网桥“docker0”在 k8s 和 flannel 中扮演什么角色

2024-02-10

k8s版本：v1.10.4
法兰绒版本：v0.10.0
docker版本v1.12.6

当我使用命令时brctl show在节点上，如下所示：

[root@node03 tmp]# brctl show
bridge name bridge id       STP enabled interfaces
cni0        8000.0a580af40501   no      veth39711246
                                        veth591ea0bf
                                        veth5b889fed
                                        veth61dfc48a
                                        veth6ef58804
                                        veth75f5ef36
                                        vethc162dc8a
docker0     8000.0242dfd605c0   no

it shows that the vethXXX are binding on network bridge named cni0, but when i use command `ip addr`,it shows :

[root@node03 tmp]# ip addr |grep veth
6: veth61dfc48a@if3: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1450 qdisc noqueue master cni0 state UP 
7: veth591ea0bf@if3: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1450 qdisc noqueue master cni0 state UP 
9: veth6ef58804@if3: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1450 qdisc noqueue master cni0 state UP 
46: vethc162dc8a@if3: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1450 qdisc noqueue master cni0 state UP 
55: veth5b889fed@if3: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1450 qdisc noqueue master cni0 state UP 
61: veth75f5ef36@if3: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1450 qdisc noqueue master cni0 state UP 
78: veth39711246@if3: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1450 qdisc noqueue master cni0 state UP

these veth are all binding on `if3` ,but `if3` is not cni0.it is `docker0`

3: docker0: <NO-CARRIER,BROADCAST,MULTICAST,UP> mtu 1500 qdisc noqueue state DOWN

好像是网桥docker0是没用的，但是ip addr显示所有 veth 设备都绑定在其上。网桥起什么作用docker0用 flannel 在 k8s 中玩？谢谢

这里有Docker和Kubernetes两种网络模型。

Docker模型

默认情况下，Docker 使用主机专用网络。它创建了一个虚拟桥，称为docker0默认情况下，并从定义的私有地址块之一分配子网RFC1918 https://www.rfc-editor.org/rfc/rfc1918为了那座桥。对于 Docker 创建的每个容器，它都会分配一个虚拟以太网设备（称为veth）连接到桥上。 veth 被映射为显示为eth0在容器中，使用 Linux 命名空间。集装箱内的eth0接口被赋予网桥地址范围内的 IP 地址。

结果是 Docker 容器只有在同一台机器上的情况下才能与其他容器通信（因此是相同的虚拟桥）。不同机器上的容器不能互相访问- 事实上，它们最终可能会获得完全相同的网络范围和 IP 地址。

库伯内特模型

Kubernetes 对任何网络实现都提出以下基本要求（禁止任何有意的网络分段策略）：

所有容器无需 NAT 即可与所有其他容器通信
所有节点都可以与所有容器通信（反之亦然），无需 NAT
容器将自己视为的 IP 与其他容器将其视为的 IP 相同

Kubernetes 在以下位置应用 IP 地址Pod范围 - 范围内的容器Pod共享他们的网络命名空间 - 包括他们的 IP 地址。这意味着容器内Pod都可以到达彼此的端口localhost。这确实意味着容器内Pod必须协调端口使用，但这与虚拟机中的进程没有什么不同。这称为“每个 Pod 的 IP”模型。这是使用 Docker 实现的，作为一个“pod 容器”，它保持网络命名空间开放，而“应用程序容器”（用户指定的东西）将该命名空间与 Docker 的连接起来--net=container:<id>功能。

与 Docker 一样，可以请求主机端口，但这被简化为非常小众的操作。在这种情况下，将在主机上分配一个端口Node并且流量将被转发到Pod. The Pod它本身不知道主机端口是否存在。

为了将平台与底层网络基础设施集成，Kubernetes 提供了一个插件规范，称为容器网络接口 (CNI) https://kubernetes.io/docs/concepts/cluster-administration/networking/。如果满足 Kubernetes 的基本要求，供应商可以随意使用网络堆栈，通常使用覆盖网络来支持多子网 and multi-az集群。

下面显示了覆盖网络是如何通过以下方式实现的Flannel https://github.com/coreos/flannel这是一个流行的CNI https://kubernetes.io/docs/concepts/cluster-administration/networking/.

