Flannel和Calico之对比(Comparison between Flannel and Calico)
K8S网络插件(CNI):Flannel和Calico详细对比
Flannel和Calico是Kubernetes中最常用的两种CNI(Container Network Interface)插件,各自针对不同的网络需求提供解决方案。以下是对这两种插件的详细讲解,包括它们的原理、架构、优缺点及使用场景。
1. Flannel
Flannel是一个专注于提供简单容器网络的CNI插件,旨在满足Kubernetes集群中基础网络通信需求。
1.1 Flannel的架构
Flannel的架构比较简单,包含以下关键组件:
1.1.1 flanneld(Flannel Daemon)
运行在每个Kubernetes节点上。
核心功能:
-
子网分配:从集群网络池中为每个节点分配一个子网。
-
路由配置:确保节点之间可以通信。
-
网络封装:根据配置的后端类型对跨节点的数据包进行封装和解封装。
1.1.2 Etcd(或Kubernetes API)
用于存储集群网络配置和子网分配信息。Flannel读取和写入节点的网络配置。
1.2 Flannel的网络模式
Flannel提供多种后端模式来实现网络连接,每种模式适用于不同的环境和需求。
1.2.1 VXLAN模式(默认)
原理:
-
在L3层上通过VXLAN隧道封装数据包。
-
每个数据包被封装进一个新的UDP数据包,在两个节点之间通过UDP协议传输。
特点:
-
无需依赖底层网络支持,适应性广。
-
封装带来了一定的性能开销。
适用场景:底层网络不支持直接路由、希望快速部署网络。
1.2.2 Host-GW模式
原理:
-
基于主机的路由表,在L3层上通过静态路由实现节点间的通信。
-
每个节点直接将数据包路由到目标节点,无需封装。
特点:
-
性能更高,因为没有封装开销。
-
要求节点处于同一物理或逻辑网络(如VLAN)。
适用场景:节点可以直接通信的裸机或私有云环境。
1.2.3 UDP模式
原理:通过UDP隧道传输数据包。特点:实现简单,但性能较差,已不推荐使用。
1.2.4 IPIP模式
原理:使用IP-in-IP封装技术,数据包在L3层上通过IP包封装传输。
特点:
-
类似于VXLAN,但性能稍低。
-
提供比Host-GW更广泛的兼容性。
1.3 Flannel网络流量流程
同节点Pod间通信
-
Pod A 发送数据到 Pod B。
-
数据包通过Pod A的veth接口到达宿主节点。
-
数据包经由节点的虚拟网桥(如cbr0)到达Pod B。
跨节点Pod通信(VXLAN模式)
-
Pod A 发送数据到目标Pod(在另一节点上)。
-
数据包经过veth接口到达宿主节点。
-
flanneld对数据包进行VXLAN封装。
-
封装后的数据包通过底层网络传输到目标节点。
-
目标节点的flanneld解封装数据包,并将其路由到目标Pod。
1.4 Flannel优缺点
优点:
-
简单易用:安装配置方便,适合初学者。
-
轻量级:对系统资源占用较低。
-
兼容性强:支持多种网络环境和后端模式。
缺点:
-
功能单一:不支持网络策略和安全控制。
-
性能不足:在大规模集群或高流量环境下可能会成为瓶颈。
-
缺少可观测性:对网络性能和流量的监控较少。
2. Calico
Calico是一个功能强大的CNI插件,不仅提供高性能的网络通信,还支持网络策略、负载均衡和安全控制。
2.1 Calico的架构
Calico的架构比Flannel更复杂,包含以下核心组件:
2.1.1 Calico Node
每个节点运行的核心代理。
包含以下子组件:
-
Felix:负责将网络策略应用到Linux内核网络栈。
-
BIRD(BGP Daemon):通过BGP协议分发路由信息。
2.1.2 Datastore
存储Calico的网络和策略配置。
支持多种存储后端:
-
Etcd
-
Kubernetes API(推荐)
2.2 Calico的网络模式
2.2.1 Direct Routing模式(无隧道模式)
原理:
-
使用BGP将每个节点的Pod CIDR通告给其他节点。
-
节点间直接路由通信,无需封装。
特点:
-
高性能,无封装开销。
-
需要底层网络支持BGP协议。
适用场景:高性能要求、底层网络支持BGP的大型集群。
2.2.2 IPIP模式
原理:在L3层上通过IP-in-IP封装数据包。
特点:
-
适用于底层网络不支持BGP的情况。
-
性能略低于Direct Routing。
适用场景:混合环境,部分节点不支持BGP。
2.2.3 VXLAN模式
原理:类似于Flannel的VXLAN模式,通过UDP隧道封装数据包。
特点:
-
兼容性广泛,适应不同网络环境。
-
支持对网络进行加密。
2.3 Calico的网络策略
Calico提供了强大的网络策略功能,可以通过声明性配置控制流量的入站和出站行为。
2.3.1 NetworkPolicy
作用范围:针对某个命名空间中的Pod。
功能:控制Pod之间或Pod与外部的通信。
2.3.2 GlobalNetworkPolicy
作用范围:集群全局。
功能:对所有命名空间生效,用于跨命名空间的安全策略。
