从 Docker CNM 到 Kubernetes CNI:容器网络模型的演进

容器技术彻底改变了软件的开发、部署和运行方式,而容器网络作为其基石,经历了从早期 Docker Container Network Model (CNM) Kubernetes 广泛采用的 Container Network Interface (CNI) 的显著演进。这一演进不仅反映了容器生态系统的成熟,也体现了对更灵活、可扩展和标准化的网络解决方案的需求。

 

### 一、Docker CNM:容器网络的初步探索

 

Kubernetes 崛起之前,Docker 作为容器技术的先行者,提出了自己的容器网络模型――CNM (Container Network Model)CNM 旨在为 Docker 容器提供网络连接,并抽象化底层网络的复杂性,以实现容器的便携性。

 

#### 1. CNM 的核心概念与 Libnetwork

 

CNM 的核心思想围绕着三个基本构建块:

*   **Sandbox(沙盒)**:代表一个独立的网络栈,包含容器的网络接口、DNS 配置、端口映射和路由表等。 在 Docker 中,每个容器都有自己的网络命名空间,这就是一个沙盒。

*   **Endpoint(端点)**:是一个虚拟网络接口,用于将沙盒连接到网络。 通常以一对的形式出现,一端在容器内,另一端在网络内。一个容器可以有多个端点,每个端点可以加入一个网络。

*   **Network(网络)**:是端点的集合,集合内的所有端点可以相互通信。 网络的实现可以是 Linux 网桥(如 Docker 默认的 `docker0`),也可以是 VLAN 等。

 

Libnetwork CNM 的原生实现,它是一个开源库,为 Docker daemon 和网络驱动程序之间提供了接口。 Libnetwork 负责管理网络的创建、删除,以及 IP 地址分配(通过 IPAM 插件)。 Docker 通过网络驱动程序实现不同的网络拓扑,例如:

*   **Bridge(桥接模式)**:默认的网络驱动,在主机上创建一个私有网络,容器可以通过端口映射与外部通信。

*   **Host(主机模式)**:容器直接共享宿主机的网络命名空间,移除容器与宿主机之间的网络隔离。

*   **Overlay(覆盖网络)**:用于跨多个 Docker 主机进行通信,通常用于 Docker Swarm 等集群环境。

 

CNM 允许用户通过标签(labels)定义元数据,从而自定义 Libnetwork 和驱动程序的行为。

 

#### 2. CNM 的局限性

 

尽管 CNM Docker 容器提供了基本的网络能力,但随着容器编排技术的发展,其局限性也逐渐显现:

*   ** Docker 运行时紧密耦合**CNM 主要为 Docker 运行时设计,与非 Docker 容器运行时集成较为困难。

*   **多主机网络复杂性**:在多主机环境下,CNM 的网络配置和管理相对复杂,需要依赖分布式键值存储(如 Consul)来存储网络配置。

*   **缺乏标准化**CNM Docker 提出的规范,虽然有其他项目采纳,但并非一个被广泛接受的行业标准。

 

### 二、Kubernetes CNI:标准化与开放生态

 

随着 Kubernetes 成为容器编排的事实标准,对一个更开放、更灵活的容器网络模型的需求变得迫切。CoreOS Google 联合制定了 Container Network Interface (CNI) 标准,旨在定义容器网络模型的规范,并连接容器管理系统和网络插件。

 

#### 1. CNI 的核心理念与优势

 

CNI 是一个由 Cloud Native Computing Foundation (CNCF) 定义的开放标准,它提供了一个框架,用于动态配置网络资源。 CNI 的核心理念是将网络配置的实现与容器运行时解耦,只关注容器网络接口的配置和管理。

 

CNI 的主要优势包括:

*   **标准化接口**CNI 定义了一套标准的接口规范,使得不同的容器运行时(如 Kubernetes)可以与各种网络插件无缝集成。

*   **插件化架构**CNI 采用插件化架构,允许第三方供应商开发和提供各种高级网络功能,促进了容器网络生态系统的创新。 这使得 Kubernetes 用户可以根据自身需求选择最合适的网络解决方案。

*   **简化网络配置**CNI 插件负责处理容器网络相关的逻辑,包括创建网络接口、分配 IP 地址、设置路由规则等,极大地简化了网络配置过程。 在没有 CNI 的情况下,用户需要手动完成大量网络配置操作,例如创建接口、设置网络命名空间、配置网桥、分配 IP 地址等。