您可以阅读有关其他 CNI 的更多信息here https://kubernetes.io/docs/concepts/cluster-administration/networking/#how-to-implement-the-kubernetes-networking-model。 Kubernetes 方法的解释见集群组网 https://kubernetes.io/docs/concepts/cluster-administration/networking/文档。我也推荐阅读Kubernetes 很难：为什么 EKS 使网络和安全架构师变得更容易 https://www.contino.io/insights/kubernetes-is-hard-why-eks-makes-it-easier-for-network-and-security-architects这解释了如何Flannel https://github.com/coreos/flannel作品，还有另一个文章来自Medium https://medium.com/all-things-about-docker/setup-hyperd-with-flannel-network-1c31a9f5f52e

希望这能回答您的问题。

本文内容由网友自发贡献，版权归原作者所有，本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容，请联系:hwhale#tublm.com(使用前将#替换为@)

Kubernetes

flannel

网桥“docker0”在 k8s 和 flannel 中扮演什么角色的相关文章

从 Helm stable/cert-manager 升级到 jetstack/cert-manager

我们有一个生产 AKS 集群其中包含stable cert manager安装 helm 图表以允许使用 Let s Encrypt 证书当前安装的版本是cert manager v0 6 0 in the kube system命名空
kubectl：描述与获取 -o <格式>

在 kubectl 中两者describe and get o
如何从 Next.js 应用程序访问 Kubernetes 容器环境变量？

在我的 next config js 中我有一个如下所示的部分 module exports serverRuntimeConfig Will only be available on the server side mySecret s
在 Kubernetes API 中启用 CORS

有没有办法在 Kubernetes API 上启用 CORS 以便我可以使用不同的域向 Kubernetes API 发送 ajax 请求通过将 cors allowed origins http 参数添加到 etc default ku
Kubernetes ConfigMap 大小限制

Though resourceQuotas可能会限制命名空间中的配置映射的数量是否有任何这样的选项来限制单个配置映射的大小我不喜欢某些用户开始上传大型文本文件作为配置映射 ConfigMap etcd 支持的最大大小是多少如果 etc
解析 dockerfile 路径时出错：请使用 --dockerfile 在构建上下文中提供 Dockerfile 的有效路径

apiVersion v1 kind Pod metadata name kaniko spec containers name kaniko image gcr io kaniko project executor latest args
运行 istio-proxy 后启动容器/pod

我正在尝试使用 Istio 和 Envoy 通过 Kubernetes 实现服务网格我能够设置服务和 istio proxy 但无法控制容器和 istio proxy 的启动顺序我的容器是第一个启动的并尝试通过 TCP 访问外部资源
kubernetes 集群中 django 应用程序的 Nginx 配置

我在为部署在 kubernetes 中的 django 应用程序创建 nginx 配置文件时遇到困难 Nginx 和 app 是同一集群中的两个独立容器据我了解容器可以通过 127 0 0 1 XX 和主机名相互通信我为此使用 min
Kubernetes 集群自动缩放器似乎不适用于 GKE？

我定义了一个节点池最小实例设置为 1 最大实例设置为 5 并启用了自动缩放但它似乎并没有缩小规模我已经封锁了一个节点已经过去12个多小时了没有待处理的 Pod 删除节点不会减少我自己的部署的副本数量相关节点上运行以下 pod f
如何从 Kubernetes 服务背后的 HTTP 请求读取客户端 IP 地址？

我的 Web 应用程序作为 Kubernetes pod 在 SSL 的 nginx 反向代理后面运行代理和我的应用程序都使用 Kubernetes 服务进行负载平衡如所述here http blog kubernetes io 201
Kubernetes - 服务之间的通信

我目前正在开发 kubernetes 集群集群工作正常我需要在不使用代理的情况下建立服务之间的通信例如我有以下服务 worker app1 app2 app3 Worker 需要直接通过 SSH 登录应用程序容器并执行一些命令在 d
如何为容器设置正确的 cpu 毫核？

我想要优化配置 CPU 核心而不会分配过多或不足如何测量给定容器所需的 CPU 毫核它还带来了一个问题即代理将根据 CPU 消耗将多少流量发送到任何给定的 Pod 以便我们可以最佳地使用计算目前我发送请求并进行监控 kubectl
除了 80 / 443 之外，我还可以为 Kubernetes 入口设置自定义端口来侦听吗？

