42、K8S-网络机制之Calico、calicoctl
Kubernetes学习目录
1、基础知识
1.1、简介
Calico是一个开源的虚拟化网络方案,用于为云原生应用实现互联及策略控制.相较于 Flannel 来 说,Calico 的优势是对网络策略(network policy),它允许用户动态定义 ACL 规则控制进出容器的数据 报文,实现为 Pod 间的通信按需施加安全策略.不仅如此,Calico 还可以整合进大多数具备编排能力的环 境,可以为 虚机和容器提供多主机间通信的功能。 Calico 本身是一个三层的虚拟网络方案,它将每个节点都当作路由器,将每个节点的容器都当作是节点 路由器的一个终端并为其分配一个 IP 地址,各节点路由器通过 BGP(Border Gateway Protocol)学习 生成路由规则,从而将不同节点上的容器连接起来.因此,Calico 方案其实是一个纯三层的解决方案,通过每 个节点协议栈的三层(网络层)确保容器之间的连通性,这摆脱了 flannel host-gw 类型的所有节点必须 位于同一二层网络的限制,从而极大地扩展了网络规模和网络边界。
1.2、官网文档地址
官方地址:https://www.tigera.io/project-calico/ 项目地址:https://github.com/projectcalico/calico
当前版本:3.26.0
1.3、网络模型
Calico为了实现更广层次的虚拟网络的应用场景,它支持多种网络模型来满足需求。 underlay network - BGP overlay network - IPIP、VXLAN
1.4、设计思想
Calico不使用隧道或者NAT来实现转发,而是巧妙的把所有二三层流量转换成三层流量,并通过host上路由配置完成跨host转发。
2、模型简介
2.1、BGP
2.1.1、BGP-简介
BGP(Border Gateway Protocol - 边界网关协议) ,这是一种三层虚拟网络解决方案,也是Calico广为人知的一种网络模型。 它是互联网上一个核心的去中心化自治路由协议。 - 每个工作节点都是一个网络主机边缘节点。 由一个虚拟路由(vrouter)和一系列其他节点组成的一个自治系统(AS)。 - 各个节点上的vrouter基于BGP协议,通过互相学习的方式,动态生成路由规则,实现各节点之间的网络互通性。 BGP不使用传统的内部网关协议(IGP)的指标,而使用基于路径、网络策略或规则集来决定路由规则 它属于矢量路由协议。 这也是很多人从flannel切换到Calico之上的一个重要的考虑因素,VGP是一种纯粹的三层路由解决方案,并没有叠加,而是一种承载网络。 它有点类似于flannel的host-gw模型,但是与host-gw的区别在于,host-gw是由flanneld通过 kube-apiserver来操作etct内部的各种网络配置,进而实时更新到当前节点上的路由表中。 BGP方案中,各节点上的vRouter通过BGP协议学习生成路由表,基于路径、网络策略或规则集来动态生成路由规则
2.1.2、BGP模型划分
BGP模型根据主机容量来划分,可以分层两种网络模型: 小规模网络:BGP peer,以一对多(N-1)的方式,彼此更新网络信息,主机量多的时候,性能不好。因为每个节点都要进行(N-1)的网络信息更新,形成了mesh(网格)的效果 大规模网络:BGP Reflector,他以中央反射器的方式收集所有节点主机的信息,然后将收集后的信息,发布给所有节点,从而减轻集群中的路由同步的报文效率。但是我们需要对中央BGP反射器进行冗余处理。 简单来说,BGP就是通过动态生成的路由表的方式,以类似flannel的host-gw方式,来完成pod之间报文的直接路由,通信效率较高。 它要求所有的节点处于一个二层网络中,同时所有的主机也需要支持BGP协议。
2.1.3、BGP流程图
注意:如果节点是跨网段的话,会因为目标地址找不到,而无法发送数据包
2.2、IPIP
通过把一个IP数据包又套在一个IP包里,即把IP层封装到IP层的一个 tunnel,实现跨网段效果
2.3、VXLAN
2.3.1、vxlan简介
把数据包封装在UDP中,并使用物理网络的IP/MAC作为outer-header进行封装标识,然后在物理IP网上传输,"根据标识"到达目的地后由隧道终结点解封并将数据发送给目标虚拟机。 BGP要求所有的节点处于一个二层网络中,同时所有的主机也需要支持BGP协议。但是一旦我们要构建大 规模的网络集群,比如是一个B类网站,放了很多的节点主机,这个时候,由于网络报文无法被隔离,所以一 旦安全措施做的不到位的话,就会导致广播风暴,对我们产生很大的影响。所以,正常情况下,我们一般不推 荐在一个子网内创建大量的节点主机。所以一旦跨子网,BGP就不支持了。
所以VXLAN就实现了这样一种类似于 flannel的 VXLAN with directrouting的机制,演变出了一种 Vxlan With BGP的效果。 - 如果是同一网段,就使用BGP - 如果不是同一网段,就用VXLAN机制
2.3.2、vxlan流程图
注意:calico默认的配置清单中,使用的是 IPIP方式,因为它默认节点中不支持BGP协议。
3、工作模型
3.1、软件架构
3.1.1、安装方式
calico支持的模式很多,但是默认情况下,calico不知道我们的节点是否支持 BGP,所以,默认情况下, 我们在安装calico的时候,它采用的模式是 IPIP模式。如果我们非要使用BGP模型的话,需要自己修改配置 清单文件或者选择适合我们自己的BGP配置。 参考资料: https://docs.projectcalico.org/getting-started/kubernetes/quickstart
3.1.2、Calico-架构图
3.1.3、架构说明
注意:以下三点不是calico的组成部分。 1、每个黑色的背景就是一个边缘自治节点,里面有很多工作中的pod对象 2、每个pod对象不像flannel通过一对虚拟网卡连接到cni0,而是直接连接到内核中。 3、借助于内核中的iptables 和 routers(路由表)来完成转发的功能
3.1.4、关键组件
组件 解析 Felix 每个节点都有,负责配置路由、ACL、向etcd宣告状态等 BIRD 每个节点都有,负责把 Felix 写入Kernel的路由信息 分发到整个Calico网络,确保workload 连通 etcd 存储calico自己的状态数据,可以结合kube-apiserver来工作 RouteReflector 路由反射器,用于集中式的动态生成所有主机的路由表,非必须选项 Calico 编排系统插件 实现更广范围的虚拟网络解决方案。 参考资料:https://docs.projectcalico.org/reference/architecture/overview
