本文分享自华为云社区《Calico IPIP模式下的CrossSubnet特性分析》,作者: 可以交个朋友。

Calico ipip crossSubnet 模式

Calico-ipip模式和calico-bgp模式都有对应的局限性,对于一些主机跨子网而又无法使网络设备使用BGP的场景可以使用cross-subnet模式,实现同子网机器使用calico-BGP模式,跨子网机器使用calico-ipip模式。

概念图如下:

统一环境信息:

 

创建k8s集群

创建k8s安装脚本 1-setup-env.sh

#!/bin/bash

date

set -v

# 1.prep noCNI env

cat <<EOF | kind create cluster --name=calico-ipip-crosssubnet --image=kindest/node:v1.27.3 --config=-

kind: Cluster

apiVersion: kind.x-k8s.io/v1alpha4

networking:

  disableDefaultCNI: true

  podSubnet: "10.98.0.0/16"

nodes:

- role: control-plane

  kubeadmConfigPatches:

  - |

    kind: InitConfiguration

    nodeRegistration:

      kubeletExtraArgs:

        node-ip: 10.1.5.10

        node-labels: "rack=rack0"

- role: worker

  kubeadmConfigPatches:

  - |

    kind: JoinConfiguration

    nodeRegistration:

      kubeletExtraArgs:

        node-ip: 10.1.5.11

        node-labels: "rack=rack0"

- role: worker

  kubeadmConfigPatches:

  - |

    kind: JoinConfiguration

    nodeRegistration:

      kubeletExtraArgs:

        node-ip: 10.1.8.10

        node-labels: "rack=rack1"

- role: worker

  kubeadmConfigPatches:

  - |

    kind: JoinConfiguration

    nodeRegistration:

      kubeletExtraArgs:

        node-ip: 10.1.8.11

        node-labels: "rack=rack1"

EOF

# 2.remove taints

controller_node_ip=`kubectl get node -o wide --no-headers | grep -E "control-plane" | awk -F " " '{print $6}'`

kubectl taint nodes $(kubectl get nodes -o name | grep control-plane) node-role.kubernetes.io/control-plane:NoSchedule-

kubectl get nodes -o wide

# 3. install tools for node

for i in $(docker ps -a --format "table {{.Names}}" |grep calico-ipip)

do

                echo $i

                docker cp /usr/bin/ping $i:/usr/bin/ping

                docker exec -it $i bash -c "apt-get -y update > /dev/null && apt-get -y install net-tools tcpdump lrzsz > /dev/null 2>&1"

done

该集群的创建,主要是构建4个节点组成的k8s集群,其中每两个在一个二层网络下。与另外一组形成二层网络隔离。

集群搭建成功

搭建clab环境

clab配置如下: 2-setup-clab.sh

#!/bin/bash

set -v

brctl addbr br-pool0

ifconfig br-pool0 up

brctl addbr br-pool1

ifconfig br-pool1 up

cat <<EOF>clab.yaml | clab deploy -t clab.yaml -

name: calico-ipip-crosssubnet

topology:

  nodes:

    gw0:

      kind: linux

      image: burlyluo/vyos:1.4.0

      cmd: /sbin/init

      binds:

        - /lib/modules:/lib/modules

        - ./startup-conf/gw0-boot.cfg:/opt/vyatta/etc/config/config.boot

    br-pool0:

      kind: bridge

    br-pool1:

      kind: bridge

    server1:

      kind: linux

      image: burlyluo/nettool

      network-mode: container:calico-ipip-crosssubnet-control-plane

      exec:

      - ip addr add 10.1.5.10/24 dev net0

      - ip route replace default via 10.1.5.1

    server2:

      kind: linux

      image: burlyluo/nettool

      network-mode: container:calico-ipip-crosssubnet-worker

      exec:

      - ip addr add 10.1.5.11/24 dev net0

      - ip route replace default via 10.1.5.1

    server3:

      kind: linux

      image: burlyluo/nettool

      network-mode: container:calico-ipip-crosssubnet-worker2

      exec:

      - ip addr add 10.1.8.10/24 dev net0

      - ip route replace default via 10.1.8.1

    server4:

      kind: linux

      image: burlyluo/nettool

      network-mode: container:calico-ipip-crosssubnet-worker3

      exec:

      - ip addr add 10.1.8.11/24 dev net0

      - ip route replace default via 10.1.8.1

  links:

    - endpoints: ["br-pool0:br-pool0-net0", "server1:net0"]

    - endpoints: ["br-pool0:br-pool0-net1", "server2:net0"]

    - endpoints: ["br-pool1:br-pool1-net0", "server3:net0"]

    - endpoints: ["br-pool1:br-pool1-net1", "server4:net0"]

    - endpoints: ["gw0:eth1", "br-pool0:br-pool0-net2"]

    - endpoints: ["gw0:eth2", "br-pool1:br-pool1-net2"]

EOF

该配置其实就是为了将kind组建的k8s集群中的节点网络引入到containerLab中去,然后基于contailerLab做真实的网络配置

其中的gw0-boot.cfg配置文件如下:

interfaces {

    ethernet eth1 {

        address 10.1.5.1/24

        duplex auto

        smp-affinity auto

        speed auto

    }

    ethernet eth2 {

        address 10.1.8.1/24

        duplex auto

        smp-affinity auto

        speed auto

    }

    loopback lo {

    }

}

nat {

    source {

        rule 100 {

            outbound-interface eth0

            source {

                address 10.1.0.0/16

            }

            translation {

                address masquerade

            }

        }

    }

}

system {

    config-management {

        commit-revisions 100

    }

    console {

        device ttyS0 {

            speed 9600

        }

    }

    host-name vyos

    login {

        user vyos {

            authentication {

                encrypted-password $6$QxPS.uk6mfo$9QBSo8u1FkH16gMyAVhus6fU3LOzvLR9Z9.82m3tiHFAxTtIkhaZSWssSgzt4v4dGAL8rhVQxTg0oAG9/q11h/

                plaintext-password ""

            }

            level admin

        }

    }

    ntp {

        server 0.pool.ntp.org {

        }

        server 1.pool.ntp.org {

        }

        server 2.pool.ntp.org {

        }

    }

    syslog {

        global {

            facility all {

                level info

            }

            facility protocols {

                level debug

            }

        }

    }

    time-zone UTC

}

/* Warning: Do not remove the following line. */

/* === vyatta-config-version: "qos@1:dhcp-server@5:webgui@1:pppoe-server@2:webproxy@2:firewall@5:pptp@1:dns-forwarding@1:mdns@1:quagga@7:webproxy@1:snmp@1:system@10:conntrack@1:l2tp@1:broadcast-relay@1:dhcp-relay@2:conntrack-sync@1:vrrp@2:ipsec@5:ntp@1:config-management@1:wanloadbalance@3:ssh@1:nat@4:zone-policy@1:cluster@1" === */

/* Release version: 1.2.8 */

containerLab组网成功:

部署calico网络插件

此时集群虽然搭建完成了,但是由于未部署cni网络插件,集群node/master之间k8s网络未互通(kubelet 无法同master通信)。

部署calico ipip crosssubnet模式的网络插件

kubectl apply -f calico.yaml

#kubectl apply -f https://projectcalico.docs.tigera.io/archive/v3.23/manifests/calico.yaml

需要:将 CALICO_IPV4POOL_IPIP 的值 Always修改为CrossSubnet

此时查看集群节点信息: 节点状态就绪

此时查看集群pod信息: 集群所有pod均已就绪

部署测试业务验证CrossSubnet

apiVersion: apps/v1

kind: DaemonSet

#kind: Deployment

metadata:

  labels:

    app: app

  name: app

spec:

  #replicas: 2

  selector:

    matchLabels:

      app: app

  template:

    metadata:

      labels:

        app: app

    spec:

      containers:

      - image: burlyluo/nettool

        name: nettoolbox

---

apiVersion: v1

kind: Service

metadata:

  name: app

spec:

  type: NodePort

  selector:

    app: app

  ports:

  - name: app

    port: 8080

    targetPort: 80

    nodePort: 32000

查看业务pod信息:

查看node上(master 节点)的路由策略:

可以发现如果是去往10.98.85.128/26网段内的地址 则通过net0接口出去

如果是去往10.98.193.192/26 或者 10.98.241.128/26 网段内的地址 则通过tunl0接口出去;(需要ipip封装)

pod(master节点上pod)的路由策略:

抓包测试同子网pod通信datapath

抓包位置为: 源pod所在宿主机的net0网卡上:

可以看到抓包数据中: 源/目的ip 均为srcpod/dstpod。 源/目的Mac 均为: 源pod所在宿主机net0网卡/目的pod所在宿主机net0网卡 的Mac地址。

所以跨节点同子网下的pod通信无需ipip的封装,通过三层路由可达。

抓包测试跨子网pod通信datapath

master节点和worker2 节点ip分别为: 10.1.5.10/24 10.1.8.10/24,存在跨子网node通信的情况

抓包位置为源pod所在宿主机(master节点)net0网卡:

可以发现抓包信息中携带了两层ip信息: 跨子网需要进行ipip的封装

抓包位置为源pod所在宿主机(master节点)tunl0网卡:

点击关注,第一时间了解华为云新鲜技术~

Calico IPIP模式下的Cross Subnet特性分析的更多相关文章

  1. 内核模式下的线程同步的分析(Windows核心编程)

    内核模式下的线程同步 内核模式下的线程同步是用户模式下的线程同步的扩展,因为用户模式下的线程同步有一定的局限性.但用户模式下线程同步的好处是速度快,不需要切换到内核模式(需要额外的 CPU 时间).通 ...

  2. ubunut在系统恢复模式下无法改动rootpassword的分析和解决

    前些日子本猫的ubuntu 14.10貌似出了点问题,想改动下rootpassword,可是无奈原系统有错正常情况下无法改动啊.这是逼我重装的节奏吗? 在ubuntu开机后马上按住left_shift ...

  3. 用户模式下的线程同步的分析(Windows核心编程)

    线程同步 同一进程或者同一线程可以生成许多不同的子线程来完成规定的任务,但是多个线程同时运行的情况下可能需要对某个资源进行读写访问,比如以下这个情况:创建两个线程对同一资源进行访问,最后打印出这个资源 ...

  4. 微软Azure 经典模式下创建内部负载均衡(ILB)

    微软Azure 经典模式下创建内部负载均衡(ILB) 使用之前一定要注意自己的Azure的模式,老版的为cloud service模式,新版为ARM模式(资源组模式) 本文适用于cloud servi ...

  5. UEFI+GPT模式下的Windows系统中分区结构和默认分区大小及硬盘整数分区研究

    内容摘要:本文主要讨论和分析在UEFI+GPT模式下的Windows系统(主要是最新的Win10X64)中默认的分区结构和默认的分区大小,硬盘整数分区.4K对齐.起始扇区.恢复分区.ESP分区.MSR ...

  6. ASM:《X86汇编语言-从实模式到保护模式》第17章:保护模式下中断和异常的处理与抢占式多任务

    ★PART1:中断和异常概述 1. 中断(Interrupt) 中断包括硬件中断和软中断.硬件中断是由外围设备发出的中断信号引发的,以请求处理器提供服务.当I/O接口发出中断请求的时候,会被像8259 ...

  7. 浅析SqlServer简单参数化模式下对sql语句自动参数化处理以及执行计划重用

    我们知道,SqlServer执行sql语句的时候,有一步是对sql进行编译以生成执行计划, 在生成执行计划之前会去缓存中查找执行计划 如果执行计划缓存中有对应的执行计划缓存,那么SqlServer就会 ...

  8. Azure ARM (9) 创建ARM模式下的虚拟机网络

    <Windows Azure Platform 系列文章目录> 笔者在之前几章内容中,创建了ARM Resource Group,然后在这个ARM Resource Group下创建Azu ...

