Docker网络：可以在docker run的时候指定

bridge：这是Docker默认的网络驱动，此模式会为每一个容器分配Network Namespace和设置IP等，并将容器连接到一个虚拟网桥上。

如果未指定网络驱动，这默认使用此驱动。

1、安装docker的时候默认会启动一个docker0的虚拟网桥  docker network inspect bridge可以查看容器ip范围以及网关

2、创建容器的时候宿主机会创建虚拟网卡 veth pair ，成对出现，一端容器中eth0，另一端放在宿主机的dcoker0,以veth

为前 缀的名字命名 使用brctl show 查看

3、向外通讯的时候使用-p参数绑定主机的端口，采用NAT模式向外发送报文

NAT：网络地址转换，下一层封装上一层的ip信息进行伪装并且记录ip供报文返回寻找源ip

容器使用虚拟网卡eth0--veth--->docker0(网桥)---->eth0(宿主机的)

host：此网络驱动直接使用宿主机的网络。

none：此驱动不构造网络环境。采用了none 网络驱动，那么就只能使用loopback网络设备，容器只能使用127.0.0.1的本机网络

joined containers：使用某个已经存在的容器的网络命名空间

------------------------------------------------------------------------------------------------------------------------

overlay：此网络驱动可以使多个Docker daemons连接在一起，并能够使用swarm服务之间进行通讯。也可以使用overlay网络进行

swarm服务和容器之间、容器之间进行通讯

macvlan：此网络允许为容器指定一个MAC地址，允许容器作为网络中的物理设备，这样Docker daemon就可以通过MAC地址进行访问的

路由。对于希望直接连接网络网络的遗留应用，这种网络驱动有时可能是最好的选择。

Network plugins：可以安装和使用第三方的网络插件。可以在Docker Store或第三方供应商处获取这些插件

------------------------------------------------------------------------------------------------------------------------

