Calico:灵活的网络模式与 eBPF 数据平面

原创 于 2025-08-01 09:34:59 发布 · 616 阅读 · 13 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#网络 #平面

Calico:灵活的网络模式与 eBPF 数据平面

第一部分:当 BGP 不可行时 - IPIP 与 VXLAN 覆盖网络

虽然 BGP 模式性能极高,但在某些网络环境中,它并不可行。例如,许多公有云的网络架构可能会阻止虚拟机之间直接建立 BGP 对等体关系。为了在这种环境下依然能够使用 Calico,它提供了两种封装 (Encapsulation) 模式,即覆盖网络。

A. IPIP 模式 (IP-in-IP)
  • 工作原理: 这是一种简单的三层隧道技术。当一个 Pod 的数据包需要跨节点传输时,Calico 会将这个原始的 IP 包,再封装进一个新的 IP 包里。这个外部 IP 包的源地址和目标地址,就是源节点和目标节点的 IP 地址。
  • 特点:
    • 封装开销相对较小(只增加了一个外部 IP 头)。
    • 某些网络环境(或防火墙)可能会阻止或限制 IPIP 协议的流量。
B. VXLAN 模式 (Virtual Extensible LAN)
  • 工作原理: 这与我们之前在 Flannel 中学到的原理相同。它会将原始的二层以太网帧,封装进一个标准的 UDP 包里。
  • 特点:
    • 兼容性极佳: 因为它使用的是标准的 UDP 协议,几乎可以穿透任何网络环境,不会被中间设备阻止。
    • 封装开销比 IPIP 稍大(增加了 UDP 头)。
如何配置?

配置覆盖网络模式非常简单,通常只需在安装 Calico 时,修改其 Installation CRD 即可。

# Calico Operator 的 Installation CRD 配置片段
apiVersion: operator.tigera.io/v1
kind: Installation
# ...
spec:
  calicoNetwork:
    ipPools:
    - blockSize: 26
      cidr: 192.168.0.0/16
      # 将封装模式设置为 VXLAN 或 IPIP
最低0.47元/天 解锁文章

