聊聊 Calico BGP容器網絡實踐

作者：賈玄 2023-11-28 07:55:05

變更管理/故障管理需云和網配合進行，明確雙方分工和問題界定，緊密協作。比如管理云平臺的團隊配置BGP Filter功能，物理網絡設備配置BGP Policy，防止對外發布非法路由，形成雙保險。在技術探索過程中，引入可觀測平臺全鏈路流量和BGP監控等工具，最大程度將問題邊界描述清晰，并提高運維效率。

前言

G行全棧云容器大規模運行在信創服務器的虛擬機里，發現如跨NUMA訪問CPU可能導致性能不均衡、容器網絡和IaaS SDN耦合、虛擬層本身資源消耗等諸多問題。為解決這些問題，G行探索將容器運行在裸金屬服務器上，推出裸金屬容器平臺方案，使用純三層網絡設計，其中東西向網絡流量使用開源Calico容器組件，南北向網絡流量使用自研ELB。本文主要介紹Calico BGP相關技術原理、實踐和思考。

BGP介紹

BGP（Border Gateway Protocol，邊界網關協議）為取代外部網關協議（EGP）協議而創建，屬于經典網絡路由協議。BGP相關的開源項目有bird、goBGP 等，開源軟件運行在云平臺的宿主主機上，使主機與網絡設備交換路由信息，實現云上網絡和云下網絡的通信。

關鍵概念：

AS(Autonomous System): 一個自治系統是受控于一家組織機構的路由器集合。在企業內部AS號是統一管理的，根據網絡設備的AS號異同，可分為IBGP和EBGP。
IBGP(Internal BGP)：在相同AS路由器之間建立會話，一般認為IBGP運行在安全的網絡環境。特點是IBGP的路由信息只能傳一跳，不會傳遞給其他IBGP路由節點。否則，需要開啟Router Reflect特性。
EBPG(External BGP)：在不同AS路由器之間建立會話。特點是EBGP路由器之間會同步彼此的路由。?

圖一網絡架構

在典型Spine-Leaf架構下，Spine與Leaf之間運行EBGP協議，Leaf與裸金屬服務器之間運行IBGP協議。

Calico網絡

Calico是基于CNI實現的純三層網絡開源項目，首個版本在2015年發布，截止當前版本為Calico 3.26.1。該項目已被業界廣泛接受，并擁有許多大規模的實際案例。

圖二 Calico架構示意圖

1. Calico關鍵組件

Felix

Felix負責管理容器網絡，配置容器IP地址、路由、iptables、安全策略等功能。在每個Worker節點運行代理程序，負責與容器管理平面通信，獲取并配置網絡和安全策略。

Confd

監控Calico相關數據（BGP配置、IPAM配置等），動態生成Bird配置文件，并使Brid重新加載配置文件。

Brid

發布路由：從Felix獲取路由，并把路由分發給BGP鄰居，外部流量通過該路由找到POD所在Worker節點。

路由反射 (Route Reflector): 收到IBGP鄰居發布的BGP路由，并反射路由給其他IBGP鄰居。

路由過濾:物理網絡設備的所有路由表項會同步到本機，配置路由過濾，可以大量減少本機的路由條目。

Typha

Flex通過Tyhpa直接跟Etcd交互，不再經過容器管理平面，在百節點以上的規模，能夠有效降低對容器管理平面的訪問壓力。

2. Calico組網模式

IPIP模式

Calico默認網絡架構，IPIP可理解為IPinIP，屬于overlay的網絡架構。不依賴于外部交換機設備，即可實現網絡組網。缺點是報文的封裝和解封裝對網絡效率有影響，節點規模有限制。

BGP模式

Calico最佳實踐推薦該模式，計算節點與網絡設備建立BGP鄰居，并對外宣告POD的路由信息，網絡設備學習到路由信息后，外部用戶就可通過路由直接訪問POD的地址，期間不涉及到報文的封裝，網絡效率非常高。在合理的網絡架構設計下，節點規模靈活擴展且不影響網絡效率。缺點是一般硬件網絡設備和云平臺的計算節點是由不同團隊管理，遇到網絡故障時需聯合處置。