3.2、组件解析
由于Calico是一种纯三层的实现,因此可以避免与二层方案相关的数据包封装的操作,中间没有任何的NAT, 没有任何的overlay,所以它的转发效率可能是所有方案中最高的,因为它的包直接走原生TCP/IP的协议 栈,它的隔离也因为这个栈而变得好做。因为TCP/IP的协议栈提供了一整套的防火墙的规则,所以它可以通过IPTABLES的规则达到比较复杂的隔离逻辑。
3.2.1、Calico网络模型主要工作组件 - Felix
运行在每一台host的agent进程,主要负责网络接口管理和监听、路由规划、ARP管理、ACL管理和同步、状
态报告等。Felix会监听Etcd中心的存储,从它获取事件,比如说用户在这台机器上加了一个IP,或者是创
建了一个容器等,用户创建Pod后,Felix负责将其网卡、IP、MAC都设置好,然后在内核的路由表里面写一
条,注明这个IP应该到这张网卡。同样,用户如果制定了隔离策略,Felix同样会将该策略创建到ACL中,以实现隔离。
注意:这里的策略规则是通过内核的iptables方式实现的
3.2.2、Calico网络模型主要工作组件 - Etcd
分布式键值存储,主要负责网络元数据一致性,确保Calico网络状态的准确性,可以与Kubernetes共用。 简单来说:ETCD是所有calico节点的通信总线,也是calico对接到到其他编排系统的通信总线。 官方推荐; < 50节点,可以结合 kube-apiserver 来实现数据的存储 > 50节点,推荐使用独立的ETCD集群来进行处理。 参考资料:https://docs.projectcalico.org/getting-started/kubernetes/self-managedonprem/onpremises
3.2.3、Calico网络模型主要工作组件 - BIRD
Calico为每一台host部署一个BGP Client,使用BIRD实现,BIRD是一个单独的持续发展的项目,实现了
众多动态路由协议比如:BGP、OSPF、RIP等。在Calico的角色是监听Host上由Felix注入的路由信息,然
后通过BGP协议广播告诉剩余Host节点,从而实现网络互通。BIRD是一个标准的路由程序,它会从内核里面
获取哪一些IP的路由发生了变化,然后通过标准BGP的路由协议扩散到整个其他的宿主机上,让外界都知道这
个IP在这里,你们路由的时候得到这里来。
3.2.4、Calico网络模型主要工作组件 - Route Reflector
在大型网络规模中,如果仅仅使用BGP Client形成mesh全网互联的方案就会导致规模限制,因为所有节点之 间两两互连,需要N^2个连接,为了解决这个规模问题,可以采用BGP的Route Reflector的方法,使所有 BGP Client仅与特定RR节点互连并做路由同步,从而大大减少连接数。
4、软件部署
4.1、准备工作
4.1.1、部署解析
对于calico在k8s集群上的部署来说,为了完成上面四个组件的部署,这里会涉及到两个部署组件 组件名 组件作用 calico-node 需要部署到所有集群节点上的代理守护进程,提供封装好的Felix和BIRD calico-kube-controller 专用于k8s上对calico所有节点管理的中央控制器。负责calico与k8s集群的协同及calico核心功能实现。
4.1.2、部署步骤
1、获取资源配置文件 从calico官网获取相关的配置信息 2、定制CIDR配置 定制calico自身对于pod网段的配置信息,并且清理无关的网络其他插件 3、定制pod的manifest文件分配网络配置 默认的k8s集群在启动的时候,会有一个cidr的配置,有可能与calico进行冲突,那么我们需要修改一下 4、应用资源配置文件
4.1.3、注意事项
对于calico来说,它自己会生成自己的路由表,如果路由表中存在响应的记录,默认情况下会直接使 用,而不是覆盖掉当前主机的路由表 所以如果我们在部署calico之前,曾经使用过flannel,尤其是flannel的host-gw模式的话,一定 要注意,在使用calico之前,将之前所有的路由表信息清空,否则无法看到calico的tunl的封装效果。
4.2、环境部署
4.2.1、删除之前布署的flannel
关于删除的方法,请看小节:https://www.cnblogs.com/ygbh/p/17278112.html#_label3
4.2.2、获取资源配置清单
# 建议单独下载 https://github.com/projectcalico/calico/blob/master/manifests/calico.yaml
4.2.3、准备本地镜像
# 查看需要的镜像 ]# grep docker.io calico/calico.yaml | uniq image: docker.io/calico/cni:master image: docker.io/calico/node:master image: docker.io/calico/kube-controllers:master # 准备离线镜像 # 1)、下载node:master docker pull calico/node:master docker tag calico/node:master 192.168.10.33:80/k8s/calico/node:master docker push 192.168.10.33:80/k8s/calico/node:master # 2)、下载kube-controllers:master docker pull kube-controllers:master docker tag calico/kube-controllers:master 192.168.10.33:80/k8s/calico/kube-controllers:master docker push 192.168.10.33:80/k8s/calico/kube-controllers:master # 3)、下载cni:master docker pull cni:master docker tag calico/cni:master 192.168.10.33:80/k8s/calico/cni:master docker push 192.168.10.33:80/k8s/calico/cni:master # 修改下载镜像地址 sed -i 's#docker.io/calico#192.168.10.33:80/k8s/calico#g' calico.yaml # 修改成功 master1 calico]# grep 'k8s/calico' calico.yaml image: 192.168.10.33:80/k8s/calico/cni:master image: 192.168.10.33:80/k8s/calico/cni:master image: 192.168.10.33:80/k8s/calico/node:master image: 192.168.10.33:80/k8s/calico/node:master image: 192.168.10.33:80/k8s/calico/kube-controllers:master
4.2.4、配置CIDR
