一、知识准备

1.calico主要通过ipip协议与bgp协议来实现通信。前者通过ipip隧道作为通信基础,后者则是纯三层的路由交换

2.bgp协议主要由两种方式:BGP Speaker 全互联模式(node-to-node mesh)与BGP Speaker RR模式

3.本文主要探索一下calico bgp的两种模式

二、环境准备

组件 版本
OS Ubuntu 18.04.1 LTS
docker 18.06.0-ce
k8s 1.10.1
calico 3.1.3
ip hostname
192.168.56.101 k8s-master
192.168.56.102 k8s-node1
192.168.56.103 k8s-node2
192.168.56.104 k8s-node3

三、安装

k8s安装

参考官网安装以及社区诸多大神的安装帖子,这里就不班门弄斧了

本文的k8s的环境打开了rbac,etcd加入了证书

calico安装

主要参考官方文档 https://docs.projectcalico.org/v3.1/getting-started/kubernetes/installation/calico

1.calico rbac

kubectl apply -f \

https://docs.projectcalico.org/v3.1/getting-started/kubernetes/installation/rbac.yaml

2.下载calico.yaml

curl \

https://docs.projectcalico.org/v3.1/getting-started/kubernetes/installation/hosted/calico.yaml \

-O

3.填入etcd地址

ETCD_ENDPOINTS="https://192.168.56.101:2379"

sed -i "s#.*etcd_endpoints:.*#  etcd_endpoints: \"${ETCD_ENDPOINTS}\"#g" calico.yaml

sed -i "s#__ETCD_ENDPOINTS__#${ETCD_ENDPOINTS}#g" calico.yaml

4.将etcd证书信息填入。我的etcd证书在/etc/etcd/ssl下

ETCD_CERT=`cat /etc/etcd/ssl/etcd.pem | base64 | tr -d '\n'`

ETCD_KEY=`cat /etc/etcd/ssl/etcd-key.pem | base64 | tr -d '\n'`

ETCD_CA=`cat /etc/etcd/ssl/etcd-root-ca.pem | base64 | tr -d '\n'`

sed -i "s#.*etcd-cert:.*#  etcd-cert: ${ETCD_CERT}#g" calico.yaml

sed -i "s#.*etcd-key:.*#  etcd-key: ${ETCD_KEY}#g" calico.yaml

sed -i "s#.*etcd-ca:.*#  etcd-ca: ${ETCD_CA}#g" calico.yaml

sed -i 's#.*etcd_ca:.*#  etcd_ca: "/calico-secrets/etcd-ca"#g' calico.yaml

sed -i 's#.*etcd_cert:.*#  etcd_cert: "/calico-secrets/etcd-cert"#g' calico.yaml

sed -i 's#.*etcd_key:.*#  etcd_key: "/calico-secrets/etcd-key"#g' calico.yaml

sed -i "s#__ETCD_KEY_FILE__#/etc/etcd/ssl/etcd-key.pem#g" calico.yaml

sed -i "s#__ETCD_CERT_FILE__#/etc/etcd/ssl/etcd.pem#g" calico.yaml

sed -i "s#__ETCD_CA_CERT_FILE__#/etc/etcd/ssl/etcd-root-ca.pem#g" calico.yaml

sed -i "s#__KUBECONFIG_FILEPATH__#/etc/cni/net.d/calico-kubeconfig#g" calico.yaml

5.配置calico bgp 并且修改ip cidr:10.10.0.0/16

sed -i '/CALICO_IPV4POOL_IPIP/{n;s/Always/off/g}' calico.yaml

sed -i '/CALICO_IPV4POOL_CIDR/{n;s/192.168.0.0/10.10.0.0/g}' calico.yaml

6.kubectl安装calico

kubectl apply -f calico.yaml

注意:因为calico-node需要获取操作系统的权限运行,所以要在apiserver、kubelet中加入--allow-privileged=true

查看一下状态:

root@k8s-master:/tmp# kubectl get pods -n kube-system -owide

NAME                                        READY     STATUS    RESTARTS   AGE       IP               NODE

calico-kube-controllers-98989846-b4n72      1/1       Running   0          18d       192.168.56.102   k8s-node1

calico-node-58pck                           2/2       Running   0          18d       192.168.56.103   k8s-node2

calico-node-s2txw                           2/2       Running   0          18d       192.168.56.101   k8s-master

calico-node-svmbp                           2/2       Running   0          18d       192.168.56.102   k8s-node1

...