200万优质内容无限畅学
Cilium vs Calico:Kubernetes 网络插件实测
Sapphire521的博客
05-25 72
Cilium vs Calico:Kubernetes 网络插件实测
云原生 | 在 Kubernetes 中使用 Cilium 替代 Calico 网络插件实践指南!
WeiyiGeek 唯一极客IT知识分享
09-03 2431
Cilium 是一款开源软件,它基于一种名为eBPF的新的Linux内核技术提供动力,用于透明地保护使用 Docker 和 Kubernetes 等Linux 容器管理平台中部署的应用程序服务之间的网络连接,Cilium 主要使用场景是在 Kubernetes 中,但 Cilium 的优势并不仅限于 Kubernetes 环境。在 Kubernetes 环境中,Cilium 可充当网络插件,提供 pod 之间的连接。
介绍Calico eBPF数据平面:Linux内核网络、安全性和跟踪(Kubernetes、kube-proxy)
RToax
10-10 2816
如果您还不熟悉eBPF的概念,那么它允许您编写可以附加到Linux内核中各种低级挂钩的微型程序,以用于多种用途,包括网络,安全性和跟踪。您会看到许多利用eBPF的非网络项目,但是对于Calico,我们的重点显然是网络,尤其是将最新Linux内核的网络功能推向极限,同时保持Calico在简单性,可靠性和可伸缩性方面的声誉。
开启 Calico eBPF 数据平面实践
KubeSphere
06-24 896
简介 Calico 从 v3.13 开始,集成了 eBPF 数据平面。 关于什么是 eBPF, 以及 Calico 为什么引入了 eBPF , 并不是本篇文章的重点,感兴趣的朋友可以自行阅读相关文档。 相比于 Calico 的默认基于 iptables 数据平面eBPF 具有更高的吞吐量以外, 还具有 source IP preservation 这个功能。 在 K8s 中通常都是直接或者间接以 NodePort 方式对外暴露接口的。而对于 K8s 这个分布式集群来讲,通常情况下,客户端连接 Node P
Flannel、CalicoCilium网络模式及报文转发机制的深度解析
2402_86209161的博客
04-19 1008
Kubernetes作为主流容器编排平台,其网络模型要求每个Pod都拥有唯一的IP地址,并且这些Pod之间可以直接通信。为实现这一目标,出现了多种CNI(Container Network Interface)插件解决方案,其中Flannel、Calico和Cilium是最具代表性的三种。随着eBPF技术的成熟,Cilium正成为越来越多生产环境的选择,特别是在需要高性能网络、高级安全策略和出色可观测性的场景中。然而,对于简单场景或已有BGP基础设施的环境,Calico仍然是优秀的选择。
CalicoeBPF知多少:高性能网络可观测性实践指南
虽非技冠群英首,愿与同道共长歌; 大鹏一日同风起,扶摇直上九万里;
03-20 1112
CalicoeBPF知多少:高性能网络可观测性实践指南
calico:强大的网络策略 - 从NetworkPolicy到 GlobalNetworkPolicy
weixin_42587823的博客
07-30 1152
本文深入探讨了Calico网络策略的实现原理及其扩展功能。主要内容包括:1) Calico通过Felix组件将声明式策略转换为高效的iptables规则,利用ipset优化性能;2) 对比Kubernetes原生NetworkPolicy的默认拒绝机制;3) 重点介绍了Calico特有的增强功能,包括支持策略顺序(order)的NetworkPolicy、集群范围的GlobalNetworkPolicy,以及保护节点的HostEndpoint资源;4) 通过实战演示如何构建分层安全模型,先设置全局拒绝策略再
CNI网络插件之Calico详解
sre救赎之路
05-22 1055
Calico 凭借其高性能的纯三层网络模型和强大的网络策略功能,成为生产环境中 Kubernetes 集群的首选网络方案。通过合理配置 BGP、优化路由策略和启用 BPF 加速,可在大规模集群中实现卓越的网络性能和安全性。建议根据集群规模和业务需求选择合适的部署模式,并通过持续监控确保网络稳定运行。Calico 是一款专为 Kubernetes 设计的高性能网络网络安全解决方案,它通过纯三层网络模型提供 Pod 间通信,并支持细粒度的网络策略控制。
【K8s】专题十五(3):Kubernetes 网络Calico 插件理论
运维、实施交付领域知识交流
11-18 2074
Kubernetes 专题 - 网络Calico 插件理论
BGP 模式下 Calico MetalLB 的组合
05-12 733
最近我司业务扩展在机房新开了一个区域,折腾了一段时间的 Calico BGP,为了能将整个过程梳理得更简单明了,我还是决定将这个过程记录下来。不管是对当下的总结还是未来重新审视方案都是值得的。大家都知道,云原生下的网络架构在 Kubernetes 里可以算是百花齐放,各有所长,这无形中也导致网络始终是横在广大 K8S 爱好者面前迈向高阶管理的几座大山之一。通常大家在公有云上使用厂家提供的 CNI 组件可能还感受不到其复杂,但一旦要在 IDC 自建集群时,就会面临 Kubernetes 网络架构选型的问题。
Kubernetes网络插件详解 - Calico篇 - 概述
m0_72650596的博客
08-05 1039
Kubernetes容器网络比较复杂,需要底层基础设施及上层业务来确定容器网络方案,同时很多网络插件又支持多种模式,需要大量的网络的基础知识支撑才能了解清楚。选择合适的CNI插件,需要综合考虑底层网络网络拓扑,结合应用需要的网络功能,以及网络路由协议的需求。Calico是比较成熟的容器网络插件,功能上比较丰富,性能上也在不断优化。...
