在 Kubernetes 集群中,一个近乎“默认”的认知是:Pod 与 Pod 之间可以直接通信,无需经过网络地址转换(NAT)或端口映射。无论 Pod 是否位于同一节点,这种通信都显得顺理成章。然而,这一看似简单的功能背后,隐藏着 Kubernetes 网络模型精妙的设计与实现。本文将系统解析 Kubernetes 网络的核心原则,并重点拆解基于 Calico CNI 插件 的跨节点 Pod 通信全流程。
一、Kubernetes 网络模型的三大基本假设
Kubernetes 对其集群网络提出了三条不可妥协的基本原则,也称为网络模型的 “铁律”:
1. 每个 Pod 拥有独立的 IP 地址
Pod 不与其所在节点共享 IP。
Pod IP 在整个集群范围内唯一。
在 Pod 的生命周期内,其 IP 地址保持不变。
本质:每个 Pod 在网络层面被视同一台拥有独立 IP 的“虚拟主机”。
2. Pod 与 Pod 之间可直接通信
无论 Pod 是否位于同一物理节点。
通信过程无需 NAT、代理或端口映射。
本质:为上层应用提供了与传统物理机或虚拟机网络一致的、对等的通信体验。
3. 节点(Node)与 Pod 之间可直接通信
节点能够直接访问其内部及外部 Pod 的 IP。
Pod 也能够直接访问其所在节点的 IP。
本质:这是 Kubelet 执行健康检查、日志收集等运维操作的基础。
核心结论:Kubernetes 自身并不实现具体的网络功能,它仅定义了一套标准化的网络规则。实际负责实现这些规则、让 IP 真正可达的,是各种 CNI(Container Network Interface)网络插件。
二、Pod 网络的本质:容器即主机
在 Kubernetes 的网络视图中:
1.Pod ≈ 一台拥有独立 IP 地址的主机。
2.Service ≈ 一个稳定的服务访问入口(虚拟 IP + 负载均衡器)。
3.CNI 插件 ≈ 负责搭建并维护底层网络,确保所有这些“主机”(Pod)之间能够互联互通。
因此,所有复杂的网络实现细节,都被下沉并抽象到了 CNI 插件层。
三、同节点 Pod 通信原理
当两个 Pod 位于同一个节点时,通信过程相对简单,与同一 Linux 主机上两个容器通信的原理一致:
1. CNI 插件为每个 Pod 创建一对虚拟以太网设备(veth pair)。
2. 一端放置在 Pod 的网络命名空间(Network Namespace)内,作为其虚拟网卡。
3. 另一端连接到宿主机上一个名为 `cni0`(或类似名称)的 Linux 网桥。
4. 数据包通过 Linux 网桥在主机内部进行二层转发。
特点:整个过程不经过物理网卡,不离开宿主机,性能损耗极低。
四、跨节点 Pod 通信:挑战与核心方案
真正的复杂性在于 跨节点 Pod 通信。当 Pod A 在 Node 1, Pod B 在 Node 2 时,如何让数据包穿越物理网络直达对方?
