使用k3s测试Cilium,安装步骤可以参见官方文档
Cilium安装使用
docker安装
使用如下命令安装最新版本的docker
yum install -y yum-utils \
device-mapper-persistent-data \
lvm2
yum-config-manager \
--add-repo \
https://download.docker.com/linux/centos/docker-ce.repo
yum install docker-ce docker-ce-cli containerd.io
启动docker
service docker start
内核更新
Cilium要求的内核版本比较高,需要对内核进行升级,否则会运行失败。错误日志如minimal supported kernel version is 4.8.0; kernel version that is running is: 3.10.0"
1、导入key
rpm --import https://www.elrepo.org/RPM-GPG-KEY-elrepo.org
2、安装elrepo的yum源
rpm -Uvh http://www.elrepo.org/elrepo-release-7.0-2.el7.elrepo.noarch.rpm
3、安装内核
在yum的ELRepo源中,有mainline颁布的,可以这样安装:
yum --enablerepo=elrepo-kernel install kernel-ml-devel kernel-ml -y
为了让新安装的内核成为默认启动选项,需要如下修改 GRUB 配置,打开并编辑 /etc/default/grub 并设置 GRUB_DEFAULT=0。意思是 GRUB 初始化页面的第一个内核将作为默认内核
# cat /etc/default/grub
GRUB_TIMEOUT=1
GRUB_DISTRIBUTOR="$(sed 's,release .*$,g' /etc/system-release)"
GRUB_DEFAULT=0
GRUB_DISABLE_SUBMENU=true
GRUB_TERMINAL_OUTPUT="console"
GRUB_CMDLINE_LINUX="crashkernel=auto spectre_v2=retpoline rhgb quiet net.ifnames=0 console=tty0 console=ttyS0,11520 0n8 noibrs"
GRUB_DISABLE_RECOVERY="true"
接下来运行下面的命令来重新创建内核配置.
# grub2-mkconfig -o /boot/grub2/grub.cfg
重启机器并查看内核版本
# uname -a
Linux iZt4n3pfp2quf7ld2pln01Z 5.6.5-1.el7.elrepo.x86_64 #1 SMP Thu Apr 16 14:02:22 EDT 2020 x86_64 x86_64 x86_64 GNU/Linux
安装k3s
安装master
curl -sfL https://get.k3s.io | INSTALL_K3S_EXEC='--flannel-backend=none --no-flannel' sh -
安装node(可选)
curl -sfL https://get.k3s.io | INSTALL_K3S_EXEC='--no-flannel' K3S_URL='https://${MASTER_IP}:6443' K3S_TOKEN=${NODE_TOKEN}
挂载BPF文件系统
sudo mount bpffs -t bpf /sys/fs/bpf
安装Cilium
kubectl create -f https://raw.githubusercontent.com/cilium/cilium/1.7.2/install/kubernetes/quick-install.yaml
查看安装结果
# kubectl -n kube-system get pods --watch
NAME READY STATUS RESTARTS AGE
cilium-operator-774d8f6d67-8mht6 1/1 Running 0 2m24s
metrics-server-6d684c7b5-qjmd5 1/1 Running 0 2m55s
local-path-provisioner-58fb86bdfd-xmx2r 1/1 Running 0 2m55s
helm-install-traefik-wx88l 0/1 Completed 0 2m55s
cilium-md26c 1/1 Running 0 2m24s
svclb-traefik-g4mq5 2/2 Running 0 55s
coredns-6c6bb68b64-gtqm5 1/1 Running 0 2m55s
traefik-7b8b884c8-79v79 1/1 Running 0 55s
部署连接测试
该步骤部署一系列deployment,这些deployment将使用各种连接路径相互连接。连接路径包括有/无service负载平衡以及各种网络策略组合。pod名称表示连接变量,readiness和liveness gate表示测试的成功或失败:
kubectl apply -f https://raw.githubusercontent.com/cilium/cilium/1.7.2/examples/kubernetes/connectivity-check/connectivity-check.yaml
安装Hubble
Hubble是一个完全分布式的网络和安全的观测平台,用于云本地工作负载。它构建在Cilium和eBPF之上,可以通过完全透明的方式深入了解服务以及网络基础设施的通信和行为。Visit Hubble Github page。
