2. 程式人生 > >kubernetes網路之---Calico原理解讀

kubernetes網路之---Calico原理解讀

阿新 發佈:2018-11-06

Calico簡單簡介

Calico是一個純三層的協議,為OpenStack虛機和Docker容器提供多主機間通訊。Calico不使用重疊網路比如flannel和libnetwork重疊網路驅動,
它是一個純三層的方法,使用虛擬路由代替虛擬交換,每一臺虛擬路由通過BGP協議傳播可達資訊(路由)到剩餘資料中心。

 

Calico 架構

Calico 是一個三層的資料中心網路方案,而且方便整合 OpenStack 這種 IaaS 雲架構,能夠提供高效可控的 VM、容器、裸機之間的通訊。

Bluemix.png

結合上面這張圖,我們來過一遍 Calico 的核心元件:
 
Felix,Calico agent,跑在每臺需要執行 workload 的節點上,主要負責配置路由及 ACLs 等資訊來確保 endpoint 的連通狀態;
 
etcd,分散式鍵值儲存,主要負責網路元資料一致性,確保 Calico 網路狀態的準確性;
 
BGP Client(BIRD), 主要負責把 Felix 寫入 kernel 的路由資訊分發到當前 Calico 網路,確保 workload 間的通訊的有效性;
 
BGP Route Reflector(BIRD), 大規模部署時使用,摒棄所有節點互聯的 mesh 模式,通過一個或者多個BGP Route Reflector來完成集中式的路由分發;
 
通過將整個網際網路的可擴充套件 IP 網路原則壓縮到資料中心級別,Calico 在每一個計算節點利用Linux kernel實現了一個高效的vRouter來負責資料轉發而每個vRouter通過BGP
協議負責把自己上執行的 workload 的路由資訊像整個 Calico 網路內傳播 - 小規模部署可以直接互聯,大規模下可通過指定的
BGP route reflector 來完成。
 
這樣保證最終所有的 workload 之間的資料流量都是通過 IP 包的方式完成互聯的。

 

Calico原理

11.png

Calico 節點組網可以直接利用資料中心的網路結構(支援 L2 或者 L3),不需要額外的 NAT,隧道或者 VXLAN overlay network。

Bluemix.png

 

如上圖所示,這樣保證這個方案的簡單可控,而且沒有封包解包,節約 CPU 計算資源的同時,提高了整個網路的效能。

此外,Calico 基於 iptables 還提供了豐富而靈活的網路 policy, 保證通過各個節點上的 ACLs 來提供 workload 的多租戶隔離、安全組以及其他可達性限制等功能。

11.png

Bluemix.png

 

calico網路通訊模型

calico是純三層的SDN 實現,它基於BPG 協議和Linux自身的路由轉發機制,不依賴特殊硬體,容器通訊也不依賴iptables NAT或Tunnel 等技術。
能夠方便的部署在物理伺服器、虛擬機器(如 OpenStack)或者容器環境下。同時calico自帶的基於iptables的ACL管理元件非常靈活,能夠滿足比較複雜的安全隔離需求。
 
在主機網路拓撲的組織上,calico的理念與weave類似,都是在主機上啟動虛擬機器路由器,將每個主機作為路由器使用,組成互聯互通的網路拓撲。當安裝了calico的主機組成集群后,
其拓撲如下圖所示:

11.png

每個主機上都部署了calico/node作為虛擬路由器,並且可以通過calico將宿主機組織成任意的拓撲叢集。當叢集中的容器需要與外界通訊時,
就可以通過BGP協議將閘道器物理路由器加入到叢集中,使外界可以直接訪問容器IP,而不需要做任何NAT之類的複雜操作。
 
當容器通過calico進行跨主機通訊時,其網路通訊模型如下圖所示:

Bluemix.png

從上圖可以看出,當容器建立時,calico為容器生成veth pair,一端作為容器網絡卡加入到容器的網路名稱空間,並設定IP和掩碼,一端直接暴露在宿主機上,
並通過設定路由規則,將容器IP暴露到宿主機的通訊路由上。於此同時,calico為每個主機分配了一段子網作為容器可分配的IP範圍,這樣就可以根據子網的
CIDR為每個主機生成比較固定的路由規則。
 