我并不是说能够路由到特定端口我的意思是实际更改入口侦听的端口这可能吗如何这是在哪里记录的不从Kubernetes 文档 https kubernetes io docs concepts services networking
如何将新的 Kubernetes Minion 添加到当前集群

我有一个运行在 3 台服务器上的 Kubernetes 集群一台主服务器和 2 台服务器我想添加另一个小黄人是否可以添加 Minion 而无需再次进行完整安装到目前为止在寻找执行此操作的指南时我只能找到有关建立整个集群的优秀指南
有没有办法用Lettuce自动发现Redis集群中新的集群节点IP

我有一个Redis集群 3主3从运行在一个库伯内斯簇该集群通过Kubernetes 服务 Kube 服务我将我的应用程序服务器连接到 Redis 集群使用Kube 服务作为 URI 通过 Redis 的 Lettuce java 客
无法使用 minikube 设置 Istio

我按照 Istio 的官方文档为带有 minikube 的示例 bookinfo 应用程序设置了 Istio 但我得到了无法连接到服务器 net http TLS 握手超时错误这些是我遵循的步骤我安装了 kubectl 和 miniku
Kubernetes WatchConnectionManager：执行失败：HTTP 403

我遇到错误Expected HTTP 101 response but was 403 Forbidden 在我使用以下命令设置新的 Kubernetes 集群之后Kubeadm当我提交下面遇到的 pyspark 示例应用程序时只有一个主
Kubernetes 的艰难之路 - 如何设置节点不可调度

我正在从头开始配置 Kubernetes 集群原因它是虚拟机内的本地设置一切都很好除了master节点被创建为可调度的我尝试过分配master通过将所需参数传递给 kubelet 二进制文件来对节点进行标签和适当的污点不能解决问
Google Kubernetes Engine 中的存储 ReadWriteMany

有没有一种方法能够提供 ReadWriteMany 存储而无需实现存储集群我能够使用 gcsfuse 提供存储但速度非常慢我需要接近 GlusterFS 速度的东西我目前正在使用 GlusterFS 另一种选择 Google Clo
用户“system:anonymous”无法代理命名空间“kube-system”中的服务。:“没有匹配的策略。\n未知用户\“system:anonymous\””

尝试访问集群信息中找到的 Kubernetes 仪表板时出现以下错误 kubectl cluster info 在 Chrome 中以隐身模式也会弹出用户 system anonymous 无法代理命名空间 kube system 中的

随机推荐

在 R 中安装包时出现警告

我一直在尝试在 R 中安装 ggplot2 包这是我收到的警告 read dcf file path pkgname DESCRIPTION c Package Type 中的错误无法打开连接另外警告消息 1 在 download
将括号内第一个单词的第一个字母大写

我想将括号内每个字符串的第一个字母大写如果我们有这个字符串 const text This forest or jungle is really beautiful 期望的结果是 This Forest or jungle is Real
点表示法与方法表示法

我正在深入研究 iOS 编程但我很难理解点表示法和方法表示法的想法据我了解点表示法可用于调用属性上的 setter getter 并且写入读取更加清晰方法表示法用于向对象发送消息以对其进行操作等有人可以给我一个简单的解释解释为
iOS：如何以最简单的方式测试互联网连接，而不冻结应用程序（没有可达性）？

在我的代码中我曾经使用三种方法来检查互联网但它们有限制 1 可达性方法 BOOL isInternetOk Reachability curReach Reachability reachabilityWithHostName appl
Eclipse Compare Editor：“下一个差异”和“下一个更改”按钮之间的区别？

今天问一个简单的问题在 Eclipse 比较编辑器中右键单击文件比较下一个差异和下一个更改按钮之间有什么区别他们似乎做着完全相同的事情它烦我 Thanks The 比较编辑器的帮助页面 http help eclipse
CSS 变换 - 保持悬停状态的值

我将一个盒子改造为旋转 10 并添加悬停状态以增加尺寸 box margin 0 auto background blue width 100px height 100px moz transform rotate 10deg webkit
使用 Javafx 模仿 ListView 中的 CTRL+单击多项选择

我试图找到在 ListView 中选择多个项目的不同方法 GUI 将在触摸屏显示器上运行因此我无法按住 CTRL 单击通过研究过去的各种帖子我已经能够通过将所有选定的项目保留在数组中然后循环遍历以获得最终选择来实现多重选择我的代码遇
Rails：如何在 collection_select 中添加自定义数据属性

