Kubernetes的Pod網絡設置

原創 ptmozhu 2018-08-22 07:19

Kubernetes的Pod網絡設置

網絡插件加載前

k8s.io/kubernetes/cmd/kubelet/kubelet.go:

if err := app.Run(s, nil); err != nil {

k8s.io/kubernetes/cmd/kubelet/app/server.go:

if err := run(s, kubeDeps); err != nil {

k8s.io/kubernetes/cmd/kubelet/app/server.go, run():

kubeDeps, err = UnsecuredKubeletDeps(s)

k8s.io/kubernetes/cmd/kubelet/app/server.go, UnsecuredKubeletDeps():

NetworkPlugins:     ProbeNetworkPlugins(s.NetworkPluginDir, s.CNIConfDir, s.CNIBinDir),

k8s.io/kubernetes/cmd/kubelet/app/plugins.go:

// ProbeNetworkPlugins collects all compiled-in plugins
func ProbeNetworkPlugins(pluginDir, cniConfDir, cniBinDir string) []network.NetworkPlugin {
    allPlugins := []network.NetworkPlugin{}

    // for backwards-compat, allow pluginDir as a source of CNI config files
    if cniConfDir == "" {
        cniConfDir = pluginDir
    }
    // for each existing plugin, add to the list
    allPlugins = append(allPlugins, cni.ProbeNetworkPlugins(cniConfDir, cniBinDir)...)
    allPlugins = append(allPlugins, kubenet.NewPlugin(pluginDir))

    return allPlugins
}

網絡插件加載

k8s.io/kubernetes/pkg/kubelet/network/cni/cni.go:

func ProbeNetworkPlugins(pluginDir, binDir string) []network.NetworkPlugin {
	return probeNetworkPluginsWithVendorCNIDirPrefix(pluginDir, binDir, "")
}

k8s.io/kubernetes/pkg/kubelet/network/cni/cni.go,probeNetworkPluginsWithVendorCNIDirPrefix():

func probeNetworkPluginsWithVendorCNIDirPrefix(pluginDir, binDir, vendorCNIDirPrefix string) []network.NetworkPlugin {
	if binDir == "" {
		binDir = DefaultCNIDir
	}
	plugin := &cniNetworkPlugin{
		defaultNetwork:     nil,
		loNetwork:          getLoNetwork(binDir, vendorCNIDirPrefix),
		execer:             utilexec.New(),
		pluginDir:          pluginDir,
		binDir:             binDir,
		vendorCNIDirPrefix: vendorCNIDirPrefix,
	}
	// sync NetworkConfig in best effort during probing.
	plugin.syncNetworkConfig()
	return []network.NetworkPlugin{plugin}
}

讀取cni配置文件,設置默認網絡

k8s.io/kubernetes/pkg/kubelet/network/cni/cni.go:

func (plugin *cniNetworkPlugin) syncNetworkConfig() {
	network, err := getDefaultCNINetwork(plugin.pluginDir, plugin.binDir, plugin.vendorCNIDirPrefix)
	if err != nil {
		glog.Warningf("Unable to update cni config: %s", err)
		return
	}
	plugin.setDefaultNetwork(network)
}

k8s.io/kubernetes/pkg/kubelet/network/cni/cni.go, getDefaultCNINetwork():

//從pluginDir目錄中讀取所有.conf文件
files, err := libcni.ConfFiles(pluginDir)
...
for _, confFile := range files {
	conf, err := libcni.ConfFromFile(confFile)
	if err != nil {
		glog.Warningf("Error loading CNI config file %s: %v", confFile, err)
		continue
	}
	// Search for vendor-specific plugins as well as default plugins in the CNI codebase.
	vendorDir := vendorCNIDir(vendorCNIDirPrefix, conf.Network.Type)
	cninet := &libcni.CNIConfig{
		Path: []string{binDir, vendorDir},
	}
	network := &cniNetwork{name: conf.Network.Name, NetworkConfig: conf, CNIConfig: cninet}
	return network, nil
}
...