3. IPAM地址管理?

?Calico通過IPPool進行IPAM管理，IPPool定義了地址池名字、地址段、blockSize等字段。IPPool的配置樣例如下：

apiVersion：crd.projectcalico.org/v1

kind: IPPool

metadata:

  name: ippool-test-0

spec:

  blockSize: 32

  cidr: 1.1.1.0/24

  ipipMode: Never

  natOutgoing: false

  nodeSelector: “!all()”

  vxlanMode: Never

nodeSelector: 該字段與Kubernetes節點的Label進行映射。默認為all(),表示所有節點均可使用。設置為!all()，表示所有node均不可自動使用，可通過設置命名空間或者POD的注解，實現IPPool的綁定。

block/blockSzie: block主要功能是路由聚合，減少對外宣告路由條目。block在POD所在節點自動創建，如在worker01節點創建1.1.1.1的POD時，blocksize為29，則該節點自動創建1.1.1.0/29的block，對外宣告1.1.1.0/29的BGP路由，并且節點下發1.1.1.0/29的黑洞路由和1.1.1.1/32的明細路由。在IBGP模式下，黑洞路由可避免環路。如果blockSize設置為32，則不下發黑洞路由也不會造成環路，缺點是路由沒有聚合，路由表項會比較多，需要考慮交換機路由器的容量。

Calico創建block時，會出現借用IP的情況。如在 worker01節點存在1.1.1.0/29的block，由于worker01節點負載很高，地址為1.1.1.2的POD被調度到worker02節點，這種現象為IP借用。woker02節點會對外宣告1.1.1.2/32的明細路由，在IBGP模式下，交換機需要開啟RR模式，將路由反射給worker01上，否則在不同worker節點的同一個block的POD，由于黑洞路由的存在，導致POD之間網絡不通。可通過ipamconfigs來管理是否允許借用IP(strictAffinity)、每個節點上最多允許創建block的數量(maxBlocksPerHost)等。

4 BGP模式下路由分析

舉例說明，創建1.1.1.0/31的地址池，IPPool配置如下：

root@master1:~# calicoctl get ippool ippool-test-0

NAME            CIDR             SELECTOR

ippool-test-0   1.1.1.0/31       all()

使用該地址池，創建一個名字為nettool的POD，創建完成后，查看workloadendpoint資源信息。可查看得到，POD的IP地址為1.1.1.1/32，其網絡接口對應在worker01節點的網卡為cali200f7a51a47。

root@master1:~# calicoctl get workloadendpoint

NAMESPACE   WORKLOAD   NODE        NETWORKS         INTERFACE

default     nettool    worker01    1.1.1.1/32       cali200f7a51a47

進入該容器，查看路由和接口信息。可查看得到，容器默認路由為169.254.1.1，且均指向eth0。通過ethtool查看得到，eth0接口的peer_ifindex為532。

root@master1:~# kubectl exec -it nettool sh

kubectl exec [POD] [COMMAND] is DEPRECATED and will be removed in a future version. Use kubectl exec [POD] -- [COMMAND] instead.

sh-4.4# ip a

1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000

    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00

    inet 127.0.0.1/8 scope host lo

       valid_lft forever preferred_lft forever

2: tunl0@NONE: <NOARP> mtu 1480 qdisc noop state DOWN group default qlen 1000

    link/ipip 0.0.0.0 brd 0.0.0.0

4: eth0@if532: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1480 qdisc noqueue state UP group default

    link/ether 86:61:23:4e:4e:d0 brd ff:ff:ff:ff:ff:ff link-netnsid 0

    inet 1.1.1.1/32 scope global eth0

       valid_lft forever preferred_lft forever

sh-4.4# ip route

default via 169.254.1.1 dev eth0

169.254.1.1 dev eth0 scope link

sh-4.4# ethtool -S eth0

NIC statistics:

     peer_ifindex: 532

     rx_queue_0_xdp_packets: 0

     rx_queue_0_xdp_bytes: 0

     rx_queue_0_xdp_drops: 0

登錄worker01節點，查看index為532的網卡接口，正是該接口cali200f7a51a47。worker01節點已經配置了ARP代理(主機上網卡不管ARP請求的內容，直接將自己的Mac地址作為應答的行為稱為ARP Proxy)。Calico把worker01節點當做容器的默認網關使用，所有報文會發送到節點上，節點再根據路由信息進行轉發。

root@worker01:~# ip a |grep 532

532: cali200f7a51a47@if4: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1480 qdisc noqueue state UP group default

root@worker01:~# cat /proc/sys/net/ipv4/conf/cali200f7a51a47/proxy_arp

1

針對回程報文，我們查看節點的1.1.1.1對應路由，也正是該接口cali200f7a51a47。此時worker01節點的收發報文通路已經明了。

root@worker01:~# route -n |grep cali200f7a51a47

1.1.1.1     0.0.0.0         255.255.255.255 UH    0      0        0 cali200f7a51a47

最后，確認下交換機的路由情況。目的地址為1.1.1.1的下一跳為192.168.1.4，該IP地址是worker01主機IP。此時POD就可以跟外部進行通信。

Destination/Mask        Proto   Pre     Cost    Flags   NextHop         Interface

1.1.1.1/32              IBGP    255     0       RD      192.168.1.4     vlanif100