# 开放默认注释的 CALICO_IPV4POOL_CIDR 变量,然后定制我们当前的pod的网段范围即可 master1 calico]# vi calico.yaml 4800 - name: CALICO_IPV4POOL_CIDR 4801 value: "10.244.0.0/16"
4.2.5、定制pod的manifest文件分配网络配置
# 这里我们直接让calico使用kube-controller-manager为节点分配的网段信 master1 calico]# vi calico.yaml 71 "ipam": { 72 "type": "host-local", 73 "subnet": "usePodCidr" 74 },
4.2.6、应用资源配置清单
kubectl apply -f calico/calico.yaml
4.2.7、检查pod状态
master1 ~]# kubectl -n kube-system get pod -o wide| grep calico calico-kube-controllers-74846594dd-tt6t8 1/1 Running 0 2m21s 10.244.3.3 node1 <none> <none> calico-node-2gxlc 1/1 Running 0 2m21s 192.168.10.28 master3 <none> <none> calico-node-8bjxx 1/1 Running 0 2m21s 192.168.10.27 master2 <none> <none> calico-node-8gfbc 1/1 Running 0 2m21s 192.168.10.29 node1 <none> <none> calico-node-dx8zx 1/1 Running 0 2m21s 192.168.10.30 node2 <none> <none> calico-node-jhshc 1/1 Running 0 2m21s 192.168.10.26 master1 <none> <none>
4.2.8、查看节点主机的进程
node2 ~]# ps -ef | grep calico root 79038 79036 0 17:27 ? 00:00:00 calico-node -confd root 79039 79037 0 17:27 ? 00:00:00 calico-node -monitor-token root 79040 79032 0 17:27 ? 00:00:00 calico-node -allocate-tunnel-addrs root 79041 79033 0 17:27 ? 00:00:00 calico-node -status-reporter root 79044 79031 0 17:27 ? 00:00:00 calico-node -monitor-addresses root 79045 79030 0 17:27 ? 00:00:02 calico-node -felix root 79477 79035 0 17:27 ? 00:00:00 bird6 -R -s /var/run/calico/bird6.ctl -d -c /etc/calico/confd/config/bird6.cfg root 79478 79034 0 17:27 ? 00:00:00 bird -R -s /var/run/calico/bird.ctl -d -c /etc/calico/confd/config/bird.cfg
4.2.9、创建pod,验证calico是否生效
]# kubectl create deployment pod-dept --replicas=3 --image=192.168.10.33:80/k8s/pod_test:v0.1 ]# kubectl get pods -o wide NAME READY STATUS RESTARTS AGE IP NODE NOMINATED NODE READINESS GATES pod-dept-75cb4f74c8-888kd 1/1 Running 0 10s 10.244.4.5 node2 <none> <none> pod-dept-75cb4f74c8-bklxw 1/1 Running 0 10s 10.244.3.5 node1 <none> <none> pod-dept-75cb4f74c8-xpd6t 1/1 Running 0 10s 10.244.4.4 node2 <none> <none> # 暴露一个service ]# kubectl expose deployment pod-dept --port=80 --target-port=80 # 访问测试 ]# curl 10.111.204.254 kubernetes pod-test v0.1!! ClientIP: 10.244.137.64, ServerName: pod-dept-75cb4f74c8-888kd, ServerIP: 10.244.4.5! ]# curl 10.111.204.254 kubernetes pod-test v0.1!! ClientIP: 10.244.137.64, ServerName: pod-dept-75cb4f74c8-xpd6t, ServerIP: 10.244.4.4! ]# curl 10.111.204.254 kubernetes pod-test v0.1!! ClientIP: 10.244.137.64, ServerName: pod-dept-75cb4f74c8-bklxw, ServerIP: 10.244.3.5!
