解析 | K8S之网络插件CNI

本文涉及的产品
云解析 DNS,旗舰版 1个月
全局流量管理 GTM,标准版 1个月
容器服务 Serverless 版 ACK Serverless,952元额度 多规格
简介: CNI(Container Network Interface)容器网络接口, 是Linux容器网络配置的一组标准和库, 用户需要根据这些标准和库来开发自己的容器网络插件。 在github里已经提供了一些常用的插件,CNI只专注解决容器网络连接和容器销毁时的资源释放,提供一套框架,所以CNI可以支持大量不同的网络模式,并且容易实现。

CNI(Container Network Interface)容器网络接口,  

是Linux容器网络配置的一组标准和库,

用户需要根据这些标准和库来开发自己的容器网络插件

在github里已经提供了一些常用的插件,CNI只专注解决容器网络连接和容器销毁时的资源释放,提供一套框架,所以CNI可以支持大量不同的网络模式,并且容易实现。

相对于k8s exec直接执行可执行程序,cni 插件是对执行程序的封装,规定了可执行程序的框架,当然最后还是和exec 插件一样,执行可执行程序。只不过exec 插件通过命令行数据读取参数,cni插件通过环境变量以及配置文件读入参数。

相对于exec 的4个 subcommand,cni 只有2 subcommand,执行CNI插件需要传入以下环境变量:

CNI_COMMAND=ADD/DEL

CNI_CONTAINERID=xxxxxxxxxxxxxxxxxxx

CNI_NETNS=/proc/4390/ns/net

CNI_ARGS=IgnoreUnknown=1;K8S_POD_NAMESPACE=default;K8S_POD_NAME=22-my-nginx-2523304718-7stgs;K8S_POD_INFRA_CONTAINER_ID=xxxxxxxxxxxxxxxx

CNI_IFNAME=eth0

CNI_PATH=/opt/cni/bin.

最终的执行是./plugin netconfpath 其中plugin是二进制可执行cni插件,netconf 是配置文件路径,一般配置文件文件夹在 /etc/cni/net.d/。

cni插件的开发可以模仿github上面的例子,主要实现两个函数:

funccmdAdd(args *skel.CmdArgs) funccmdDel(args *skel.CmdArgs)

下面bridge配置文件例子:

 {

    “cniVersion”: “0.2.0”,

    “name”: “mynet”,

    “type”: “bridge”,   //使用的cni插件类型,cni根据这个调用相应二进制文件

    “bridge”: “cni0”,

    “isGateway”: true,    //其他配置信息比如IP地址等

    “ipMasq”: true,

    “ipam”: {

        “type”:”host-local”,

        “subnet”:”10.22.0.0/16″,

        “routes”: [

            { “dst”:”0.0.0.0/0″ }

        ]

    }

}

下面calico配置文件例子:

{

    “name”:”k8s-pod-network”,

    “type”: “calico”,

    “etcd_endpoints”:”http://10.255.13.121:2379″,

    “etcd_key_file”: “”,

    “etcd_cert_file”: “”,

    “etcd_ca_cert_file”:””,

    “log_level”: “info”,

    “ipam”: {

        “type”:”calico-ipam”

