kubernetes-handbook/concepts/cni.md

131 lines
7.2 KiB
Markdown
Raw Blame History

This file contains ambiguous Unicode characters!

This file contains ambiguous Unicode characters that may be confused with others in your current locale. If your use case is intentional and legitimate, you can safely ignore this warning. Use the Escape button to highlight these characters.

# CNI - Container Network Interface容器网络接口
CNIContainer Network Interface是CNCF旗下的一个项目由一组用于配置Linux容器的网络接口的规范和库组成同时还包含了一些插件。CNI仅关心容器创建时的网络分配和当容器被删除时释放网络资源。通过此链接浏览该项目<https://github.com/containernetworking/cni>
Kubernetes源码的`vendor/github.com/containernetworking/cni/libcni`目录中已经包含了CNI的代码也就是说kubernetes中已经内置了CNI。
## 接口定义
CNI的接口中包括以下几个方法
```go
type CNI interface {
AddNetworkList(net *NetworkConfigList, rt *RuntimeConf) (types.Result, error)
DelNetworkList(net *NetworkConfigList, rt *RuntimeConf) error
AddNetwork(net *NetworkConfig, rt *RuntimeConf) (types.Result, error)
DelNetwork(net *NetworkConfig, rt *RuntimeConf) error
}
```
该接口只有四个方法,添加网络、删除网络、添加网络列表、删除网络列表。
## 设计考量
CNI设计的时候考虑了以下问题
- 容器运行时必须在调用任何插件之前为容器创建一个新的网络命名空间。
- 然后,运行时必须确定这个容器应属于哪个网络,并为每个网络确定哪些插件必须被执行。
- 网络配置采用JSON格式可以很容易地存储在文件中。网络配置包括必填字段如`name`和`type`以及插件(类型)。网络配置允许字段在调用之间改变值。为此,有一个可选的字段`args`,必须包含不同的信息。
- 容器运行时必须按顺序为每个网络执行相应的插件,将容器添加到每个网络中。
- 在完成容器生命周期后,运行时必须以相反的顺序执行插件(相对于执行添加容器的顺序)以将容器与网络断开连接。
- 容器运行时不能为同一容器调用并行操作,但可以为不同的容器调用并行操作。
- 容器运行时必须为容器订阅ADD和DEL操作这样ADD后面总是跟着相应的DEL。 DEL可能跟着额外的DEL但是插件应该允许处理多个DEL即插件DEL应该是幂等的
- 容器必须由ContainerID唯一标识。存储状态的插件应该使用网络名称容器ID的主键来完成。
- 运行时不能调用同一个网络名称或容器ID执行两次ADD没有相应的DEL。换句话说给定的容器ID必须只能添加到特定的网络一次。
## CNI插件
CNI插件必须实现一个可执行文件这个文件可以被容器管理系统例如rkt或Kubernetes调用。
CNI插件负责将网络接口插入容器网络命名空间例如veth对的一端并在主机上进行任何必要的改变例如将veth的另一端连接到网桥。然后将IP分配给接口并通过调用适当的IPAM插件来设置与“IP地址管理”部分一致的路由。
### 参数
CNI插件必须支持以下操作
#### 将容器添加到网络
参数:
- **版本**。调用者正在使用的CNI规范容器管理系统或调用插件的版本。
- **容器ID **。由运行时分配的容器的唯一明文标识符。一定不能是空的。
- **网络命名空间路径**。要添加的网络名称空间的路径,即`/proc/[pid]/ns/net`或绑定挂载/链接。
- **网络配置**。描述容器可以加入的网络的JSON文档。架构如下所述。
- **额外的参数**。这提供了一个替代机制允许在每个容器上简单配置CNI插件。
- **容器内接口的名称**。这是应该分配给容器网络命名空间内创建的接口的名称因此它必须符合Linux接口名称上的标准限制。
结果:
- **接口列表**。根据插件的不同,这可以包括沙箱(例如容器或管理程序)接口名称和/或主机接口名称,每个接口的硬件地址以及接口所在的沙箱(如果有的话)的详细信息。
- **分配给每个接口的IP配置**。分配给沙箱和/或主机接口的IPv4和/或IPv6地址网关和路由。
- **DNS信息**。包含nameserver、domain、search domain和option的DNS信息的字典。
#### 从网络中删除容器
参数:
- **版本**。调用者正在使用的CNI规范容器管理系统或调用插件的版本。
- **容器ID **,如上所述。
- **网络命名空间路径**,如上定义。
- **网络配置**,如上所述。
- **额外的参数**,如上所述。
- **上面定义的容器**内的接口的名称。
- 所有参数应与传递给相应的添加操作的参数相同。
- 删除操作应释放配置的网络中提供的containerid拥有的所有资源。
报告版本
- 参数:无。
- 结果插件支持的CNI规范版本信息。
```json
{
“cniVersion”“0.3.1”,//此输出使用的CNI规范的版本
“supportedVersions”[“0.1.0”“0.2.0”“0.3.0”“0.3.1”] //此插件支持的CNI规范版本列表
}
```
CNI插件的详细说明请参考[CNI SPEC](https://github.com/containernetworking/cni/blob/master/SPEC.md)。
### IP分配
作为容器网络管理的一部分CNI插件需要为接口分配并维护IP地址并安装与该接口相关的所有必要路由。这给了CNI插件很大的灵活性但也给它带来了很大的负担。众多的CNI插件需要编写相同的代码来支持用户需要的多种IP管理方案例如dhcp、host-local
为了减轻负担使IP管理策略与CNI插件类型解耦我们定义了IP地址管理插件IPAM插件。CNI插件的职责是在执行时恰当地调用IPAM插件。 IPAM插件必须确定接口IP/subnet网关和路由并将此信息返回到“主”插件来应用配置。 IPAM插件可以通过协议例如dhcp、存储在本地文件系统上的数据、网络配置文件的“ipam”部分或上述的组合来获得信息。
#### IPAM插件
像CNI插件一样调用IPAM插件的可执行文件。可执行文件位于预定义的路径列表中通过`CNI_PATH`指示给CNI插件。 IPAM插件必须接收所有传入CNI插件的相同环境变量。就像CNI插件一样IPAM插件通过stdin接收网络配置。
## 可用插件
### Main接口创建
- **bridge**:创建网桥,并添加主机和容器到该网桥
- **ipvlan**:在容器中添加一个[ipvlan](https://www.kernel.org/doc/Documentation/networking/ipvlan.txt)接口
- **loopback**:创建一个回环接口
- **macvlan**创建一个新的MAC地址将所有的流量转发到容器
- **ptp**创建veth对
- **vlan**分配一个vlan设备
### IPAMIP地址分配
- **dhcp**在主机上运行守护程序代表容器发出DHCP请求
- **host-local**维护分配IP的本地数据库
### Meta其它插件
- **flannel**根据flannel的配置文件创建接口
- **tuning**调整现有接口的sysctl参数
- **portmap**一个基于iptables的portmapping插件。将端口从主机的地址空间映射到容器。
## 参考
- https://github.com/containernetworking/cni
- https://github.com/containernetworking/plugins
- [Container Networking Interface Specification](https://github.com/containernetworking/cni/blob/master/SPEC.md#container-networking-interface-specification)
- [CNI Extension conventions](https://github.com/containernetworking/cni/blob/master/CONVENTIONS.md)