5、calico-网络解析
5.1、自动生成一个api版本信息
]# kubectl api-versions | grep crd
crd.projectcalico.org/v1
5.2、自动生成很多api资源
5.2.1、查询生成的资源
]# kubectl api-resources | grep crd.pro bgpconfigurations crd.projectcalico.org/v1 false BGPConfiguration bgpfilters crd.projectcalico.org/v1 false BGPFilter bgppeers crd.projectcalico.org/v1 false BGPPeer blockaffinities crd.projectcalico.org/v1 false BlockAffinity caliconodestatuses crd.projectcalico.org/v1 false CalicoNodeStatus clusterinformations crd.projectcalico.org/v1 false ClusterInformation felixconfigurations crd.projectcalico.org/v1 false FelixConfiguration globalnetworkpolicies crd.projectcalico.org/v1 false GlobalNetworkPolicy globalnetworksets crd.projectcalico.org/v1 false GlobalNetworkSet hostendpoints crd.projectcalico.org/v1 false HostEndpoint ipamblocks crd.projectcalico.org/v1 false IPAMBlock ipamconfigs crd.projectcalico.org/v1 false IPAMConfig ipamhandles crd.projectcalico.org/v1 false IPAMHandle ippools crd.projectcalico.org/v1 false IPPool ipreservations crd.projectcalico.org/v1 false IPReservation kubecontrollersconfigurations crd.projectcalico.org/v1 false KubeControllersConfiguration networkpolicies crd.projectcalico.org/v1 true NetworkPolicy networksets crd.projectcalico.org/v1 true NetworkSet
5.2.2、测试查询ippools资源
]# kubectl get ippools NAME AGE default-ipv4-ippool 178m
5.3、查询网络的模型
5.3.1、默认是ipip模型
]# kubectl describe ippools default-ipv4-ippool Name: default-ipv4-ippool Namespace: Labels: <none> Annotations: projectcalico.org/metadata: {"uid":"1d92a905-4c11-4d84-a53d-4999a4d64666","creationTimestamp":"2023-04-02T09:27:06Z"} API Version: crd.projectcalico.org/v1 Kind: IPPool Metadata: Creation Timestamp: 2023-04-02T09:27:06Z Generation: 1 Managed Fields: API Version: crd.projectcalico.org/v1 Fields Type: FieldsV1 fieldsV1: f:metadata: f:annotations: .: f:projectcalico.org/metadata: f:spec: .: f:allowedUses: f:blockSize: f:cidr: f:ipipMode: f:natOutgoing: f:nodeSelector: f:vxlanMode: Manager: Go-http-client Operation: Update Time: 2023-04-02T09:27:06Z Resource Version: 1194008 UID: ef561fbc-59df-4aae-8d39-21f83dac43da Spec: Allowed Uses: Workload Tunnel Block Size: 26 Cidr: 10.244.0.0/16 Ipip Mode: Always Nat Outgoing: true Node Selector: all() Vxlan Mode: Never Events: <none>
5.3.2、说明
这里的calico采用的模型就是ipip模型,分配的网段是使我们定制的cidr网段,而且子网段也是我们定制的16位掩码。
5.4、查看calico启动后,节点网口的情况
]# ifconfig tunl0: flags=193<UP,RUNNING,NOARP> mtu 1480 inet 10.244.136.0 netmask 255.255.255.255 master3 ]# route -n Kernel IP routing table Destination Gateway Genmask Flags Metric Ref Use Iface 0.0.0.0 192.168.10.2 0.0.0.0 UG 100 0 0 ens33 10.244.3.2 192.168.10.29 255.255.255.255 UGH 0 0 0 tunl0 10.244.3.3 192.168.10.29 255.255.255.255 UGH 0 0 0 tunl0 10.244.3.4 192.168.10.29 255.255.255.255 UGH 0 0 0 tunl0 10.244.3.5 192.168.10.29 255.255.255.255 UGH 0 0 0 tunl0 