2.3.3 示例策略配置
允许来自特定命名空间的通信:
apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:name: allow-namespace
spec:podSelector: {}ingress:- from:- namespaceSelector:matchLabels:role: frontend
限制Pod的出站访问:
apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:name: deny-egress
spec:podSelector:matchLabels:app: backendpolicyTypes:- Egressegress: []
2.4 Calico的工作流程
同节点Pod通信(Direct Routing模式)
-
Pod A 发送数据到 Pod B(同一节点)。
-
数据包通过veth接口进入宿主机。
-
Felix配置的路由规则直接将数据包路由到Pod B。
跨节点Pod通信(Direct Routing模式)
-
Pod A 发送数据到目标Pod(另一节点)。
-
数据包到达宿主机,BGP通告的路由规则将数据包直接发送到目标节点。
-
目标节点将数据包路由到目标Pod。
2.5 Calico优缺点
优点:
-
高性能:Direct Routing模式避免了封装开销。
-
网络策略控制:支持复杂的安全策略,提供强大的流量控制能力。
-
灵活性:支持多种模式,适配不同的网络需求。
-
可观测性:提供丰富的监控工具。
缺点:
-
复杂性高:安装和管理需要一定经验。
-
资源开销:比Flannel更高的CPU和内存使用。
3. Flannel 和 Calico 对比
| 特性 | Flannel | Calico |
|---|---|---|
| 主要功能 | 提供基础L3网络 | 提供L3网络 + 网络策略和安全控制 |
| 网络模式 | VXLAN、Host-GW、UDP、IPIP | Direct Routing、IPIP、VXLAN |
| 性能 | 中等 | 高性能(Direct Routing模式) |
| 网络策略 | 不支持 | 支持 |
| 复杂度 | 低 | 高 |
| 资源开销 | 低 | 较高 |
| 适用场景 | 简单网络需求 | 大规模集群,高性能和安全需求 |
4. 选择指南
使用Flannel:
-
适合中小型集群。
-
只需要基本的Pod间通信。
-
部署环境资源有限。
使用Calico:
-
适合大规模集群。
-
需要高性能的跨节点通信。
-
需要对网络流量进行严格控制。1. Flannel
-
Flannel是一个专注于提供简单容器网络的CNI插件,旨在满足Kubernetes集群中基础网络通信需求。
相关文章:
Flannel和Calico之对比(Comparison between Flannel and Calico)
K8S网络插件(CNI):Flannel和Calico详细对比 Flannel和Calico是Kubernetes中最常用的两种CNI(Container Network Interface)插件,各自针对不同的网络需求提供解决方案。以下是对这两种插件的详细讲解&#…...
Spring Boot + Redisson 封装分布式锁
目标:一行代码调用,简单粗暴。 基操:自动加锁,自动解锁,自动处理异常,自动处理锁超时等。 安装 redis redisson <dependency><groupId>org.springframework.boot</groupId><artifac…...
QWEN2 模型架构配置;GGUF的概念:实现量化存储
Qwen2不同配置的模型,其头数量和MLP大小有所不同,以下是具体信息 : Qwen2-0.5B:query heads数量为14,head size为64,intermediate size(即MLP)为4864。Qwen2-1.5B:query heads数量为12,head size为128,intermediate size为8960 。Qwen2-7B:query heads数量为28,he…...
window如何将powershell以管理员身份添加到右键菜单?(按住Shift键显示)
window如何将powershell以管理员身份添加到右键菜单? 在 Windows 中,将 PowerShell 以管理员身份添加到右键菜单,可以让你在需要提升权限的情况下快速打开 PowerShell 窗口。以下是详细的步骤,包括手动编辑注册表和使用注册表脚本…...
spring中使用@Validated,什么是JSR 303数据校验,spring boot中怎么使用数据校验
文章目录 一、JSR 303后台数据校验1.1 什么是 JSR303?1.2 为什么使用 JSR 303? 二、Spring Boot 中使用数据校验2.1 基本注解校验2.1.1 使用步骤2.1.2 举例Valid注解全局统一异常处理 2.2 分组校验2.2.1 使用步骤2.2.2 举例Validated注解Validated和Vali…...
