# Kubernetes中的網絡解析——以calico為例 [Calico](https://www.projectcalico.org/) 原意為”有斑點的“，如果說一只貓為 calico cat 的話，就是說這是只花貓，也叫三色貓，所以 calico 的 logo 是只三色貓。  ## 概念 Calico創建和管理一個扁平的三層網絡（不需要overlay），每個容器會分配一個可路由的IP。由于通信時不需要解包和封包，網絡性能損耗小，易于排查，且易于水平擴展。 小規模部署時可以通過BGP client直接互聯，大規模下可通過指定的BGP Route Reflector來完成，這樣保證所有的數據流量都是通過IP路由的方式完成互聯的。 Calico基于iptables還提供了豐富而靈活的網絡Policy，保證通過各個節點上的ACL來提供Workload的多租戶隔離、安全組以及其他可達性限制等功能。 ## Calico架構  Calico主要由Felix、etcd、BGP client、BGP Route Reflector組成。 - [Etcd](https://docs.projectcalico.org/v3.0/reference/architecture/)：負責存儲網絡信息 - [BGP client](https://docs.projectcalico.org/v3.0/reference/architecture/)：負責將Felix配置的路由信息分發到其他節點 - [Felix](https://docs.projectcalico.org/v3.0/reference/architecture/)：Calico Agent，每個節點都需要運行，主要負責配置路由、配置ACLs、報告狀態 - [BGP Route Reflector](https://docs.projectcalico.org/v3.0/reference/architecture/)：大規模部署時需要用到，作為BGP client的中心連接點，可以避免每個節點互聯 ## 部署 運行下面的命令可以部署 calico 網絡。 ```bash mkdir /etc/cni/net.d/ kubectl apply -f https://docs.projectcalico.org/v3.0/getting-started/kubernetes/installation/rbac.yaml wget https://docs.projectcalico.org/v3.0/getting-started/kubernetes/installation/hosted/calico.yaml # 修改etcd_endpoints的值和默認的192.168.0.0/16(不能和已有網段沖突) kubectl apply -f calico.yaml wget https://github.com/projectcalico/calicoctl/releases/download/v2.0.0/calicoctl mv calicoctl /usr/loca/bin && chmod +x /usr/local/bin/calicoctl calicoctl get ippool calicoctl get node ``` 如果安裝時啟用應用層策略的話還需要安裝 [istio](https://istio.io/zh)，詳見 [Enabling application layer policy](https://docs.projectcalico.org/v3.4/getting-started/kubernetes/installation/app-layer-policy#about-enabling-application-layer-policy)。 ## 參考 - [安裝Calico - docs.projectcalico.org](https://docs.projectcalico.org/v3.4/usage/calicoctl/install) - [calicoctl命令參考 - docs.projectcalico.org](https://docs.projectcalico.org/v3.4/reference/calicoctl/commands/) - [Calico架構 - docs.projectcalico.org](https://docs.projectcalico.org/v3.4/reference/architecture/)