k8s之CNI模型

Kubernetes CNI模型：容器网络的核心架构与实践指南

一、CNI的核心定义

CNI（Container Network Interface） 是Kubernetes中定义容器网络配置的标准化接口规范，由Cloud Native Computing Foundation（CNCF）维护。它通过插件化机制实现网络功能的解耦，允许开发者灵活选择或定制网络方案。

二、核心组件与工作原理

1. 插件化架构

   • CNI插件以独立二进制文件形式存在（如Calico、Flannel、Cilium），通过JSON配置文件（/etc/cni/net.d/）定义网络参数。
   • 插件需实现两个核心操作：ADD（创建容器网络）和DEL（销毁网络资源）。

2. 生命周期管理流程
   当Pod创建时，kubelet依次执行以下步骤：

   • 创建Pod沙箱（pause容器）
   • 调用CNI插件分配IP（通过IPAM子模块）
   • 配置veth pair连接容器与宿主机网络命名空间
   • 设置路由规则及防火墙策略

   # 示例：Flannel调用bridge插件流程
   $ cat /etc/cni/net.d/10-flannel.conf
   {
     "name": "cbr0",
     "type": "flannel",
     "delegate": {
       "isDefaultGateway": true,
       "hairpinMode": true
     }
   }
   

3. IPAM（IP地址管理）
   负责动态分配Pod IP，支持多种模式：

   • Host-local：基于宿主机子网分配
   • DHCP：外部服务器分配
   • Cloud Provider：集成云平台VPC（如AWS ENI）

三、主流网络模型实现

模型类型	代表插件	适用场景	性能损耗
Overlay网络	Flannel(VXLAN)	跨云混合云环境	较高
三层路由	Calico(BGP)	大规模集群、高性能需求	低
服务网格集成	Cilium(eBPF)	微服务安全治理	极低
云原生方案	AWS VPC CNI	深度集成公有云网络	最低

生产建议：

• 中小规模集群优先选择Calico（BGP直连）
• 混合云场景使用Flannel VXLAN模式
• 安全敏感场景采用Cilium（eBPF策略控制）

四、多网络方案支持

CNI支持为Pod配置多网卡，实现：

• 业务与管控流量分离：通过Annotation指定不同网络插件
• GPU直通网络：使用SR-IOV CNI插件加速AI训练
• Service Mesh Sidecar：独立管理数据平面流量

# 示例：多网络定义
annotations:
  k8s.v1.cni.cncf.io/networks: '[
    {"name": "default"},
    {"name": "gpu-network"}
  ]'

五、生产环境关键问题

1. 网络性能优化

   • 避免Overlay封装的二次封装（如VXLAN over VXLAN）
   • 使用IPVS替代iptables提升Service转发性能

2. 故障排查工具

   • kubectl describe pod 查看CNI事件日志
   • nsenter 进入容器网络命名空间检查路由
   • cilium connectivity test 验证网络策略

3. 安全合规

   • NetworkPolicy实现微隔离（需Calico/Cilium支持）
   • 审计CNI插件的CVE漏洞（如Cilium定期升级）

六、CNI与生态集成

1. Service Mesh
   Cilium通过eBPF实现无Sidecar的服务网格，降低延迟40%

2. 混合云网络
   Submariner项目基于CNI实现跨集群Pod直连

---

参考资料

• CNI标准化接口与插件机制
• Flannel实现原理与VXLAN配置
• IPAM模块与云平台集成
• 安全策略与性能优化
• 多网络方案实现

通过CNI的灵活设计，Kubernetes能够支撑从百节点到万级节点的网络扩展需求。实际选型时需结合业务场景、运维能力和基础设施特点，必要时可定制开发CNI插件满足特殊需求。