Kubernetes网络

在Kubernetes（k8s）中，网络主要由以下几部分组成：

1. Pod网络：Pod是k8s中的基本工作单元，可以容纳一个或多个应用程序容器。为了使Pod之间能够通信，k8s提供了一个名为CNI（Container Network Interface）的网络抽象层。CNI允许第三方网络插件与k8s集成，为Pod创建和管理网络。最常见的网络插件包括Flannel、Weave Net和Calico等。这些插件可以处理Pod之间的网络连接和流量转发。
2. Service网络：Service是k8s中的一种特殊类型的Pod，它可以为其他Pod提供负载均衡的访问。Service使用Kubernetes的内置负载均衡器来分配客户端请求到后端Pod。Service网络通过将Service IP地址映射到后端Pod的IP地址来实现负载均衡和流量转发。
3. 集群网络：k8s集群中的每个节点都有自己的IP地址，并且节点之间通过 overlay网络进行通信。Overlay网络是一种将不同节点上的容器连接到一起的技术，它通过封装和隧道化技术将容器流量从物理网络中分离出来，并将其传输到另一个网络。最常见的overlay网络技术包括VXLAN、Geneve和STT等。
4. DNS服务：Kubernetes集群还提供了一个内置的DNS服务器，可以用于解析Pod的DNS名称。通过使用DNS，Pod可以使用相对名称来查找其他Pod和服务，而无需了解它们的IP地址。这使得应用程序可以使用人类可读的名称来访问其他Pod和服务，而无需担心IP地址的变化。
5. Ingress和Egress网络：对于需要从集群外部访问集群内部服务的情况，Kubernetes提供了Ingress和Egress网络控制平面。Ingress控制平面可以处理进入集群的流量，并将其转发到后端服务。Egress控制平面可以处理从集群发出的流量，并将其发送到外部目标。这些控制平面可以通过配置来控制流量转发规则和安全策略。

总之，Kubernetes中的网络是一个复杂的系统，它由多个组件和插件组成，用于支持Pod之间、集群内部和外部之间的通信。通过使用CNI、Service、DNS、Ingress和Egress等功能，k8s可以提供高效、可靠和安全的网络解决方案，以满足不同应用程序的需求。

Flannel、Weave Net和Calico是Kubernetes中常见的网络插件，它们各自具有不同的原理和特点。

1. Flannel：
   Flannel是一个流行的CNI插件，它使用虚拟网络覆盖技术（overlay network）来连接不同节点上的容器。Flannel支持多种后端驱动，如VXLAN、UDP、Host-GW等。在Flannel中，每个节点运行着一个Flannel进程（也称为Flannel peer），该进程维护着一个TCP连接，并使用gossip协议交换信息。这些信息包括容器的IP/MAC地址信息以及该容器所对应的host IP。当一个容器需要与另一个容器通信时，它首先通过宿主机的网络栈将流量发送到对应的Flannel进程。然后，Flannel进程使用overlay网络技术将流量封装成一个新的数据包，并通过物理网络发送到目标节点。目标节点的Flannel进程收到数据包后，将其解封装并转发给目标容器。
2. Weave Net：
   Weave Net是一个轻量级的CNI插件，通过创建虚拟网络设备和网络代理来连接不同节点上的容器。Weave Net支持overlay模式和直连模式，具有灵活性。在Weave Net中，每对节点之间运行着一个Weave peer（也称为Weave router），并使用基于图的对等网络协议来交换信息。通过使用虚拟网络设备和代理，Weave Net可以在节点之间建立直接通信通道，而无需通过物理网络转发流量。当一个容器需要与另一个容器通信时，它通过宿主机的网络栈将流量发送到对应的Weave router。Weave router使用基于图的对等网络协议来查找目标容器的位置，并建立直接的通信通道。目标容器的Weave router将流量转发给目标容器。
3. Calico：
   Calico是一种网络和安全解决方案，使Kubernetes工作负载和非Kubernetes/遗留工作负载能够无缝、安全地通信。Calico使用了BGP协议来实现容器之间的路由。它把每个节点都当作虚拟路由器（vRouter），并把每个节点上的Pod都当作是“节点路由器”后的一个终端设备并为其分配一个IP地址。在Calico中，各节点路由器通过BGP协议学习生成路由规则，从而实现不同节点上Pod间的互联互通。Calico还支持数据平面选择，包括iptables、eBPF、Windows HNS或VPP等。Calico的网络策略套件是其CNI的接口，其中包含数据平面要执行的规则。这些规则可以用于命名空间和全局策略、IPAM管理以及L7层策略等。Calico还支持旧系统（裸机、非-集群主机）使用相同的网络策略模型。