通過我們對各種容器網絡模型的實現原理已經有了基本的認識，然而真正將容器技術發揚光大的是Kubernetes容器編排平臺。Kubernetes通過整合規模龐大的容器實例形成集群，這些容器實例可能運行在異構的底層網絡環境中，如何保證這些容器間的互通是實際生產環境中首要考慮的問題之一。

Kubernetes網絡基本要求

Kubernetes對容器技術做了更多的抽象，其中最重要的一點是提出pod的概念，pod是Kubernetes資源調度的基本單元，我們可以簡單地認為pod是容器的一種延伸擴展，從網絡的角度來看，pod必須滿足以下條件：

每一個Pod都有一個獨特的IP地址，所有pod都在一個可以直接連通的、扁平的網絡空間中
同一個pod內的所有容器共享同一個netns網絡命名空間

基于這樣的基本要求，我們可以知道：

同一個pod內的所有容器之間共享端口，可直接通過localhost+端口來訪問
由于每個pod有單獨的IP，所以不需要考慮容器端口與主機端口映射以及端口沖突問題

事實上，Kubernetes進一步確定了對一個合格集群網絡的基本要求：

任意兩個pod之間其實是可以直接通信的，無需顯式地使用NAT進行地址的轉換；
任意集群節點node與任意pod之間是可以直接通信的，無需使用明顯的地址轉換，反之亦然；
任意pod看到自己的IP跟別人看見它所用的IP是一樣的，中間不能經過地址轉換；

也就是說，必須同時滿足以上三點的網絡模型才能適用于kubernetes，事實上，在早期的Kubernetes中，并沒有什么網絡標準，只是提出了以上基本要求，只有滿足這些要求的網絡才可以部署Kubernetes，基于這樣的底層網絡假設，Kubernetes設計了pod-deployment-service的經典三層服務訪問機制。直到1.1發布，Kubernetes才開始采用全新的CNI(Container Network Interface)網絡標準。

CNI

其實，我們在前面介紹容器網絡的時候，就提到了CNI網絡規范，CNI相對于CNM(Container Network Model)對開發者的約束更少，更開放，不依賴于Docker。事實上，CNI規范確實非常簡單，詳見：https://github.com/containernetworking/cni/blob/master/SPEC.md

實現一個CNI網絡插件只需要一個配置文件和一個可執行的文件：

配置文件描述插件的版本、名稱、描述等基本信息
可執行文件會被上層的容器管理平臺調用，一個CNI可執行文件自需要實現將容器加入到網絡的ADD操作以及將容器從網絡中刪除的DEL操作（以及一個可選的VERSION查看版本操作）

Kubernetes使用CNI網絡插件的基本工作流程：

kubelet先創建pause容器生成對應的netns網絡命名空間
根據配置調用具體的CNI插件，可以配置成CNI插件鏈來進行鏈式調用
當CNI插件被調用時，它根據環境變量以及命令行參數來獲得網絡命名空間netns、容器的網絡設備等必要信息，然后執行ADD操作
CNI插件給pause容器配置正確的網絡，pod中其他的容器都是用pause容器的網絡

如果不清楚什么是pause容器，它在pod中處于什么樣的位置，請查看之前的筆記：https://morven.life/notes/from-container-to-pod/

pod網絡模型

要了解kubernetes網絡模型的實現原理，我們就要從單個pod入手，事實上，一旦熟悉了單個pod的網絡模型，就會發現kubernetes網絡模型基本遵循和容器網絡模型一樣的原理。

通過前面的筆記從docker容器到pod，我們知道pod啟動的時候先創建pause容器生成對應的netns網絡命名空間，然后其他容器共享pause容器創建的網絡命名空間。而對于單個容器的網絡模型我們之前也介紹過，主要就是通過docker0網橋設備與veth設備對連接不同的容器網絡命名空間，由此，我們可以得到如下圖所示的單個pod網絡模型的創建過程：

可以看到，同一個pod里面的其他容器共享pause容器創建的網絡命名空間，也就是說，所有的容器共享相同的網絡設備，路由表設置，服務端口等信息，仿佛是在同一臺機器上運行的不同進程，所以這些容器之間可以直接通過localhost與對應的端口通信；對于集群外部的請求，則通過docker0網橋設備充當的網關，同時通過iptables做地址轉換。我們會發現，這其實就是對當個容器的bridge網絡模型的擴展。