不同的 CNI 插件采用了不同的实现策略:
1.Flannel:主要采用 Overlay(叠加)网络(如 VXLAN),通过隧道封装数据包。
2.Calico:默认采用 Underlay(底层)网络 模式,利用 BGP 路由协议 或 IPIP 隧道 实现直接路由。
3.Cilium:基于 eBPF 技术,在更底层实现高效、可编程的网络数据面。
下文将重点剖析 Calico(BGP 模式) 的实现原理。
五、基于 Calico 的跨节点 Pod 通信全流程拆解
假设场景:
Pod A: IP `10.244.1.10`, 位于 Node 1
Pod B: IP `10.244.2.20`, 位于 Node 2
网络插件:Calico,运行在 BGP 模式(非 Overlay)
通信过程:
步骤 1:地址分配与路由通告
Calico 为每个节点分配一个独立的 Pod 子网(CIDR)。例如:
Node 1: `10.244.1.0/24`
Node 2: `10.244.2.0/24`
每个节点只负责创建和管理其自身 CIDR 范围内的 Pod。
步骤 2:BGP 路由同步
Calico 在每个节点上运行一个 BGP 客户端(BIRD)。
节点间通过 BGP 协议自动交换路由信息:
Node 1 告知整个集群:`10.244.1.0/24` 网段在我这里。
Node 2 告知整个集群:`10.244.2.0/24` 网段在我这里。
这些路由信息被直接写入每个节点的 Linux 内核路由表。
步骤 3:数据包从 Pod A 发出
1. Pod A 发送目标地址为 `10.244.2.20`(Pod B)的数据包。
2. 数据包从容器的 veth 接口进入其宿主节点 Node 1 的网络栈。
3. Node 1 内核查询路由表,发现目标 IP `10.244.2.20` 属于 `10.244.2.0/24` 网段,并且下一跳是对端节点 Node 2 的物理 IP。
4. 数据包不经任何封装,直接通过 Node 1 的物理网卡发出,前往 Node 2。
步骤 4:数据包在 Node 2 接收并转发
1. Node 2 的物理网卡收到此数据包。
2. 内核路由判断目标 IP `10.244.2.20` 属于本节点的 Pod 子网 `10.244.2.0/24`。
3. 数据包通过对应的 veth pair 接口被直接送入 Pod B 的网络命名空间。
通信至此完成。
核心特点总结:
真实 IP 路由:Pod IP 在整个集群内是全局可路由的,数据包是标准的 IP 包。
高性能:避免了隧道封装的额外开销,性能接近物理网络。
易观测排错:可以使用 `ip route`、`tcpdump` 等标准网络工具进行排查,路径清晰。
六、Overlay 模式(如 VXLAN/IPIP)的对比
在某些无法直接路由 Pod IP 的网络环境中(例如云厂商限制),Calico 可以退回到 Overlay 模式:
封装过程:Pod 的原始数据包会被封装在一个新的外层数据包头中。
外层地址:使用宿主节点的 IP 地址作为源和目标。
隧道传输:封装后的数据包通过节点间的“隧道”进行传输。
解封装:到达目标节点后,外层包头被移除,原始 Pod 数据包被还原并发送给目标 Pod。
| 特性 | Calico BGP模式 (Underlay) | Overlay 模式 (如 VXLAN) |
| 网络模型 | 路由 | 隧道 |
| 数据包 | 原生 IP 包 | 封装后的包(额外包头) |
| 性能 | 更高(无封装开销) | 略低(有封装/解封装开销) |
| 依赖 | 底层网络需支持 BGP/直接路由 | 对底层网络无特殊要求,只需 IP 可达 |
| 排错 | 相对简单直观 | 略复杂(需查看隧道端点) |
七、Kubernetes 坚持“Pod 直连模型”的设计哲学
Kubernetes 之所以将如此复杂的网络需求抽象为简单的“Pod 直接互通”模型,其核心理念是:将复杂性下沉到基础设施层,而非暴露给应用层。
1.若无此模型,应用开发者将不得不处理:
2.网络地址转换(NAT)带来的连接复杂性。
3.繁琐的端口规划与管理。
4.更复杂的服务发现机制。
5.分布式系统实现的整体成本大幅上升。
通过 CNI 插件实现这一模型,Kubernetes 为上层应用提供了一个稳定、一致、透明的网络环境
八、总结与要点回顾
1. 规则与实现分离:Kubernetes 制定网络“铁律”,由 CNI 插件负责具体实现。
2. Pod IP 为一等公民:Pod 在网络层面等同于独立主机,而非附属于容器的端口。
3. Calico 的核心机制:通过 BGP 协议在节点间同步路由,实现跨节点 Pod 的直接路由通信,不依赖 NAT 或代理。
4. Service 的定位:Service 是面向服务的访问抽象(负载均衡与服务发现),并非 Pod 间底层通信的基础设施。Pod 间的直接通信能力是 Service 功能得以实现的前提。
来源:小程序app开发|ui设计|软件外包|IT技术服务公司-木风未来科技-成都木风未来科技有限公司
?需要用到什么技术?参加护网一天真能赚几千吗?)
