前言

IT行业中网络技术本身就是最枯燥但又最复杂的一块，kebernetes用到的这些虚拟网络技术更是难上加难，许多知识点容易记混淆，或者说能背过概念但不清楚它出现的前因后果和应用场景，本篇博文会按照底层协议->上层技术->顶层框架的顺序来为大家好好分享下云原生网络的基本概念，帮助大家形成框架式的知识结构。

协议

二层和三层

二层（数据链路层）：将数据封装在点对点协议的帧中通过互联网络发送。
三层（网络层）：将数据包封装在附加的IP包头中通过IP网络传送。
二层网络是直接通过MAC寻址，三层网络是通过IP寻址，要搞懂二层网络和三层网络的区别，只需要搞明白交换机和路由器就行。
交换机：连入同一交换机的机器是直接通过MAC寻址的，直接发送“帧”，因为已经确定是对方的东西所以可以无脑发过去。
路由器：局域网自动分配IP，处理TCP/IP协议，根据IP地址寻址，局域网内机器对外共享同一个IP地址。
以上是较为概念性的解释，现在用白话再讲解一下。
目的不一样：交换机解决的是同层网络规模的平行扩展问题，路由器解决的是跨网络传输问题。
举个例子，宿舍10个人一起打Dota，如果你们只是自己局域网玩5V5，只需要购买一个具备10个接口的交换机即可；如果你们要开黑跟别人打，那交换机前必须加一个路由器帮你们把网络打通。
二层网络就是通过交换机组成的网络，网络中机器是直接互通的。 三层网络是通过路由器组成的网络，会引入子网的概念，而子网之间的互通就用到了路由技术。

TPC/IP协议

官方定义： 传输控制协议/网际协议，是指能够在多个不同网络间实现信息传输的协议簇。OK，看到“不同网络”四个字，就知道他是为了解决三层问题的。
核心协议：
TCP: 三次握手、传输、四次挥手，是一种可靠、低效的传输。
UDP：客户端有多大胆网络有多大产，是一种不靠谱但高效的传输。
TCP大家都了解，UDP需要多说几句。UDP在安全上存有很大问题。
洪流攻击：伪造大量小UDP包发往同一个目标随机端口，受害系统必须对流入数据进行分析以确定哪个应用服务请求了数据，溢出的UDP报文能使受害主机网络饱和。

技术

overlay网络

任何网络的底层不是二层网络就是三层网络，因为没有这个底层就不存在网络访问能力，kubernetes也不例外。但kubernetes因为自己的虚拟化技术对网络维护带来巨大的管理成本，所以干脆先把网络划分为两大层。底层叫underlay，就是上述的二层或三层网络，是真正负责传输且真实存在的物理网络；上层叫overlay，使用网络虚拟化在物理基础设施之上建立连接的逻辑网络，实现了控制平面与转发平面的分离。

其实不仅是kubernetes，整个云计算领域网络层的发展都离不开Overlay的功劳，而Overlay是依托SDN（Software Defined Network）技术来实现的，最常用的Overlay技术是VXLAN。

VXLAN

通过三层的网络来搭建虚拟二层网络的虚拟化隧道通信技术，底层原理是将二层以太网帧封装在UDP中，实现了看似直连的效果。
VTEP：隧道断点，是进行报文封包和解包操作的网络设备，是Overlay与Underlay联通的核心。
VNI：网络标识ID，每个Overlay中的租户对应一个VNI，一个租户代表一个虚拟机器或容器，租户内网络直通，租户间网络隔离。
Tunnel：VXLAN隧道，一个逻辑上的概念，或者说是想象中的概念。通过VXLAN技术让VNI双方看似搭建了一个单独的通信信道，但其实底层是UDP技术。

BGP

BGP用于在不同的自治系统（AS）之间交换路由信息。自治系统就是处于一个管理机构控制之下的路由器和网络群组.
优势：
1、使用TCP作为传输协议，提高了路由传输的可靠性；
2、可自定义路由汇总和使用路由惩罚实现路由的稳定性；
3、可支持英特网规模的网络。

eBPF

直接在内核层对网络流量做过滤和复制的技术，我曾经写过一篇博文详细介绍eBPF的由来，详见《BPF相关技术与发展史》 

以上都是具体的实现虚拟网络的技术，我们真正使用是需要依赖具体的技术框架。

框架

flannel

flannel的设计目的是为集群中的所有节点重新规划IP地址的使用规则，从而使得集群中的不同节点主机创建的容器都具有全集群“唯一”且“可路由的IP地址”，并让属于不同节点上的容器能够直接通过内网IP通信。

实现原理：
flannel以守护进程方式运行在node上，没有master节点的概念，所有的flannel对接etcd，由etcd做为存储和控制。集群中所有容器共享一个IP段，每个node使用其中一个小地址段，容器启动时向flannel注册申请一个本node中空闲IP。跨node容器间访问时采用VXLan隧道技术。

calico

Calico的功能更为全面，不仅提供主机和pod之间的网络连接，还涉及网络安全和管理。
Calico不基于overlay，而是基于BGP路由协议，所以没有封包解包的过程，CPU消耗和性能上要优于flanel。
calico支持3种模式：BIRD模式（两两互联）；RR模式（路由反射器）；IPIP模（多租户跨网互通）。

cilium

基于eBPF为Kubernetes提供基本的网络互连互通的能力，实现容器集群中包括Pod、Service等在内的基础网络连通功能。
依托eBPF，实现Kubernetes中网络的可观察性以及基本的网络隔离、故障排查等安全策略；
依托eBPF，突破传统主机防火墙仅支持L3、L4微隔离的限制，支持基于API的网络安全过滤能力。
Cilium有两种模式：叠加网络Overlay模式和直接本地路由模式，其实本质可参考flanel和calico，前者依赖隧道，后者依赖BPG。

CNI

网络框架有这么多，k8s是怎么对接它们的，换框架怎么办？这里需要引入一个概念：CNI（Container Network Interface）容器层和网络层之间的一个接口规范，相当于一个抽象层用于容器与网络的松偶，flannel、calico-、cilium它们都基于这个规范。

总结

云原生网络发展历程：overlay网络->BGP->eBPF，flannel->calico->cilium。

目前对Kubernetes网络的认知也趋于一致。大致分为两大类，一类是Cluster IP，是一层反向代理的虚拟网络；一类是 Pod IP，是容器间交互数据的网络数据平面。
目前主流是calico，而且calico也开始支持eBPF，cilium还未流行的原因是内核要求太高，需要4.9.17以上，但cilium才是未来。