*   ** Kubernetes 深度集成**:当 Pod Kubernetes 集群中调度时,kubelet 会调用 CNI 插件来配置 Pod 的网络,并在 Pod 终止时清理相关资源。 这确保了网络配置与容器的生命周期管理紧密协调。

 

#### 2. Kubernetes 网络模型的需求

 

Kubernetes 的网络模型有以下几个核心需求:

*   **Pod IP**:每个 Pod 拥有独立的 IP 地址,允许 Pod 之间直接通信,无需进行网络地址转换 (NAT)

*   **Pod Pod 通信**:同一节点上的 Pod 之间可以通过虚拟网桥通信;不同节点上的 Pod 之间需要通过覆盖网络或路由实现通信。

*   **Pod Service 通信**Service 提供稳定的虚拟 IP 地址和 DNS 入口,将请求负载均衡到后端 Pod CNI 在实现 Pod Service 之间的通信中扮演关键角色。

*   **Pod 到外部通信**Pod 可以与集群外部的服务进行通信。

*   **外部到 Service 通信**:外部客户端可以通过 Service 访问集群内部的服务。

 

CNI 插件的目标就是满足这些需求,并提供灵活的实现方式。

 

### 三、常见的 CNI 网络插件:Calico Flannel

 

Kubernetes 容器生态中,涌现了众多 CNI 网络插件,其中 Calico Flannel 是两个非常流行且各有特点的实现。

 

#### 1. Flannel:简单轻量级的覆盖网络

 

Flannel 是一个简单轻量级的 CNI 插件,主要用于为 Kubernetes 集群提供跨主机网络。 它的核心思想是为每个主机分配一个子网,并使用覆盖网络技术在不同主机上的容器之间传输数据包。

 

*   **工作原理**Flannel 在每个主机上运行一个名为 `flanneld` 的小代理,负责从预配置的地址空间中为每个主机分配一个子网租约。 `flanneld` 使用 Kubernetes API etcd 存储网络配置和分配的子网信息。 数据包通过多种后端机制进行转发,其中最常用的是 VXLAN (Virtual Extensible LAN) VXLAN 通过在现有 IP 网络上封装以太网帧来创建虚拟二层网络,实现了跨主机的容器通信。

*   **优势**

    *   **易于部署和配置**Flannel 配置简单,非常适合初学者和对网络功能要求不高的场景。

    *   **提供基本跨主机通信**Flannel 能够有效地解决跨主机容器通信问题,为每个 Pod 提供唯一的 IP 地址。

    *   ** Kubernetes 良好集成**Flannel 提供 CNI 插件,可以与 kubelet 顺利集成,自动配置 Pod 之间的网络。

 

*   **局限性**

    *   **缺乏高级网络策略**Flannel 主要关注提供基础的跨主机连接,不提供高级网络策略(如防火墙规则、流量整形等)功能。

    *   **性能开销**VXLAN 封装会带来一定的性能开销。

 

#### 2. Calico:高性能与网络策略

 

Calico 是一个功能强大的 CNI 插件,提供全面的网络、网络安全和可观测性解决方案,适用于任何 Kubernetes 发行版。 Calico 不仅提供跨主机容器网络,还专注于细粒度的网络策略执行。

 

*   **工作原理**Calico 可以使用多种网络模式,包括基于 BGP 的路由模式和 IP-in-IP 封装。 在 BGP 模式下,Calico 利用 Linux 内核的路由功能,通过 BGP 协议在节点之间直接路由容器流量,避免了封装带来的性能开销。 Calico 还支持 eBPF (extended Berkeley Packet Filter) 技术,用于实现低延迟、高性能的网络和安全策略。

*   **优势**

    *   **强大的网络策略**Calico 提供了 Kubernetes NetworkPolicies 的实现,允许用户定义细粒度的网络策略,控制 Pod 之间的通信以及 Pod 与外部实体之间的通信,从而增强集群的安全性。

    *   **高性能**Calico 可以利用 BGP 等路由协议实现高性能的网络连接,减少封装开销。

    *   **可扩展性**Calico 具有高度的可扩展性,能够在大规模 Kubernetes 集群中稳定运行。

    *   **可观测性**Calico 提供内置功能(如 Felix Typha),提供策略相关指标和流量指标,并可与 Prometheus Grafana 等工具集成进行监控和可观测性。

    *   **平台互操作性**Calico 支持广泛的平台,包括 KubernetesOpenShiftOpenStack 等。

 