配置文件的格式爲:

type NetConf struct {
	Name string `json:"name,omitempty"`
	Type string `json:"type,omitempty"`
	IPAM struct {
		Type string `json:"type,omitempty"`
	} `json:"ipam,omitempty"`
	DNS DNS `json:"dns"`
}

type DNS struct {
	Nameservers []string `json:"nameservers,omitempty"`
	Domain      string   `json:"domain,omitempty"`
	Search      []string `json:"search,omitempty"`
	Options     []string `json:"options,omitempty"`
}

網絡插件初始化

前面的過程結束後,kubeDeps.NetworkPlugins中就設置好了指定的插件。

在k8s.io/kubernetes/pkg/kubelet/kubelet.go,NewMainKubelet()中:

if plug, err := network.InitNetworkPlugin(kubeDeps.NetworkPlugins, 
        kubeCfg.NetworkPluginName, 
        &criNetworkHost{&networkHost{klet}, &network.NoopPortMappingGetter{}}, 
        klet.hairpinMode, 
        klet.nonMasqueradeCIDR, 
        int(kubeCfg.NetworkPluginMTU)); err != nil {

k8s.io/kubernetes/pkg/kubelet/network/plugins.go, InitNetworkPlugin()

chosenPlugin := pluginMap[networkPluginName]
if chosenPlugin != nil {
	err := chosenPlugin.Init(host, hairpinMode, nonMasqueradeCIDR, mtu)

直接調用的cniNetworkPlugin的Init()函數:

func (plugin *cniNetworkPlugin) Init(host network.Host, hairpinMode componentconfig.HairpinMode, nonMasqueradeCIDR string, mtu int) error {
	var err error
	plugin.nsenterPath, err = plugin.execer.LookPath("nsenter")
	if err != nil {
		return err
	}
	plugin.host = host

	plugin.syncNetworkConfig()
	return nil
}

網絡插件的使用

cniNetworkPlugin的定義:

--cniNetworkPlugin : struct
    [fields]
   -binDir : string
   -defaultNetwork : *cniNetwork
   -execer : utilexec.Interface
   -host : network.Host
   -loNetwork : *cniNetwork
   -nsenterPath : string        //二進制文件nsenter的路徑
   -pluginDir : string
   -vendorCNIDirPrefix : string
    [embedded]
   +network.NoopNetworkPlugin : network.NoopNetworkPlugin
   +sync.RWMutex : sync.RWMutex
    [methods]
   +GetPodNetworkStatus(namespace string, name string, id kubecontainer.ContainerID) : *network.PodNetworkStatus, error
   +Init(host network.Host, hairpinMode componentconfig.HairpinMode, nonMasqueradeCIDR string, mtu int) : error
   +Name() : string
   +SetUpPod(namespace string, name string, id kubecontainer.ContainerID, annotations map[string]string) : error
   +Status() : error
   +TearDownPod(namespace string, name string, id kubecontainer.ContainerID) : error
   -checkInitialized() : error
   -getDefaultNetwork() : *cniNetwork
   -setDefaultNetwork(n *cniNetwork)
   -syncNetworkConfig()

Init()用於初始化,setUpPod用於設置容器的網絡,重點關注setUpPod。

SetUpPod()

SetUpPod()的參數分別是namespace,容器的name, pause容器的ID,註解。

這裏必須要說明一下,k8s中的pod至少是包含兩個容器的,其中一個容器作爲infra容器,同一個pod中的其它容器和infra容器共享一個網絡ns。

創建pod的時候,kubelet首先創建infra容器,得到infra容器的ID,然後創建其它容器。

k8s.io/kubernetes/pkg/kubelet/dockertools/docker_manager.go:

// If we should create infra container then we do it first.
podInfraContainerID := containerChanges.InfraContainerId
if containerChanges.StartInfraContainer && (len(containerChanges.ContainersToStart) > 0) {
	glog.V(4).Infof("Creating pod infra container for %q", format.Pod(pod))
	startContainerResult := kubecontainer.NewSyncResult(kubecontainer.StartContainer, PodInfraContainerName)
	result.AddSyncResult(startContainerResult)
	var msg string
	podInfraContainerID, err, msg = dm.createPodInfraContainer(pod)
	if err != nil {
		startContainerResult.Fail(err, msg)
		glog.Errorf("Failed to create pod infra container: %v; Skipping pod %q: %s", err, format.Pod(pod), msg)
		return
	}

	setupNetworkResult := kubecontainer.NewSyncResult(kubecontainer.SetupNetwork, kubecontainer.GetPodFullName(pod))
	result.AddSyncResult(setupNetworkResult)
	if !kubecontainer.IsHostNetworkPod(pod) {
		if err := dm.network.SetUpPod(pod.Namespace, pod.Name, podInfraContainerID.ContainerID(), pod.Annotations); err != nil {
			setupNetworkResult.Fail(kubecontainer.ErrSetupNetwork, err.Error())
			glog.Error(err)

			// Delete infra container
......

