Kubernetes网络模型本身对某些特定的网络功能有一定要求,但在实现方面也具有一定的灵活性。业界已经有不少不同的网络方案,来满足特定的环境和要求。
CNI(container network interface)是容器网络接口,它是一种标准设计和库,为了让用户在容器创建或者销毁时都能够更容易的配置容器网络。
目前比较流行的CNI插件:Flannel、Calico、Weave、Canal(技术上是多个插件的组合)。这些插件即可以确保满足Kubernetes的网络要求,又能为kubernetes集群管理员提供他们所需的某些特定的网络功能。
容器网络是容器选择连接到其他容器、主机和外部网络(如Internet)的机制。容器的runtime提供了各种网络模式,每种模式都会产生不同的效果。例如,Docker默认情况下可以为容器配置以下网络:
Docker还可以让用户通过其他驱动程序和插件,来配置更高级的网络(包括多主机覆盖网络)。
CNI(https://github.com/containernetworking/cni/blob/master/SPEC.md) 的初衷是创建一个框架,用于在配置或销毁容器时动态配置适当的网络配置和资源。CNI 规范中用于配置网络的插件接口,可以让容器运行时与插件进行协调,具体机制如下:
要实现跨虚拟机的容器之间的网络,有几种可能的办法:
链接:https://github.com/coreos/flannel
由CoreOS开发的项目Flannel,是最直接和最受欢迎的CNI插件。它是容器编排系统中最成熟的网络结构示例之一,旨在实现更好的容器间和主机间网络。
特点:
相对容易安装和配置。它被打包为单个二进制文件flanneld,许多常见的Kubernetes集群部署工具和许多Kubernetes发行版都可以默认安装Flannel。
Flannel可以使用Kubernetes集群的现有etcd集群来使用API存储其状态信息,因此不需要专用的数据存储。
Flannel配置第三层IPv4 overlay网络。它会创建一个大型内部网络,跨越集群中每个节点。在此overlay网络中,每个节点都有一个子网,用于在内部分配IP地址。在配置pod时,每个节点上的Docker桥接口都会为每个新容器分配一个地址。同一主机中的Pod可以使用Docker桥接进行通信,而不同主机上的pod会使用flanneld将其流量封装在UDP数据包中,以便路由到适当的目标。
主要是提供主机和pod之间的网络链接。
链接:https://github.com/projectcalico/cni-plugin
Calico以其性能、灵活性而闻名。
特点:
链接:https://github.com/projectcalico/canal
Canal是Flannel和Calico的组合:
链接:https://www.weave.works/oss/net/
weave是Weaveworks提供的一种Kubernetes CNI网络选项。
特点:
智能路由 Weave在集群中的每个节点之间创建overlay网络,参与者可以灵活路由。——Weave可以智能路由。
工作原理:
为了创建网络,weave依赖于网络中每台主机上安装的路由组件。然后,这些路由器交换拓扑信息,以维护可用网络环境的最新试图。 当需要将流量发送到位于不同节点上的pod时,weave路由组件会自动决定是通过"快速数据路径"发送,还是回退到"sleeve"分组转发的方法。
与Calico一样,Weave也为Kubernetes集群提供网络策略功能。
对整个网络的简单加密。Weave可以使用NaCI加密(http://nacl.cr.yp.to)来为sleeve流量自动加密所有路由流量;使用IPsec ESP来加密快速数据路径流量。
联系客服