10.244.4.2 192.168.10.30 255.255.255.255 UGH 0 0 0 tunl0 10.244.4.3 192.168.10.30 255.255.255.255 UGH 0 0 0 tunl0 10.244.4.4 192.168.10.30 255.255.255.255 UGH 0 0 0 tunl0 10.244.4.5 192.168.10.30 255.255.255.255 UGH 0 0 0 tunl0 10.244.104.0 192.168.10.30 255.255.255.192 UG 0 0 0 tunl0 10.244.136.0 0.0.0.0 255.255.255.192 U 0 0 0 * 10.244.137.64 192.168.10.26 255.255.255.192 UG 0 0 0 tunl0 10.244.166.128 192.168.10.29 255.255.255.192 UG 0 0 0 tunl0 10.244.180.0 192.168.10.27 255.255.255.192 UG 0 0 0 tunl0 172.17.0.0 0.0.0.0 255.255.0.0 U 0 0 0 docker0 192.168.10.0 0.0.0.0 255.255.255.0 U 100 0 0 ens33 环境创建完毕后,会生成一个tunl0的网卡,所有的流量会走这个tunl0网卡
5.5、捉包分析ipip网络模式
5.5.1、node2节点的pod发出一个icmp包
# node2节点的pod发出一个icmp包 master1 ~]# kubectl exec -it pod-dept-75cb4f74c8-888kd -- /bin/sh [root@pod-dept-75cb4f74c8-888kd /]# ping -c 1 10.244.3.5
5.5.2、分析总结-捉到的包
# 192.168.10.29、192.168.10.30 是node1和node2的物理IP地址 node1 ~]# tcpdump -i ens33 -nn ip host 192.168.10.29 and host 192.168.10.30 tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on ens33, link-type EN10MB (Ethernet), capture size 262144 bytes 20:43:44.424164 IP 192.168.10.30 > 192.168.10.29: IP 10.244.4.5 > 10.244.3.5: ICMP echo request, id 8704, seq 0, length 64 (ipip-proto-4) 20:43:44.424271 IP 192.168.10.29 > 192.168.10.30: IP 10.244.3.5 > 10.244.4.5: ICMP echo reply, id 8704, seq 0, length 64 (ipip-proto-4) 每个数据包都是基于双层ip嵌套的方式来进行传输,而且协议是 ipip-proto-4 结合路由的分发详情,可以看到具体的操作效果。 具体效果:10.244.4.5 -> 192.168.10.30 -> 192.168.10.29 -> 10.244.4.5
6、Calico-BGP网络
6.1、简单介绍
calico本身是一个复杂的系统,复杂到它自己提供一个非常重要的Restful接口,结合calicoctl命 令来管理自身的相关属性信息,calicoctl可以直接与etcd进行操作,也可以通过kube-apiserver的方式 与etcd来进行操作。默认情况下,它与kube-apiserver通信的认证方式与kubectl的命令使用同一个 context。但是我们还是推荐,使用手工定制的一个配置文件。
calicoctl 是运行在集群之外的,用于管理集群功能的一个重要的组件。calicoctl 的安装方式很 多,常见的方式有:单主机方式、kubectl命令插件方式、pod方式、主机容器方式。我们需要自己选择一种适合自己的方式
参考资料:https://docs.projectcalico.org/gettingstarted/clis/calicoctl/install
6.2、calicoctl
6.2.1、安装calicoctl
curl -o /usr/local/bin/calicoctl -O -L https://github.com/projectcalico/calico/releases/download/v3.25.1/calicoctl-linux-amd64 chmod +x /usr/local/bin/calicoctl # 测试 ]# calicoctl ipam show --allow-version-mismatch +----------+---------------+-----------+------------+--------------+ | GROUPING | CIDR | IPS TOTAL | IPS IN USE | IPS FREE | +----------+---------------+-----------+------------+--------------+ | IP Pool | 10.244.0.0/16 | 65536 | 5 (0%) | 65531 (100%) | +----------+---------------+-----------+------------+--------------+
6.2.2、关联kube-apiserver
mkdir /etc/calico cat >/etc/calico/calicoctl.cfg<<'EOF' apiVersion: projectcalico.org/v3 kind: CalicoAPIConfig metadata: spec: datastoreType: "kubernetes" kubeconfig: "/etc/kubernetes/admin.conf" EOF master1 ~]# calicoctl get nodes --allow-version-mismatch NAME master1 master2 master3 node1 node2 我们可以通过 calicoctl 来操作kubectl操作的资源了,只不过显式的格式稍微有一点点的区别.
