Docker容器技術(shù)與應(yīng)用湖北輕工職業(yè)技術(shù)學(xué)院Kubernetes網(wǎng)絡(luò)管理和數(shù)據(jù)卷管理項(xiàng)目7項(xiàng)目背景在當(dāng)今數(shù)字化時(shí)代，容器化技術(shù)廣泛應(yīng)用，Kubernetes作為容器編排的事實(shí)標(biāo)準(zhǔn)，其重要性日益凸顯。隨著容器數(shù)量增多，網(wǎng)絡(luò)管理復(fù)雜性呈指數(shù)級(jí)增長(zhǎng)。不同容器間通信、服務(wù)暴露與安全防護(hù)等問題亟待解決，因此開展Kubernetes的網(wǎng)絡(luò)管理項(xiàng)目意義重大。Kubernetes網(wǎng)絡(luò)管理和數(shù)據(jù)卷管理項(xiàng)目7本項(xiàng)目聚焦于Kubernetes的網(wǎng)絡(luò)管理。旨在深入剖析Kubernetes網(wǎng)絡(luò)架構(gòu)，通過優(yōu)化網(wǎng)絡(luò)策略配置，提升容器間通信效率與穩(wěn)定性。同時(shí)，建立高效的網(wǎng)絡(luò)監(jiān)控體系，實(shí)時(shí)洞察網(wǎng)絡(luò)狀態(tài)。最終實(shí)現(xiàn)安全、可靠、可擴(kuò)展的Kubernetes網(wǎng)絡(luò)管理方案，為企業(yè)容器化應(yīng)用提供堅(jiān)實(shí)網(wǎng)絡(luò)支撐。項(xiàng)目七：Kubernetes網(wǎng)絡(luò)管理和數(shù)據(jù)卷管理目錄任務(wù)7.1、Kubernetes網(wǎng)絡(luò)管理任務(wù)7.2、Kubernetes數(shù)據(jù)卷管理Kubernetes的基本操作回顧1、kubectl命令的使用方法。2、kubectl命令的運(yùn)維命令。知識(shí)目標(biāo)了解Kubernetes的網(wǎng)絡(luò)管理。能力目標(biāo)掌握Kubernetes的Calico集群網(wǎng)絡(luò)。素質(zhì)目標(biāo)培養(yǎng)團(tuán)隊(duì)協(xié)作精神，樹立誠(chéng)信意識(shí)。培養(yǎng)自主鉆研的工匠精神。公司員工通過小王編寫的Kubernetes基本操作手冊(cè)，對(duì)Kubernetes的搭建和基本操作有了初步了解，公司為讓員工對(duì)Kubernetes的應(yīng)用場(chǎng)景有進(jìn)一步了解，安排小王編寫Kubernetes下網(wǎng)絡(luò)應(yīng)用技術(shù)操作手冊(cè)。任務(wù)7.1Kubernetes網(wǎng)絡(luò)管理任務(wù)要求7.1Kubernetes網(wǎng)絡(luò)基礎(chǔ)Kubernetes網(wǎng)絡(luò)主要確保集群內(nèi)部各個(gè)組件之間以及集群與外部之間能夠高效、安全地通信。1．核心概念Kubernetes網(wǎng)絡(luò)管理的核心概念主要包括Pod、Service、ClusterIP、NodePort等。（1）Pod：Kubernetes中的最小部署單元，由一個(gè)或多個(gè)容器組成，共享相同的網(wǎng)絡(luò)命名空間、存儲(chǔ)資源以及IPC（進(jìn)程間通信）。（2）Service：Kubernetes中的一種抽象資源，它定義了一組Pod的邏輯集合和訪問這些Pod的策略。Service通過LabelSelector找到對(duì)應(yīng)的Pod，并對(duì)外提供一個(gè)穩(wěn)定的訪問入口。（3）ClusterIP：Kubernetes為Service分配的一個(gè)虛擬IP地址，僅在集群內(nèi)部可見，用于集群內(nèi)部Pod之間的通信。（4）NodePort：一種將Service端口映射到集群中每個(gè)節(jié)點(diǎn)上靜態(tài)端口的方式，使得外部流量可以通過訪問任意節(jié)點(diǎn)的該端口來(lái)訪問Service。