CNI核心解析：理解容器网络的“接线板”

容器网络接口（CNI）是一个云原生计算基金会（CNCF）项目，它定义了一套简单的、插件式的网络配置规范。其核心价值在于解耦容器运行时（如Kubernetes的kubelet）与复杂的网络实现细节。 **CNI的工作流程**简洁而高效：当容器创建时，运行时调用指定的CNI插件，并传入两个关键信息——容器网络命名空间路径和容器ID。插件则负责完成 夜色漫谈站 “接线”工作：分配IP地址、配置网络接口、设置路由规则，最后将结果以JSON格式返回。容器销毁时，运行时再次调用插件进行资源清理。 **核心规范要点**包括： 1. **插件可执行文件**：任何遵循STDIN接收配置、STDOUT返回结果、支持`ADD`和`DEL`命令的可执行文件都可作为CNI插件。 2. **网络配置JSON**：定义了网络名称、类型（插件名）、子网、路由、DNS等。支持通过`prevResult`进行插件链式调用。 3. **IP地址管理（IPAM）**：CNI将IP分配逻辑也抽象为插件（如`host-local`、`dhcp`），实现了网络配置与地址管理的分离。 理解这套规范是开发自定义插件的基石，它确保了插件与容器编排系统的无缝集成。

架构与设计：规划你的自定义网络插件

在动手编码前，明确插件的设计目标至关重要。一个用于多主机环境的CNI插件，通常需要解决三大核心问题：**IP分配、同一主机内容器互通、跨主机容器网络连通**。 **推荐采用分层架构**： - **CNI命令层**：实现符合规范的`ADD`/`DEL`主逻辑，负责解析配置、调用下层功能。 - **网络方案核心层**：这是插件的大脑，决定使用何种技术实现网络（如Bridge + VXLAN、Macvlan、IPVLAN等）。 - **底层操作层**：封装对Linux网络命名空间、虚拟设备（veth pair、bridge、VXLAN）、路由和iptables/ebtables的系统调用。 **多主机网络的关 星海夜色网 键设计选择**： 1. **覆盖网络（Overlay）**：如VXLAN，在现有网络之上封装二层帧，适用于需要大规模、灵活子网但底层网络不可控的场景。 2. **底层网络（Underlay）**：如Macvlan，让容器直接暴露在物理网络中，性能无损，但要求底层网络配合（如交换机配置）。 3. **路由方案**：借助BGP等协议，在主机间同步路由，使每个主机成为容器流量的路由器，无需封装，性能好且易排查。 设计阶段应优先考虑网络策略（NetworkPolicy）支持、与Service Mesh的兼容性以及监控诊断的便利性。

关键功能实现：从IPAM到跨主机通信

**1. IP地址管理（IPAM）集成** 即使开发自定义网络方案，也强烈建议复用成熟的IPAM插件（如`host-local`）。在配置文件中指定`"ipam": { "type": "host-local", "subnet": "10.244.0.0/24" }`，插件在`ADD`时即可从`prevResult`中获取已分配的IP和网关。这避免了重复造轮子，并保证了IP管理的正确性。 **2. 单主机网络搭建** 这是网络连通的第一步。标准做法是： - 创建一对veth设备，一端放入容器网络命名空间（通常命名为`eth0`），另一端留在主机根命名空间。 - 将主机端的veth接入一个Linux网桥（如`cni0`）。 - 为容器内的`eth0`配置从IPAM获取的IP地址，并设置默认网关指向网桥的IP。 **3. 跨主机网络互通（以VXLAN为例）** 这是实现多主机网络的核心。需要在每台主机上： - 创建一个VXLAN设备（如`vxlan0`），并指定VXLAN网络标识符（VNI）。 - 将VXLAN设备也接入上述的`cni0`网桥。此时，网桥成为连接容器veth和VXLAN隧道的枢纽。 - 实现**邻居发现**机制。这是最大挑战之一。简单方案是使用“静态配置”，在每台主机上预先添加其他所有主机的VXLAN对端（通过`bridge fdb`添加远端MAC地址，`ip route`添加远端子网路由）。更动态的方案可借助**etcd或Kubernetes API**，监听节点变化，自动更新对端信息。 **4. 插件链与Delegation** 复杂网络功能可通过插件链组合实现。例如，先由你的插件建立基础连通性，再交由`portmap`插件配置端口映射，最后由`bandwidth`插件限速。你的插件应能正确处理并传递`prevResult`。

实战案例：构建一个简单的VXLAN多主机插件

下面概述一个名为`simple-vxlan`的简易插件核心逻辑，以串联上述概念。 **项目结构**： ``` simple-vxlan/ ├── main.go # CNI插件主入口 ├── pkg/ │ ├── bridge/ # 网桥操作 │ ├── vxlan/ # VXLAN设备与对端管理 │ └── ipam/ # IPAM结果处理 └── simple-vxlan.conf # 示例配置文件 ``` **核心`ADD`逻辑伪代码**： 1. 解析CNI配置，获取容器ID、网络命名空间路径。 2. 调用IPAM插件（通过`exec`调用`host-local`），获取为容器分配的`ip`、`gateway`等信息。 3. 在主机上确保基础设施存在（调用`bridge`和`vxlan`包）： - 创建或获取网桥`cni0`。 - 创建或获取VXLAN设备`vxlan0`，并接入`cni0`。 4. 创建veth pair，配置容器端IP和路由，将主机端接入`cni0`。 5. **关键步骤**：通过查询**中央存储（如etcd）或节点标签**，获取当前集群所有主机节点列表及其底层IP。为除自身外的每个节点，在`vxlan0`上添加一个FDB条目（指定远端MAC和目的主机IP）和路由条目（如`ip route add 10.244.1.0/24 via 10.0.0.2 dev vxlan0`）。 6. 返回成功结果给运行时。 **部署与测试**： - 将编译好的二进制和配置文件放入Kubernetes每个节点的`/opt/cni/bin/`和`/etc/cni/net.d/`。 - 创建Pod，使用`kubectl exec`进入容器，`ping`其他节点上的容器IP，并使用`tcpdump`在VXLAN设备上抓包验证封装。 **进阶方向**： - 集成`kube-proxy`或`Cilium`的eBPF实现，支持Service。 - 添加网络策略功能，集成`Calico`的Felix组件或自行控制iptables。 - 实现更高效的对端发现，例如使用Kubernetes的Node资源watch机制。 开发CNI插件是深入理解云原生网络的绝佳途径。从这个小案例出发，您可以逐步扩展，最终构建出满足特定性能、安全或拓扑需求的强大生产级网络方案。