k8s-cni网络 10

Flannel vxlan模式跨主机通信原理

在同一个节点上的pod 流量通过cni网桥可以直接进行转发；

在需要跨主机访问时，数据包通过flannel(隧道) 知道另一边的mac地址，就可以拿到另一边的ip地址，然后构建常规的以太网数据包，承载着内部数据帧出去，另一边在封装常规的以太网头部的时候，需要对端的ip和mac；对端的IP和mac可以直接在arp表里面获取，数据包到达另一边开始解包，发现有flannel.1会交给这边的lflannel.1这个设备来进行解包，最后通过网桥直接进行转发。

flannel网络

falnnel支持多种后端：

flannel网络插件（host-gw模式）

重启pod以生效

此时每个网段都是静态路由

删除flannel插件，包括所有节点上的flannel配置文件，避免冲突

---

calico网络插件

下载部署文件

修改镜像路径

拉取镜像

上传镜像到harbor

部署calico

每个节点都创建了配置文件

集群重启后测试网络

---

添加网络策略

控制对象是具有app=myapp-v1标签的pod

此时访问svc是不通的

在给测试pod添加上指定标签后就可以进行访问

如果只能访问到一个节点，就需要重启一下

限制namespace流量

给namespace添加指定标签后访问

同时限制namespace和pod

限制集群外部流量