7.1任務(wù)7.1Kubernetes網(wǎng)絡(luò)管理相關(guān)知識(shí)Kubernetes核心組件Kubernetes網(wǎng)絡(luò)的核心組件主要涉及網(wǎng)絡(luò)代理（Kube-proxy）和網(wǎng)絡(luò)插件（CNI）及容器網(wǎng)絡(luò)配置等方面。（1）Kube-proxyKube-proxy是Kubernetes集群中負(fù)責(zé)網(wǎng)絡(luò)服務(wù)的一個(gè)重要組件，負(fù)責(zé)為KubernetesService提供網(wǎng)絡(luò)代理功能，實(shí)現(xiàn)Service的負(fù)載均衡和Pod之間的通信。Kube-Proxy負(fù)責(zé)監(jiān)聽Service和Endpoint對(duì)象的變化，相應(yīng)地更新節(jié)點(diǎn)上的iptable或ipvs規(guī)則，以實(shí)現(xiàn)請(qǐng)求的轉(zhuǎn)發(fā)和負(fù)載。（2）CNI（ContainerNetworkInterface）插件Kubernetes網(wǎng)絡(luò)不是集群內(nèi)部自己實(shí)現(xiàn)的，而是依賴于第三方網(wǎng)絡(luò)插件，如Flannel、Calico等。這些插件遵循CNI標(biāo)準(zhǔn)，負(fù)責(zé)在集群中創(chuàng)建和管理網(wǎng)絡(luò)。通過配置網(wǎng)絡(luò)接口、分配IP地址等方式，將Pod連接到集群網(wǎng)絡(luò)中，確保Pod之間能夠跨節(jié)點(diǎn)通信。7.1任務(wù)7.1Kubernetes網(wǎng)絡(luò)管理相關(guān)知識(shí)Kubernetes網(wǎng)絡(luò)通信機(jī)制在實(shí)際的業(yè)務(wù)應(yīng)用場(chǎng)景中，由于業(yè)務(wù)組件之間關(guān)系的復(fù)雜性，特別是隨著微服務(wù)的不斷發(fā)展與成熟，應(yīng)用部署的粒度也更加細(xì)小和靈活。為了支持應(yīng)用組件之間的通信，Kubernetes網(wǎng)絡(luò)常用通信主要分為以下幾種。1．Pod內(nèi)部通信在同一個(gè)Pod內(nèi)的容器共享同一個(gè)網(wǎng)絡(luò)命名空間，包括IP地址、網(wǎng)絡(luò)設(shè)備、配置等。因此，Pod內(nèi)的容器可以像在同一臺(tái)機(jī)器上進(jìn)行通信一樣，甚至可以使用localhost地址訪問彼此的端口。7.1任務(wù)7.1Kubernetes網(wǎng)絡(luò)管理相關(guān)知識(shí)Kubernetes網(wǎng)絡(luò)通信機(jī)制2．Pod之間的通信Pod之間的通信分為同一個(gè)節(jié)點(diǎn)內(nèi)Pod之間的通信和不同節(jié)點(diǎn)上Pod之間的通信。（1）同一個(gè)節(jié)點(diǎn)內(nèi)Pod之間的通信。每個(gè)Pod都會(huì)分配一個(gè)真實(shí)的全局IP地址，相互之間可以直接采用對(duì)方Pod的IP地址進(jìn)行通信，不需要采用其他發(fā)現(xiàn)機(jī)制，因?yàn)樗鼈兌歼B接到同一個(gè)網(wǎng)橋（如docker0）上。（2）不同節(jié)點(diǎn)上Pod之間的通信。由于不同節(jié)點(diǎn)之間的通信需要通過宿主機(jī)的物理網(wǎng)卡進(jìn)行，因此不同節(jié)點(diǎn)上Pod之間的通信依賴于CNI插件提供的網(wǎng)絡(luò)路由或隧道技術(shù)（如IPIP、VXLAN等）來(lái)實(shí)現(xiàn)。因這些技術(shù)允許Pod的IP數(shù)據(jù)包在不同的節(jié)點(diǎn)之間傳輸，從而實(shí)現(xiàn)跨節(jié)點(diǎn)的Pod通信。7.1任務(wù)7.1Kubernetes網(wǎng)絡(luò)管理相關(guān)知識(shí)Kubernetes網(wǎng)絡(luò)通信機(jī)制3．