Kubernetes网络模型本身对某些特定的网络功能有一定要求,但在实现方面也具有一定的灵活性。业界已经有不少不同的网络方案,来满足特定的环境和要求。
CNI(container network interface)是容器网络接口,它是一种标准设计和库,为了让用户在容器创建或者销毁时都能够更容易的配置容器网络。
目前比较流行的CNI插件:Flannel、Calico、Weave、Canal(技术上是多个插件的组合)。这些插件即可以确保满足Kubernetes的网络要求,又能为kubernetes集群管理员提供他们所需的某些特定的网络功能。
背景
容器网络是容器选择连接到其他容器、主机和外部网络(如Internet)的机制。容器的runtime提供了各种网络模式,每种模式都会产生不同的效果。例如,Docker默认情况下可以为容器配置以下网络:
- none:将容器添加到一个容器专门的网络堆栈中,没有对外连接。
- host:将容器添加到主机的网络堆栈中,没有隔离。
- default bridge:默认网络模式。每个容器可以通过IP地址互相连接。
- 自定义网桥:用户定义的网桥,具有更多的灵活性、隔离性和其他便利功能。
Docker还可以让用户通过其他驱动程序和插件,来配置更高级的网络(包括多主机覆盖网络)。
CNI(https://github.com/containernetworking/cni/blob/master/SPEC.md) 的初衷是创建一个框架,用于在配置或销毁容器时动态配置适当的网络配置和资源。CNI 规范中用于配置网络的插件接口,可以让容器运行时与插件进行协调,具体机制如下:
- 插件负责为接口配置和管理IP地址,并且同于提供与IP管理、每个容器的IP分配、以及多主机连接相关的功能。
- 容器运行时会调用网络插件,从而在容器启动时分配IP地址并配置网络策略,并在删除容器时再次调用插件以清理这些资源。
- 在Kubernetes中,kubelet可以在适当的时间调用插件,来为通过kubelet启动的pod进行自动的网络配置。
术语
- VXLAN:代表“虚拟可扩展LAN”。首先,VXLAN用于通过在UDP数据报中封装第2层以太网帧来帮助实现大型云部署。VXLAN虚拟化与VLAN类似,但提供更大的灵活性和功能(VLAN仅限于4096个网络ID)。VXLAN是一种封装和覆盖协议,可在现有网络上运行。
- Overlay网络:Overlay网络是建立在现有网络之上的虚拟逻辑网络。Overlay网络通常用于在现有网络之上提供有用的抽象,并分离和保护不同的逻辑网络。
- 网状网格:网状网络(Mesh network)是指每个节点连接到许多其他节点以协作路由、并实现更大连接的网络。网状网络允许通过多个路径进行路由,从而提供更可靠的网络。网状网格的缺点是每个附加节点都会增加大量开销。
- BGP(Border Gateway Protocol):即"边界网关协议",用于管理边缘路由器之间数据包的路由方式。BGP通过考虑可用路径,路由规则和特定网络策略,帮助弄清楚如何将数据包从一个网络发送到另一个网络。
原理
要实现跨虚拟机的容器之间的网络,有几种可能的办法:
- 容器的IP就是二层网络里分配的IP,这样容器相当于二层网络里的节点,那么就可以天然互访;
- 容器的IP与node的IP不属于同一个网段,node上配置个到各个网段的路由(指向对应容器网段所部属的node IP),通过路由实现互访[flannel host-gw, calico bgp均是通过此方案实现];
- 容器的IP与node的IP不属于同一个网段,node上有服务对容器发出的包进行封装,对发给容器的包进行解封。封装后的包通过node所在的网络进行传输。解封后的包通过网桥或路由直接发给容器,即overlay网络。[flannel udp/vxlan,calico ipip,openshift-sdn均通过此方案实现]
CNI 插件
Flannel(只能提供网络通讯,不提供网络策略)
链接:https://github.com/coreos/flannel
由CoreOS开发的项目Flannel,是最直接和最受欢迎的CNI插件。它是容器编排系统中最成熟的网络结构示例之一,旨在实现更好的容器间和主机间网络。
特点:
-
相对容易安装和配置。它被打包为单个二进制文件flanneld,许多常见的Kubernetes集群部署工具和许多Kubernetes发行版都可以默认安装Flannel。
-
Flannel可以使用Kubernetes集群的现有etcd集群来使用API存储其状态信息,因此不需要专用的数据存储。
-
Flannel配置第三层IPv4 overlay网络。它会创建一个大型内部网络,跨越集群中每个节点。在此overlay网络中,每个节点都有一个子网,用于在内部分配IP地址。在配置pod时,每个节点上的Docker桥接口都会为每个新容器分配一个地址。同一主机中的Pod可以使用Docker桥接进行通信,而不同主机上的pod会使用flanneld将其流量封装在UDP数据包中,以便路由到适当的目标。
-
主要是提供主机和pod之间的网络链接。
Calico
链接:https://github.com/projectcalico/cni-plugin
Calico以其性能、灵活性而闻名。
特点:
- Clico的功能更为全面,不仅提供主机和pod之间的网络链接,还涉及网络安全和管理。
- Calico CNI插件在CNI框架内封装了Calico的功能。
- Calico不使用overlay网络,而是配置第三层网络(网络层,IPv4、IPv6、ICMP)【更底层】。该网络使用BGP路由协议在主机之间路由数据包。这意味着在主机之间传输的时候,不需要将数据包包装在额外的封装层中。传输效率更高,有性能优势。
- 故障排查更方便。使用calico,标准调试工具可以访问与简单环境中相同的信息,从而使更多开发人员、管理人员更容易理解行为。
- 具有先进的网络功能:
- 网络策略
- 还可以与服务网格Istio集成,
canal
链接:https://github.com/projectcalico/canal
Canal是Flannel和Calico的组合:
- 网络层用的是Flannel提供的简单overlay,可以在许多不同的部署环境中运行且无需额外的配置。
- 网络策略方面,Calico强大的网络规则评估,为基础网络提供了更多补充,从而提供了更多安全性和控制。
Weave
链接:https://www.weave.works/oss/net/
weave是Weaveworks提供的一种Kubernetes CNI网络选项。
特点:
-
智能路由 Weave在集群中的每个节点之间创建overlay网络,参与者可以灵活路由。——Weave可以智能路由。
工作原理:
为了创建网络,weave依赖于网络中每台主机上安装的路由组件。然后,这些路由器交换拓扑信息,以维护可用网络环境的最新试图。 当需要将流量发送到位于不同节点上的pod时,weave路由组件会自动决定是通过"快速数据路径"发送,还是回退到"sleeve"分组转发的方法。
-
与Calico一样,Weave也为Kubernetes集群提供网络策略功能。
-
对整个网络的简单加密。Weave可以使用NaCI加密(http://nacl.cr.yp.to)来为sleeve流量自动加密所有路由流量;使用IPsec ESP来加密快速数据路径流量。