K8S 部署管理容器，POD 和 Service CDIR如何规划？

在 Kubernetes (K8S) 中，IP 和网络地址的规划是一个非常关键的部分，因为它直接影响到集群内的通信和可扩展性。下面是一些关于如何规划 Pod 和 Service 的 CIDR 的建议：

1. Pod CIDR 和 Service CIDR 的规划

Pod CIDR

Pod CIDR 是为集群中的 Pod 分配的 IP 地址范围。每个节点会从这个范围中分配一部分给其上的 Pod。

• 规划大小：根据你集群的规模和预期的扩展性来决定 Pod CIDR 的大小。常见的做法是为每个节点分配一个较大的 CIDR 块（例如 /24），这样每个节点可以容纳 256 个 Pod。
• 避免冲突：确保 Pod CIDR 不与集群所在的物理网络或其他网络重叠。
• 统一管理：使用工具（如 Kubernetes 的网络插件）来自动管理和分配 Pod CIDR。

Service CIDR

Service CIDR 是为 Kubernetes 服务分配的虚拟 IP 地址范围。这些 IP 地址用于内部服务发现和负载均衡。

• 规划大小：Service CIDR 的大小取决于你预期的服务数量。通常，/16 的 CIDR 块（65,536 个 IP 地址）足够大，可以满足大多数集群的需求。
• 避免冲突：同样，确保 Service CIDR 不与 Pod CIDR 或物理网络重叠。

2. 实际规划示例

假设你有一个中等规模的集群，计划部署 100 个节点，每个节点可能运行最多 200 个 Pod。

Pod CIDR 规划

• 总的 Pod CIDR：10.244.0.0/16
• 每个节点的 Pod CIDR：/24（256 个 IP 地址）

这样，你可以有 256 个节点，每个节点可以有 256 个 Pod 地址。

Service CIDR 规划

• Service CIDR：10.96.0.0/12

这个范围提供了 1,048,576 个 IP 地址，足以容纳大量服务。

3. 配置示例

在 Kubernetes 的集群配置中，你可以通过以下方式设置这些 CIDR：

kube-controller-manager

在 kube-controller-manager 的启动参数中设置 Pod CIDR 和 Service CIDR：

--cluster-cidr=10.244.0.0/16
--service-cluster-ip-range=10.96.0.0/12

kubelet

确保 kubelet 的启动参数中配置了正确的 Pod CIDR：

--pod-cidr=10.244.0.0/16

4. 使用网络插件

选择一个合适的网络插件（如 Calico、Flannel、Weave 等），这些插件通常会自动管理 Pod 的 IP 地址分配，并确保网络的连通性。

5. 总结

• Pod CIDR：为每个节点分配一个较大的 CIDR 块，确保有足够的 IP 地址。
• Service CIDR：选择一个足够大的范围来容纳所有服务的 IP 地址。
• 避免冲突：确保 Pod CIDR 和 Service CIDR 不与物理网络或其他网络重叠。
• 使用工具：利用 Kubernetes 的网络插件来简化 IP 地址的管理和分配。

通过合理的规划和配置，可以确保 Kubernetes 集群内的网络通信顺畅，并为未来的扩展做好准备。

Calico - Kubernetes 的网络插件

网络策略介绍

Calico 是一个流行的网络和网络安全解决方案，广泛用于 Kubernetes 集群中。它支持多种网络模式，包括纯三层路由、IPIP、VXLAN 和 WireGuard。每种模式都有其独特的特点和应用场景。以下是对这些模式的详细介绍：

1. 纯三层路由模式 (BGP)

在纯三层路由模式下，Calico 使用 BGP（边界网关协议）在节点之间传播路由信息。这种模式不封装任何数据包，直接在底层网络上路由。

特点：

• 高性能，因为没有封装开销。
• 需要底层网络支持三层路由。
• 适用于数据中心或云环境中已经支持 BGP 的场景。

配置：
默认情况下，Calico 使用 BGP 进行节点间的路由传播。如果你的环境已经支持 BGP，可以直接使用默认配置。

2. IPIP 模式

IPIP（IP-in-IP）模式通过在节点间封装数据包来实现网络隔离和路由。这种模式在底层网络不支持三层路由或 BGP 时非常有用。

特点：

• 通过封装实现跨节点的 Pod 网络通信。
• 适用于底层网络不支持 BGP 或三层路由的情况。
• 封装增加了一些开销。

配置：
在 Calico 的 IP 池配置中启用 IPIP 模式：

apiVersion: crd.projectcalico.org/v1
kind: IPPool
metadata:
  name: default-ipv4-ippool
spec:
  cidr: 192.168.0.0/16
  ipipMode: Always
  natOutgoing: true

3. VXLAN 模式

VXLAN（Virtual Extensible LAN）模式通过在节点间封装数据包来实现网络隔离和路由，类似于 IPIP，但使用了 VXLAN 协议。

特点：

• 通过封装实现跨节点的 Pod 网络通信。
• 支持更大的网络规模（多达 16M 个网络）。
• 封装增加了一些开销。
• 适用于底层网络不支持 BGP 或三层路由的情况。

配置：
在 Calico 的 IP 池配置中启用 VXLAN 模式：

apiVersion: crd.projectcalico.org/v1
kind: IPPool
metadata:
  name: default-ipv4-ippool
spec:
  cidr: 192.168.0.0/16
  vxlanMode: Always
  natOutgoing: true

4. WireGuard 模式

WireGuard 是一种现代的、简单的、安全的 VPN 技术。Calico 支持使用 WireGuard 来加密节点间的流量。

特点：

• 提供数据包级别的加密。
• 高性能，低开销。
• 适用于需要高安全性的网络环境。

配置：
在 Calico 的配置中启用 WireGuard：

apiVersion: v1
kind: ConfigMap
metadata:
  name: calico-config
  namespace: kube-system
data:
  # Enable WireGuard
  wireguardEnabled: "true"

