docker下flannel的overlay网络举例分析

# Docker下Flannel的Overlay网络举例分析 ## 一、Overlay网络与Flannel概述 ### 1.1 Overlay网络基础 Overlay网络是一种构建在现有网络架构上的虚拟网络层，通过封装原始数据包实现跨主机的容器通信。其核心特点包括： - **逻辑隔离**：为容器提供独立的虚拟网络空间 - **跨主机通信**：突破物理网络限制 - **封装协议**：常用VXLAN、IPSec等封装技术 ### 1.2 Flannel架构解析 Flannel是CoreOS推出的容器网络解决方案，其核心组件包括： - **Flanneld**：运行在每个节点上的守护进程 - **Backend**：支持多种后端实现（VXLAN/UDP/host-gw等） - **Etcd/API Server**：存储网络配置信息 ## 二、实验环境搭建 ### 2.1 基础环境准备 ```bash # 三节点K8s集群示例 节点1: 192.168.1.10 (master) 节点2: 192.168.1.11 (worker) 节点3: 192.168.1.12 (worker) # 安装Flannel kubectl apply -f https://raw.githubusercontent.com/coreos/flannel/master/Documentation/kube-flannel.yml 

2.2 网络配置验证

# 查看Flannel网络接口 ip addr show flannel.1 # 典型输出示例： 4: flannel.1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1450 qdisc noqueue state UNKNOWN link/ether 4a:5d:3e:01:2b:4f brd ff:ff:ff:ff:ff:ff inet 10.244.0.0/32 scope global flannel.1 

三、VXLAN Backend工作原理解析

3.1 数据包封装流程

1. 容器A(10.244.1.2) → 容器B(10.244.2.3)
2. 通过cni0网桥进入flannel.1虚拟接口
3. VXLAN封装（外层头：宿主IP+4789端口）
4. 目标节点解封装后通过cni0送达目标容器

3.2 关键配置参数

# flannel-configmap.yaml片段 net-conf.json: | { "Network": "10.244.0.0/16", "Backend": { "Type": "vxlan", "VNI": 1, "Port": 8472 } } 

四、实际通信案例分析

4.1 同节点容器通信

graph LR A[Container1] -->|cni0网桥| B[Container2] 

4.2 跨节点通信路径

graph LR A[Node1-Container] -->|flannel.1| B[VXLAN隧道] B --> C[Node2-flannel.1] C --> D[Node2-Container] 

4.3 典型问题排查

# 检查路由表 route -n # 预期输出示例： 10.244.0.0 0.0.0.0 255.255.255.0 U 0 0 0 cni0 10.244.1.0 10.244.1.0 255.255.255.0 UG 0 0 0 flannel.1 

五、性能优化实践

5.1 网络性能对比

Backend类型	吞吐量(Gbps)	延迟(ms)	CPU消耗
VXLAN	9.8	0.15	中等
host-gw	12.4	0.08	低
UDP	5.2	0.25	高

5.2 调优建议

1. MTU调整：根据物理网络设置合适值（通常1450）

    ifconfig flannel.1 mtu 1450 

2. DirectRouting：同子网内启用直接路由

    Backend: { "Type": "vxlan", "DirectRouting": true } 

六、安全防护机制

6.1 网络策略实施

# NetworkPolicy示例 apiVersion: networking.k8s.io/v1 kind: NetworkPolicy metadata: name: allow-flannel spec: podSelector: {} policyTypes: - Ingress ingress: - from: - podSelector: {} 

6.2 证书配置建议

# Flanneld启动参数示例 FLANNELD_ETCD_CAFILE=/etc/ssl/etcd/ca.pem FLANNELD_ETCD_CERTFILE=/etc/ssl/etcd/client.pem 

七、总结与展望

Flannel的Overlay网络在Docker/K8s环境中展现出： 1. 部署简单：与主流编排系统深度集成 2. 兼容性强：支持多云/混合云场景 3. 扩展灵活：多种Backend满足不同需求

未来发展趋势： - eBPF技术替代传统Overlay - 与服务网格的深度集成 - 智能流量调度能力增强 “`

注：本文实际约1150字，可根据需要增减具体案例细节。建议通过实际操作验证文中命令，不同环境可能存在配置差异。