我正在研究一种解决方案使用以下命令将自定义数据属性添加到选项标签collection selectRails 中的表单助手我研究了 stackoverflow 上的一些帖子并在查阅了一些 API 文档后进行了大量的试验和错误我已经快
从c中的数组中删除偶数

你好我正在尝试大约 2 个小时来创建一个程序该程序将从 c 中的动态分配数组使用 malloc 中删除偶数有人可以帮我提供一些提示或创建代码吗附注这是我在这里的第一个主题所以请随时给我一些关于如何正确发布问题的提示假设您已经动
在 React 项目上运行“tslint --project”时，是什么产生了“项目选项无效：true”？

我正在尝试按照在线教程设置 tslint 以处理一个小型示例 React Typescript 项目当我跑步时yarn lint或者直接输入tslint project在终端中我不断收到错误项目选项无效 true 我已经做了很多谷歌搜
如何使用theano或烤宽面条将特定位置的重量值保持为零？

我是 theano 和烤宽面条的用户我在处理输入矩阵的可变长度时遇到问题 i e x1 0 1 3 x2 1 2 matrix embedding 0 1 0 2 0 3 0 4 0 5 0 6 0 2 0 3 0 5 0 5 0 6 0
在 ARM Cortex-M3 上编写一个简单的 C 任意代码执行漏洞？

我正在尝试用 C 语言编写概念验证演示从 ARM Cortex M3 堆栈中的内存缓冲区执行代码这将有助于证明正确使用 ARM MPU 可以防止此类攻击我认为将一些代码放入堆栈的一种快速而肮脏的方法是从常规函数复制它然后使用 got
Linux - 我如何知道给定文件的块映射和/或分区的可用空间映射

我使用的是 Linux 需要了解以下两件事之一 1 如果我在Linux下的分区上的某个文件系统上有一个常规文件有没有办法从用户空间知道该文件在驱动器上占用的物理块集或者至少是文件系统集群的集合 2 有没有办法获得有关给定文件系统的整个可
不使用正则表达式确定 unicode 字符是否为字母数字

给定一个 unicode 字符我需要确定它是否是任何语言脚本的字母数字我无法访问正则表达式或任何适用于 unicode 的有用 API 我认为我唯一的解决方案是将 Unicode 值与一组字母数字字符的字符范围进行比较问题是我找不到此
如何更改Apple Watch界面控制器标题大小/文本？

如何更换苹果手表interface controller标题大小文字我们可以提供自定义字体吗尝试使用以编程方式设置标题NSAttributedText但没有成功有任何想法吗您可以通过调用以下命令来更改界面控制器的标题迅速 fun
检查 DOM 中是否存在现有 jQuery 对象（不是选择器）

Example var doesNotYetExistInTheDOM span span create new jQuery element outside of the DOM var doesExistInTheDOM span se
分支策略[关闭]

就目前情况而言这个问题不太适合我们的问答形式我们希望答案得到事实参考资料或专业知识的支持但这个问题可能会引发辩论争论民意调查或扩展讨论如果您觉得这个问题可以改进并可能重新开放访问帮助中心 help reopen questi
IntelliJ：如何设置默认工作目录？

我是从 Eclipse 迁移到 IntelliJ 的用户我的大多数项目在项目根目录中包含一个资源文件夹在本例中它是一个模块代码使用上述目录中的 fonts 文件夹来加载字体以供渲染使用问题是在 IntelliJ 中编译目标是项目文
Angular 2 + CLI：超出最大调用堆栈大小错误

我的 Ng2 项目出现了 3 4 天的问题版本角度 cli 1 0 0 rc 2 节点 6 9 2 操作系统 win32 x64 角度常见 2 4 9 角度编译器 2 4 9 角度核心 2 4 9 角度形式 2 4 9 角度 h
网桥“docker0”在 k8s 和 flannel 中扮演什么角色

k8s版本 v1 10 4法兰绒版本 v0 10 0docker版本v1 12 6 当我使用命令时brctl show在节点上如下所示 root node03 tmp brctl show bridge name bridge id ST

网桥“docker0”在 k8s 和 flannel 中扮演什么角色

网桥“docker0”在 k8s 和 flannel 中扮演什么角色 的相关文章

随机推荐

热门标签

网桥“docker0”在 k8s 和 flannel 中扮演什么角色的相关文章