选择合适的网络模式

选择合适的网络模式取决于你的具体需求和底层网络环境：

• 纯三层路由模式：如果你的底层网络支持 BGP，并且你希望获得最佳性能，这是最好的选择。
• IPIP 模式：适用于底层网络不支持 BGP 或三层路由的情况。
• VXLAN 模式：适用于需要更大网络规模的情况，或者底层网络不支持 BGP 或三层路由的情况。
• WireGuard 模式：适用于需要高安全性的网络环境。

通过理解和配置这些网络模式，你可以根据具体需求优化 Calico 的网络性能和安全性。

Calico 用法介绍

1. Calico 管理 Pod CIDR

Calico 使用其自己的 IPAM（IP Address Management）来管理 Pod 的 IP 地址分配。以下是如何配置和管理 Pod CIDR：

配置 Calico 的 IPAM

Calico 的 IPAM 可以通过 calico-config ConfigMap 来配置。假设你使用的是 Calico 的 YAML 清单文件进行安装，你可以在 calico-config ConfigMap 中指定 Pod CIDR。

apiVersion: v1
kind: ConfigMap
metadata:
  name: calico-config
  namespace: kube-system
data:
  # The CNI network configuration to install on each node.
  cni_network_config: |-
    {
      "name": "k8s-pod-network",
      "cniVersion": "0.3.1",
      "plugins": [
        {
          "type": "calico",
          "log_level": "info",
          "datastore_type": "kubernetes",
          "nodename": "__KUBERNETES_NODE_NAME__",
          "ipam": {
              "type": "calico-ipam"
          },
          "policy": {
              "type": "k8s"
          },
          "kubernetes": {
              "kubeconfig": "__KUBECONFIG_FILEPATH__"
          }
        },
        {
          "type": "portmap",
          "snat": true,
          "capabilities": {"portMappings": true}
        }
      ]
    }
  # The IP pool to use for pod IPs.
  calico_ipv4pool_cidr: "10.244.0.0/16"

在上述配置中，calico_ipv4pool_cidr 指定了 Pod 使用的 IP 范围。

使用calicoctl管理 IP 池

你还可以使用 calicoctl 命令行工具来管理和配置 IP 池。以下是一些常用的命令：

# 创建一个新的 IP 池
calicoctl create -f - <<EOF
apiVersion: projectcalico.org/v3
kind: IPPool
metadata:
  name: default-ipv4-ippool
spec:
  cidr: 10.244.0.0/16
  ipipMode: Always
  natOutgoing: true
EOF

# 查看现有的 IP 池
calicoctl get ippools

2. Calico 管理 Service CIDR

Service CIDR 通常由 Kubernetes 控制平面管理，而不是由 Calico 直接管理。然而，Calico 需要知道 Service CIDR 以便正确处理跨节点的服务流量。你可以在 Calico 的配置中指定 Service CIDR：

配置 kube-controller-manager

在 kube-controller-manager 的启动参数中设置 Service CIDR：

--service-cluster-ip-range=10.96.0.0/12

配置 kube-proxy

确保 kube-proxy 知道 Service CIDR：

--cluster-cidr=10.96.0.0/12

配置 Calico 的 Felix

Calico 的 Felix 组件需要知道 Service CIDR 以便正确处理服务 IP。你可以在 Calico 的 Felix 配置中指定 Service CIDR：

apiVersion: projectcalico.org/v3
kind: FelixConfiguration
metadata:
  name: default
spec:
  ipv4serviceCIDR: "10.96.0.0/12"

3. 总结

• Pod CIDR：通过 Calico 的 IPAM 和 IP 池配置来管理。可以在 calico-config ConfigMap 中指定 calico_ipv4pool_cidr，或使用 calicoctl 工具管理 IP 池。
• Service CIDR：通常由 Kubernetes 控制平面管理，但需要在 Calico 的 Felix 配置中指定 ipv4serviceCIDR 以确保正确处理服务流量。

通过这些配置，你可以确保 Calico 正确管理和使用 Pod CIDR 和 Service CIDR，从而实现高效的网络管理和流量控制。

主机和POD联通性表格

说明

• 主机到 Pod 和 Pod 到主机：在同一节点上，主机可以直接与其所在节点上的 Pod 通信。跨节点通信通过 BGP 路由进行。
• Pod 到 Pod（同一节点）：同一节点上的 Pod 可以直接通过本地网络接口通信。
• Pod 到 Pod（跨节点）：不同节点上的 Pod 通过 BGP 路由进行通信。
• 主机到主机：主机之间的通信取决于底层网络配置，与 Calico 无关。
• 同一 Pod 内的容器：同一 Pod 内的容器共享同一个网络命名空间，可以通过 localhost 或 Pod IP 地址直接通信。
• 不同 Pod 内的容器：不同 Pod 内的容器之间的通信遵循 Pod 到 Pod 的通信规则。

默认网络策略

Calico 默认允许所有 Pod 和主机之间的通信，除非明确配置了网络策略来限制通信。这意味着：

• Pod 和 Pod 之间的通信：默认允许。
• Pod 和主机之间的通信：默认允许。
• 主机和主机之间的通信：默认取决于底层网络配置。
• 主机和 Pod 之间的通信：默认允许。
• 同一 Pod 内的容器通信：默认允许。

配置网络策略

如果需要限制或控制这些默认通信规则，可以使用 Calico 网络策略来定义具体的访问控制规则。通过配置 Calico 网络策略，可以精细控制 Kubernetes 集群内的网络流量和访问权限。