[Знания – маяк жизни. Только непрерывное обучение может осветить путь вперед.]

Краткое описание и сравнение часто используемых сетевых плагинов в кластерах Kubernetes.

Kubernetes требует использования сетевых плагинов для обеспечения сетевой связи внутри и за пределами кластера, а также для обеспечения масштабируемой и высокопроизводительной сетевой архитектуры. Его основные концепции заключаются в следующем:

основные понятия

• Каждый под имеет независимый IP-адрес. Каждый под имеет уникальный IP-адрес в кластере Kubernetes. Контейнеры внутри пода могут взаимодействовать друг с другом через локальный хост, а связь между подами происходит через IP-адрес пода.
• Все поды в одной плоской сети: Kubernetes предполагает, что все поды могут взаимодействовать друг с другом в одной плоской сети без NAT.
• Все узлы могут взаимодействовать со всеми подами: каждый узел (хост) в кластере может взаимодействовать со всеми подами, гарантируя, что поды могут взаимодействовать со службами на узле (например, Kubelet).
• Абстракция сервиса: Kubernetes использует абстракцию Service для определения логических коллекций Podiz.,ипоставлятьбалансировка нагрузкииобнаружение службы。

ключевые компоненты

• Плагин CNI (Container Network Interface): Kubernetes использует плагин CNI для управления сетевым интерфейсом из конфигурации. Обычный изCNIплагин имеет фланель、Calico、Weave、Цилиум и др.
• Kube-прокси: Kube-прокси работает на каждом узле.,Отвечает за настройку правил Serviceizset.,Исполнение на основеiptablesилиIPVSизбалансировка нагрузки。
• ClusterIP: назначьте внутренний IP-адрес кластера Службе для доступа подов в кластере.
• NodePort: предоставляет службу за пределами кластера через фиксированный порт узла.
• LoadBalancer: на облачной платформе поддержки,Автоматическая настройка внешней балансировки нагрузкисервер для распределения трафикаService。

А функция сетевого плагина в Kubernetes заключается в управлении настройкой сетевого интерфейса через плагин CNI (контейнерный сетевой интерфейс), поэтому сетевой плагин в кластере Kubernetes должен соответствовать стандартной спецификации CNI.

Что такое ЦНИ?

CNI (Container Network Interface) — проект Cloud Native Computing Foundation, содержащий спецификации и библиотеки для написания серии плагинов для настройки сетевых интерфейсов в контейнерах Linux. CNI заботится только о сетевых подключениях контейнера и удаляет выделенные ресурсы при удалении контейнера. Kubernetes использует CNI в качестве интерфейса между сетевыми провайдерами и сетью Kubernetes Pod. Дополнительную информацию можно найти в проекте CNI на GitHub.

Какие сетевые модели использует CNI?

Сетевой плагин CNI использует инкапсулированную сетевую модель (например, Virtual Extensible Lan или VXLAN) или неинкапсулированную сетевую модель (например, протокол пограничного шлюза или BGP) для реализации сетевой структуры.

• что такая сеть инкапсуляции? Эта сеть Модельпо предлагает сеть логического уровня второго уровня (L2), которая инкапсулирована между собой. Kubernetes Узлы кластера в настоящее время используют трехуровневую топологию (L3). UseThis Model вы можете сделать изоляцию для контейнера, чтобы обеспечить L2 сеть без распределительной дороги от. Инкапсуляция сети требует небольших затрат на обработку, а также требует дополнительных затрат. от генерации оверлейной инкапсуляции IP header вызванный IP Размер пакета увеличился. Информация об упаковке предоставлена Kubernetes worker между UDP Распределение портов, как зайти на биржу MAC Адрес иссеть информации о плоскости управления. из пакета да обычно используется в сетях этого типа Модель VXLAN、Internet протоколбезопасность (IPSec) и IP-in-IP。

Проще говоря, эта сетевая модель создает расширенный мост между рабочими процессами Kubernetes, к которым подключены модули. Вы можете выбрать эту сетевую модель, если предпочитаете использовать расширенный мост L2. Сетевые плагины CNI, использующие эту сетевую модель, включают Flannel, Canal, Weave и Cilium. Примечание. Calico не использует эту модель по умолчанию, но вы можете ее настроить.