7.kubelet配置calico

找到kubelet的配置文件(我的环境在/etc/kubernetes/kubelet),加入

--network-plugin=cni

重启kubelet

8.测试一个pod

cat << EOF | kubectl create -f -

apiVersion: v1

kind: Pod

metadata:

  name: network-test

  namespace: test

spec:

  containers:

  - image: busybox:latest

    command:

      - sleep

      - "3600"

    name: network-test

EOF


root@k8s-master:~# kubectl -n test get pods -owide

NAME           READY     STATUS    RESTARTS   AGE       IP              NODE

network-test   1/1       Running   0          41s       10.10.169.139   k8s-node2

至此:calico安装已经完成

四、calicoctl使用

1.下载calicoctl

https://github.com/projectcalico/calicoctl/releases/download/v3.1.3/calicoctl-linux-amd64

2.查看当前的calico-node

root@k8s-master:/tmp# calicoctl get node

NAME

k8s-master

k8s-node1

k8s-node2

calicoctl get node -o yaml 查看详细信息

3.查看当前的ippool

root@k8s-master:/tmp# calicoctl get ippool

NAME                  CIDR

default-ipv4-ippool   10.10.0.0/16

default-ipv6-ippool   fdc6:1a69:2b39::/48

4.查看当前模式

root@k8s-master:/tmp# calicoctl node status

Calico process is running.

IPv4 BGP status

+----------------+-------------------+-------+----------+-------------+

|  PEER ADDRESS  |     PEER TYPE     | STATE |  SINCE   |    INFO     |

+----------------+-------------------+-------+----------+-------------+

| 192.168.56.102 | node-to-node mesh | up    | 07:39:02 | Established |

| 192.168.56.103 | node-to-node mesh | up    | 07:39:02 | Established |

+----------------+-------------------+-------+----------+-------------+

IPv6 BGP status

No IPv6 peers found.

root@k8s-master:/tmp# netstat -anp | grep ESTABLISH | grep bird

tcp        0      0 192.168.56.101:33029    192.168.56.102:179      ESTABLISHED 26558/bird

tcp        0      0 192.168.56.101:58055    192.168.56.103:179      ESTABLISHED 26558/bird

当前运行在BGP Speaker 全互联模式(node-to-node mesh)模式,calico集群中的节点之间都会相互建立连接,用于路由交换。适合规模不大的集群中运行,一旦集群节点增大,mesh模式将形成一个巨大服务网格,连接数暴增

5.修改BGP Speaker RR模式

禁止mesh模式,配置bgpPeer

cat << EOF | calicoctl create -f -

apiVersion: projectcalico.org/v3

kind: BGPConfiguration

metadata:

  name: default

spec:

  logSeverityScreen: Info

  nodeToNodeMeshEnabled: false

  asNumber: 61234

EOF

cat << EOF | calicoctl create -f -

apiVersion: projectcalico.org/v3

kind: BGPPeer

metadata:

  name: bgppeer-global

spec:

  peerIP: 192.168.56.103

  asNumber: 61234

EOF

查看RR模式配置:

root@k8s-master:~# calicoctl get bgpconfig

NAME      LOGSEVERITY   MESHENABLED   ASNUMBER

default   Info          false         61234

root@k8s-master:~# calicoctl get bgppeer

NAME             PEERIP           NODE       ASN

bgppeer-global   192.168.56.103   (global)   61234

安装routereflector

docker run --privileged --net=host -d                             \

           --name=calico-rr                                       \

           -e IP=192.168.56.104                                   \

           -e ETCD_ENDPOINTS=https://192.168.56.101:2379          \

           -v /etc/etcd/ssl:/etc/calico/ssl                     \

           -e ETCD_CA_CERT_FILE=/etc/calico/ssl/etcd-root-ca.pem  \

           -e ETCD_CERT_FILE=/etc/calico/ssl/etcd.pem             \

           -e ETCD_KEY_FILE=/etc/calico/ssl/etcd-key.pem          \

           calico/routereflector:v0.6.1

查看效果:

root@k8s-master:~# calicoctl node status

Calico process is running.

IPv4 BGP status

+----------------+-----------+-------+----------+-------------+

|  PEER ADDRESS  | PEER TYPE | STATE |  SINCE   |    INFO     |

+----------------+-----------+-------+----------+-------------+

| 192.168.56.103 | global    | up    | 09:13:23 | Established |

+----------------+-----------+-------+----------+-------------+

IPv6 BGP status

No IPv6 peers found.

root@k8s-master:~# netstat -anp | grep ESTABLISH | grep bird

tcp        0      0 192.168.56.101:179      192.168.56.103:54903    ESTABLISHED 26558/bird

每台机器都只会与rr建立一条连接,并且与rr通信即可拿到所有路由,大大减少了连接数量

至此,本文结束

在下才疏学浅,有撒汤漏水的,请各位不吝赐教...

k8s网络之calico学习的更多相关文章

  1. k8s网络之Calico网络

    k8s网络主题系列: 一.k8s网络之设计与实现 二.k8s网络之Flannel网络 三.k8s网络之Calico网络 简介 Calico 是一种容器之间互通的网络方案.在虚拟化平台中,比如 Open ...

