张之晗 Tetrate ⼯程师/Istio 社区 Release Manager 服务⽹格安全—— 理解 Istio CNI Istio Meetup China About me Istio 1.10 Release Manager, Istio Community, 2021-Present GetMesh(GetIstio) core contributor, Istio Community SkyWalking Agenda CNI and Networking basics Introduction to Istio Networking and CNI Race Condition issues in istio CNI during Node bootstrap Community Solutions to istio CNI CNI Basics Kube Proxy: into Pod IP addresses CNI plugins: allocate ip addresses for workloads exist in nodes CNI interface Calico Antrea Flannel Istio CNI CNI Daemonset Calico Antrea Flannel Istio CNI Networking lifecycle

OPERATOR 配置 4.5.1. Cluster Network Operator 配置对象 defaultNetwork 对象配置 配置 OpenShift SDN CNI 集群网络供应商 配置 OVN-Kubernetes CNI 集群网络供应商 kubeProxyConfig 对象配置 4.5.2. Cluster Network Operator 配置示例 4.6. 其他资源 第 第 OPERATOR 12.10.1. 卸载 SR-IOV Network Operator 第 第 13 章 章 OPENSHIFT SDN 默 默认 认 CNI 网 网络 络供 供应 应商 商 13.1. 关于 OPENSHIFT SDN 默认 CNI 网络供应商 13.1.1. OpenShift SDN 网络隔离模式 105 105 105 106 106 106 107 107 108 130 130 132 135 138 138 140 140 140 OpenShift Container Platform 4.6 网 网络 络 4 13.1.2. 支持的默认 CNI 网络供应商功能列表 13.2. 为项目配置出口 IP 13.2.1. 项目出口流量的出口 IP 地址分配 13.2.1.1. 使用自动分配的出口 IP 地址时的注意事项 13.2.1.2. 使用手动分配出口

和 RDMA 14.10. 卸载 SR-IOV NETWORK OPERATOR 第 第 15 章 章 OPENSHIFT SDN 默 默认 认 CNI 网 网络 络供 供应 应商 商 15.1. 关于 OPENSHIFT SDN 默认 CNI 网络供应商 15.2. 为项目配置出口 IP 15.3. 为项目配置出口防火墙 15.4. 为项目编辑出口防火墙 15.5. 为项目编辑出口防火墙 配置网络隔离 15.15. 配置 KUBE-PROXY 第 第 16 章 章 OVN-KUBERNETES 默 默认 认 CNI 网 网络 络供 供应 应商 商 16.1. 关于 OVN-KUBERNETES 默认 CONTAINER NETWORK INTERFACE (CNI) 网络供应商 16.2. 从 OPENSHIFT SDN 集群网络供应商迁移 16.3. 回滚到 OPENSHIFT Operator(CNO)在 OpenShift Container Platform 集群中部署和管理集群网络组件。 这包括在安装过程中为集群选择的 Container Network Interface(CNI)默认网络供应商插件部署。 配置映射 配置映射 配置映射提供将配置数据注入 pod 的方法。您可以在类型为 ConfigMap 的卷中引用存储在配置映射 中的数据。在 pod 中运行的应用程序可以使用这个数据。

故障转移 16.8. INGRESSIP 的高可用性 16.9. 删除 IP 故障切换 第 第 17 章 章 配置接口 配置接口级别 级别网 网络 络 SYSCTL 17.1. 配置调优 CNI 17.2. 其他资源 第 第 18 章 章 在裸机集群中使用流控制 在裸机集群中使用流控制传输协议 传输协议 (SCTP) 18.1. 支持 OPENSHIFT CONTAINER PLATFORM 其自然复杂性。 以下列表重点介绍集群中可用的一些最常用的 Red Hat OpenShift Networking 功能： 由以下 Container Network Interface (CNI) 插件之一提供的主要集群网络： OVN-Kubernetes 网络插件，默认插件 OpenShift SDN 网络插件 经认证的第三方替代主网络插件 用于网络插件管理的 Cluster Network 流量的 Ingress Operator 用于名称分配的 DNS Operator 用于裸机集群上的流量负载均衡的 MetalLB Operator 对高可用性的 IP 故障转移支持 通过多个 CNI 插件支持额外的硬件网络，包括 macvlan、ipvlan 和 SR-IOV 硬件网络 IPv4、IPv6 和双堆栈寻址 用于基于 Windows 的工作负载的混合 Linux-Windows

Kafka, ES, Kafka, MinIO, MySQL, Redis, PG, MongoDB 镜像仓库 基于 Harbor, Docker Hub 构建的镜像集成和托管服务 网络 多 CNI 融合方案 存储 容器化存储综合方案 容器管理 容器管理是基于 Kubernetes 开源技术构建的面向云原生应用的容器管理平台， 基于原生多集群架构，解耦底层基础设施平台，实现多云与多集群统一化管 云原生网络基于多个开源技术构建，不仅提供单个 CNI 网络支持， 也提供多个 CNI 网络的组合方案。具体方案如下： Cilium + MacVLAN/SR-IOV/IPVLAN + SpiderPool + Multus 此方案适用于高内核版本（4.19.57+）的 Linux 操作系统。 方案以 Multus 为 调度核心，搭配多 CNI，满足不同的网络场景需求，实现跨云跨集群的网络连 此网络组合的主要功能如下： 1. 以 Multus 为调度核心，实现 Pod 多 CNI 的 IP 分配，支持应用的多态网 络通信场景。基于开源方案实现本集群内跨 CNI 的 Pod 间通信。 如果应用没有 Pod 多网卡以及不同网络形态需求，可以不安装 Multus。 2. 以 Spiderpool 作为 Underlay CNI 的 IPAM 管理组件，实现 IP 精细化管 理、灵活的 IP 规划及分配。

