【每日一个云原生小技巧 #45】CNI (Container Network Interface) 简介

CNI，即容器网络接口，是一个由 CNCF (Cloud Native Computing Foundation) 维护的项目，它提供了一套标准来配置容器的网络连接。CNI 插件允许容器管理系统，如 Kubernetes, Docker, 和 rkt, 以一种一致的方式来操作网络资源。

使用场景

1. Kubernetes 网络：Kubernetes 使用 CNI 插件来为每个 Pod 设置网络，包括为 Pod 分配 IP 地址、设置网络策略等。
2. 多租户环境：在多租户环境中，CNI 插件可以帮助隔离不同租户的网络，确保安全和隐私。
3. 扩展和定制网络：CNI 允许通过安装不同的插件来扩展或定制网络功能，如负载均衡、网络策略、网络隔离等。

使用技巧

1. 选择合适的 CNI 插件：根据您的特定需求（如性能、安全、简易性）选择合适的 CNI 插件，如 Calico、Flannel、Weave 等。
2. 合理配置 Pod 网络：根据应用需求和集群规模配置适当的 Pod 网络范围。
3. 网络策略：利用 CNI 插件提供的网络策略功能来加强安全性，比如限制 Pod 之间的通信。
4. 监控和故障排查：监控网络性能并准备好相应的故障排查工具，以快速定位和解决可能出现的网络问题。

使用案例

在 Kubernetes 中使用 Calico CNI 插件

场景描述：您正在部署一个 Kubernetes 集群，并决定使用 Calico 作为 CNI 插件来管理网络。

步骤：

安装 Calico：

使用 Calico 提供的 YAML 文件安装 Calico 插件：

kubectl apply -f https://docs.projectcalico.org/manifests/calico.yaml

配置网络策略：

为了演示，我们可以创建一个简单的网络策略，允许来自同一命名空间的所有 Pod 之间的通信。

apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: allow-same-namespace
  namespace: default
spec:
  podSelector: {}
  policyTypes:
  - Ingress
  - Egress
  ingress:
  - from:
    - podSelector: {}
  egress:
  - to:
    - podSelector: {}

应用这个网络策略：

kubectl apply -f network-policy.yaml

验证网络策略：

验证策略是否正常工作。可以部署两个测试 Pod，并尝试从一个 Pod 访问另一个 Pod。

kubectl run test-pod-1 --image=busybox --restart=Never -- sleep 3600
kubectl run test-pod-2 --image=busybox --restart=Never -- sleep 3600

然后进入一个 Pod 并尝试 ping 另一个 Pod。

kubectl exec -it test-pod-1 -- ping <test-pod-2-ip>

这个案例展示了如何在 Kubernetes 集群中使用 Calico CNI 插件来配置网络和网络策略。Calico 提供了强大的网络功能，包括网络隔离、策略控制和性能优化，适用于各种规模的 Kubernetes 集群。