企业级运维之云原生与Kubernetes实战课程 - 第一章第6讲 Kubernetes网络

企业级运维之云原生与Kubernetes实战课程

第一章第6讲 Kubernetes网络

视频地址：https://developer.aliyun.com/learning/course/913/detail/14600

摘要：本小节主要内容为K8s容器网络介绍，包括：网络约束和目标、节点内的Pod通信、跨节点的Pod通信、Pod与Netns的关系、典型容器网络实现方案。

1. Kubernetes网络约束和目标

Kubernetes对于Pod间的网络没有任何限制，只需满足如下三个基本条件：

• 所有Pod可以与其他Pod直接通信，无需显式使用NAT；
• 所有Node可以与所有Pod直接通信，无需显式使用NAT；
• Pod可见的IP地址确为其他Pod与其通信时所用，无需显式转换；

基于以上准入条件，我们在审视一个网络方案的时候，需要考虑如下四大目标：

• 容器与容器间的通信；
• Pod与Pod之间的通信；
• Pod与Service间的通信；
• 外部世界与Service间的通信；

2. 对约束的解释

容器与其宿主存在寄生关系，从而在实现上，容器网络方案可分为 Underlay和Overlay两大派别，其主要的差异在于：是否与Host网络同层，这样对于微服务发现及治理，容器可访问方式都造成很大的差异，所以社区的同学以 perPodperIP这种简单武断的模型，摒弃了显示端口映射等NAT配置，统一了容器网络对外服务的视角。

3. 节点内的Pod通信

每个Pod都有其自身的Netns，通过一个虚拟的以太网对连接到root netns。这基本是一个管道对，一端在root netns内，另一端在Pod的netns内。

节点内Pod1与Pod2的通信

如图节点内Pod1与Pod2的通信：首先Pod1的eth0流量会先到vethxxx，再到cbr0，然后到vethyyy，再到Pod2的eth0。

4. 跨节点的Pod通信

每个节点都为Pod IPs分配了唯一的CIDR块，有不同的网络命名空间、网络接口以及网桥。

跨节点的Pod1与Pod3的通信

如图跨节点的Pod1与Pod3的通信，需要通过路由规则转发，因为Pod1的ip和Pod3的IP不同，而且如果网络是Flanneld的话，这两个Pod还不在同一个网段，只能通过路由转发。

当Pod3接收到来自Node1节点上Pod1的eth0包，在回包时如何确认eth0与Pod1有关系呢？

如图，如果网络使用Flanneld方案，首先会在每个节点上创建不同的Docker和Flannel网段，通过Docker的网段分发每个Pod的IP，比如节点1是10.1.15.1/24，节点2上是10.1.20.3/24，而Pod内的网段是在节点网段内的，在进行流量分发时，Pod1上的流量首先经过Docker0通过Flanneld，而Flanneld会读取etcd保存的Pod节点所在的信息，进而将流量进行转发，实现了整个网络的流通性。

5. Netns究竟实现了什么

Network namespace是实现网络虚拟化的内核基础，创建了隔离的网络空间。

• 拥有独立的附属网络设备（Io、veth等虚设备/物理网卡）；
• 独立的协议栈，IP地址和路由表；
• iptables规则；
• ipvs等；

6. Pod与Netns的关系

每个Pod拥有独立的Netns空间，Pod内的Container共享该空间，可通过Loopback接口实现通信，或通过共享的Pod-IP对外提供服务。宿主上存在RootNetns，可以看做一个特殊的容器空间。

7. 典型容器网络实现方案

容器网络可能是Kubernetes领域最为百花齐放的一个领域，依照laaS层的配置、外部物理网络的设备、性能or灵活优先，可以有不同的实现：

• Flannel：最为普遍的实现，提供多种网络backend实现，覆盖多种场景；
• Calico：采用BGP提供网络直连，功能丰富，对底层网络有要求；
• Canal：Flannel for network + Calico for firewalling，嫁接型创新项目；
• Cilium：基于eBPF和XDP的高性能Overlay网络方案；
• Kube-router：同样采用BGP提供网络直连，集成基于 LVS的负载均衡能力；
• Romana：采用BGP or OSPF 提供网络直连能力的方案；
• WeaveNet：采用UDP封装实现L2 Overlay，支持用户态(慢，可加密)/内核态(快，不能加密)两种实现；

8. Flannel方案

Flannel是目前使用最为普遍的方案，通过将Backend机制独立，它目前已经支持多种数据路径，也可以适用于overlay/underlay等多种场景，封装可以选用用户态udp(纯用户态实现)，内核Vxlan(性能好)，如集群规模不大，处于同一二层域，也可以选择 host-gw方式。

9. Network Policy基本概念

Network Policy提供了基于策略的网络控制，用于隔离应用并减少攻击面。它使用标签选择器模拟传统的分段网络，并通过策略控制它们之间的流量以及来自外部的流量。

在使用Network Policy之前需要注意：

• apiserver开启 extensions/v1beta1/networkpolicies；
• 网络插件要支持 Network Policy，如Calico、Romana、Weave Net和trireme等；

K8s的Network Policy就是网络ACL，是基于CNI、terway、clico网络类型的集群，基于pod维度实现IP/ns/Pod的访问控制。

比如某个Pod的label为1，可以设置default的命名空间无法访问，也可以设置哪些IP可以访问含有label为1的Pod，Pod和Pod之间可以设置，如Pod label为2的Pod不能访问label为1的Pod等。

第一章总结