核协议栈转换，走到calixxx和veth1访问pod。

 

小结

可以访问到目的端

centos-59cdc5c9c4-89f8x netns veth1 可以抓到数据包。

 

centos-59cdc5c9c4-89f8x netns cali38ef34581a9 可以抓到数据包。

 

nginx1-5969d8fc89-9t99h netns veth1 可以抓到数据包。

 

 

nginx1-5969d8fc89-9t99h netns cali5068e632525 可以抓到数据包。

 

 

数据链路转发示意图：

 

 

 

● 数据链路是ECS1 Pod1 netns veth1 -> calixxx1 -> calixxx2->ECS2 Pod2 netns veth1；

● 在pod内的net namespace中，命中svc的路由，从veth1网卡出pod到ECS的namespace，然后通过linux routing 转到另一个pod的calixx 网卡。这里的veth1和calixxx是veth pair；

● 源端pod所分配的veth，calicoxxx网卡可以捕获到svc IP和源端pod IP。SVC IP 会在源端ECS host内命中ipvs/iptables规则，做了nat转化；

● 目的段pod所分配的veth，calicoxxx网卡可以捕获calicoxxx网卡默认ip和目的pod IP；

● 该网卡为被分配的pod独占，无法和其他pod进行共享；

● 数据链路经过三次协议栈：Pod1，ECS OS和Pod2；

6) 场景五：集群内访问SVC IP （Cluster IP），源端和SVC后端Pod为不同节点

环境  

ap-southeast-1.10.0.0.196节点上存在pod：centos-59cdc5c9c4-89f8x IP地址10.0.0.202。

ap-southeast-1.10.0.2.80节点上存在pod：nginx-6f545cb57c-jmbrq和10.0.2.86。

Service是nginx集群内clusterIP是192.168.204.233，external IP是8.219.199.33。

内核路由

centos-59cdc5c9c4-89f8x IP地址10.0.0.202，该容器在宿主机表现的PID是2314075，该容器网络命名空间有指向容器eth0的默认路由。和下一跳为veth1，目的网段为service的两条路由。

 

该容器eth0在ECS OS 内对应veth pair是cali38ef34581a9。

 

通过上述类似的办法，可以找到 nginx-6f545cb57c-jmbrq   IP地址 10.0.2.86，该容器在宿主机表现的PID是1083623，该pod网卡ENI是直接被挂载到了Pod的网络命名空间内。

 

小结

可以访问到目的端

数据链路转发示意图：

 

● 数据链路是ECS1 Pod1 netns veth1 -> cali38ef34581a9 ->ECS1 eth0 -> VPC ->ECS2 Pod2 netns veth1；

● 在客户端pod内的net namespace中，命中svc的路由，从veth1网卡出pod到ECS的namespace，然后通过linux routing 转到客户端ECS eth0 网卡, 然后进入到vpc转发到目的Pod所属的eth网卡；

● 源端pod所分配的veth，calicoxxx网卡可以捕获到svc IP和源端pod IP；

● SVC IP 会在源端ECS host内命中ipvs/iptables规则，做了fnat转化。在源端ECS 所属的eth0只能捕获到ipvs/iptables规则所分配的目的pod IP和源ECS IP；

● 目的pod内eth0所捕获的IP 是源端ECS IP和目的POD IP。（源POD IP和SVC IP不会体现）；

● 该网卡为被分配的pod独占，无法和其他pod进行共享；

● 数据链路经过三次协议栈：Pod1，ECS1 OS和Pod2；

更多精彩内容，欢迎观看：

《云原生网络数据面可观测性最佳实践》——二、全景剖析阿里云容器网络数据链路——2. Terway ENI 模式架构设计（下）：https://developer.aliyun.com/article/1221643?groupCode=supportservice