Pod 网络与 CNI 的作用

在 Kubernetes 中，Pod 网络 是实现容器间通信的核心机制，每个 Pod 拥有独立的 IP 地址，可直接跨节点通信。CNI（Container Network Interface） 是 Kubernetes 的网络插件标准，负责为 Pod 分配 IP、配置网络规则，并确保 Pod 间的连通性。常见的 CNI 插件（如 Calico、Flannel）通过不同技术实现这一目标。

CNI 的核心作用

IP 地址管理（IPAM）
- 为每个 Pod 分配唯一的 IP 地址，确保集群内无冲突。
网络连通性
- 实现同一节点内的 Pod 通信（通过网桥或虚拟设备）。
- 实现跨节点 Pod 的通信（通过 Overlay 网络或路由规则）。
网络策略支持
- 部分插件（如 Calico）支持定义网络策略（NetworkPolicy），控制 Pod 间的流量。

常见 CNI 插件对比

插件	实现原理	特点	适用场景
Flannel	Overlay 网络（如 VXLAN）或 Host-GW	- 简单易用 - 默认使用 VXLAN 封装跨节点流量 - 性能中等	中小规模集群、快速部署
Calico	BGP 路由 + IPIP 封装	- 高性能（直接路由，避免 Overlay 开销） - 支持网络策略 - 复杂度较高	大规模集群、需要安全策略的环境
Cilium	eBPF 技术	- 高性能和可观测性 - 支持 L7 网络策略 - 内核要求较高	云原生、安全敏感型应用

Pod 间通信原理

1. 同一节点内的 Pod 通信

通信流程：
1. Pod A 发送数据包到 Pod B 的 IP。
2. 节点上的 CNI 网桥（如 cni0） 根据 ARP 表找到 Pod B 的 MAC 地址。
3. 数据包直接通过网桥转发到 Pod B 的虚拟网卡（veth pair）。

示意图：

Pod A (eth0) <--> veth pair <--> cni0 <--> veth pair <--> Pod B (eth0)

2. 跨节点的 Pod 通信

不同 CNI 插件的实现方式：

Flannel（VXLAN 模式）

原理：
1. Pod A 发送数据包到目标 Pod C 的 IP。
2. 源节点通过 Flannel 的 VXLAN 隧道 封装数据包，目标地址为 Pod C 所在节点的 IP。
3. 目标节点解封装数据包，通过本地网桥转发到 Pod C。
特点：
- 依赖 Overlay 网络，适用于不支持 BGP 的网络环境。
- 因封装开销，性能略低于直接路由方案。

Calico（BGP 路由模式）

原理：
1. 每个节点作为 BGP Speaker，通过 BGP 协议向其他节点宣告本机 Pod 的 IP 段。
2. Pod A 发送数据包到 Pod C 的 IP，节点根据路由表直接通过物理网络转发到目标节点。
3. 目标节点通过本地网桥将数据包送达 Pod C。
特点：
- 无 Overlay 封装，性能接近物理网络。
- 需要网络设备支持 BGP 或配置 IPIP 隧道（兼容非 BGP 环境）。

示例：Calico 的跨节点通信（BGP 模式）

节点路由表（查看节点路由规则）：

ip route show
# 输出示例：
# 10.244.1.0/24 via 192.168.1.102 dev eth0  # 目标节点 IP 为 192.168.1.102

数据包路径：
- Pod A（IP 10.244.0.10）→ 节点 A 路由 → 节点 B（IP 192.168.1.102）→ Pod C（IP 10.244.1.10）。

CNI 插件选型建议

Flannel：
- 适合快速部署、无需复杂策略的小型集群。
- 缺点：缺乏网络策略支持（需结合其他工具如 Calico）。
Calico：
- 适合中大规模集群，尤其是需要高性能和网络策略的场景。
- 缺点：BGP 配置需网络设备支持，复杂度较高。
Cilium：
- 适合云原生环境，需要 L7 策略和深度可观测性的场景。

网络策略（NetworkPolicy）示例

Calico 支持通过 NetworkPolicy 限制 Pod 流量：

apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:name: allow-frontend
spec:podSelector:matchLabels:role: frontendingress:- from:- podSelector:matchLabels:role: backendports:- protocol: TCPport: 80