    },

    “policy”: {

        “type”: “k8s”,

        “k8s_api_root”:”https://10.255.0.1:443″,

        “k8s_auth_token”:”eyJhbGciOiJSUzI1NiIsInR5cCI6IkpXVCJ9.eyJpc3MiOiJrdWJlcm5ldGVzL3NlcnZpY2VhY2NvdW50Iiwia3ViZXJuZXRlcy5pby9zZXJ2aWNlYWNjb3VudC9uYW1lc3BhY2UiOiJrdWJlLXN5c3RlbSIsImt1YmVybmV0ZXMuaW8vc2VydmljZWFjY291bnQvc2VjcmV0Lm5hbWUiOiJkZWZhdWx0LXRva2VuLTN4d2NjIiwia3ViZXJuZXRlcy5pby9zZXJ2aWNlYWNjb3VudC9zZXJ2aWNlLWFjY291bnQubmFtZSI6ImRlZmF1bHQiLCJrdWJlcm5ldGVzLmlvL3NlcnZpY2VhY2NvdW50L3NlcnZpY2UtYWNjb3VudC51aWQiOiI3MGQ5Y2YyNS1jNzU2LTExZTYtYWVhNi1kMDBkYTBmNGQ0ZTIiLCJzdWIiOiJzeXN0ZW06c2VydmljZWFjY291bnQ6a3ViZS1zeXN0ZW06ZGVmYXVsdCJ9.OqEBj0cofXDKvQiioRkt1RKuF5QSPRweYRsmKXsacDFq10jJmBzgJUZtiIysu5CDov-6OR4p2HzmBfjfWkNFuldvOMKdjZP4KmJ8C1ZAOJ20f7Rr0-hyiG3Hnem6RBK41QsIUz0dwB-SmGWR9Mx-HY3LHITFp6nn3UcaDVESIFuRLge3KSnWBlalTlI5zyxJJ5Bfuxh9J26hw8wCaZce53pkE9g2fcjxJkXdUPEzB1MZw8egu7FiQ6_WaiaYgu6uD9TQovjb8uewWR3Jq5aYvCOrwnegm2MxC8Ndt_3EUJRVNgYnf2yzaXmkDSqAtgR-PQQ2SmYWKu45MjPPiyJn3w”

    },

    “kubernetes”: {

        “kubeconfig”:”/etc/cni/net.d/calico-kubeconfig”

    }

}

Calico这边数据是从Calico服务端获取相应的网络信息。

像简单的插件,对于容器网络信息,比如容器应该分配的IP,可以直接从dnsmasq分配出来;如果更简单一些,可以直接从CNI_ARGS 环境变量传过来;复杂的插件,比如Calico,就需要从服务端传递数据过来。

