内容简介:快,关注这个公众号,一起涨知识
快,关注这个公众号,一起涨知识
本文 介绍了一个数据中心网络方案Calico,包括其优势、架构、性能分析、工作原理,以及分析了生态云Kubernetes版应用引擎在Calico中的policy设置策略。
背景
小米生态云旨在为小米生态链企业及合作伙伴提供云计算、大数据、人工智能、安全及合规等一站式云服务和整体解决方案。生态云上有一款基于Kubernetes研发的新版应用引擎已经为几十家企业提供服务,每家企业的数据保护最为重要,为此我们探讨了诸多方案的可行性,最终使用Calico网络方案。
Calico简介
Calico是纯3层的数据中心网络方案,它是目前Kubernetes networkpolicy概念的最佳实现方案之一,利用虚拟路由代理虚拟交换,每一台虚拟路由通过BGP协议传播可达信息(路由)到剩余数据中心。
Calico优势
1. 支持Kubernetes networkpolicy概念
2. 容器间网络三层隔离,无需要担心arp风暴
3. 自由控制的policy规则
4. 网络拓扑直观易懂,扩展性强
5. 通过iptables和kernel包转发,效率高,损耗低
Calico架构图
Calico包括如下重要组件:Felix,Etcd,BGP Client,BGP Route Reflector。Felix 、BGPClient 部署在node节点,BGPRouteReflector部署在Master,下面分别说明一下这些组件。
Felix: 主要负责路由配置以及ACLS规则的配置以及下发,它存在在每个node节点上。
Etcd: 分布式键值存储,主要负责网络元数据一致性,确保Calico网络状态的准确性,一般与Kubernetes共用。
BGP Client(BIRD): 负责把Felix在各node上设置的路由信息广播到Calico网络( 通过BGP协议)。
BGP Route Reflector: 集中式的路由分发。
Calico原理
如下图所示:原网络通过路由表和iptables,再经过数据中心路由,最终到达目地网络路由,最后分配到目地容器。
Kubernetes版应用引擎的设置策略
因为企业用户会在Kubernetes版应用引擎中建立多个namespace,故不能使用基于namespace的policy策略,我们使用label的方式进行policy的自定义。
以A公司为例子:
实验环境所用的3个namespace是:ami-a、ami-b、bmi三个
1. 新建namespace并打标签org=ami、org=bmi
kubectl create -f - <<EOF apiVersion: v1 kind: Namespace metadata: name: ami-a labels: org: org-ami #为namespace ami-a打org=ami EOF kubectl create -f - <<EOF apiVersion: v1 kind: Namespace metadata: name: ami-b labels: org: org-ami #为namespace ami-b 打org=ami EOF kubectl create -f - <<EOF apiVersion: v1 kind: Namespace metadata: name: bmi labels: org: org-bmi #为namespace bmi 打org=bmi EOF
2.Calico默认策略是相同子网的pod互相访问是通的,不管namespace是否相同。
为此我们需要先建一个全局策略来禁业pod IP访问。然后再单独为ami和bmi建立policy。
(1)全局禁业策略如下:
kubectl create -f - <<EOF - apiVersion: v1 kind: policy metadata: name: cluster-policy.deny-private-egress spec: egress: - action: deny destination: nets: - 192.168.0.0/16 #禁止192.168.0.0/16 段访问source: {} - action: deny destination: nets: - 172.16.0.0/12 #禁止172.16.0.0/12 段访问source: {} order: 900selector: has(calico/k8s_ns) && calico/k8s_ns != 'kube-system' && calico/k8s_ns != 'app-engine' && calico/k8s_ns != 'healthspace' EOF
(2)单独为ami和bmi创建策略如下:
calicoctl create -f - <<EOF - apiVersion: v1 kind: policy metadata: name: ami.allow-access-from-same-rog spec: egress: - action: allow destination: selector: k8s_ns/label/org == 'org-ami' #允许label org=ami的出口互相访问source: selector: k8s_ns/label/org == 'org-ami'ingress: - action: allow destination: {} source: selector: k8s_ns/label/org == 'org-ami' #允许label org=ami的入口互相访问order: 800selector: k8s_ns/label/org == 'org-ami' EOF calicoctl create -f - <<EOF - apiVersion: v1 kind: policy metadata: name: bmi.allow-access-from-same-rog spec: egress: - action: allow destination: selector: k8s_ns/label/org == 'org-bmi' #允许label org=bmi的出口互相访问source: selector: k8s_ns/label/org == 'org-bmi'ingress: - action: allow destination: {} source: selector: k8s_ns/label/org == 'org-bmi' #允许label org=bmi的入口互相访问order: 800selector: k8s_ns/label/org == 'org-bmi' EOF
order越小代表执行策略越靠前,Calico执行的是聚合策略。
通过这样的配置 即使namespace不同,但只要label相同,网络就会互通,我们为每家企业提供不同的label,这样就达到我们目地。
3.让我们来验证一下
(1)我们新建了三个namespace别分是:
ami-a label org-ami
ami-b label org-ami
bmi label org-bmi
两个ami label相同,bmi单独一个label。
建立完成后,使用命令kubectl get namespace ns -o yaml 分别看下建立后的namespace label。
(2)分别在每个namespace中建一个container ,使用kubectl create -f .建立三个container。
创建完成的pod IP如下:
(3)PING测试
登陆ami-a的nginx pod 去PING ami-b的pod IP看是否通:
结果是通的。
登陆ami-b的nginx pod 去PING ami-a的pod IP看是否通:
结果也是通的。
登陆 ami-a中nginx pod 去PING bmi的pod IP是否相通:
结果显示不通。
以上结果验证了我们使用Calico做的policy策略得以生效,并满足我们的需求。
Calico性能
Calico是基于Golang开发,CNI网络模型,并发性能好,且policy也是基于iptables,建立各种ACLS,iptables又是基于内核转发,再加上不像flannel有对包进行加解密的操作,节省了CPU的资源。
经过网上测试和内部测试,结论:性能仅次于物理连接。
1. 网上各网络组件测试结果:
2. 内部Calico和flannel 对比测试:
总结
Calico之所以能大规模应用,主要是其良好的性能,并且policy的配置足够灵活,可以满足大部分公有云厂商的需求。Calico不光可以应用于Kubernetes,还可以应用于像openstack、VM等其他云管理平台。
唯一的不足就是当node过多(几万台级),维护的路由表就会过大,全表扫描会有性能问题(目前生态云还未有),如果出现性能问题可以改成IPVS的方式。
更多policy配置文件可以点击左下方 “ 阅读原文 ” ,查看官方文档。
以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持 码农网
猜你喜欢:- OrangeAdmin 橙单中台化低代码生成器发布 v1.4 版本,支持多租户及租户运营管理功能
- Cloudant 多租户服务最佳实践
- Cloudant 多租户服务最佳实践
- 多租户已死!云架构上位
- 一文读懂HBase多租户
- [译] Kubernetes 多租户集群的实践
本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们。