keepalived原理及实战部署
m0_73575787的博客
07-28 629
1.首先根据优先级选出Master提供服务2.Master默认每间隔1秒向Baskup发送一次VRRP报文,告知Baskup自己处于工作状态,并公布配置信息(优先级等)情况3.如果Master路由器出现故障,Backup将根据优先级重新选举为新的Master4.当原Master恢复工作时,将根据抢占模式(抢占方式和非抢占方式以及延时抢占)决定是否重新成为Master。
1 + X 传感网 中级 | 任务五 Wifi通信实践
yuzhaokangcode的博客
07-29 1454
本文摘要介绍了Wi-Fi接入云平台实践中的关键内容:1. 提供WiFi通信设备数据链路图绘制要求;2. 详细分析了5种常见串口错误代码(-1至-5)的成因及解决方案,包括工作模式设置、热点配置、服务器连接、数据发送和握手异常等问题;3. 基于TCP协议的设备接入流程,通过实践案例解析了连接请求、连接响应、数据上报及响应等四种报文格式,包含设备认证、状态码说明、数据类型定义和消息序列机制。文中还提供了AT指令示例、硬件检查要点和错误处理流程,为物联网设备云平台接入提供了完整的技术参考。
组播 | 不同 VLAN 间数据转发实现逻辑 / 实验
最新发布
u013669912的博客
07-31 975
……
HarmonyOS-ArkUI Web控件基础铺垫6--TCP协议- 流量控制算法拥塞控制算法
童年纸飞机的博客
07-29 831
之前我们已经对TCP的三握四挥,重传, 和滑动窗口的推理过程进行了讲解,本文的流畅理解均建立在以上三篇文章涉及的内容之上。如果对TCP不太了解,建议直接从开始阅读。
企业内外网文件安全传输解决方案
Neozsvc的博客
07-29 347
内外网文件导入导出系统
C++有一些流行的网络框架,比如Boost.Asio、libhv、cpp-httplib、libcurl。这些框架各有各的优点。
weixin_55491446的博客
07-29 527
摘要:C++主流网络框架对比,包括Boost.Asio(功能强大但复杂)、libhv(易用跨平台)、cpp-httplib(轻量HTTP)和libcurl(多协议支持)。各框架在性能、易用性、功能丰富度上各有优劣,需根据项目需求选择。事件驱动多线程模型的差异影响开发复杂度,而异步I/O、跨平台支持和社区资源是选型关键因素。网络编程需权衡学习成本、系统资源和开发效率。(149字)
深入理解libcurllibuv:现代网络编程的核心库
ye_yumo的博客
07-30 651
本文深度解析了libcurl和libuv两大网络编程核心库的特性应用。libcurl作为多协议客户端传输库,支持HTTP/HTTPS、FTP等多种协议,提供同步/异步接口;而libuv是跨平台异步I/O库,采用事件驱动模型,为Node.js提供底层支持。两者结合可构建高性能网络应用,如HTTP代理服务。文章通过架构图、代码示例展示了它们的核心功能集成方式,并提供了连接复用等性能优化技巧。这种组合充分发挥了libcurl的多协议能力和libuv的高效事件驱动机制。
网络】DHCP Option详解
qq_20623849的博客
07-28 979
动态主机配置协议(DHCP)是现代网络中的核心协议,它通过标准化的选项机制为客户端提供网络配置信息。本文基于RFC1533和RFC2132两个重要规范,详细解析DHCP选项的定义、分类、作用和使用方法。DHCP选项系统为网络配置提供了灵活且可扩展的机制。精确控制:为不同类型的客户端提供定制化的网络配置简化管理:通过集中化的DHCP服务器管理网络参数提高效率:减少手动配置错误,提高网络部署速度增强功能:支持现代网络应用的各种需求。
k8s通过release-v3.26.0部署calico
03-25
<think>好的,我现在需要帮助用户了解如何在Kubernetes(k8s)中使用release-v3.26.0版本部署Calico。首先,用户已经提到过之前关于CNI配置目录的问题,可能对Calico作为CNI插件有一定了解。接下来,我需要确保回答结构清晰,符合用户提供的系统级指令,比如正确使用LaTeX格式,分步骤解释。 首先,我应该明确Calico的作用,它是一个网络插件,提供网络连接和网络策略。然后,用户需要的是部署特定版本v3.26.0的步骤,所以需要查找官方文档或可靠的资源来确认正确的部署方法。通常,Calico可以通过manifest文件或Operator部署,但用户指定了版本,可能需要直接使用manifest。 接下来,我需要检查v3.26.0是否存在,因为有时候版本号可能有误。假设存在的话,标准的部署步骤包括下载对应的YAML文件,应用它到集群,然后验证安装。同时,用户可能需要了解一些注意事项,比如kube-proxy模式、Pod CIDR配置是否正确,以及可能的兼容性问题,比如Kubernetes版本是否支持该Calico版本。 此外,用户可能需要自定义配置,比如IP池的设置,或者启用网络策略。这时候需要指导用户如何修改manifest文件中的相关部分。还要考虑安装后的验证步骤,比如检查Pod状态,确认节点之间的网络连通性,以及测试网络策略是否生效。 可能用户遇到的常见问题包括镜像拉取失败,配置错误导致Pod无法启动,或者网络策略未正确应用。需要提供排查方法,比如查看Pod日志,检查Calico的组件状态,确认配置文件是否正确。 最后,要确保回答符合格式要求,使用适当的代码块,正确的中文术语,以及避免使用Markdown,但根据用户之前的示例,似乎允许代码块。需要确认是否有其他未提及的细节,比如是否需要先安装CNI二进制文件,但根据Calico的标准安装流程,通常manifest会处理这些,但可能需要用户确认CNI目录配置正确,如之前提到的--cni-conf-dir参数。