实际部署Dify可能遇到的问题:忘记密码、开启HTTPS、知识库文档上传的大小限制和数量限制
背景 前面我们以 docker compose 容器化的方式本地部署了 Dify 社区版,并快速体验了其聊天助手、工作量编排以及智能体(Agent)功能。不过后续实际生产环境使用时遇到了忘记密码、如何开启SSL以支持HTTPS、如何突破知识库文档上传的大小限制和…...
mugen
title: 走进 Mugen:性能测试领域的得力助手 date: ‘2024-12-30’ category: blog tags: Mugen性能测试开源项目系统评估 sig: QA archives: ‘2024-12’ author:way_back summary: Mugen 作为一款优秀的性能测试工具,以其丰富的功能、灵活的配置和精准…...
CannotRetrieveUpdates alert in disconnected OCP 4 cluster解决
环境: Red Hat OpenShift Container Platform (RHOCP) 4 问题: Cluster Version Operator 不断发送警报,表示在受限网络/断开连接的 OCP 4 集群中无法接收更新。 在隔离的 OpenShift 4 集群中看到 CannotRetrieveUpdates 警报: …...
计算机网络 (16)数字链路层的几个共同问题
一、封装成帧 封装成帧是数据链路层的一个基本问题。数据链路层把网络层交下来的数据构成帧发送到链路上,以及把接收到的帧中的数据取出并上交给网络层。封装成帧就是在一段数据的前后分别添加首部和尾部,构成了一个帧。接收端在收到物理层上交的比特流后…...
细说STM32F407单片机通过IIC读写EEPROM 24C02
目录 一、操作说明 二、工程配置 1、时钟、DEBUG、GPIO、USART6、NVIC、Code Generator 2、 IIC2 (1)Master Features组,主设备参数 (2)Slave Features组,从设备参数 三、软件设计 1、KELED 2、E…...
【AimRT】现代机器人通信中间件 AimRT
目录 一、什么是AimRT二、AimRT与ROS22.1 定位与设计2.2 组成与通信方式对比 三、AimRT基本概念3.1 Node、Pkg 和 Module3.2 Protocol、Channel、Rpc 和 Filter3.3 App模式 和 Pkg模式3.4 Executor3.5 Plugin 一、什么是AimRT AimRT 是智元机器人公司自主研发的一款机器人通信…...
Unity 读Excel,读取xlsx文件解决方案
Unity读取表格数据 效果: 思路: Unity可以解析Json,但是读取Excel需要插件的帮助,那就把这个功能分离开,读表插件就只管读表转Json,Unity就只管Json解析,中间需要一个存储空间,使用…...
R基于贝叶斯加法回归树BART、MCMC的DLNM分布滞后非线性模型分析母婴PM2.5暴露与出生体重数据及GAM模型对比、关键窗口识别
全文链接:https://tecdat.cn/?p38667 摘要:在母婴暴露于空气污染对儿童健康影响的研究中,常需对孕期暴露情况与健康结果进行回归分析。分布滞后非线性模型(DLNM)是一种常用于估计暴露 - 时间 - 响应函数的统计方法&am…...
)
【信息系统项目管理师】高分论文:论信息系统项目的沟通管理(信息管理服务一体化平台)
更多内容请见: 备考信息系统项目管理师-专栏介绍和目录 文章目录 论文一、事预则立,规划沟通管理二、提升支持,管理沟通三、观察偏差,监督沟通论文 2022年2月,我公司承建某省退役军人信息管理服务一体化平台项目,由于本人具有较丰富的项目管理经验,同时也是一名退伍军人…...
物联网工厂可视化监控平台:为智能制造打造的可视化大屏
01行业背景 随着技术的不断进步,物联网(IoT)已经成为推动数字化转型的核心力量。物联网通过连接各种设备和传感器,实现数据的实时收集、传输和分析,为各行各业带来了革命性的变化。随着5G、云计算、大数据等技术的成熟…...
3、redis的高可用
主从复制 主从复制:这是redis高可用的基础。哨兵模式和集群都是建立在此基础之上。 主从模式和数据库的主从模式是一样的,主负责写入,然后把写入的数据同步到从,从节点只能读不能写。read only。 不能做高可用的切换ÿ…...
数据结构--顺序表(详解)
欢迎大家来到我的博客~欢迎大家对我的博客提出指导,有错误的地方会改进的哦~点击这里了解更多内容 目录 一、线性表二、顺序表 一、线性表 线性表(linear list)是n个具有相同特性的数据元素的有限序列。 线性表是一种在实际中广泛使用的数据结…...