  2. k8s网络之calico

    一.概述 前面我们部署calico由于集群规模不是很大,使用的是calico的bgp模式的node-to-node-mesh全节点互联,这种模式在小规模集群里面还可以用,3.4.0版本的calico支 ...

  3. k8s网络之设计与实现

    k8s网络主题系列: 一.k8s网络之设计与实现 二.k8s网络之Flannel网络 三.k8s网络之Calico网络 K8s网络设计与实现是在学习k8s网络过程中总结的内容.在学习k8s网络各种插件 ...

  4. k8s网络之Flannel网络

    k8s网络主题系列: 一.k8s网络之设计与实现 二.k8s网络之Flannel网络 三.k8s网络之Calico网络 简介 Flannel是CoreOS团队针对Kubernetes设计的一个网络规划 ...

  5. ASP.NET Core on K8S深入学习(11)K8S网络知多少

    本篇已加入<.NET Core on K8S学习实践系列文章索引>,可以点击查看更多容器化技术相关系列文章. 一.Kubernetes网络模型 我们都知道Kubernetes作为容器编排引 ...

  6. 【Kubernetes】K8S 网络隔离 方案

    参考资料: K8S-网络隔离参考 OpenContrail is an open source network virtualization platform for the cloud. – Kub ...

  7. Docker网络解决方案 - Calico部署记录

    简单来说,实现docker跨主机容器间通信,常用的第三方网络方案是Flannel,Weave,Calico:Flannel会为每个host分配一个subnet,容器从这个subnet中分配ip,这些i ...

  8. k8s网络配置管理

    docker容器的四种网络类型 1.桥接           2.联盟    3.主机    4.无 docker跨节点的容器通信必须通过NAT机制  宿主机上的容器一般都是私网地址 它可以通过宿主机 ...

  9. 19.网络插件calico

    19.网络插件calico 官网: https://docs.projectcalico.org/v3.8/introduction/ calico默认工作在192.168.0.0/16 的网络 ca ...

随机推荐

  1. [Spark RDD_1] RDD 基本概念

    0. 说明 RDD 概述 && 创建 RDD 的方式 && RDD 编程 API(Transformation 和 Action Operations) &&a ...

  2. Android高级_第三方框架Xutils

    xutils的功能主要包括有四个部分:(1)布局视图关联:(2)图片下载与缓存:(3)网络请求:(4)数据库: 1. 使用xutils进行视图注入: (1)在控件声明上方添加@ViewInject() ...

  3. 网络基础之IP地址和子网掩码

    IP地址 IP是英文Internet Protocol的缩写,意思是"网络之间互连的协议",也就是为计算机网络相互连接进行通信而设计的协议.在因特网中,它是能使连接到网上的所有计算 ...

  4. 内网DHCP攻击

    局域网内DHCP攻击 实验环境:两个win2008 r2虚拟机(一台用作正常的DHCP服务器,另一台用作伪造DHCP服务器),两个win7虚拟机(用作客户机),一个kali虚拟机(用作攻击,耗尽DHC ...

  5. 基于Java反射的map自动装配JavaBean工具类设计

    我们平时在用Myabtis时不是常常需要用map来传递参数,大体是如下的步骤: public List<Role> findRoles(Map<String,Object> p ...

  6. 8、Django的模型层(2)

    第3节:多表操作 3.1 创建模型 实例:我们来假定下面这些概念,字段和关系 作者模型:一个作者有姓名和年龄. 作者详细模型:把作者的详情放到详情表,包含生日,手机号,家庭住址等信息.作者详情模型和作 ...

  7. Spring Boot Actuator RCE

    来看一下IDEA如何调试Spring Boot 先在https://github.com/artsploit/actuator-testbed下载源码 如下命令就能通过maven环境启动 mvn in ...

  8. Sqoop学习之路 (一)

    一.概述 sqoop 是 apache 旗下一款“Hadoop 和关系数据库服务器之间传送数据”的工具. 核心的功能有两个: 导入.迁入 导出.迁出 导入数据:MySQL,Oracle 导入数据到 H ...

  9. [luogu3198] 玩具装箱

    题面 ​ 最近在搞dp, 发现自己的dp还是太弱了, 做的题比较少, 也有一些东西没学, 这道题算是我独立做的第一道斜率优化dp, 写篇题解纪念一下吧. ​ dp式比较简单, 就是一个线性的dp, 设 ...

  10. Ubuntu16.04之开发环境构建

    Ubuntu软件安装相对于centos而言,那真的是要愉快的多啊! 以下安装步骤,本人在公司的测试环境和开发环境以及之前个人虚拟机的测试或生产环境都测验过,基本没有问题,只要按照步骤来,即可马到成功! ...