当前位置：首页 > news >正文

k8s 之7大CNI 网络插件

news 2025/10/16 4:49:00

一、介绍
网络架构是Kubernetes中较为复杂、让很多用户头疼的方面之一。Kubernetes网络模型本身对某些特定的网络功能有一定要求，但在实现方面也具有一定的灵活性。因此，业界已有不少不同的网络方案，来满足特定的环境和要求。
CNI意为容器网络接口，它是一种标准的设计，为了让用户在容器创建或销毁时都能够更容易地配置容器网络。
Kubernetes 它需要网络插件来提供集群内部和集群外部的网络通信。以下是一些常用的 k8s 网络插件：

Flannel：Flannel 是最常用的 k8s 网络插件之一，它使用了虚拟网络技术来实现容器之间的通信，支持多种网络后端，如 VXLAN、UDP 和 Host-GW。
Calico：Calico 是一种基于 BGP 的网络插件，它使用路由表来路由容器之间的流量，支持多种网络拓扑结构，并提供了安全性和网络策略功能。
Canal：Canal 是一个组合了 Flannel 和 Calico 的网络插件，它使用 Flannel 来提供容器之间的通信，同时使用 Calico 来提供网络策略和安全性功能。
Weave Net：Weave Net 是一种轻量级的网络插件，它使用虚拟网络技术来为容器提供 IP 地址，并支持多种网络后端，如 VXLAN、UDP 和 TCP/IP，同时还提供了网络策略和安全性功能。
Cilium：Cilium 是一种基于 eBPF (Extended Berkeley Packet Filter) 技术的网络插件，它使用 Linux 内核的动态插件来提供网络功能，如路由、负载均衡、安全性和网络策略等。
Contiv：Contiv 是一种基于 SDN 技术的网络插件，它提供了多种网络功能，如虚拟网络、网络隔离、负载均衡和安全策略等。
Antrea：Antrea 是一种基于 OVS (Open vSwitch) 技术的网络插件，它提供了容器之间的通信、网络策略和安全性等功能，还支持多种网络拓扑结构。

二、CNI 网络插件
CNI（容器网络接口）是一个云原生计算基金会项目，它包含了一些规范和库，用于编写在 Linux 容器中配置网络接口的一系列插件。CNI 只关注容器的网络连接，并在容器被删除时移除所分配的资源。

Kubernetes 使用 CNI 作为网络提供商和 Kubernetes Pod 网络之间的接口。

三、CNI使用的网络模型
CNI 网络插件使用封装网络模型（例如 Virtual Extensible Lan，缩写是 VXLAN）或非封装网络模型（例如 Border Gateway Protocol，缩写是 BGP）来实现网络结构。

1）封装网络
此网络模型提供了一个逻辑二层（L2）网络，该网络封装在跨 Kubernetes 集群节点的现有三层（L3）网络拓扑上。使用此模型，你可以为容器提供一个隔离的 L2 网络，而无需分发路由。封装网络带来了少量的处理开销以及由于覆盖封装生成 IP header 造成的 IP 包大小增加。封装信息由 Kubernetes worker 之间的 UDP 端口分发，交换如何访问 MAC 地址的网络控制平面信息。此类网络模型中常用的封装是 VXLAN、Internet 协议安全性 (IPSec) 和 IP-in-IP。

使用这种网络模型的 CNI 网络插件包括 Flannel、Canal、Weave 和 Cilium。默认情况下，Calico 不会使用此模型，但你可以对其进行配置。

2）非封装网络
该网络模型提供了一个 L3 网络，用于在容器之间路由数据包。此模型不会生成隔离的 L2 网络，也不会产生开销。这些好处的代价是，Kubernetes worker 必须管理所需的所有路由分发。该网络模型不使用 IP header 进行封装，而是使用 Kubernetes Worker 之间的网络协议来分发路由信息以实现 Pod 连接，例如 BGP。

使用这种网络模型的 CNI 网络插件包括 Calico 和 Cilium。Cilium 可以使用此模型进行配置，即使这不是默认模式。

四、CNI 网络插件支持功能对比
在这里插入图片描述

网络模型：封装或未封装。

路由分发：一种外部网关协议，用于在互联网上交换路由和可达性信息。BGP 可以帮助进行跨集群 pod 之间的网络。此功能对于未封装的 CNI 网络插件是必须的，并且通常由 BGP 完成。如果你想构建跨网段拆分的集群，路由分发是一个很好的功能。

网络策略：Kubernetes 提供了强制执行规则的功能，这些规则决定了哪些 service 可以使用网络策略进行相互通信。这是从 Kubernetes 1.7 起稳定的功能，可以与某些网络插件一起使用。

网格：允许在不同的 Kubernetes 集群间进行 service 之间的网络通信。

外部数据存储：具有此功能的 CNI 网络插件需要一个外部数据存储来存储数据。

k8s 之7大CNI 网络插件

相关文章：

k8s 之7大CNI 网络插件

stable diffusion 人物高级提示词（一）头部篇

限制哪些IP能连接postgre

可狱可囚的爬虫系列课程 08：新闻数据爬取实战

mysql2pgsql

设计模式-流接口模式

Java 堆与栈的作用与区别

再谈小米汽车

Power Apps 学习笔记 - IOrganizationService Interface

常见函数的4种类型（js的问题）

DNS主从服务器、转发（缓存）服务器

第二十一章网络编程

scratch新跳7游戏 2023年12月中国电子学会图形化编程少儿编程 scratch编程等级考试四级真题和答案解析

三、C#面向对象编程（接口与实现）

【java爬虫】股票数据获取工具前后端代码

Scikit-Learn线性回归(四)

SCT2330C——3.8V-28V输入，3A，低EMI，超低功耗同步降压DCDC转换器

php生成唯一ID的5种方法介绍

向日葵远程工具安装Mysql的安装与配置

Unity 欧盟UMP用户隐私协议Android接入指南

超短脉冲激光自聚焦效应

Qt/C++开发监控GB28181系统/取流协议/同时支持udp/tcp被动/tcp主动

R语言AI模型部署方案：精准离线运行详解

基于服务器使用 apt 安装、配置 Nginx

Java入门学习详细版（一）

html-＜abbr＞缩写或首字母缩略词

Typeerror: cannot read properties of undefined (reading ‘XXX‘)

C++.OpenGL （20/64）混合（Blending）

2025年渗透测试面试题总结-腾讯[实习]科恩实验室-安全工程师（题目+回答）

【LeetCode】3309. 连接二进制表示可形成的最大数值（递归|回溯|位运算）