當容器需要跨主機通訊時,主要經過下面的簡單步驟:
1)容器流量通過veth pair到達宿主機的網路名稱空間上。
2)根據容器要訪問的IP所在的子網CIDR和主機上的路由規則,找到下一跳要到達的宿主機IP。
3)流量到達下一跳的宿主機後,根據當前宿主機上的路由規則,直接到達對端容器的veth pair插在宿主機的一端,最終進入容器。
 
從上面的通訊過程來看,跨主機通訊時,整個通訊路徑完全沒有使用NAT或者UDP封裝,效能上的損耗確實比較低。但正式由於calico的通訊機制是完全基於三層的,這種機制也帶來了一些缺陷,例如:
1)calico目前只支援TCP、UDP、ICMP、ICMPv6協議,如果使用其他四層協議(例如NetBIOS協議),建議使用weave、原生overlay等其他overlay網路實現。
2)基於三層實現通訊,在二層上沒有任何加密包裝,因此只能在私有的可靠網路上使用。
3)流量隔離基於iptables實現,並且從etcd中獲取需要生成的隔離規則,有一些效能上的隱患。

相關推薦

kubernetes網路---Calico原理解讀

Calico簡單簡介 Calico是一個純三層的協議,為OpenStack虛機和Docker容器提供多主機間通訊。Calico不使用重疊網路比如flannel和libnetwork重疊網路驅動, 它是一個純三層的方法,使用虛擬路由代替虛擬交換,每一臺虛擬路由通過BGP協議傳播可達資訊(路由)到剩

k8s網路calico學習

k8s網路之calico學習 環境準備 元件 版本 OS Ubuntu 18.04.1 LTS docker 18.06.0-ce k8s 1.10.1

Java集合Collection實現原理解讀(ArrayList)

一、簡介 在專案中,相信大家都已經用過集合List,它提供了一系列的API,方便我們使用。今天有空去看了下ArrayList的原始碼,本章將會模仿原始碼實現一個簡單的ArrayList,只是幫助理解ArrayList底層是怎麼實現的,並沒有必要去自定義ArrayList。

Java集合Collection實現原理解讀(HashSet)

一、簡介 HashSet實現Set介面,底層是由雜湊表實現(實際上是HashMap),Set裡面的元素無序不重複,可以允許null值。對於熟悉HashMap底層實現的同學相信很容易理解HashSet底層實現原理。 二、實現原理 HashSet底層是通過HashMap

iOSRuntime原理解讀

Runtime簡介 做過Android開發的同學都知道,早期的Android系統採用的是Dalvik機制,應用每次執行的時候,位元組碼都需要通過即時編譯器轉換為機器碼,大大的降低了app的執行效率。在Android 5.0系統之後,系統採用了ART機制,應用在

神經網路啟用函式 dropout原理解讀 BatchNormalization 程式碼實現

神經網路之啟用函式(Activation Function) 日常 coding 中,我們會很自然的使用一些啟用函式,比如:sigmoid、ReLU等等。不過好像忘了問自己一(n)件事: 為什麼需要啟用函式?啟用函式都有哪些?都長什麼樣?有哪些優缺點?怎麼選用啟用函式? 本文

Linux高效能網路:協程系列04-協程實現工作原理

目錄 Linux高效能網路:協程系列01-前言 Linux高效能網路:協程系列02-協程的起源 Linux高效能網路:協程系列03-協程的案例 Linux高效能網路:協程系列04-協程實現之工作原理 Linux高效能網路:協程系列05-協程實現之原語操作 Linux高效能網路:協程

卷積神經網路(CNN)一概念原理

  什麼是卷積神經網路呢?這個的確是比較難搞懂的概念,特別是一聽到神經網路,大家腦海中第一個就會想到複雜的生物學,讓人不寒而慄,那麼複雜啊.卷積神經網路是做什麼用的呢?它到底是一個什麼東東呢? 卷積神經網路的靈感源一種生物程序,其中神經元之間的聯結模式和動物視覺皮層組織非常相似。所以發明者把它叫做卷積神經網