6.2.3、命令操作
]# calicoctl ipam show --allow-version-mismatch +----------+---------------+-----------+------------+--------------+ | GROUPING | CIDR | IPS TOTAL | IPS IN USE | IPS FREE | +----------+---------------+-----------+------------+--------------+ | IP Pool | 10.244.0.0/16 | 65536 | 5 (0%) | 65531 (100%) | +----------+---------------+-----------+------------+--------------+ ]# calicoctl ipam show --show-configuration --allow-version-mismatch +--------------------+-------+ | PROPERTY | VALUE | +--------------------+-------+ | StrictAffinity | false | | AutoAllocateBlocks | true | | MaxBlocksPerHost | 0 | +--------------------+-------+
6.2.4、定制kubectl 插件子命令
cp -p /usr/local/bin/calicoctl /usr/local/bin/kubectl-calico ]# kubectl calico node status --allow-version-mismatch Calico process is running. IPv4 BGP status +---------------+-------------------+-------+----------+-------------+ | PEER ADDRESS | PEER TYPE | STATE | SINCE | INFO | +---------------+-------------------+-------+----------+-------------+ | 192.168.10.27 | node-to-node mesh | up | 01:31:06 | Established | | 192.168.10.29 | node-to-node mesh | up | 01:31:06 | Established | | 192.168.10.30 | node-to-node mesh | up | 01:31:06 | Established | | 192.168.10.28 | node-to-node mesh | up | 01:31:13 | Established | +---------------+-------------------+-------+----------+-------------+ IPv6 BGP status No IPv6 peers found.
6.3、配置BGP网络
6.3.1、修改配置
# 查看ipv4 ippool资源 ]# kubectl calico --allow-version-mismatch get ipPools NAME CIDR SELECTOR default-ipv4-ippool 10.244.0.0/16 all() # 导出资源配置文件 ]# kubectl calico --allow-version-mismatch get ipPools default-ipv4-ippool -o yaml >calico/default-ipv4-ippool.yml # 修改资源配置清单 ]# cat default-ipv4-ippool.yml apiVersion: projectcalico.org/v3 kind: IPPool metadata: name: default-ipv4-ippool spec: allowedUses: - Workload - Tunnel blockSize: 26 cidr: 10.244.0.0/16 ipipMode: CrossSubnet natOutgoing: true nodeSelector: all() vxlanMode: Never 主要修改如下: 1、pipMode: Always 修改为 ipipMode: CrossSubnet 这样子就可以实现所谓的 BGP with vxlan的效果
6.3.2、应用资源配置清单
]# kubectl calico --allow-version-mismatch apply -f default-ipv4-ippool.yml Successfully applied 1 'IPPool' resource(s)
6.3.3、分析节点路由变化
]# ip route list default via 192.168.10.2 dev ens33 proto static metric 100 blackhole 10.244.0.0/26 proto bird 10.244.1.2 via 192.168.10.27 dev ens33 proto bird 10.244.1.3 via 192.168.10.27 dev ens33 proto bird 10.244.1.4 via 192.168.10.27 dev ens33 proto bird 10.244.2.0/26 via 192.168.10.28 dev ens33 proto bird 10.244.3.0/26 via 192.168.10.29 dev ens33 proto bird 10.244.4.0/26 via 192.168.10.30 dev ens33 proto bird 10.244.180.0/26 via 192.168.10.27 dev ens33 proto bird 172.17.0.0/16 dev docker0 proto kernel scope link src 172.17.0.1 192.168.10.0/24 dev ens33 proto kernel scope link src 192.168.10.26 metric 100 # 更新完毕配置后,动态路由的信息就发生改变了,不再完全是 tunl0 网卡了,而是变成了通过具体的,物理网卡ens33 转发出去了。
6.4、捉包验证
6.4.1、开启deployment控制器 3个pod
master1 ~]# kubectl create deployment dp-test --replicas=3 --image=192.168.10.33:/k8s/pod_test:v0.1
6.4.2、node开启捉包并且发出icmp包验证