*   **局限性**

    *   **复杂度相对较高**:相较于 FlannelCalico 的配置和管理可能更复杂,特别是对于 BGP 路由模式。

 

### 四、容器网络模型的演进对容器生态的影响

 

Docker CNM Kubernetes CNI 的演进,对整个容器生态产生了深远的影响:

 

*   **推动标准化**CNI 的出现推动了容器网络接口的标准化,使得不同容器运行时和网络解决方案之间能够更好地互操作。 这降低了容器网络开发的门槛,促进了创新。

*   **赋能 Kubernetes**CNI Kubernetes 网络的核心组件,为 Kubernetes 提供了灵活、可扩展的网络基础。 它使得 Kubernetes 能够支持各种复杂的网络场景,满足不同应用的需求。

*   **繁荣网络插件生态**CNI 的插件化架构催生了丰富的网络插件生态系统,除了 Flannel Calico,还有 Weave NetCiliumKube-router 等众多解决方案,它们提供了各种高级功能,如服务网格集成、多网络接口、SR-IOV 等。

*   **提升容器安全性**:网络策略的引入(如 Calico 提供的 NetworkPolicy)使得用户可以对容器间的流量进行精细控制,大大提升了容器集群的安全性。

*   **促进云原生发展**CNI 作为云原生计算基金会 (CNCF) 的倡议,是云原生生态系统的重要组成部分。 它为构建和管理云原生应用提供了强大的网络支持,加速了云原生技术的发展和普及。

 

### 总结

 

容器网络模型的演进是容器技术发展的重要缩影。从 Docker CNM 的初步探索,到 Kubernetes CNI 的标准化和开放生态,容器网络经历了从简单连接到复杂策略、从紧密耦合到解耦插件的转变。CNI 的成功,特别是 Calico Flannel 等优秀插件的广泛应用,为 Kubernetes 提供了强大而灵活的网络能力,极大地推动了容器生态的繁荣和云原生应用的落地。未来,随着 eBPF 等新技术的不断发展,容器网络将继续向着更高性能、更安全、更智能的方向演进,为构建下一代分布式应用提供更坚实的基础。

评论

发表评论

此博客中的热门博文

gemini转发国内的部署教程

图片
 最近看到了这个项目 tech-shrimp/gemini-balance-lite: Gemini API 代理, 把Gemini API免费中转到国内。还可以聚合多个Gemini API Key,随机选取API Key的使用实现负载均衡,使得Gemini API免费成倍增加。 今天来演示一下搭建过程 1.点击deploy 2.输入项目名后点击creat 此时就会开始部署,等待一会 3.中转部署完成后,此时分配的域名并不能访问,所以要添加自定义域名 点击下方的黑色按钮,按照下方图片操作 点击Add domain 输入自己域名,没有自己注册一个 dpdns 再去把域名绑定到cloudflare 再输入域名后,会提示输入两个记录 输入域名服务商的dns解析即可 输入完成后点击refresh,域名前打上一个勾说明配置成功 在浏览器输入域名能正确输出结果proxy running就可以了 4.api获取 进入 aistudio 点击get api 创建api密钥复制即可 5.客户端使用 下载 cherry studio 点击左下角设置-模型服务-添加 随便输入一个名字 提供商openai或gemini二选一 api输入刚才复制的api 地址输入刚才的域名 添加一个模型,例如: gemini-2.5-pro gemini-2.0-flash-exp 然后点击测试,成功就说明可以使用,没成功把上述操作重新看一遍 之后cherry studio的设置就要自己摸索 完✌
Read more »

移动 IP 技术:如何在不同网络间无缝切换?