安装helm
wget https://get.helm.sh/helm-v3.1.2-linux-amd64.tar.gz
tar -zxvf helm-v3.1.2-linux-amd64.tar.gz
mv linux-amd64/helm /usr/local/bin/helm
安装Hubble
git clone https://github.com/cilium/hubble.git
cd hubble/install/kubernetes
helm template hubble \
--namespace kube-system \
--set metrics.enabled="{dns,drop,tcp,flow,port-distribution,icmp,http}" \
--set ui.enabled=true \
> hubble.yaml
kubectl apply -f hubble.yaml
如果需要通过nodeport的方式访问,可以创建如下service,访问http://{$Externap_IP}:32000即可看到相关的策略
apiVersion: v1
kind: Service
metadata:
name: hubble-ui-node
namespace: kube-system
spec:
ports:
- name: http
port: 12000
protocol: TCP
targetPort: 12000
nodePort: 35000
selector:
k8s-app: hubble-ui
sessionAffinity: None
type: NodePort
Cilium的网络模型
同节点访问
同节点内部的容器之间的连通性依赖内核协议栈二层转发和BPF程序,不会经过像OVS或Linux bridge这样的二层设备。这部分功能由Cilium Agent负责,使用BPF规则进行流量的管控。简单示意图如下:
官方示意图如下:
可以看到,同节点的容器之间通信直接走BPF规则即可;不同节点的容器的通信需要通过各个节点上的cilium_host接口进行转发
容器和所在节点的通信走节点内部的三层路由和BPF转发,BPF程序连接容器的veth pair和它的网关设备。如下路由中,将cilium_host作为容器的默认网关。容器和容器所在的节点的通信需要经过cilium_host接口
容器:
# ip route
default via 10.42.0.79 dev eth0 mtu 1450
10.42.0.79 dev eth0 scope link
节点:
[root@iZt4n3pfp2quf7ld2pln01Z ~]# ip route
default via 172.21.239.253 dev eth0
10.42.0.0/24 via 10.42.0.79 dev cilium_host src 10.42.0.79 mtu 1450
10.42.0.79 dev cilium_host scope link
169.254.0.0/16 dev eth0 scope link metric 1002
172.21.224.0/20 dev eth0 proto kernel scope link src 172.21.239.198
cilium_host涉及的iptables表项如下,可以看到对源地址为127.0.0.1的报文进行了SNAT。
Chain CILIUM_POST_nat (1 references)
pkts bytes target prot opt in out source destination
1977 119K MASQUERADE all -- * !cilium_+ 10.42.0.0/24 !10.42.0.0/24 /* cilium masquerade non-cluster */
1521 95679 RETURN all -- * !cilium_host 0.0.0.0/0 0.0.0.0/0 /* exclude non-cilium_host traffic from masquerade */
0 0 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 mark match 0xa00/0xe00 /* exclude proxy return traffic from masquarade */
0 0 SNAT all -- * cilium_host !10.42.0.79 !10.42.0.0/24 /* cilium host->cluster masquerade */ to:10.42.0.79
0 0 SNAT all -- * cilium_host 127.0.0.1 0.0.0.0/0 /* cilium host->cluster from 127.0.0.1 masquerade */ to:10.42.0.79
跨节点网络
下面是使用Host L3进行跨节点通信的流程图
下面是使用vxlan进行跨节点通信的流程图
Cilium cli
使用Cilium后,不会再使用kube-proxy,它会从Kubernetes API服务器获得Service信息,并存入BPF。可以使用cilium命令行查看相关的信息。如使用# cilium node list查看当前的node节点信息,使用# cilium service list查看service信息等。对于策略的获取,可以通过命令行# cilium policy get,也可以通过Hubble UI查看,如下:
参考:
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。