Kubernetes_容器网络_Calico_04_Calico不同节点间Pod通信tunl0手动选择网卡

已于 2023-05-13 17:02:00 修改
阅读量2.9k 收藏 13
点赞数 3
CC 4.0 BY-SA版权
分类专栏: # Docker与容器网络 文章标签: kubernetes 容器 云原生
于 2023-02-19 10:08:26 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_36963950/article/details/129100745

系列文章目录

文章目录

前言

前面两篇学会了Calico的三个功能:
(1) 给Pod分配虚拟IP, 并完成Pod之间网络通信(同一节点Pod和不同节点Pod)
(2) IPPool给Pod分配固定IP
(3) Calico给Pod分配网络策略

第三篇学会了使用calicoctl操作calico各种资源,即 calicoctl + verb + resource

这是第四篇,来学习一下,不同节点间Pod通信的时候,是 tunl0+calixx 实现的:每个有虚拟IP的Pod 网络直连一个确定的 calixxx 网卡,然后 calixxx 网卡连接自己所在 linux 机器上的 tunl0 网卡,然后 tunl0 网卡连接自己所在 linux 机器上的某个具体网卡,将网络请求发送出去,发送给 目的Pod 所在机器的 tunl0 连接的网卡上,然后目的机器网卡发送给目的机器tunl0,然后目的机器 tunl0 发给目的Pod 的calixxx,然后目的Pod的calixxx 网络直连目的Pod。如此,整个过程完成不同节点上的Pod网络通信。

但是这里有一个问题,无论是源Linux服务器,还是目的Linux机器,如果机器上有多张网卡,那么 tunl0 会绑定哪个网卡呢?这可以通过 calico-node 的 yaml 来配置指定,各种情况下如何配置指定就是本文的重点。

Calico通过calixxx和tunl0网卡完成节点间Pod通信

默认情况下calico使用的是IPIP模式进行通信(IPIP模式和BGP模式两种,当前正在使用哪种看ippool),所有节点之间建立tunl0隧道(本质是所有node上有一个tul0网卡)。每创建一个pod在宿主机上都会产生一个以cali开头的虚拟接口,如下图pod1生成了一个calixxxxx网卡,pod2生成了一个caliyyyyy虚拟网卡。每个pod发出去的数据包会直接转发到cali开头的网卡,这个接口跟pod里的calixxx网卡是veth pair的关系。

这种veth pair最直接的理解就是“网线直连”,一方面,pod1发出去的所有数据包,“闭着眼”转发给calixxxxx;另一方面,calixxxxx从其他地方收到的数据包“闭着眼”转发给pod1。这种网线直连底层是通过 linux route 本机网路路由实现的。

在这里插入图片描述

cali开头的网卡会连接到tunl0上,pod1和pod2通信时,pod1发出的数据包先到达calixxxxx,然后进入vms71的tunl0接口,再然后到达隧道的另一端vms72的tunl0接口,然后转发到caliyyyy,最终到达了pod2。所以tunl0隧道的作用就是封装所有pod之间的流量。如下图:

在这里插入图片描述

现在的问题是tunl0隧道所走的物理线路是哪条呢?默认情况下calico会自动选择,但是如果有多张网卡,比如上图中左边Linux机器有 ens32 和 ens33 两个网卡,则这个机器上 tunl0 要绑定哪个网卡;右边Linux机器有 eth0 和 eth1 两个网卡,则这个机器 tunl0 绑定哪个网卡。我们想手动选择 tunl0 绑定的网卡,下面分成5种情况来看tunl0如何选择物理线路。

准备两台机器

本实验共两台节点,如下。

[root@vms71 ~]# kubectl get nodes
NAME            STATUS   ROLES                  AGE   VERSION
vms71.rhce.cc   Ready    control-plane,master   54m   v1.23.2
vms72.rhce.cc   Ready    <none>                 54m   v1.23.2
[root@vms71 ~]#

为了测试,特地把vms72上的网卡名做了修改,原来的ens32修改名为eth0,原来的ens33修改名为eth1。

vms71上ens32 ----- vms72上eth1   同一网段,本机直达,无需路由
vms71上ens33 ----- vms72上eth0   同一网段,本机直达,无需路由

同一网段的网卡,结合上图,我这里并没写错。

练习时会在vms71上创建pod1,在vms72上创建pod2,所编写的pod.yaml内容如下。

[root@vms71 ~]# cat pod.yaml 
apiVersion: v1
kind: Pod
metadata:
  creationTimestamp: null
  labels:
    run: pod1
  name: pod1
spec:
  nodeName: vms71.rhce.cc   # 将 pod1 放到 vms71
  terminationGracePeriodSeconds: 0
  containers:
  - image: localhost/centos:test
    imagePullPolicy: IfNotPresent
    command: ["sh","-c","sleep 1d"]
    name: pod1
    resources: {
   