Pod與Service的通信Service是Kubernetes中的一個(gè)抽象實(shí)體，它定義了一組Pod的訪問入口。用戶可以通過訪問Service的IP地址和端口號(hào)來(lái)訪問其背后的Pod。對(duì)于Service而言，Kubernetes在創(chuàng)建Service時(shí)，會(huì)為其分配一個(gè)虛擬IP地址。用戶在訪問時(shí)，由于Service是一個(gè)虛擬的概念，真正完成轉(zhuǎn)發(fā)的是運(yùn)行在節(jié)點(diǎn)上的Kube-proxy。當(dāng)請(qǐng)求到達(dá)節(jié)點(diǎn)時(shí)，Kube-proxy會(huì)根據(jù)規(guī)則將請(qǐng)求轉(zhuǎn)發(fā)到相應(yīng)的Pod上。7.1任務(wù)7.1Kubernetes網(wǎng)絡(luò)管理相關(guān)知識(shí)Kubernetes網(wǎng)絡(luò)通信機(jī)制4．集群外部與內(nèi)部組件之間的通信在Kubernetes中，可通過NodePort或LoadBalancer等方式將Service暴露給外部流量，以實(shí)現(xiàn)集群外部與內(nèi)部組件之間的通信。其中，NodePort可通過在每個(gè)節(jié)點(diǎn)上分配一個(gè)靜態(tài)端口來(lái)實(shí)現(xiàn)，而LoadBalancer則需要云提供商的支持。7.1任務(wù)7.1Kubernetes網(wǎng)絡(luò)管理相關(guān)知識(shí)Kubernetes網(wǎng)絡(luò)插件Kubernetes網(wǎng)絡(luò)的實(shí)現(xiàn)主要依賴于第三方網(wǎng)絡(luò)插件，如CNI（ContainerNetworkInterface）插件，負(fù)責(zé)為Pod分配IP地址、創(chuàng)建網(wǎng)絡(luò)命名空間以及管理Pod之間的網(wǎng)絡(luò)通信。常用的網(wǎng)絡(luò)插件如下。1．Flannel2．Calico3．Canal4．WeaveNet5．Cilium7.1任務(wù)7.1Kubernetes網(wǎng)絡(luò)管理相關(guān)知識(shí)Kubernetes網(wǎng)絡(luò)插件1．FlannelFlannel是Kubernetes中最常用的網(wǎng)絡(luò)插件之一，提供IP自動(dòng)分配和簡(jiǎn)單的網(wǎng)絡(luò)配置管理功能，通過創(chuàng)建一個(gè)扁平的網(wǎng)絡(luò)，為集群中的每個(gè)Pod分配一個(gè)子網(wǎng)，可使用覆蓋網(wǎng)絡(luò)（OverlayNetwork）來(lái)實(shí)現(xiàn)跨節(jié)點(diǎn)的Pod通信。Flannel支持多種后端技術(shù)，如UDP、VXLAN和Host-GW，其中VXLAN是默認(rèn)選項(xiàng)，因?yàn)樗峁┝溯^好的性能和靈活性。7.1任務(wù)7.1Kubernetes網(wǎng)絡(luò)管理相關(guān)知識(shí)Kubernetes網(wǎng)絡(luò)插件2．Calico Calico是一種基于BGP（邊界網(wǎng)關(guān)協(xié)議）的開源容器網(wǎng)絡(luò)解決方案，專為Kubernetes和其他容器化平臺(tái)提供高性能、高可靠性的網(wǎng)絡(luò)。使用路由表來(lái)路由容器之間的流量，支持多種網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，并且可以與現(xiàn)有的網(wǎng)絡(luò)設(shè)施無(wú)縫集成。Calico提供網(wǎng)絡(luò)安全和管理功能，如使用訪問控制列表（ACL）、流量控制和加密等，以保護(hù)網(wǎng)絡(luò)免受不良行為的侵害。通過定義NetworkPolicy資源來(lái)控制Pod之間的通信。