主流kubernetes網絡方案

上一小節我們知道單個pod的網絡模型是容器網絡模型的擴展，但是pod與pod之間的是怎么相互通信的呢？這其實與容器之間相互通信非常類似，也分為同一個主機上的pod之間與跨主機的pod之間兩種。

如容器網絡模型一樣，對于統一主機上的pod之間，通過docker0網橋設備直接二層（數據鏈路層）網絡上通過mac地址直接通信：

而跨主機的pod之間的相互通信也主要有以下兩個思路：

修改底層網絡設備配置，加入容器網絡IP地址的管理，修改路由器網關等，該方式主要和SDN(Software define networking)結合。
完全不修改底層網絡設備配置，復用原有的underlay平面網絡，解決容器跨主機通信，主要有如下兩種方式:隧道傳輸(Overlay)：將容器的數據包封裝到原主機網絡的三層或者四層數據包中，然后使用主機網絡的IP或者TCP/UDP傳輸到目標主機，目標主機拆包后再轉發給目標容器。Overlay隧道傳輸常見方案包括Vxlan、ipip等，目前使用Overlay隧道傳輸技術的主流容器網絡有Flannel等；

修改主機路由：把容器網絡加到主機路由表中，把主機網絡設備當作容器網關，通過路由規則轉發到指定的主機，實現容器的三層互通。目前通過路由技術實現容器跨主機通信的網絡如Flannel host-gw、Calico等；

下面簡單介紹幾種主流的方案：

Flannel是目前使用最為普遍的方案，提供了多種網絡backend，它支持多種數據路徑，也適合于overlay/underlay等多種場景。對于overlay的數據包封裝，可以使用用戶態的UDP，內核態的Vxlan(性能相對較好)，甚至在集群規模不大，且處于同一個二層域時可以采用host-gw的方式修改主機路由表；
Weave工作模式與Flannel很相似的，它最早只提供了UDP（稱為sleeve模式）的網絡方式，后來又加上了fastpass方式（基于VxLAN），不過Weave消除了Flannel中用來存儲網絡地址的額外組件，自己集成了高可用的數據存儲功能；
Calico主要是采用了修改主機路由，節點之間采用BGP的協議去進行路由的同步。但是現實中的網絡并不總是支持BGP路由的，因此Calico也支持內核中的IPIP模式，使用overlay的方式來傳輸數據；

下表是幾種主流Kubernetes網絡方案的對比：

| A | Overlay-Network | Host-RouteTable | NetworkPolicy Support | Decentralized IP Allocation | | – | — | — | — | — | | Flannel | UDP/VXLAN | Host-GW | N | N | | Weave | UDP/VXLAN | N/A | Y | Y | | Calico | IPIP | BGP | Y | N |

策略控制(Network Policy)

Network Policy)是Kubernetes提供的基于策略的網絡控制，用于隔離應用并提高安全性。它使用Kubernetes中常用的標簽選擇器模擬傳統的分段網絡，并通過策略控制它們之間的東西流量以及與外部交流的南北流量。

Note: 確保使用的網絡插件支持策略控制(Network Policy)，比如Flannel就沒有實現Network Policy；

下面的例子是配置一個典型的Network Policy的實例：

apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: test-network-policy
  namespace: default
spec:
  podSelector:
    matchLabels:
      role: db
  policyTypes:
  - Ingress
  - Egress
  ingress:
  - from:
    - ipBlock:
        cidr: 172.17.0.0/16
        except:
        - 172.17.1.0/24
    - namespaceSelector:
        matchLabels:
          project: myproject
    - podSelector:
        matchLabels:
          role: frontend
    ports:
    - protocol: TCP
      port: 6379
  egress:
  - to:
    - ipBlock:
        cidr: 10.0.0.0/24
    ports:
    - protocol: TCP
      port: 5978

它使用標簽選擇器namespaceSelector與posSelector控制pod之間的流量，流量的行為模式主要由以下三個對象決定：