Kubernetes彈性伸縮全場景解讀(二) - HPA的原理與演進

前言 在上一篇文章中,我們介紹了在Kubernetes在處理彈性伸縮時的設計理念以及相關元件的佈局,在今天這篇文章中,會為大家介紹在Kubernetes中彈性伸縮最常用的元件HPA(Horizontal Pod Autoscaler)。HPA是通過計算Pod的實際工作負載進行重新容量規劃的元件,在資源池符合

Docker網路overlay、macvlan、fannel、weave、calico

由於內容較多,可以通過此連結去訪問大神的文章: 跨主機網路概述: https://blog.csdn.net/CloudMan6/article/details/76383702 一文搞懂各種Docker網路: https://blog.csdn.net/CloudMan6/ar

Kubernetes網路原理及方案_Kubernetes中文社群

大家好,說到容器、Docker,大家一定會想到Kubernetes,確實如此,在2016年ClusterHQ容器技術應用調查報告顯示,Kubernetes的使用率已經達到了40%,成為最受歡迎的容器編排工具;那麼Kubernetes到底是什麼呢?它是一個用於容器叢集的自動化部署、擴容以及運維的

藉助 Calico,管窺 Kubernetes 網路策略_Kubernetes中文社群

Kubernetes 提出了一系列 CXI 的標準容器介面,其中的 CNI 以外掛方式支援多種網路。新增的 networkpolicy API 物件,提供了對網路策略的支援,本文以 Calico 為例,實際操作一個網路策略的建立和測試。 環境準備 一個 Kubernetes 叢集 Kubel

容器編排Kubernetes網路隔離NetworkPolicy_Kubernetes中文社群

Kubernetes的一個重要特性就是要把不同node節點的pod(container)連線起來,無視物理節點的限制。但是在某些應用環境中,比如公有云,不同租戶的pod不應該互通,這個時候就需要網路隔離。幸好,Kubernetes提供了NetworkPolicy,支援按Namespace級別的

藉助 Calico,管窺 Kubernetes 網路策略

Kubernetes 提出了一系列 CXI 的標準容器介面,其中的 CNI 以外掛方式支援多種網路。新增的 networkpolicy API 物件,提供了對網路策略的支援,本文以 Calico 為例,實際操作一個網路策略的建立和測試。 環境準備 一個 Kuberne

Kubernetes網路分析防火牆

本篇文章將從伺服器都防火牆的變化來分析K8s和Docker網路的實現 測試機: 名稱 系統 ip master CentOS7 192.168.245.131

深入kubernetes排程原理分析

排程器是編排工具的核心,排程策略和演算法是編排工具的靈魂。Kubernetes之所以能夠大行其道,正是因為其優良的排程演算法,本文就來分析下kubernets中scheduler元件的排程原理。 Kubernetes&Docker技術交流QQ

kubernetes flannel neutron calico ovs-vxlan網路方案效能測試分析

tcp: [email protected]:/# iperf -s  ------------------------------------------------------------ Server listening on TCP port 5001 TCP window size: 8

神經網路神經網路反向傳播原理與python程式設計實現

技術交流qq群: 659201069 誤差   樣本資料的真實值與神經網路的輸出值之間的差值稱為誤差,當然一般不會直接使用直接的差值,常用的有迴歸演算法的均方差、分類的交叉熵,這方面不影響我們來討論神經網路的反向傳播原理與過程,所以不做過多討論。

Kubernetes網路原理

1. kubernetes網路模型 1.1. 基礎原則 每個Pod都擁有一個獨立的IP地址,而且假定所有Pod都在一個可以直接連通的、扁平的網路空間中,不管是否執行在同一Node上都可以通過Pod的IP來訪問。 k8s中Pod的IP是最小粒度IP。同一

OpenCV原理解讀HAAR+Adaboost

cvLoadHaarClassifierCascade 從檔案中裝載訓練好的級聯分類器或者從OpenCV中嵌入的分類器資料庫中匯入 CvHaarClassifierCascade* cvLoadHaarClassifierCascade( const c