master1 ~]# kubectl get pod -o wide NAME READY STATUS RESTARTS AGE IP NODE NOMINATED NODE READINESS GATES dp-test-55b67b496-c79hd 1/1 Running 0 110m 10.244.3.4 node1 <none> <none> dp-test-55b67b496-kst8x 1/1 Running 0 110m 10.244.3.5 node1 <none> <none> dp-test-55b67b496-stffx 1/1 Running 0 110m 10.244.4.3 node2 <none> <none> master1 ~]# kubectl exec -it dp-test-55b67b496-stffx -- /bin/sh [root@dp-test-55b67b496-stffx /]# ping -c 1 10.244.3.4 64 bytes from 10.244.3.4: seq=0 ttl=62 time=0.385 ms # Node1开启捉包 node1 ~]# tcpdump -i ens33 -nn ip host 10.244.3.4 tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on ens33, link-type EN10MB (Ethernet), capture size 262144 bytes 14:11:14.063730 IP 10.244.4.3 > 10.244.3.4: ICMP echo request, id 5888, seq 0, length 64 14:11:14.063837 IP 10.244.3.4 > 10.244.4.3: ICMP echo reply, id 5888, seq 0, length 64 # 可以实现正常的通信效果,没有再次使用ipip的方式了。
7、BGP reflecter-进阶
7.1、基础知识
7.1.1、查询当前节点的网络情况
master1 ~]# kubectl calico node status Calico process is running. IPv4 BGP status +---------------+-------------------+-------+----------+-------------+ | PEER ADDRESS | PEER TYPE | STATE | SINCE | INFO | +---------------+-------------------+-------+----------+-------------+ | 192.168.10.27 | node-to-node mesh | up | 01:31:06 | Established | | 192.168.10.29 | node-to-node mesh | up | 01:31:06 | Established | | 192.168.10.30 | node-to-node mesh | up | 01:31:06 | Established | | 192.168.10.28 | node-to-node mesh | up | 01:31:13 | Established | +---------------+-------------------+-------+----------+-------------+ IPv6 BGP status No IPv6 peers found. 当前的calico节点的网络状态是 BGP peer 的模型效果,也就是说 每个节点上都要维护 n-1 个路 由配置信息,整个集群中需要维护 n*(n-1) 个路由效果,这在节点量非常多的场景中,不是我们想要的。 所以我们需要实现一种 BGP reflecter 的效果。
7.1.2、反射器方案
一个集群中,至少需要一个反射器角色。
如果我们要做 BGP reflecter 效果的话,需要对反射器角色做冗余,如果我们的集群是一个多主集群
的话,可以将集群的master节点作为bgp的reflecter角色,从而实现反射器的冗余。
7.1.3、操作步骤
1、定制反射器角色 2、后端节点使用反射器 3、关闭默认的网格效果
7.2、设置为BGP reflecter模型
7.2.1、创建反射器角色
# 定义calico资源配置清单 kubectl calico --allow-version-mismatch apply -f - <<EOF apiVersion: projectcalico.org/v3 kind: Node metadata: labels: route-reflector: "true" name: master1 spec: bgp: ipv4Address: 192.168.10.26/24 ipv4IPIPTunnelAddr: 10.244.0.1 routeReflectorClusterID: 1.1.1.1 EOF # Successfully applied 1 'Node' resource(s) 属性解析; metadata.labels 是非常重要的,因为它需要被后面的节点来进行获取 metadata.name 是通过 calicoctl get nodes 获取到的节点名称。 spec.bgp.ipv4Address 是指定节点的IP地址 spec.bgp.ipv4IPIPTunnelAddr 是指定节点上tunl0的IP地址 spec.bgp.routeReflectorClusterID 是BGP网络中的唯一标识,所以这里的集群标识只要唯一就可以了
7.2.2、将节点的网络模型更换为 reflecter模型
kubectl calico --allow-version-mismatch apply -f - <<EOF kind: BGPPeer apiVersion: projectcalico.org/v3 metadata: name: bgppeer-demo spec: nodeSelector: all() peerSelector: route-reflector=="true" EOF 属性解析; spec.nodeSelector 指定的所有后端节点 spec.peerSelector 指定的是反射器的标签,标识所有的后端节点与这个反射器进行数据交流 master1 ~]# kubectl calico get BGPPeer --allow-version-mismatch NAME PEERIP NODE ASN bgppeer-demo all() 0 master1 ~]# kubectl calico node status IPv4 BGP status +---------------+---------------+-------+----------+-------------+ | PEER ADDRESS | PEER TYPE | STATE | SINCE | INFO | +---------------+---------------+-------+----------+-------------+ | 192.168.10.27 | node specific | up | 07:00:30 | Established | | 192.168.10.28 | node specific | up | 07:00:30 | Established | | 192.168.10.29 | node specific | up | 07:00:30 | Established | | 192.168.10.30 | node specific | up | 07:00:30 | Established | +---------------+---------------+-------+----------+-------------+ 这个时候,节点的状态发生了改变,原来是PEER TYPE:node-to-node mesh 现在变成 PEER TYPE: node specific
