CNI意为容器网络接口,它是一种标准的设计,为了让用户在容器创建或销毁时都能够更容易地配置容器网络。目前主要有几款流行的CNI插件:Flannel、Calico、Weave和Canal(技术上是多个插件的组合),这些插件既可以确保满足Kubernetes的网络要求,又能为Kubernetes集群管理员提供他们所需的某些特定的网络功能(我们会需要什么样的特定网络功能呢?)。
背景
容器网络是容器选择连接到其他容器、主机和外部网络(如Internet)的机制。容器的Runtime提供了各种网络模式,每种模式都会产生不同的体验。
例如,Docker默认情况下可以为容器配置以下网络:
- none:将容器添加到一个容器专门的网络堆栈中,没有对外连接。
- host:将容器添加到主机的网络堆栈中,没有隔离。
- default bridge:默认网络模式。每个容器可以通过IP地址相互连接。
- 自定义网桥:用户定义的网桥,具有更多的灵活性、隔离性和其他便利功能。
Docker还可以让用户通过其他驱动程序和插件,来配置更高级的网络(包括多主机覆盖网络)(不懂)
CNI的初衷是创建一个框架,用于在配置或销毁容器时动态配置适当的网络配置和资源。
插件负责为接口配置和管理IP地址,并且通常提供与IP管理、每个容器的IP分配、以及多主机连接相关的功能。容器运行时会调用网络插件,从而在容器启动时分配IP地址并配置网络,并在删除容器时再次调用它以清理这些资源。
运行时或协调器决定了容器应该加入哪个网络以及它需要调用哪个插件。然后,插件会将接口添加到容器网络命名空间中,作为一个veth对的一侧。接着,它会在主机上进行更改,包括将veth的其他部分连接到网桥。再之后,它会通过调用单独的IPAM(IP地址管理)插件来分配IP地址并设置路由。
在Kubernetes中,kubelet可以在适当的时间调用它找到的插件,来为通过kubelet启动的pod进行自动的网络配置。