UK8S Think in Cloud . 北北京 UK8S集群⽹网络⽅方案 01 UK8S管理理架构 02 托管⽅方案 03 Think in Cloud . 北北京 ⾃自研CNI插件 与VPC⽹网络深度集成 UK8S集群⽹网络⽅方案 利利⽤用SecondaryIP API实现IP管理理 ⽆无overlay 性能与云主机⼀一致 Pod⽹网络可与物理理云 Node上都采⽤用underlay模式的cni插件，保证node/ pod/公有云上其他资源都可以互通，需要规划好⽹网段 保证互不不冲突。 • 公有云上underlay模式cni插件已经实现 • 托管区underlay模式cni插件可有以下⼏几种⽅方法实现： A. 基于⾃自定义路路由 B. 基于⼆二层bridge 共有云 托管云 UK8S Master ⽹网关 CNI-VPC CNI-VPC CNI-VPC CNI-VPC Node A Node B Node C Node C Node D Node E CNI-X CNI-X CNI-X Think in Cloud . 北北京 UK8S托管⽅方案 • 业务流量量⼊入⼝口由公有云的ULB和node节点承载。 • 通过在k8s集群中定义LoadBalance类型的service，业 务流量量可以先通过ULB转发到公有云Node节点上，再 通过公

要安装的集群网络供应商 Container Network Interface (CNI) 插件。 OpenShiftSDN 或 OVNKubernetes。OpenShiftSDN 是 all-Linux 网络的 CNI 供应 商。OVNKubernetes 是包含 Linux 和 Windows 服务器的 Linux 网络和混合 网络的 CNI 供应商。默认值为 OpenShiftSDN。 networking 要安装的集群网络供应商 Container Network Interface (CNI) 插件。 OpenShiftSDN 或 OVNKubernetes。OpenShiftSDN 是 all-Linux 网络的 CNI 供应 商。OVNKubernetes 是包含 Linux 和 Windows 服务器的 Linux 网络和混合 网络的 CNI 供应商。默认值为 OpenShiftSDN。 networking Container Network Interface(CNI)网络供应商只支持服务网络的 一个 IP 地址块。例如： 您只能在创建清单前在 install-config.yaml 文件中自定义此字 段。该值在清单文件中是只读的。 spec.defaultNet work object 为集群网络配置 Container Network Interface(CNI)集群网络供应 商。 spec.kubeProxy

PersistentVolume。 您可以将 OpenShift Virtualization 与 OVN-Kubernetes、OpenShiftSDN或认证的 OpenShift CNI 插件中 列出的其他默认 Container Network Interface (CNI) 网络供应商一起使用。 1.1.1. OpenShift Virtualization 支持的集群版本 OpenShift Virtualization 图标表示。 OpenShift Virtualization 可以与 OVN-Kubernetes 或 OpenShiftSDN 默认 Container Network Interface（CNI）网络供应商一起使用。 了解更多有关 OpenShift Virtualization 的作用。 3.1.1. OpenShift Virtualization 支持的集群版本 OpenShift 作为默认 Container Network Interface(CNI)供应商，则无法将 Linux 网桥或绑定设备附加到主机的默认接口，因为 OVN-Kubernetes 的主机网络拓扑发生了变化。(BZ#1885605) 作为临时解决方案，您可以使用连接到主机的二级网络接口，或切换到 OpenShift SDN 默认 CNI 供应商。 E0222 17:52:54.088950

Vertical Pod Autoscaler Operator 支持 支持 功能 功能 IBM Power® IBM Z® 和 和 IBM® LinuxONE 表 表 1.4. Multus CNI 插件 插件 功能 功能 IBM Power® IBM Z® 和 和 IBM® LinuxONE Bridge 支持 支持 Host-device 支持 支持 IPAM 支持 支持 IPVLAN 关联性对齐。在这个窗口中，如果一个 Guaranteed QoS pod 启动，它可能会遇到延迟激增。 1.3.9.5. 多个 多个 IP 地址的双 地址的双栈 栈配置 配置 在以前的 Whereabouts IPAM CNI 插件版本中，每个网络接口只能分配一个 IP 地址。 现在，Whereabouts 支持分配任意数量的 IP 地址来支持双栈 IPv4/IPv6 功能。请参阅动态为双栈 IP 地址 分配创建配置。 （技术预览 术预览） ） OpenShift Container Platform 4.14 发 发行注 行注记 记 18 管理网络策略作为技术预览功能提供。在运行 OVN-Kubernetes CNI 插件的集群中，您可以启用 AdminNetworkPolicy 和 BaselineAdminNetworkPolicy 资源，它们是 Network Policy V2 API 的一部 分。集

第 第 1 章 章 SERVICE MESH 发 发行注 行注记 记 5 本发行版本中的其他显著变化包括： Kubernetes Container Network Interface (CNI) 插件一直被启用。 control plane 默认配置为多租户。单租户、集群范围内的 control plane 配置功能已弃用。 通过 OperatorHub 安装 Elasticsearch 启用了健康检查功能时，会出现预期外的控制台信息。 MAISTRA-158 应用指向同一主机名的多个网关时，会导致所有网关停止工作。 MAISTRA-806 被逐出的 Istio Operator Pod 会导致 mesh 和 CNI 不能被部署。 如果在部署 control pane 时 istio-operator pod 被逐出，删除被逐出的 istio-operator pod。 1.4.2. Kiali 已知问题 Kiali Enterprise Linux 操作系统进行链接。 2.1.8. Istio Container Network Interface (CNI) 插件 Red Hat OpenShift Service Mesh 包括 CNI 插件，它为您提供了配置应用程序 pod 网络的替代方法。CNI apiVersion: "rbac.istio.io/v1alpha1" kind: ServiceRoleBinding