所以在SetUpPod中設置好podInfraContainerID的網絡即可。

將容器加入指定網絡的實現

每個plugin都有一個類型爲defaultNetwork的成員cniNetwork,k8s.io/kubernetes/pkg/kubelet/network/cni/cni.go:

defaultNetwork *cniNetwork

加入、推出網絡都是調用defaultNetwork的成員函數,k8s.io/kubernetes/pkg/kubelet/network/cni/cni.go

func (plugin *cniNetworkPlugin) SetUpPod(namespace string, name string, id kubecontainer.ContainerID, annotations map[string]string) error {
	if err := plugin.checkInitialized(); err != nil {
		return err
	}
	netnsPath, err := plugin.host.GetNetNS(id.ID)
	if err != nil {
		return fmt.Errorf("CNI failed to retrieve network namespace path: %v", err)
	}

	_, err = plugin.loNetwork.addToNetwork(name, namespace, id, netnsPath)
	if err != nil {
		glog.Errorf("Error while adding to cni lo network: %s", err)
		return err
	}

	_, err = plugin.getDefaultNetwork().addToNetwork(name, namespace, id, netnsPath)
	if err != nil {
		glog.Errorf("Error while adding to cni network: %s", err)
		return err
	}

	return err
}

k8s.io/kubernetes/pkg/kubelet/network/cni/cni.go,addToNetwork:

netconf, cninet := network.NetworkConfig, network.CNIConfig
glog.V(4).Infof("About to run with conf.Network.Type=%v", netconf.Network.Type)
res, err := cninet.AddNetwork(netconf, rt)

可以看到最終使用的是成員CNIConfig的AddNetwork()完成的。

defaultNetwork在k8s.io/kubernetes/pkg/kubelet/network/cni/cni.go,getDefaultCNINetwork()中創建:

	vendorDir := vendorCNIDir(vendorCNIDirPrefix, conf.Network.Type)
	cninet := &libcni.CNIConfig{
		Path: []string{binDir, vendorDir},
	}
	network := &cniNetwork{name: conf.Network.Name, NetworkConfig: conf, CNIConfig: cninet}
	return network, nil

cninet的類型是libcni.CNIConfig:

libcni.CNIConfig

k8s.io/kubernetes/vendor/github.com/containernetworking/cni/libcni/api.go:

func (c *CNIConfig) AddNetwork(net *NetworkConfig, rt *RuntimeConf) (*types.Result, error) {
	pluginPath, err := invoke.FindInPath(net.Network.Type, c.Path)
	if err != nil {
		return nil, err
	}
	
	return invoke.ExecPluginWithResult(pluginPath, net.Bytes, c.args("ADD", rt))
}

invoke.FindInPath在c.Path目錄下尋找名爲net.Network.Type的文件,返回文件的完整路徑pluginPath

最後,直接使用plugin的子命令ADD,將容器添加到指定網絡中。

發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章

網絡——網絡概述

鏈路層.note一、概述: 1.網絡層IP提供的是一種不可靠的服務;他只是儘可能快的把分組從源節點送到目的節點,但是並不提供任何可靠性的保證; 2.TCP在不可靠的IP層上提供了一個可靠的運輸層;採用了超時重傳,發送和接收端的確認分組等機

gam0n 2020-07-08 11:53:52

網絡——設備冗餘HSRP

網絡設備冗餘的兩種主要方法: 使用路由, 使用冗餘協議,如熱備份路由協議(Hot Standby Router Protocol,HSRP),虛擬路由器冗餘協議(Virtual Router Rebundancy Protocol VRR

gam0n 2020-07-08 11:53:52

網絡——OSPF

RIP、BGP和OSPF的區別: (應用場景,性質,路由選擇,收斂速度,穩定性) 協議類型:BGP外部網關協議,RIP、OSPF是內部網關協議; 選路原則:RIP基於距離矢量選擇路由;OSPF基於鏈路狀態選擇路由;BGP是高級距離矢量路由

gam0n 2020-07-08 11:53:41

網絡——TCP

 超時重傳: RTT(報文段往返時間) RTTs(加權平均往返時間) 第一次測量到RTT樣本時,RTTs就取所測量到的RTT樣本值 新的RTTs = (1 - a)*(舊的RTTs) + a*(新的RTT樣本) a 一般取0.125 RT