本文转移K8S技术社区-解析 | K8S之网络插件CNI

相关实践学习
通过Ingress进行灰度发布
本场景您将运行一个简单的应用,部署一个新的应用用于新的发布,并通过Ingress能力实现灰度发布。
容器应用与集群管理
欢迎来到《容器应用与集群管理》课程,本课程是“云原生容器Clouder认证“系列中的第二阶段。课程将向您介绍与容器集群相关的概念和技术,这些概念和技术可以帮助您了解阿里云容器服务ACK/ACK Serverless的使用。同时,本课程也会向您介绍可以采取的工具、方法和可操作步骤,以帮助您了解如何基于容器服务ACK Serverless构建和管理企业级应用。 学习完本课程后,您将能够: 掌握容器集群、容器编排的基本概念 掌握Kubernetes的基础概念及核心思想 掌握阿里云容器服务ACK/ACK Serverless概念及使用方法 基于容器服务ACK Serverless搭建和管理企业级网站应用
相关文章
|
16天前
|
域名解析 存储 网络协议
深入解析网络通信关键要素:IP 协议、DNS 及相关技术
本文详细介绍了IP协议报头结构及其各字段的功能,包括版本、首部长度、服务类型、总长度、标识、片偏移、标志、生存时间(TTL)、协议、首部检验和等内容。此外,还探讨了IP地址的网段划分、特殊IP地址的应用场景,以及路由选择的大致流程。最后,文章简要介绍了DNS协议的作用及其发展历史,解释了域名解析系统的工作原理。
61 5
深入解析网络通信关键要素:IP 协议、DNS 及相关技术
|
18天前
|
安全 算法 网络安全
网络安全的盾牌与剑:漏洞防御与加密技术解析
【9月更文挑战第21天】在数字世界的海洋中,网络安全是航行者的罗盘和船锚。本文将揭开网络安全漏洞的面纱,探讨如何通过加密技术筑起数据保护的堡垒,并强调安全意识的重要性。从基础概念到实际操作,我们将一同航行在网络安全的波涛之中,寻找安全的灯塔。
|
12天前
|
物联网 5G SDN
5G 网络架构全解析:RAN、核心网和接入网
5G 网络架构全解析:RAN、核心网和接入网
48 8
|
8天前
|
存储 安全 算法
网络安全的盾牌与利剑:漏洞防范与加密技术解析
【9月更文挑战第31天】在数字时代的浪潮中,网络安全成为守护个人隐私和组织资产的重要屏障。本文将深入探讨网络安全中的两大关键要素:安全漏洞和加密技术。我们将从漏洞的类型、检测方法到如何有效修补,逐一剖析;同时,对加密技术的基本原理、应用实例进行详细解读。文章旨在为读者提供一套实用的网络安全知识框架,帮助提升网络防护意识和技能,确保在日益复杂的网络环境中保护好每一份数据。
21 3
|
9天前
|
SQL 监控 安全
网络安全与信息安全的全面解析##
本文深入探讨了网络安全和信息安全的重要性,揭示了一系列关键概念,包括网络漏洞、加密技术及安全意识。通过详细的案例分析和实践指南,旨在提高读者对网络威胁的认知,并介绍如何有效防范这些威胁。无论是企业还是个人用户,了解并实施这些策略都是确保数字安全的关键。 ##
23 2
|
15天前
|
数据采集 存储 JavaScript
构建您的第一个Python网络爬虫:抓取、解析与存储数据
【9月更文挑战第24天】在数字时代,数据是新的金矿。本文将引导您使用Python编写一个简单的网络爬虫,从互联网上自动抓取信息。我们将介绍如何使用requests库获取网页内容,BeautifulSoup进行HTML解析,以及如何将数据存储到文件或数据库中。无论您是数据分析师、研究人员还是对编程感兴趣的新手,这篇文章都将为您提供一个实用的入门指南。拿起键盘,让我们开始挖掘互联网的宝藏吧!
|
19天前
|
SQL 存储 安全
网络安全与信息安全:从漏洞到防护的全方位解析
【9月更文挑战第20天】在数字化时代,网络安全和信息安全的重要性日益凸显。本文将深入探讨网络安全的多个方面,包括常见的安全漏洞、加密技术的应用以及提升个人安全意识的方法。我们将通过实例分析,揭示网络攻击者如何利用安全漏洞进行入侵,同时展示如何使用加密技术保护数据安全。此外,我们还将讨论如何通过教育和实践提高大众的安全意识,以减少安全威胁的发生。文章旨在为读者提供一套全面的网络安全知识体系,帮助他们在日益复杂的网络环境中保护自己的信息资产。
|
14天前
|
存储 供应链 安全
守护网络前线:漏洞、加密与安全意识的全方位解析
在这个数字时代,网络安全已成为我们不可忽视的重要议题。本文深入探讨了网络安全中的三大关键领域:安全漏洞、加密技术以及安全意识。通过具体案例和实用策略,旨在为读者提供一个全面而深入的视角,以更好地理解和应对网络安全挑战。
|
13天前
|
存储 安全 算法
网络安全与信息安全的全面解析
本文深入探讨了网络安全和信息安全的重要性,详细分析了常见的网络漏洞及其成因,并介绍了当前主流的加密技术。此外,文章还强调了提升安全意识的必要性,为读者提供了实用的建议和措施。
25 1
|
16天前
|
安全 算法 网络安全
网络安全的守护神:漏洞防御与加密技术的深度解析
【9月更文挑战第23天】在数字时代的浪潮中,信息安全已成为我们不可忽视的重要课题。本文旨在深入探讨网络安全的两大支柱——漏洞防御和加密技术,揭示其背后的原理及应用。通过分析近期的安全事件,我们将理解安全意识的重要性,并学习如何通过技术和策略保护自己的数字资产。文章不仅提供理论知识,还将分享实用的安全建议,助您在网络世界中更安全地航行。
36 4

推荐镜像

更多