</think>### Kubernetes 使用 Calico `release-v3.26.0` 部署指南 --- #### 1. **前置条件** - **Kubernetes 集群**:已部署且版本 Calico v3.26.0 兼容(推荐 Kubernetes v1.24+) - **网络要求**:节点间网络互通,允许 179 (BGP)、5473 (Typha) 等端口通信 - **Pod CIDR**:确认集群的 Pod 网段(默认 `192.168.0.0/16`,需 Calico 配置匹配) --- #### 2. **部署步骤** ##### 2.1 下载 Calico Manifest 从官方仓库获取 `release-v3.26.0` 的部署文件: ```bash curl -L https://raw.githubusercontent.com/projectcalico/calico/v3.26.0/manifests/calico.yaml -o calico-v3.26.0.yaml ``` ##### 2.2 配置关键参数(按需修改) 修改 `calico-v3.26.0.yaml` 中的以下字段: ```yaml # 修改 Pod CIDR(需 kube-controller-manager 的 --pod-cidr 一致) - name: CALICO_IPV4POOL_CIDR value: "192.168.0.0/16" # 启用 IP-in-IP 封装(跨子网场景需要) - name: CALICO_IPV4POOL_IPIP value: "Always" # 禁用 IPv6(若无需 IPv6) - name: IP6 value: "none" ``` ##### 2.3 应用 Manifest ```bash kubectl apply -f calico-v3.26.0.yaml ``` --- #### 3. **验证部署** ##### 3.1 检查组件状态 ```bash kubectl get pods -n kube-system -l k8s-app=calico-node kubectl get pods -n kube-system -l k8s-app=calico-kube-controllers ``` ##### 3.2 网络连通性测试 ```bash # 部署测试 Pod kubectl run test-pod --image=alpine --restart=Never -- sleep 3600 # 进入 Pod 测试跨节点通信 kubectl exec -it test-pod -- ping <其他节点的Pod_IP> ``` --- #### 4. **核心配置解析** | 组件 | 功能说明 | 配置文件位置 | |---------------------|-------------------------------------|---------------------------| | `calico-node` | 数据平面,负责路由和策略实施 | DaemonSet 部署到所有节点 | | `calico-kube-controllers` | 同步 Kubernetes 资源到 Calico | Deployment 在控制平面运行 | | `calico-typha` | 优化大规模集群的 API 连接(可选) | 默认副本数 0 | --- #### 5. **常见问题排查** ##### 5.1 Pod 无法启动 - **现象**:Pod 卡在 `ContainerCreating` - **检查项**: ```bash kubectl describe pod <pod-name> | grep -A10 Events # 查看事件日志 journalctl -u kubelet | grep "CNI failed" # 检查 kubelet 日志 ``` ##### 5.2 跨节点通信失败 - **诊断步骤**: ```bash calicoctl node status # 检查 BGP 对等状态 calicoctl get ippool # 验证 IP 池配置 ``` --- #### 6. **高级配置示例** ##### 6.1 启用网络策略(NetworkPolicy) ```yaml # 修改 calico.yaml,启用 eBPF 模式(需 Kernel 4.18+) - name: FELIX_BPFENABLED value: "true" ``` ##### 6.2 自定义 BGP 配置 ```bash calicoctl create -f - <<EOF apiVersion: projectcalico.org/v3 kind: BGPConfiguration metadata: name: default spec: logSeverityScreen: Info nodeToNodeMeshEnabled: true EOF ``` --- #### 7. **版本注意事项** - **Kubernetes 兼容性**:v3.26.0 支持 Kubernetes v1.24-1.27 - **弃用警告**:此版本后可能不再支持 `kube-proxy` + `iptables` 模式,建议迁移至 eBPF --- **操作建议**:部署完成后,通过 `calicoctl` 工具监控状态: ```bash watch -n 2 'calicoctl get workloadendpoints -A' ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

weixin_42587823

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值