   }
  dnsPolicy: ClusterFirst
  restartPolicy: Always
status: {
   
   }
---
apiVersion: v1
kind: Pod
metadata:
  creationTimestamp: null
  labels:
    run: pod2
  name: pod2
spec:
  nodeName: vms72.rhce.cc    # 将 pod2 放到 vms72
  terminationGracePeriodSeconds: 0
  containers:
  - image: localhost/centos:test
    imagePullPolicy: IfNotPresent
    command: ["sh","-c","sleep 1d"]
    name: pod2
    resources: {
   
   }
  dnsPolicy: ClusterFirst
  restartPolicy: Always
status: {
   
   }
[root@vms71 ~]#

第一种情况 指定网卡1(白名单配置法)

修改calico.yaml的内容,找到IP_AUTODETECTION_METHOD

- name: IP_AUTODETECTION_METHOD
  value: "interface=ens33,eth0"

这个IP_AUTODETECTION_METHOD参数的含义是:指定tunl0隧道所对应的物理接口为ens33或者eth0。在vms71上他会选择ens33,在vms72上会选择eth0。

如果缺省这个 IP_AUTODETECTION_METHOD 参数,tunl0 就会自动选择。开发过程中,如果linux上只有一张网卡,无需指定 IP_AUTODETECTION_METHOD 参数,因为 tunl0 隧道会自动连接这个网卡;如果linux上只有多张网卡,建议指定 IP_AUTODETECTION_METHOD 参数,因为如果 tunl0 隧道对应的本机物理网卡,如果和 route 中配置的网关不通,会导致不同Node之间的Pod无法通信。

不同Node之间的Pod无法通信:
(1) 要么就是缺少route路由配置,需要增加一条route路由,通向另一个node的Block (另一个node的Block是什么可以在另一个node route 中看到)
(2) 要么就是 tunl0 绑定的网卡与到达目的地址的经过的gateway不通,需要在calico-node.yaml 这个ds中手动配置一个和 route规则中gateway网络通的 本机网卡