gam0n 2020-07-08 11:53:41

網絡——FTP

ftp客戶端服務端接兩種方式: 1.主動:客戶端先和服務器的21號端口建立連接,客戶端再發送port包給服務器。port包包含了客戶端用什麼接口接受數據,服務端通過自己的TCP20端口和客戶端指定端口建立連接,傳輸數據。ftp serve

gam0n 2020-07-08 11:53:40

基於Kubernetes和Springboot構建微服務

最近一直在研究基於Kubernetes和SpringBoot的微服務架構,在研究過程中,逐漸意識到,一個優秀的微服務架構在最大化地做到高內聚、松耦合的同時,也必須要求架構內的微服務基於一定的規範進行設計。符合這些規範的微服務,纔是是體系內

sinao139 2020-07-08 12:13:56

分佈式系統各個節點狀態如何同步?淺談一下

寫在前面:2020年面試必備的Java後端進階面試題總結了一份複習指南在Github上,內容詳細,圖文並茂,有需要學習的朋友可以Star一下! GitHub地址:https://github.com/abel-max/Java-S

毛发旺盛的程序员 2020-07-08 12:27:30

傳統施封與智能施封的區別

施封鎖是物流過程中的一種帶管理屬性的鎖具,它更多的是管理屬性而不是安防屬性。隨着信息化發展普及的今天,傳統施封鎖的管理流程繁瑣低效,因此越來越多企業在尋找效率更高、成本更低的智能施封鎖解決方案。 傳統的施封鎖大多采用物理鉛封、一次

LTjishu2046 2020-07-08 12:20:52

優化網站設計之使用CDN

前言 網站設計的優化是一個很大的話題,有一些通用的原則,也有針對不同開發平臺的一些建議。這方面的研究一直沒有停止過,我在不同的場合也分享過這樣的話題。 作爲通用的原則,雅虎的工程師團隊曾經給出過35個最佳實踐。這個列表請參考 Bes

二两天涯 2020-07-08 12:16:43

網絡——定義安全區DMZ

網絡攻擊最好的防禦方法之一是網絡的安全拓撲設計 現代安全網絡設計最關鍵的思想之一是用區去隔離開網絡上的不同區域 創建區域的基本策略: 1.具有最大安全需求(私有設備)的設備在網絡的最安全的區域;只允許很少或者不允許公共網絡和其他網絡訪問;

gam0n 2020-07-08 11:53:52

網絡——設備冗餘VRRP

VRRP相對HSRP主要優勢是允許參加VRRP組的設備間建立認證機制。而且不像HSRP要求虛擬路由器IP地址不能是其中一個路由器的IP地址;VRRP允許這種情況發生;若發生故障,不需要學習MAC地址,指定使用了MAC地址;不使用HSRP中

gam0n 2020-07-08 11:53:41

5G、主要協議、雲特點

作爲了解簡單的看一下5g的魅力 文章目錄作爲了解簡單的看一下5g的魅力一、5g移動通信1、網絡設備及組網2、發展歷程二、5G技術特點三、5G應用場景主要作用的三大領域1、增強的移動寬帶(eMBB)2、海量機器通信(mMTC)3、超

zhang_yazhou 2020-07-08 11:41:41

Linux網絡服務基礎必備(網卡、主機名、路由)

網絡基本服務 文章目錄網絡基本服務一、網卡信息1、配置文件2、查看網卡信息【1】主要命令【2】主要參數解釋【3】ethtool 可查看網卡數據傳輸速率,工作模式【4】netstat 查看網絡連接情況狀態,用於實驗【5】ss查看網絡

zhang_yazhou 2020-07-08 11:41:39

鏈路捆綁(鏈路聚合)相關的知識

對於什麼是鏈路捆綁我就不多說了,簡單而言就是幾條鏈路捆綁在一個邏輯接口上,它的作用是:增加帶寬,增強鏈路冗餘性。與這個知識相關的術語有:bpdu(網橋協議數據單元)。鏈路捆綁我們一般有這兩種模式:手工模式和LACP(鏈路匯聚控制協

zhang_yazhou 2020-07-08 11:41:39

IT公司彙總(網絡版)

鏈接 網傳各大公司的待遇如下,吐血奉獻,公司比較全。以下絕對是各大公司2013屆校招的數據,少數幾個是2011、2012的數據,都已經特別註明,數據真實重要性高於一切!選進來的都是已經確認的信息,放心參考。 這裏所說的待遇全部

yang-彧 2020-07-08 11:40:24