Day62 图论part11
Floyd 算法精讲 Floyd 算法代码很简单,但真正理解起原理 还是需要花点功夫,大家在看代码的时候,会发现 Floyd 的代码很简单,甚至看一眼就背下来了,但我为了讲清楚原理,本篇还是花了大篇幅来讲解。 代码随想…...
git clone 超时
git clone 超时 参考 https://blog.csdn.net/qq_45906972/article/details/142214187?utm_mediumdistribute.pc_relevant.none-task-blog-2defaultbaidujs_baidulandingword~default-0-142214187-blog-137158358.235v43pc_blog_bottom_relevance_base8&spm1001.2101.3001.…...
WPF编程excel表格操作
WPF编程excel表格操作 摘要NPOI安装封装代码测试代码 摘要 Excel操作几种方式 使用开源库NPOI(常用,操作丰富)使用Microsoft.Office.Interop.Excel COM组件(兼容性问题)使用OpenXml(效率高)使用OleDb(过时) NPOI安装 封装代码 using System; using System.IO; u…...
docker详细操作--未完待续
docker介绍 docker官网: Docker:加速容器应用程序开发 harbor官网:Harbor - Harbor 中文 使用docker加速器: Docker镜像极速下载服务 - 毫秒镜像 是什么 Docker 是一种开源的容器化平台,用于将应用程序及其依赖项(如库、运行时环…...
解决Ubuntu22.04 VMware失败的问题 ubuntu入门之二十八
现象1 打开VMware失败 Ubuntu升级之后打开VMware上报需要安装vmmon和vmnet,点击确认后如下提示 最终上报fail 解决方法 内核升级导致,需要在新内核下重新下载编译安装 查看版本 $ vmware -v VMware Workstation 17.5.1 build-23298084$ lsb_release…...
第25节 Node.js 断言测试
Node.js的assert模块主要用于编写程序的单元测试时使用,通过断言可以提早发现和排查出错误。 稳定性: 5 - 锁定 这个模块可用于应用的单元测试,通过 require(assert) 可以使用这个模块。 assert.fail(actual, expected, message, operator) 使用参数…...
【Go】3、Go语言进阶与依赖管理
前言 本系列文章参考自稀土掘金上的 【字节内部课】公开课,做自我学习总结整理。 Go语言并发编程 Go语言原生支持并发编程,它的核心机制是 Goroutine 协程、Channel 通道,并基于CSP(Communicating Sequential Processes࿰…...
python如何将word的doc另存为docx
将 DOCX 文件另存为 DOCX 格式(Python 实现) 在 Python 中,你可以使用 python-docx 库来操作 Word 文档。不过需要注意的是,.doc 是旧的 Word 格式,而 .docx 是新的基于 XML 的格式。python-docx 只能处理 .docx 格式…...
C++中string流知识详解和示例
一、概览与类体系 C 提供三种基于内存字符串的流,定义在 <sstream> 中: std::istringstream:输入流,从已有字符串中读取并解析。std::ostringstream:输出流,向内部缓冲区写入内容,最终取…...
ip子接口配置及删除
配置永久生效的子接口,2个IP 都可以登录你这一台服务器。重启不失效。 永久的 [应用] vi /etc/sysconfig/network-scripts/ifcfg-eth0修改文件内内容 TYPE"Ethernet" BOOTPROTO"none" NAME"eth0" DEVICE"eth0" ONBOOT&q…...
解析奥地利 XARION激光超声检测系统:无膜光学麦克风 + 无耦合剂的技术协同优势及多元应用
在工业制造领域,无损检测(NDT)的精度与效率直接影响产品质量与生产安全。奥地利 XARION开发的激光超声精密检测系统,以非接触式光学麦克风技术为核心,打破传统检测瓶颈,为半导体、航空航天、汽车制造等行业提供了高灵敏…...
elementUI点击浏览table所选行数据查看文档
项目场景: table按照要求特定的数据变成按钮可以点击 解决方案: <el-table-columnprop"mlname"label"名称"align"center"width"180"><template slot-scope"scope"><el-buttonv-if&qu…...
java高级——高阶函数、如何定义一个函数式接口类似stream流的filter
java高级——高阶函数、stream流 前情提要文章介绍一、函数伊始1.1 合格的函数1.2 有形的函数2. 函数对象2.1 函数对象——行为参数化2.2 函数对象——延迟执行 二、 函数编程语法1. 函数对象表现形式1.1 Lambda表达式1.2 方法引用(Math::max) 2 函数接口…...