Kubernetes网络方案 Flannel和calico

摘抄某博客

1.   Flannel

Flannel是为kubernetes设计的一个非常简洁的多节点三层网络方案,解决不同host上的容器互联问题,原理是为每个host分配一个subnet,容器从此subnet中分配IP,这些IP可以在host间路由,容器间无需NAT和port  mapping就可以跨主机通信,每个subnet都是从一个更大的IP池中划分的,flannel会在每个host上面运行一个守护进程flanneld,其职责就是从大池子中分配subnet,为了各个主机间共享信息,flannel用etcd存放网络配置、已分配的subnet、host的IP 等信息。

Flannel的节点间有三种通信方式:

1.  VXLAN:默认配置,利用内核级别的VXLAN来封装host之间传送的包。

2.  Host-gw:二层网络配置,不支持云环境,通过在host的路由表中直接创建到其他主机subnet的路由条目。

3.  Udp:通常用于debug

 

提示:Subnet在主机上的设置路径/run/flannel/subnet.env

2.   Calico

Calico是一个比较完整的项目,比较注重安全转为云环境设置,是一个三层的数据中心网络架构,无需依托overlay网络,经过生产环境的验证。

Calico在每个计算节点利用Linux Kernel实现了一个高效的vRouter来负责数据转发,而每个vRouter通过BGP协议负责把自己上运行的workload的路由信息向整个Calico网络内传播,小规模部署可以直接互联,大规模部署可通过指定的BGP route reflector来完成。

Calico基于iptables还提供了丰富而灵活的网络Policy,保证通过各个节点上的ACLs来提供workload的多租户隔离、安全组以及其他可达性限制等功能。

3.   NetworkPolicy

1)         kube-apiserver必须开启运行时extensions/v1beta1/networkpolicies,即设置启动参数:--runtime-config=extensions/v1beta1/networkpolicies=true

2)         kubelet必须启用cni网络插件,即设置启动参数:--network-plugin=cni

3)         kube-proxy必须启用iptables代理模式,这是默认模式,可以不用设置

4)         kube-proxy不得启用--masquerade-all,这会跟calico冲突

5)         安装calico组件

6)         Namespaces中添加

annotations:

    net.beta.kubernetes.io/network-policy: |

      {

        "ingress": {

          "isolation": "DefaultDeny"

        }

      }

实现多租户,namespaces之间隔离

 

 

转载于:https://www.cnblogs.com/Javaknowledge/p/10575130.html

你可能感兴趣的:(Kubernetes网络方案 Flannel和calico)