  引言 在当今移动互联网时代,我们习惯了随时随地保持网络连接。无论是乘坐高铁从一个城市到另一个城市,还是在家中、办公室、咖啡店之间切换,我们的手机和智能设备似乎都能保持网络畅通。这种无缝的网络体验背后,离不开一项关键技术——移动IP技术。移动IP技术让设备在不同网络间移动时能够保持连接的连续性,就像我们搬家时不会失去家庭地址一样,我们的设备在移动过程中也能保持"网络地址"的稳定性 8 。 传统IP技术的局限性 传统的IP协议设计之初主要针对固定网络环境。在传统的互联网架构中,每个设备都有一个固定的IP地址,这个地址标识了设备在网络中的位置。当设备需要与其他设备通信时,通信双方都需要知道对方的IP地址 8 。这种设计在固定网络中运行良好,但在移动场景下却面临诸多挑战。 当移动设备从一个网络切换到另一个网络时,由于IP地址的变化,原有的通信连接会被中断。例如,当你的手机从一个基站切换到另一个基站时,运营商需要为你分配新的IP地址,这就像换了个"网络服务站" 3 。这种IP地址的变化会导致正在进行的通话、下载或其他网络应用中断,严重影响用户体验。 移动IP技术的基本原理 移动IP技术正是为了解决上述问题而设计的。其核心思想是为移动设备分配两个IP地址: 家乡地址(Home Address) 和 转交地址(Care-of Address) 6 。 家乡地址 是移动设备永久不变的IP地址,就像公民的身份证号码一样,即使在设备移动过程中也不会改变。 转交地址 是移动设备当前所在网络的临时IP地址,当设备移动到新的网络时会发生变化。 移动IP技术通过 家乡代理(Home Agent) 和 外地代理(Foreign Agent) 两个关键组件来实现无缝切换 6 。家乡代理位于移动设备的家乡网络中,负责维护移动设备的位置信息;外地代理则位于移动设备当前访问的外地网络中,负责将发往移动家乡地址的数据包转发到其当前位置。 移动IP的关键技术组件 1. 家乡代理(Home Agent) 家乡代理是移动IP技术中的核心组件之一。它位于移动设备的家乡网络中,主要职责包括: 维护移动设备的位置信息,记录其当前的转交地址 截发发往移动设备家乡地址的数据包 将数据包通过隧道技术转发到移动设备的当前位置 处理移动设备的位置更新请求 2. 外地代理(Forei...
Read more »

公共 Wi-Fi 安全吗?你需要知道的风险

  在咖啡馆、机场、酒店甚至公交车上,公共 Wi-Fi 热点随处可见。它们提供了一种便捷的方式来连接互联网,无需消耗移动数据流量。然而,这种便利背后潜藏着诸多安全风险。了解这些风险并采取适当的预防措施至关重要,以保护您的个人信息和设备安全。 什么是公共 Wi-Fi? 公共 Wi-Fi 是指在公共场所提供的无线网络连接,通常是开放的,无需密码或只需简单密码即可连接。这些网络通常由企业、政府或第三方服务提供商提供,旨在方便公众访问互联网。 公共 Wi-Fi 的便利性 公共 Wi-Fi 的主要优点是其便利性。它允许用户在没有移动数据或固定网络连接的情况下访问互联网。这对于旅行者、学生、以及那些需要随时随地保持联系的人来说尤其有用。此外,公共 Wi-Fi 通常是免费的,这使其成为一个经济实惠的选择。 公共 Wi-Fi 的风险 虽然公共 Wi-Fi 提供了诸多便利,但也存在一些严重的风险: 不安全的网络连接:  许多公共 Wi-Fi 网络未加密,这意味着您在网络上发送和接收的数据可以被拦截和读取。攻击者可以使用各种工具来监视网络流量,捕获密码、信用卡信息和其他敏感数据。 中间人攻击:  中间人攻击是指攻击者拦截您与网站或服务之间的通信,并冒充其中一方。这使得攻击者可以窃取您的登录凭据、个人信息或操纵您看到的信息。 恶意热点:  攻击者可以设置虚假的 Wi-Fi 热点,模仿合法的网络名称(例如,咖啡馆的 Wi-Fi)。当您连接到这些恶意热点时,您的所有流量都会通过攻击者的服务器,他们可以窃取您的数据或向您的设备注入恶意软件。 恶意软件传播:  公共 Wi-Fi 网络可能成为恶意软件传播的途径。攻击者可以利用未打补丁的操作系统或应用程序漏洞,通过网络传播病毒、蠕虫和其他恶意软件。 嗅探攻击:  攻击者可以使用嗅探工具来捕获网络上的数据包。这些数据包可能包含用户名、密码、电子邮件和其他敏感信息。即使网站使用 HTTPS 加密,攻击者仍然可以捕获加密的流量并尝试破解密码。 会话劫持:  攻击者可以劫持您的会话,冒充您访问网站或服务。这通常通过窃取您的会话 cookie 来实现,这些 cookie 存储了您的登录信息和会话状态。 如何保护自己 尽管存在上述风险,您仍然可以在使用公共 Wi-Fi 时采取一些措施来保护自己...
Read more »