<switch>

全棧云探索實踐

綜合考慮微隔離、網路可觀測等技術儲備已在G行推廣使用，Calico默認不開啟網絡安全策略，依靠微隔離做網絡安全管控。主要考慮BGP和IPAM上設計和管理網絡。

1.BGP配置

1) 創建BGPconfigurations配置文件，聲明節點的默認AS號。

root@master1:~# cat bgpconfigurations.yaml

apiVersion: crd.projectcalico.org/v1

kind: BGPConfiguration

metadata:

  name: default

spec:

  asNumber: 1111111

  logSeverityScreen: Info

  nodeToNodeMeshEnabled: false

2) 創建BGPPeer，明確交換機的AS號、BGP Peer IP，并將含有rr-group=rr1 的節點與交換機建立鄰居。

root@master:~# cat bgppper1.yaml

apiVersion: crd.projectcalico.org/v1

kind: BGPPeer

metadata:

  name: bgp-peer-1

spec:

  asNumber: 1111111

  nodeSelector: rr-group == 'rr1'

  peerIP: 192.168.1.1

3) Kubernetes的節點打rr-group=rr1的標簽

root@master1:~# kubectl get node --show-labels |grep rr1 |grep worker01

worker01   Ready    worker                 21d    v1.23.15   beta.kubernetes.io/arch=amd64,beta.kubernetes.io/os=linux,kubernetes.io/arch=amd64,kubernetes.io/hostname=worker01,kubernetes.io/os=linux,node-role.kubernetes.io/worker=,rr-group=rr1

4) 交換機配置

BGP建立鄰居
BGP Policy，防止對外發布不可信路由

5) 裸金屬Kubernetes節點查看BGP狀態，Established意味著BGP鄰居已經建立。

root@worker01:~# calicoctl node status

Calico process is running.

IPv4 BGP status

+--------------+---------------+-------+------------+-------------+

| PEER ADDRESS |   PEER TYPE   | STATE |   SINCE    |    INFO     |

+--------------+---------------+-------+------------+-------------+

| 192.168.1.1  | node specific | up    | 2023-08-17 | Established |

| 192.168.1.2  | node specific | up    | 2023-08-17 | Established |

+--------------+---------------+-------+------------+-------------+

IPv6 BGP status

No IPv6 peers found.

2. IPAM配置相關信息

G行云平臺底座和業務的IP分開管理，業務自行決定POD的親和或反親和，業務部署在自己的命名空間，不會出現多種業務在同一個命名空間部署的情況。

在超過20個節點的容器平臺，應用POD會頻繁發生IP地址借用情況，block的路由聚合效率大幅度降低。綜合考慮交換機性能和容量，地址池的blockSize設置為32，交換機不開啟RR特性。

為確保IP不會被其他業務使用，設定所有地址池的nodeSelector為!all()。

root@master1:~# calicoctl get ippool                         

NAME                    CIDR                    SELECTOR

ippool-test-0           1.1.1.0/24              !all()

ippool-test-1           1.1.2.0/24              !all()

ippool-test-2           1.1.3.0/24              !all()

ippool-test-3           1.1.4.0/24              !all()

在namespace中設定對應annotation。

apiVersion: v1

kind: Namespace

metadata:

  annotations:

    cni.projectcalico.org/ipv4pools: '["ippool-test-0"]'

  name: test

3. Calico相關監控

Calico監控體系從三個方面進行覆蓋。

Calico組件和功能的監控，包含IPPool監控、Felix、Typha等組件監控。
Calico網絡邊界的監控，主要是跟交換機的網絡邊界監控，網絡流量通過可觀測平臺監控，網絡控制面依賴于BGP報文的監控。
容器平臺網絡固有的監控，跟采用哪種CNI插件無關。如Calico相關POD健康與否、業務POD網絡狀態、容器節點網絡信息等。

圖三 Calico監控體系

Calico BGP模式相關思考

建設方面：Calico BGP建設需要多團隊的配合。管理物理網絡設備的團隊，需全局規劃網絡設備的BGP信息、AS號和靜態路由等，技術上避免單臺交換機宕機引起路由的震蕩（如一對Leaf交換機擁有不同AS號，會造成路由震蕩）；管理云平臺的團隊，需要合理配置iBGP和IPPool，避免發布非法路由，影響其他網絡設備。

運維方面：變更管理/故障管理需云和網配合進行，明確雙方分工和問題界定，緊密協作。比如管理云平臺的團隊配置BGP Filter功能，物理網絡設備配置BGP Policy，防止對外發布非法路由，形成雙保險。在技術探索過程中，引入可觀測平臺全鏈路流量和BGP監控等工具，最大程度將問題邊界描述清晰，并提高運維效率。

后續細化Calico BGP監控指標，探索Calico eBPF數據面的實現，弱化iptables對網絡的影響。

責任編輯：武曉燕來源：匠心獨運維妙維效

Calico 容器網絡