7.2.3、关闭默认的网格效果
注意: 我使用的版本是Calico Cluster Version: 3.26.0,默认自动会做如下操作 如果node-to-node mesh与node specific并存的时候,请做如下操作: kubectl calico --allow-version-mismatch apply -f - <<EOF apiVersion: projectcalico.org/v3 kind: BGPConfiguration metadata: name: default spec: logSeverityScreen: Info nodeToNodeMeshEnabled: false asNumber: 63400 EOF # Successfully applied 1 'BGPConfiguration' resource(s) 属性解析; metadata.name 在这里最好是default,因为我们要对BGP默认的网络效果进行关闭 spec.nodeToNodeMeshEnabled 关闭后端节点的BGP peer默认状态 -- 即点对点通信关闭 spec.asNumber 指定的是后端节点间使用反射器的时候,我们要在一个标志号内,这里随意写一个 # 查看资源运行 master1 ~]# kubectl calico get BGPConfiguration --allow-version-mismatch NAME LOGSEVERITY MESHENABLED ASNUMBER default Info false 63400 # 效果如下: master1 ~]# kubectl calico node status Calico process is running. IPv4 BGP status +---------------+---------------+-------+----------+-------------+ | PEER ADDRESS | PEER TYPE | STATE | SINCE | INFO | +---------------+---------------+-------+----------+-------------+ | 192.168.10.27 | node specific | up | 07:08:47 | Established | | 192.168.10.29 | node specific | up | 07:08:47 | Established | | 192.168.10.30 | node specific | up | 07:08:47 | Established | | 192.168.10.28 | node specific | up | 07:08:47 | Established | +---------------+---------------+-------+----------+-------------+
此时点对点已经没有,剩下反射器模式
8、验证当前calico网络是否正常
8.1、定义资源配置清单
kubectl apply -f - <<EOF apiVersion: v1 kind: Namespace metadata: name: develop labels: kubernetes.io/metadata.name: develop --- apiVersion: apps/v1 kind: Deployment metadata: labels: app: pod-deployment1 name: pod-deployment1 namespace: develop spec: replicas: 3 selector: matchLabels: app: pod-deployment1 template: metadata: labels: app: pod-deployment1 spec: containers: - image: 192.168.10.33:80/k8s/pod_test:v0.1 name: pod-test --- apiVersion: v1 kind: Service metadata: labels: app: pod-deployment1 name: pod-deployment1 namespace: develop spec: ports: - port: 80 protocol: TCP targetPort: 80 selector: app: pod-deployment1 type: ClusterIP EOF
8.2、查看运行效果
master1 ~]# kubectl get ns develop NAME STATUS AGE develop Active 29s master1 ~]# kubectl get pods -n develop NAME READY STATUS RESTARTS AGE pod-deployment1-84f8987c58-8d58z 1/1 Running 0 32s pod-deployment1-84f8987c58-jd44l 1/1 Running 0 32s pod-deployment1-84f8987c58-mgvwp 1/1 Running 0 32s master1 ~]# kubectl get svc -n develop NAME TYPE CLUSTER-IP EXTERNAL-IP PORT(S) AGE pod-deployment1 ClusterIP 10.104.252.17 <none> 80/TCP 55s master1 ~]# curl 10.104.252.17 kubernetes pod-test v0.1!! ClientIP: 192.168.10.26, ServerName: pod-deployment1-84f8987c58-8d58z, ServerIP: 10.244.3.6! [root@master1 ~]# curl 10.104.252.17 kubernetes pod-test v0.1!! ClientIP: 192.168.10.26, ServerName: pod-deployment1-84f8987c58-mgvwp, ServerIP: 10.244.4.4! # 证明当前使用calico,pod的网络是正常的