Схема модели сети, инкапсулированной в weiyigeek.top

• что такое неинкапсулированная сеть? Сеть Модельпо представляет получил L3 сеть, используется для перемещения между контейнерами от пакета данных. Эта модель не будет создавать изоляцию из L2 сети, никаких накладных расходов. За эти преимущества приходится платить, Kubernetes worker Должен управлять всеми дорогами, необходимыми из Зависит отраспределение。Долженсеть Модель Нетиспользовать IP header Для инкапсуляции используйте Kubernetes Worker междусеть протокол распределения дороги Зависит от информации для достижения Pod соединение, например BGP。

Короче говоря, эта сетевая модель создает расширенный сетевой маршрутизатор между работниками Kubernetes, предоставляя информацию о том, как подключать модули. Вы можете выбрать эту сетевую модель, если предпочитаете использовать сеть L3. Эта модель динамически обновляет маршруты для рабочих Kubernetes на уровне операционной системы. Менее чувствителен к задержке. Сетевые плагины CNI, использующие эту сетевую модель, включают Calico и Cilium. Примечание. Cilium можно настроить с использованием этой модели, даже если это не режим по умолчанию.

weiyigeek.top-схема модели неинкапсулированной сети

Сетевой плагин CNI в Kubernetest

В среде производственного обучения обычно используется следующая Сетевая штекер, как уже говорилось ранее в кластере K8S в Сетевой плагиннужно быть удовлетвореннымCNI (сетевой интерфейс контейнера)Стандартные характеристики,Поэтому использование взаимозаменяемо.

• Фланель: Я обычно использую Сетевую, когда впервые встречаюсь с тобой. plug, ituse использует технологию виртуальных сетей для реализации контейнера между связью, поддержки нескольких сетевых серверов, таких как VXLAN、UDP и Host-GW（Обычно используется）。

weiyigeek.top-Схема коммуникации модели фланели

• Калико: на основе BGP из Сетевой плагин,этоиспользоватьдорога Зависит от表来дорога Зависит отконтейнермеждупоток,Поддержка Различные топологии сетей,ипоставлять Понятнобезопасностьисетевая стратегия Функция（Обычно используется）。

weiyigeek.top-схема связи модели Calico

• Ресничка: на основе eBPF (Extended Berkeley Packet Filter) Технология из Сетевой плагин,этоиспользовать Linux Ядро из динамического плагина для обеспечения таких функций, как дорога. от、балансировка нагрузки、безопасностьисетевая стратегияждать（Обычно используется）。

weiyigeek.top-Схема архитектуры модели Cilium

• Антреа: на основе OVS (Open vSwitch) Технология из Сетевой плагин,этопоставлять Понятноконтейнермеждукоммуникация、сетевая стратегияибезопасностьждать Функция,возвращаться Поддержка Различные топологии сетей。

weiyigeek.top-схема связи модели Antrea

• Kube-OVN : на основе OVN/OVS из Сетевой плагин,поставлятьподсеть、Статический IP、ACL、QoS И так далее по функциям высокого уровня.

weiyigeek.top-Kube-OVN схема связи модели

В следующей таблице приведены показатели GitHub для различных плагинов CNI, чтобы дать вам представление о четырех самых популярных сетевых плагинах CNI в Kubernetes на данный момент.

Ниже приведена сравнительная таблица функций, возможностей и сценариев применения трех наиболее часто используемых сетевых плагинов: Flannel, Calico и Cilium:

Сценарии применения：

• Flannel Подходит для кластеров ПростойизKubernetes и небольших кластеров, имеет преимущества при установке и настройке Простой, но не имеет функций высокого уровня, таких как сетевая стратегияишифрование。
• Calico Подходит для средних и больших кластеров, гибкий и гибкий стратегияихорошийиз Безопасностьподдерживать,适合нуждаться要высокийпроизводительностьигибкийсетевая стратегияиз окружающей среды.
• Cilium 适合нуждаться要высокийпроизводительность、высокийбезопасностьи Масштабируемостьиз Большой кластер,Мощная функция, но сложная в настройке и обслуживании.,Подходит для пользователей высокого уровня и крупномасштабного развертывания.

Если статья хорошо написана, не стесняйтесь подписываться, пересылать ее, ставить лайки и читать. Если у вас есть вопросы, оставляйте свои мысли в комментариях💬.