在这里插入图片描述

安装calico。

[root@vms71 ~]
最低0.47元/天 解锁文章

200万优质内容无限畅学
K8s 中跨主机 Pod 之间是如何通信的(CNI 使用 Calico)?
山河已无恙
04-08 1092
被问到这个问题,整理相关笔记博文内容涉及:K8s 中 Pod 之间是如何通信的简单介绍,报文路径解析&&veth pair简单介绍理解 跨节点 Pod 通信,需要理解和veth pair没接触的小伙伴可以先看这两部分。理解不足小伙伴帮忙指正中国式催婚:爱不爱不重要,重要的是把婚结了。过的幸不幸福不重要,重要的是把婚结了。有钱没钱不重要,重要的是把婚结了。父母催你结婚的意义在于,你只要成家了,他们作父母的责任就尽完了。(余华)
Kubernetes网络性能测试-calico插件环境
lldhsds的专栏
07-17 1430
场景calio网络模式带宽(Gbits/sec)不同node之间不涉及2.85不同node的pod之间Native Routing (BGP) 模式2.75node与不同node的pod之间Native Routing (BGP) 模式2.78不同node的pod之间VXLAN0.98node与不同node的pod之间VXLAN2.67不同node的pod之间IP-IP1.23node与不同node的pod之间IP-IP2.77。
Kubernetes Calico VxLAN 模式 Pod通信过程
weixin_53111196的博客
05-17 774
cali* 接口的 MAC 地址都是 ee:ee:ee:ee:ee:ee,这是由 Calico 分配的,因为同节点 Pod 间的通信不使用 Linux 网桥,而是直接通过节点上的路由。路由器不会用 MAC 地址标识目标设备,因此 cali* 接口使用相同的 MAC 地址不会冲突。10.244.177.64/32 即对端 VxLAN 接口的地址,VxLAN 接口通过 ARP 请求获取该地址对应的 MAC 地址,作为内层数据包的目的 MAC 地址。查看源 Pod 对端 veth 接口的索引号。
calico BGP IP 修改/指定网卡
qq_43024789的博客
05-17 928
现象,Nodeport类型的service,pod调度在work1, 通过work1:port, work2:port都可以访问到应用,但是admin:port访问不到,虽然admin的对应端口也在listen状态。系统判断calico-node这个DS需要更新,就在3个节点重新生成了一个Pod,admin节点的也启动成功了,检查启动日志,可以看到BGP IP 更新记录。具体怎么检测的呢,可以看到如果pod里这个变量为空,那就执行自动检测,取到的第一个IP就会选中,用来建立BGP连接。
CNI网络插件之Calico详解
最新发布
sre救赎之路
05-22 981
Calico 凭借其高性能的纯三层网络模型和强大的网络策略功能,成为生产环境中 Kubernetes 集群的首选网络方案。通过合理配置 BGP、优化路由策略和启用 BPF 加速,可在大规模集群中实现卓越的网络性能和安全性。建议根据集群规模和业务需求选择合适的部署模式,并通过持续监控确保网络稳定运行。Calico 是一款专为 Kubernetes 设计的高性能网络网络安全解决方案,它通过纯三层网络模型提供 Pod通信,并支持细粒度的网络策略控制。
K8S指定calico使用的网卡名称
Lu_Tiger的博客
12-26 435
【代码】K8S指定calico使用的网卡名称。
kubernetes集群节点多网卡calico/flannel组件如何指定网卡
热门推荐
weixin_42431069的博客
06-08 1万+
calico/flanel如果有节点是多个网卡,所以需要在配置文件中指定内网网卡
Kubernetes网卡节点Calico选择网卡配置
oneslide
09-21 2913
Kubenetes多网卡节点;Calico AUTODECTION_METHOD
Kubernetes_容器网络_Calico_01_Calico作为CNI插件如何为Pod生成虚拟IP
毛毛的专栏
04-02 2523
Calico 设置静态IP以及设置IP范围
Kubernetes_容器网络_Calico_05_Calico网络解决方案和高级特性
毛毛的专栏
02-05 1905
Calico的两种模式
calico IP_AUTODETECTION_METHOD 多网卡选择网卡
qq_32949893的博客
01-30 1823
查看bgp是否已经建立连接。如果没有,检查是否已关闭防火墙,或者将相关IP添加到防火墙中。表示选择能够route到此网址的IP(网址也可以用IP地址代替)表示通过正则表达式选择特定网卡上的IP。表示选择特定网卡上的IP。
k8s安装calico时,服务器有多张网卡如何选择网卡建立隧道
老段工作室
05-20 3415
k8s安装calico时,服务器有多张网卡如何选择网卡建立隧道
kubernetes CNI Calico | calico部署与网卡绑定 |calico READY值 1/2
weixin_48711696的博客
03-15 1263
官方的step by step,没有把IP_AUTODETECTION_METHOD这个IP检测方法的参数放入calico.yaml中,calico会使用第一个找到的network interface(往往是错误的interface),导致Calico把master也算进nodes,于是master BGP启动失败,而其他workers则启动成功。等待几分钟后,pod calico-node-jm74b和calico-node-xk4fg的READY值依然是1/2。calico问题排障。
Kubernetes集群使用calico网卡问题
u013149714的博客
11-10 6670
生产环境下,通常会将业务网和存储网进行分离,因此服务器通常会有多块网卡,在裸金属服务器初始化Kubernetes环境后,在安装网卡插件时需要指定业务网网卡名称,才能使集群应用正确的网络地址。
calico寻找网卡的方法
qq_42895490的博客
09-22 617
kubernetes 上部署 calico 后可能出现找不到网卡情况,本文将介绍 calico 寻找网卡的集中方式。calico网卡寻找方式都在 kube-system 的 confimap 中的 calico-config 进行配置,可以执行来获得此文件。文件中控制网卡的字段主要为:ip_autodetection_method。
k8s add node calico_【kubernetes网络Calico实现pod与底层环境BGP互通
weixin_39659837的博客
11-21 772
近年来,Kubernetes好归好,但是也有不太完美的地方,比如,网络通信,的确是个问题。目前只能通过各种CNI插件来实现网络上的互通,如下图,需求就是需要外部环境与pod之间能够直接互通,这几天百忙中抽出了点时间,决定倒腾一下。首先想到的Flannel,它通过Overlay技术,打通pod之间的网络是没有问题,pod去往外界会通过NAT将本身的地址(地址段192.168.0.0/16)转换程no...
calico ipip 跨节点pod通信详解
weixin_49497353的博客
07-22 575
为了更好地了解calico ipip协议中跨节点之间pod通信
pod之间的通信
qq_15156403的博客
09-17 330
calico
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

祖母绿宝石

打赏一下

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值