Kubernetes 网络模型基于插件架构设计，容器网络接口（CNI）插件负责具体的网络通信。

Kubernetes 网络概述

1. 网络职责划分：

   • Kubernetes 本身不负责网络通信：Kubernetes 提供了容器网络接口 CNI（Container Network Interface），具体的网络通信交给 CNI 插件来负责。
   • CNI 插件：开源的 CNI 插件有很多种，如 Flannel、Calico 等。不同的插件实现不同的网络功能和特性。
   • VPC 网络支持：CCE（云容器引擎）专门为 Kubernetes 定制了 CNI 插件（如 Canal 和 Yangste），使得 Kubernetes 可以使用 VPC 网络。

2. 网络连接机制：

   • Pod 互相通信：Kubernetes 集群中的 Pod 能够互相通信，且必须通过非 NAT 网络连接。即收到的数据包的源 IP 是发送数据包的 Pod 的 IP。
   • Pod 与节点之间通信：Pod 与节点之间的通信也是通过非 NAT 网络。但在 Pod 访问集群外部时，源 IP 会被修改成节点的 IP。

使用 Flannel 进行 Kubernetes 网络配置

1. 安装 Flannel：
   在 Kubernetes 集群中安装 Flannel 作为 CNI 插件。可以使用以下命令来安装 Flannel：

   kubectl apply -f https://raw.githubusercontent.com/coreos/flannel/master/Documentation/kube-flannel.yml

2. Flannel 配置示例：
   Flannel 的配置文件内容如下：

   apiVersion: policy/v1beta1
   kind: PodSecurityPolicy
   metadata:
     name: psp.flannel.unprivileged
   spec:
     privileged: false
     volumes:
       - configMap
       - secret
       - emptyDir
       - hostPath
     allowedHostPaths:
       - pathPrefix: "/etc/cni/net.d"
       - pathPrefix: "/etc/kube-flannel/"
       - pathPrefix: "/run/flannel/"
     hostNetwork: true
     hostPorts:
       - min: 0
         max: 65535
     hostPID: false
     hostIPC: false
     seLinux:
       rule: RunAsAny
     supplementalGroups:
       rule: RunAsAny
     runAsUser:
       rule: RunAsAny
     fsGroup:
       rule: RunAsAny
     readOnlyRootFilesystem: false

3. 验证网络配置：
   验证网络配置是否生效。创建两个 Pod 并验证它们之间的网络连通性：

   kubectl run --rm -it --image=busybox pod1 -- /bin/sh
   # 在 Pod1 中执行
   wget -qO- http://pod2-ip-address

4. 节点之间的通信：
   Flannel 默认使用 VXLAN 来在不同节点之间创建一个覆盖网络，使得不同节点上的 Pod 能够互相通信。可以通过以下命令查看 Flannel 配置的网络接口：

   ip a | grep flannel

使用 Calico 进行 Kubernetes 网络配置

1. 安装 Calico：
   选择 Calico 作为 CNI 插件。可以使用以下命令来安装 Calico：

   kubectl apply -f https://docs.projectcalico.org/v3.14/manifests/calico.yaml

2. Calico 配置示例：
   Calico 的配置文件内容如下：

   apiVersion: v1
   kind: ConfigMap
   metadata:
     name: calico-config
     namespace: kube-system
   data:
     # 设置 Calico 的后端类型为 vxlan
     calico_backend: "vxlan"
     # 设置 BGP 的启用
     enable_bgp: "true"

3. 验证网络配置：
   验证 Calico 配置的网络连通性：

   kubectl run --rm -it --image=busybox pod1 -- /bin/sh
   # 在 Pod1 中执行
   wget -qO- http://pod2-ip-address

4. Calico 的特性：
   Calico 除了提供基本的网络功能外，还提供了更高级的网络策略管理功能，可以通过定义 NetworkPolicy 来控制 Pod 之间的通信。例如：

   apiVersion: networking.k8s.io/v1
   kind: NetworkPolicy
   metadata:
     name: allow-all
     namespace: default
   spec:
     podSelector: {}
     policyTypes:
       - Ingress
       - Egress
     ingress:
       - {}
     egress:
       - {}

Kubernetes 的网络模型依赖于 CNI 插件来实现具体的网络通信功能。不同的 CNI 插件（如 Flannel 和 Calico）提供了不同的功能和特性，用户可以根据需求选择合适的插件进行部署和配置。通过正确配置 CNI 插件，可以确保 Kubernetes 集群中的 Pod 和节点之间实现高效、可靠的网络通信。

本文由mdnice多平台发布