  9. Azure ARM (10) ARM模式下的虚拟机和Classic Model虚拟机的区别

    <Windows Azure Platform 系列文章目录> 本文内容比较多,请大家仔细阅读,谢谢! 请读者注意,在Azure ARM平台,有两种虚拟机模式:经典虚拟机和ARM虚拟机 A ...

  10. ASM:《X86汇编语言-从实模式到保护模式》第14章:保护模式下的特权保护和任务概述

    ★PART1:32位保护模式下任务的隔离和特权级保护  这一章是全书的重点之一,这一张必须要理解特权级(包括CPL,RPL和DPL的含义)是什么,调用门的使用,还有LDT和TSS的工作原理(15章着重 ...

随机推荐

  1. cephadm快速部署指定版本ceph集群及生产问题处理

    cephadm快速部署指定版本ceph集群及生产问题处理 目录 cephadm快速部署指定版本ceph集群及生产问题处理 1.虚拟机规划:centos8 2.ceph版本:(安装指定版本在源里面指定即 ...

  2. Codeforces Round 882 div.2 A

    Smiling&Weeping ----总有人间一两风,填我十万八千梦 A. The Man who became a God time limit per test 1 second mem ...

  3. Solution -「洛谷 P5072」「YunoOI 2015」盼君勿忘

    Description Link. 无修支持查询:查询一个区间 \([l,r]\) 中所有子序列分别去重后的和 \(\bmod\ p\) Solution 这是数据结构一百题的第50题(一半了哦)的纪 ...

  4. 一个关于 i++ 和 ++i 的面试题打趴了所有人

    前言 都说大城市现在不好找工作,可小城市却也不好招人. 我们公司招了挺久都没招到,主管感到有些心累. 我提了点建议,是不是面试问的太深了,在这种小城市,能干活就行. 他说自己问的面试题都很浅显,如果答 ...

  5. cmake构建32位应用程序

    1. 背景介绍 2. 工具介绍 3. 环境搭建 4. MinGW编译器版本 1. 背景介绍 最近需要使用第三方动态库文件G33DDCAPI.dll进行二次开发.由于这个动态库文件生成的时间比较早,且只 ...

  6. Go结构体深度探索:从基础到应用

    在Go语言中,结构体是核心的数据组织工具,提供了灵活的手段来处理复杂数据.本文深入探讨了结构体的定义.类型.字面量表示和使用方法,旨在为读者呈现Go结构体的全面视角.通过结构体,开发者可以实现更加模块 ...

  7. 【知识杂谈#2】如何查看Linux的(本地与公网)IP地址与SSH服务的端口号

    1. 本地Ip地址查看 使用查看linux主机是否有net-tools dpkg -l net-tools 显示以下代码就说明已安装成功 ||/ Name Version Architecture D ...

  8. Python网络编程——操作系统基础、网络通信原理、.网络通信实现、DNS域名解析、 网络通信流程

    文章目录 一.操作系统基础 二.网络通信原理 2.1 互联网的本质就是一系列的网络协议 2.2 osi七层协议 2.3 tcp/ip五层模型讲解 2.3.1 物理层 2.3.2 数据链路层 2.3.3 ...

  9. Android应用中对于微信分享的实例及问题

    源码地址 如何分享 分享无相应 分享结果如何接收响应 微信 分享回调 (提示几点关键问题:   debug_key 一定要获得对应的签名码 然后和weixin官网的appid对应     ) 几点注意 ...

  10. 循序渐进介绍基于CommunityToolkit.Mvvm 和HandyControl的WPF应用端开发(9) -- 实现系统动态菜单的配置和权限分配

    在WPF应用端开发,它的界面类似于Winform端,因此我们也需要对系统的菜单进行动态配置,这样才能把系统的功能弹性发挥到极致,通过动态菜单的配置方式,我们可以很容易的为系统新增所需的功能,通过权限分 ...