kubernets网络模式

1、容器与容器之间的通信

每一个pod启动都会创建一个pause容器，该容器负责为pod提供统一的网络空间其他容器绑定该容器的网络命名空间，容器间使用

通讯localhost

2、Pod和Pod之间的通信

需要网络插件（cni）解决常用的有flannel（网络分配）、calico（提供网络策略）、目前组合使用

flannel：（不支持容器间网络策略，默认用的vxlan传输机制）一个为k8s提供叠加网络（overlay）的插件

采用L3 Overlay模式设计flannel， 规定宿主机下各个Pod属于同一个子网，不同宿主机下的Pod属于不同的子网

flannel会在每一个宿主机上运行名为flanneld代理，其负责为宿主机预先分配一个子网，并为Pod分配IP地址

使用Kubernetes或etcd来存储网络配置、分配的子网和主机公共IP等信息

数据包则通过VXLAN、UDP或host-gw这些类型的后端机制进行转发

VxLAN：可扩展虚拟局域网，使用内核中的vxlan模块封装报文，推荐使用方式

directrouting模式：vxlan使用隧道网络转发叠加网络的报文势必会造成不少的流量开销，所以设计的该模式，仅

仅在主机跨二层网络时才采取隧道方式转发通讯，其余时候直接采用二层网络转发pod报文，

从而省去隧道首部开销。

宿主机二层直达的时候会采取route模式其他使用vxlan，（集群规模不超过200台）

iptables -nL 查看forword链

ip route show 查看路由规则

UDP:使用普通udp报文封装完成隧道转发，性能低。

host-gw:通过在节点上创建目标地址的路由来完成报文的转发，性能好，但需要主机在同一个二层网络中，大型集群无

法满足

flannel运行过程：

1）设置集群网络

flannel默认使用etcd作为配置和协调中心，首先使用etcd设置集群的整体网络。通过如下的命令能够查询网络配置

信息：

etcdctl ls /coreos.com/network/config （安装etcd工具）

2）设置Node节点上的子网

基于在etcd中设置的网络，flannel为每一个Node分配IP子网。

获取子网列表etcdctl ls /coreos.com/network/subnets

获取子网信息etcdctl ls /coreos.com/network/subnets/{IP网段}

3）在每个Node上启动flannelid

flannel在每个Node上启动了一个flanneld的服务，在flanneld启动后，将从etcd中读取配置信息，并请求获取子网

的租约。所有Node上的flanneld都依赖etcd cluster来做集中配置服务，etcd保证了所有node上flanned所看到的配

置是一致 的。同时每个node上的flanned监听etcd上的数据变化，实时感知集群中node的变化。flanneld一旦获取

子网租约、配置后端后，会将一些信息写入/run/flannel/subnet.env文件

cat /var/run/flannel/subnet.env

4）创建虚拟网卡

在Node节点上，会创建一个名为flannel.1的虚拟网卡 ip addr show flannel.1

5）创建Docker网桥

并为容器配置名为docker0的网桥，实际是通过修改Docker的启动参数–bip来实现的。通过这种方式，为每个节点

的Docker0网桥设置在整个集群范围内唯一的网段，从保证创建出来的Pod的IP地址是唯一。

ip addr show docker0

6）修改路由表

flannel会对路由表进行修改，从而能够实现容器跨主机的通信

数据传递过程：container源--->docker0网桥（本机）--->flannel.1虚拟网卡（本机）--->宿主机eth0网卡--->目标主机

eth0网卡--->flannel.1虚拟网卡（目标）--->docker0网桥（目标）--->container目标

ip route查看路由规则

calico：bgp协议方式 ipip（三层隧道）提供网络策略

通过定义NetworkPolicy资源来进行

networkpolicy，定义时候ingress和egress 如果定义了生效又没有定义规则则执行默认（都拒绝）

拒绝所有出入站规则，放行本地namesapce的通信，其他的单独定义。

3、Pod和service之间的通信

通过iptables规则中得到serviceip代理的其中一个pod的ip进行通讯

------------------------------------------------------------------------------------------------------------------------

service

service：service为一组pod提供一个统一的代理服务ip解决了podip经常变化的问题，并且提供负载均衡。

service负载均衡策略设置：

service可以通过servicename解析需要强依赖coredns组件

kube-proxy：监听集群中的对 api-server 中的 service & endpoint 进行 watch ,一旦检测到更新则往 iptables 里全量推送

新的转发规则

mode参数：控制使用iptables或者ipvs

iptables和ipvs

ipvs：IPVS为大型集群提供了更好的可扩展性和性能。

IPVS支持比iptables更复杂的负载平衡算法（最小负载，最少连接，位置，加权等）。

IPVS支持服务器健康检查和连接重试等

service有四种类型

ExternalName：用来做集群外部服务引用的，需要externalIPs参数等

ClusterIP：通过集群的内部 IP 暴露服务，选择该值，服务只能够在集群内部可以访问，这也是默认的 ServiceType

NodePort：通过每个 Node 上的 IP 和静态端口（NodePort）暴露服务

LoadBalancer：使用云提供商的负载局衡器，可以向外部暴露服务

------------------------------------------------------------------------------------------------------------------------

Ingress

Service虽然解决了服务发现和负载均衡的问题，但它在使用上还是有一些限制

只支持4层负载均衡，没有7层功能

对外访问时，NodePort类型需要在外部搭建额外的负载均衡，而LoadBalancer要求kubernetes必须跑在支持的cloud provider上

ingress controller

ngress controller通过与kubernetes API交互，动态的去感知集群中Ingress规则变化，然后读取它，按照它自己的模板生成一

段nginx配置，再写到nginx Pod中，最后reload以下

ingress：

就是一段nginx负载的配置文件

三种常用的模式

1：ingress-controller service

2：Traefik 微云应用而生无需重启操作

3：Envoy（服务网格目前习惯使用的 查看）

------------------------------------------------------------------------------------------------------------------------

网络策略：networkpolicy

------------------------------------------------------------------------------------------------------------------------

虚拟机设置静态ip

编辑ifcfg-eno16777736文件

#static assignment

NM_CONTROLLED=no #表示该接口将通过该配置文件进行设置，而不是通过网络管理器进行管理

ONBOOT=yes #开机启动

BOOTPROTO=static #静态IP

IPADDR=192.168.1.122 #本机地址

NETMASK=255.255.255.0 #子网掩码

GATEWAY=192.168.1.1 #默认网关

------------------------------------------------------------------------------------------------------------------------

隧道网络：

二层虚拟化网络：只识别MAC地址，不识IP地址

三层虚拟化网络：不但识别MAC地址，还能把MAC帧中的IP地址

core-dns：提供域名解析服务

flannel：负责集群的网络分配

calico：负责集群的网络策略

NAT：网络地址转换

macvlan：网卡虚拟化方案，它可以为一张物理网卡设置多个mac地址，相当于物理网卡施展了影分身之术，由一个变多个，同时要求物理

网卡打开混杂模式。

vxlan：虚拟可扩展局域网，是一种 overlay 网络技术

Overlay网络：一种网络架构上叠加的虚拟化技术模式，叠加网络

MTU值：数据链路层提供租后的mtu值，用来保证vxlan报文的顺利传输，