華為云云原生鉆石集訓營 第六課：Kubernetes網絡架構原理深度剖析（上）

課程目標：

1.理解kubernetes網絡模型以及Service工作機制

2.理解華為云CCE Yangtse網絡模型和原理

目錄：

1. Kubernetes基本網絡模型剖析

2. Service服務負載均衡機制剖析

3．華為云CCE yangtse網絡方案原理

在前面的黃金課程中介紹了kubernetes網絡和服務的概念與使用場景，Service概念及使用場景和Ingress概念及使用場景

Kubernetes工作負載POD之間的互通、負載均衡等網絡功能是如何實現的呢，接下來的課程我們將為大家深入講解kubernetes容器網絡模型，Service負載均衡機制、CNI接口的實現原理以及若干實踐案例。

概念厘清

前導基本概念

二層橋接VS三層路由 ? Underlay VS Overlay? ? ? 物理網絡 VS 虛擬網絡? ? ? ? ? 傳統網絡 VS SDN網絡? ? ? ? ? ?Docker網絡? VS K8S網絡（CNM vS CNI）

K8S網絡模型對互通性的要求

pods on a node can communicate with all pods on all nodes without NAT

譯文:節點上的容器POD可以與集群內任意節點上的容器POD無需NAT實現互訪

agents on a node (e.g. system daemons,kubelet) can communicate with all pods on that node

譯文:節點上的代理agent(比如:系統后臺進程、kubelet)可以與同節點上的容器POD互訪

Note: For those platforms that support Pods running in the host network (e.g. Linux);

注解:對于支持容器POD以主機網絡模式運行的平臺(如:Linux)

pods in the host network of a node can communicate with all pods on all nodes without NAT

譯文:主機網絡模式的容器POD可以與集群內任意節點上的容器POD無需NAT互訪

K8S Service 負載均衡機制實現原理（3）? ---eBPF

方案說明

1.基于高內核版本eBPF機制

2.東西向采用Socket Layer LB機制實現，支持會話保持

3.南北向采用XDP/TCBPF實現負載均衡/NAT和狀態表

優勢:

適合容器場景·轉發路徑短，最大開銷下降可達80%

劣勢

內核版本要求社區內核5.7+

缺乏大規模的商用檢驗，處于快速迭代過程，社區不斷有新patch合入

負載均衡算法待增強和豐富

典型方案

Cilium,Calico

華為云CCE Yangtse網絡模型 （1） --VPC 路由模式

方案說明

按照創建集群時設定的節點長度為節點分配容器子網

將每個節點的容器子網路由配置到VPC路由表

優勢

無隧道開銷，轉發性能與主機網絡持平

VPC內節點與容器互通無SNAT,支持源地址保持

劣勢

集群規模受限于VPC路由表規格，比如:200

互通性受限:

需要通過nodeport對接ELB后端，存在多跳損耗，負載均衡性差

訪問OBS或外網等服務需要SNAT為節點地址

華為云CCE Turbo Yangtse網絡模型(2) --ENI/TrunkPort

方案說明:

容器網絡與VPC網絡一體化融合方案，充分利用VPC網絡的軟硬協同和分布式架構為容器提供云原生的規模擴展、極致彈性、負載均衡和安全隔離能力。

每個容器POD具有獨立的VPC子網地址，統─IPAM(節點、容器、服務子網統一管理)

BMS節點支持128個VF直通網口到容器POD

虛機節點Trunkport模式ENI,最多支持創建256個VLAN子接口直通容器POD

每個POD具有獨立的安全組，支持容器粒度的網絡隔離POD間互訪不經過節點rootnamespace,直通模式轉發0損耗

不再依賴節點內核

lPVS/IPTables實現Service負載均衡，不再需要kube-proxy組件，service負載均衡卸載到VPC分布式ELB

裸機容器支持POD級網絡QoS

極簡組網，運維更簡單

總結：

本課程講解重點

1: K8S容器網絡模型原理

2: K8S Service負載均衡實現原理·

3:華為CCE Yangtse容器網絡模型和原理

參考鏈接：

相關內容的華為云官網鏈接:

https://support.huaweicloud.com/usermanual-cce/cce 01 0249.html

https://support.huaweicloud.com/usermanual-cce/cce 01_0094.html

Kubernetes官方文檔:

Service: https://kubernetes.io/docs/concepts/services-networking/service/

Ingress: https://kubernetes.io/docs/concepts/services-networking/ingress/

Kubernetes 云原生 網絡

版權聲明：本文內容由網絡用戶投稿，版權歸原作者所有，本站不擁有其著作權，亦不承擔相應法律責任。如果您發現本站中有涉嫌抄襲或描述失實的內容，請聯系我們jiasou666@gmail.com 處理，核實后本網站將在24小時內刪除侵權內容。

版權聲明：本文內容由網絡用戶投稿，版權歸原作者所有，本站不擁有其著作權，亦不承擔相應法律責任。如果您發現本站中有涉嫌抄襲或描述失實的內容，請聯系我們jiasou666@gmail.com 處理，核實后本網站將在24小時內刪除侵權內容。