Pod 网络与 CNI 的作用
在 Kubernetes 中,Pod 网络 是实现容器间通信的核心机制,每个 Pod 拥有独立的 IP 地址,可直接跨节点通信。CNI(Container Network Interface) 是 Kubernetes 的网络插件标准,负责为 Pod 分配 IP、配置网络规则,并确保 Pod 间的连通性。常见的 CNI 插件(如 Calico、Flannel)通过不同技术实现这一目标。
CNI 的核心作用
-
IP 地址管理(IPAM)
-
为每个 Pod 分配唯一的 IP 地址,确保集群内无冲突。
-
-
网络连通性
-
实现同一节点内的 Pod 通信(通过网桥或虚拟设备)。
-
实现跨节点 Pod 的通信(通过 Overlay 网络或路由规则)。
-
-
网络策略支持
-
部分插件(如 Calico)支持定义网络策略(NetworkPolicy),控制 Pod 间的流量。
-
常见 CNI 插件对比
| 插件 | 实现原理 | 特点 | 适用场景 |
|---|---|---|---|
| Flannel | Overlay 网络(如 VXLAN)或 Host-GW | - 简单易用 - 默认使用 VXLAN 封装跨节点流量 - 性能中等 | 中小规模集群、快速部署 |
| Calico | BGP 路由 + IPIP 封装 | - 高性能(直接路由,避免 Overlay 开销) - 支持网络策略 - 复杂度较高 | 大规模集群、需要安全策略的环境 |
| Cilium | eBPF 技术 | - 高性能和可观测性 - 支持 L7 网络策略 - 内核要求较高 | 云原生、安全敏感型应用 |
Pod 间通信原理
1. 同一节点内的 Pod 通信
-
通信流程:
-
Pod A 发送数据包到 Pod B 的 IP。
-
节点上的 CNI 网桥(如
cni0) 根据 ARP 表找到 Pod B 的 MAC 地址。 -
数据包直接通过网桥转发到 Pod B 的虚拟网卡(veth pair)。
-
-
示意图:
Pod A (eth0) <--> veth pair <--> cni0 <--> veth pair <--> Pod B (eth0)
2. 跨节点的 Pod 通信
不同 CNI 插件的实现方式:
Flannel(VXLAN 模式)
-
原理:
-
Pod A 发送数据包到目标 Pod C 的 IP。
-
源节点通过 Flannel 的 VXLAN 隧道 封装数据包,目标地址为 Pod C 所在节点的 IP。
-
目标节点解封装数据包,通过本地网桥转发到 Pod C。
-
-
特点:
-
依赖 Overlay 网络,适用于不支持 BGP 的网络环境。
-
因封装开销,性能略低于直接路由方案。
-
Calico(BGP 路由模式)
-
原理:
-
每个节点作为 BGP Speaker,通过 BGP 协议向其他节点宣告本机 Pod 的 IP 段。
-
Pod A 发送数据包到 Pod C 的 IP,节点根据路由表直接通过物理网络转发到目标节点。
-
目标节点通过本地网桥将数据包送达 Pod C。
-
-
特点:
-
无 Overlay 封装,性能接近物理网络。
-
需要网络设备支持 BGP 或配置 IPIP 隧道(兼容非 BGP 环境)。
-
示例:Calico 的跨节点通信(BGP 模式)
-
节点路由表(查看节点路由规则):
ip route show # 输出示例: # 10.244.1.0/24 via 192.168.1.102 dev eth0 # 目标节点 IP 为 192.168.1.102
-
数据包路径:
-
Pod A(IP
10.244.0.10)→ 节点 A 路由 → 节点 B(IP192.168.1.102)→ Pod C(IP10.244.1.10)。
-
CNI 插件选型建议
-
Flannel:
-
适合快速部署、无需复杂策略的小型集群。
-
缺点:缺乏网络策略支持(需结合其他工具如 Calico)。
-
-
Calico:
-
适合中大规模集群,尤其是需要高性能和网络策略的场景。
-
缺点:BGP 配置需网络设备支持,复杂度较高。
-
-
Cilium:
-
适合云原生环境,需要 L7 策略和深度可观测性的场景。
-
网络策略(NetworkPolicy)示例
Calico 支持通过 NetworkPolicy 限制 Pod 流量:
apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
name: allow-frontend
spec:
podSelector:
matchLabels:
role: frontend
ingress:
- from:
- podSelector:
matchLabels:
role: backend
ports:
- protocol: TCP
port: 80-
作用:仅允许带有
role: backend标签的 Pod 访问role: frontendPod 的 80 端口。
总结
-
CNI 插件是 Kubernetes 网络的核心,决定 Pod 通信的性能和功能特性。
-
Flannel 简化部署,适合基础场景;Calico 提供高性能和策略控制,适合生产环境。
-
Pod 间通信通过网桥(同节点)或 Overlay/路由(跨节点)实现,不同插件采用不同技术。