7.1任務(wù)7.1Kubernetes網(wǎng)絡(luò)管理相關(guān)知識(shí)Kubernetes網(wǎng)絡(luò)插件3．Canal Canal是一個(gè)組合了Flannel和Calico的網(wǎng)絡(luò)插件，它結(jié)合了Flannel的覆蓋網(wǎng)絡(luò)技術(shù)和Calico的網(wǎng)絡(luò)策略與安全性功能。通過Flannel來(lái)提供容器之間的通信，并使用Calico來(lái)處理網(wǎng)絡(luò)策略和安全性需求。7.1任務(wù)7.1Kubernetes網(wǎng)絡(luò)管理相關(guān)知識(shí)Kubernetes網(wǎng)絡(luò)插件4．WeaveNet WeaveNet是一種輕量級(jí)的網(wǎng)絡(luò)插件，使用虛擬網(wǎng)絡(luò)技術(shù)為容器提供IP地址，并支持多種網(wǎng)絡(luò)后端，如VXLAN、UDP和TCP/IP。 WeaveNet提供了網(wǎng)絡(luò)策略、網(wǎng)絡(luò)可視化和監(jiān)控功能，允許用戶定義哪些Pod可以相互通信，以及幫助用戶更好地理解和診斷網(wǎng)絡(luò)問題。7.1任務(wù)7.1Kubernetes網(wǎng)絡(luò)管理相關(guān)知識(shí)Kubernetes網(wǎng)絡(luò)插件5．Cilium Cilium是一種基于eBPF（擴(kuò)展伯克利包過濾器）技術(shù)的網(wǎng)絡(luò)插件，它利用Linux內(nèi)核的動(dòng)態(tài)插件來(lái)提供網(wǎng)絡(luò)功能，如路由、負(fù)載均衡、安全性和網(wǎng)絡(luò)策略等。 Cilium提供了高性能的網(wǎng)絡(luò)通信和靈活的安全策略實(shí)施能力，同時(shí)支持IPv4和IPv6。在實(shí)際應(yīng)用中，在選擇網(wǎng)絡(luò)插件時(shí)，需要根據(jù)集群的具體需求和場(chǎng)景進(jìn)行綜合考慮。例如，對(duì)于需要高性能和高可靠性的場(chǎng)景，可以選擇Calico或Cilium插件；對(duì)于需要簡(jiǎn)單配置和管理的場(chǎng)景，可以選擇Flannel插件；而對(duì)于需要同時(shí)考慮網(wǎng)絡(luò)策略和安全性的場(chǎng)景，則可以選擇Canal插件。7.1任務(wù)7.1Kubernetes網(wǎng)絡(luò)管理相關(guān)知識(shí)實(shí)訓(xùn)目的（1）掌握Kubernetes集群下Calico的配置。（2）了解Calico網(wǎng)絡(luò)插件的工作原理。7.1任務(wù)7.1Kubernetes網(wǎng)絡(luò)管理項(xiàng)目實(shí)訓(xùn)（在Kubernetes下部署nginx服務(wù)）實(shí)訓(xùn)步驟1.任務(wù)環(huán)境準(zhǔn)備本任務(wù)選用兩臺(tái)部署在VMwareWorkstation16中的虛擬機(jī)，虛擬機(jī)均已預(yù)先安裝Redhat8.1運(yùn)行環(huán)境。各虛擬主機(jī)基本配置信息表如表6-1所示。表6-1各虛擬主機(jī)基本配置信息表7.1任務(wù)7.1Kubernetes網(wǎng)絡(luò)管理項(xiàng)目實(shí)訓(xùn)主機(jī)名IP地址虛擬機(jī)CPU/內(nèi)存節(jié)點(diǎn)角色k8s-master192.168.100.101/242vcpus/8GB管理節(jié)點(diǎn)k8s-node01192.168.100.20/242vcpus/8GB工作節(jié)點(diǎn)1k8s-node02192.168.100.30/242vcpus/8GB工作節(jié)點(diǎn)2實(shí)訓(xùn)步驟2.配置Kubernetes的yum源，并安裝必備軟件包。3.安裝kubectl、kubelet和kubeadm服務(wù)，版本選用1.28.2。4.初始化Kubernetes