构建高效容器网络：了解常用CNI插件

近日见闻

1、 CNCF 与 Linux 基金会正式发布最新的 KCSA（Kubernetes and Cloud Native Security Associate ) 认证考试上线了。KCSA 认证专为希望于云原生生态系统及安全技术发展的人员而设。获得 KCSA 认证的人员具备 Kubernetes 集群的基线安全配置的能力，并能够乎合合规性的要求，这包括加强安全控制、测试和监控安全性以及参与评估安全威胁和漏洞的能力。 --CNCF社区

2、KeePassXC 2.7.7发布，XC是由 KeePass 密码管理器的一个分支发展而来的，相比原版 KeePass，KeePassXC 除了适配 Windows，还适配了 Linux 和 macOS。 --KeePassXC

3、不拥抱 AI 的公司，员工会被淘汰 --周鸿祎

4、摘抄：

重复且长时间的无尽忙碌，

只要条件具备，大部分人都可以做到。

难的是思考。

没有深入的思考，勤奋就没有意义。


——丹尼尔·卡尼曼

CNI插件

概念

CNI（容器网络接口，Container Network Interface）插件是一种标准化的网络接口，用于配置和管理容器运行时的网络。在容器化的环境中，比如Kubernetes，CNI插件的职责是为容器提供网络接入，确保容器能够正确地加入到网络中，进行通信。

当你在Kubernetes等容器编排系统中启动一个容器时（在Kubernetes中称为Pod），CNI插件负责以下几个关键任务：

1. 为Pod分配IP地址。
2. 设置Pod的网络接口。
3. 处理Pod中的网络流量路由。
4. 应用可能存在的网络策略或规则。
5. 在Pod终止时清理网络配置。

使用CNI插件，开发人员和系统管理员可以根据需求选择和配置适合他们应用程序和基础设施的网络解决方案。CNI插件提供了高度模块化和可插拔的网络配置，支持多个网络解决方案，如Flannel、Calico、Weave等，每种都有其特点，包括性能、网络策略支持、跨主机通信等。

那具体有哪些呢，这边来看看常用的插件：

1. Calico

• 官方网站: https://www.projectcalico.org/
• 工作原理:
  • Calico 使用标准的BGP（边界网关协议）来管理Pod之间的路由，这意味着它能够无缝地在不同的物理主机及其Pod之间路由数据包。
  • 它能够使用网络策略进行细粒度的安全控制。
  • 为了实现隔离和多租户能力，Calico使用了IP池，每个池可以配置特定的NAT外部出口点、路由或防火墙规则。
  • Calico还可以在需要时使用IP-in-IP封装或VXLAN，在不支持BGP的环境中创建Overlay网络。

2. Flannel

• 官方网站: https://github.com/coreos/flannel
• 工作原理:
  • Flannel是一个简单的Overlay网络，为每个Pod提供一个唯一的IP地址。它通过在集群中的每个节点上运行一个agent来工作。
  • 它主要使用VXLAN来封装数据包，但也支持UDP或者直接路由（无Overlay）。
  • Flannel在etcd中存储网络配置，集群中的所有Flannel实例都会读取该配置来维护网络。

3. Weave Net

• 官方网站: https://www.weave.works/
• 工作原理:
  • Weave Net创建一个虚拟网络，将分散在不同主机上运行的Docker容器连接起来。
  • 它通过Weave Router在主机之间建立一个Overlay网络，每个主机上的Router负责维护与其他Router的连接。
  • Weave Net使用的数据传输技术跨越了TCP、UDP和SCTP，并且包含了自己的DNS服务，允许用户通过名称而不是IP地址来寻址。

4. Cilium

• 官方网站: https://cilium.io/
• 工作原理:
  • Cilium利用了Linux内核的BPF，它可以在内核中运行自定义的程序，从而在处理网络数据包时提供高度的灵活性。
  • BPF程序可以在数据包进入或离开网络接口、被iptables处理或者通过socket发送和接收时进行操作。
  • Cilium提供了API，这样可以根据容器身份、加载的应用程序协议等进行策略强制执行，而不仅仅是基于网络规则。

5. Canal

• 官方网站: 由于Canal是Flannel和Calico的集成，所以没有独立的官方网站。但是，可以在Calico官网和Flannel GitHub页面找到有关的信息。
• 工作原理:
  • Canal结合了Flannel的Overlay网络模型和Calico的网络策略功能。
  • 通常，Flannel用于管理Pod的IP地址和网络，并为它们提供跨主机通信，而Calico用于实施网络策略。

6. Kube-router

• 官方网站: https://www.kube-router.io/
• 工作原理:
  • Kube-router是一个纯三层路由解决方案，使用标准Linux内核功能，如IPVS, iptables, 和ipset来提供服务代理、网络策略和Pod路由。
  • 它使用BGP协议来优化路由决策，并直接将Pod网络广播到物理网络，不需要Overlay。
  • 这使得Kube-router特别适用于需要性能和简单性的场合。

7. Romana

• 官方网站: http://romana.io/
• 工作原理:
  • Romana使用标准的Layer 3网络路由代替Overlay网络，这可以减少封装和解封装数据包的开销，并简化网络设计。
  • 它使用自己的IPAM（IP地址管理）解决方案来分配Pod IP地址，这些地址可以通过标准的网络路由直接访问。
  • Romana还提供了网络策略和多租户功能，支持Kubernetes的NetworkPolicy API。

以上这些网络插件的具体实现和配置可能随着版本和时间而变化，因此最好访问官方文档以获取最新和最准确的信息。