3주차 [2] - Calico CNI Network mode
Calico에서 지원하는 네트워크 통신 모드를 이해한다.
Calico나 Cillium 에서는 파드 혹은 namespace 레벨에서 IN/OUT 트래픽 통제할 수 있다.
1. Calico Mode 요약
Calico는 4가지의 네트워크 모드가 있습니다.
2. IPIP 모드
IPIP 모드
파드간 통신이 IPIP encapsulation을 이용해서 이루어집니다.
ip 헤더에 감싸져서 tunl 인터페이스에서 outer 헤더를 제거하고 내부의 파드와 통신하게 됩니다.
Azure에서는 지원하지 않음
오버헤드가 생겨서 성능이 비교적낮음
3. Direct 모드
Direct 모드는 NIC에 매칭되지 않는 패킷이 차단될 수 있기 때문에, AWS에서는 따로 설정을 꺼줘야합니다. (Sour/Destination Check)
파드 통신 패킷이 노드의 라우팅 정보를 보고 목적지 노드로 패킷 그대로 전달합니다.
실제로 설정하기 쉽지 않습니다. VPC 라우팅 테이블을 변경해줘야합니다.
크로스 서브넷
크로스 서브넷으로, 노드간 같은 네트워크 대역은 Direct, 다른 네트워크 대역은 IPIP로도 동작을 만들 수 있습니다.
3.1 Direct 모드 설정
# AWS CLI 로 특정 인스턴스의 Source/Destination Check 기능을 Disable 하기
aws ec2 modify-instance-attribute --instance-id <*INSTANCE_ID*> --source-dest-check "{\"Value\": false}"
# Calico 모드 정보 확인
calicoctl get ippool -o wide
# (옵션) 모니터링
watch -d "route -n | egrep '(Destination|UG)'"
# ipip 모드설정 끄기
calicoctl get ippool default-ipv4-ippool -o yaml
calicoctl get ippool default-ipv4-ippool -o yaml | sed -e "s/ipipMode: Always/ipipMode: Never/" | calicoctl apply -f -
# 모드 정보 확인 : IPIPMODE 가 Never 로 변경!
calicoctl get ippool -o wide
# BGP 로 전달 받은 파드 네트워크 대역이 호스트 라우팅 테이블에 적용되었는지 확인 : Iface 가 tunl0 에서 ens5 혹은 enp0s8 로 변경!
route -n | egrep '(Destination|UG)'
-> 변경 이후 값들
-> IPIPMODE 가 NEVER로 변경되고 Iface 가 ens5 로 변경된것을 확인할 수 있습니다.
curl -s -O https://raw.githubusercontent.com/gasida/NDKS/main/5/node3-pod3.yaml
kubectl apply -f node3-pod3.yaml
# 파드 IP 정보 확인
kubectl get pod -o wide
calicoctl get wep
# pod 1 접속해서 ping 날리기
kubectl exec -it pod1 -- zsh
## 파드 Shell 에서 아래 입력
ping 172.16.184.1
# 파드가 동작하는 노드의 eth0(예시)에서 패킷 덤프
tcpdump -i ens5 -nn icmp 
3.3 크로스 서브넷 모드
# CrossSubnet 모드 설정
calicoctl patch ippool default-ipv4-ippool -p '{"spec":{"ipipMode":"CrossSubnet"}}'
# 모드 확인
calicoctl get ippool -o wide
(⎈|HomeLab:default) root@k8s-m:~# calicoctl patch ippool default-ipv4-ippool -p '{"spec":{"ipipMode":"CrossSubnet"}}'
Successfully patched 1 'IPPool' resource
(⎈|HomeLab:default) root@k8s-m:~# calicoctl get ippool -o wide
NAME CIDR NAT IPIPMODE VXLANMODE DISABLED DISABLEBGPEXPORT SELECTOR
default-ipv4-ippool 172.16.0.0/16 true CrossSubnet Never false false all()
//
route -n | grep UG
(⎈|HomeLab:default) root@k8s-m:~# route -n | grep UG
0.0.0.0 192.168.10.1 0.0.0.0 UG 100 0 0 ens5
172.16.34.0 192.168.20.100 255.255.255.0 UG 0 0 0 tunl0 ## 다른 네트워크 대역은IP 모드 확인
172.16.158.0 192.168.10.101 255.255.255.0 UG 0 0 0 ens5
172.16.184.0 192.168.10.102 255.255.255.0 UG 0 0 0 ens5
192.168.0.2 192.168.10.1 255.255.255.255 UGH 100 0 0 ens5
4. VXLAN 모드
Pod 간 통신이 노드간 일때, vxlan encapsulation을 사용합니다.
다른 노드간 파드 통신은 vxlan 인터페이스를 통해서 L2 프레임을 UDP로 상대측 노드로 전달
OUTER 헤더를 제거하고 내부의 파드와 통신합니다.
6. POD 패킷 암호화(네트워크 레벨)
Calico 네트워크 모드 환경 위에서 wireguard 터널을 만들어서 파드 트래픽을 암호화하여 노드간 전달 합니다.
7. 운영
패킷 덤프를 통해서 장애구간을 알기 위한 노력이 필요하다.
카카오나 kt 인프라 장애일때도, 자동화 구성하면서 에러가 많이 나고 해당 사항을 알고 있어야 트러블 슈팅이 가능하다.
[실습] Granfana 로 메트릭들을 확인해봅니다.
// 1. CALICO METRIC REPORTING을 생성합니다!
calicoctl patch felixconfiguration default --patch '{"spec":{"prometheusMetricsEnabled": true}}'
// 2. 서비스를 Felix 메트릭 서비스에 노출 시킵니다.
calicoctl get kubecontrollersconfiguration default -o yaml
// 3. 클러스터도 namespace 생성해주고, cluster role을 생성해줍니다.
// 4. 그이후, prometheus를 생성해주고 metric을 수집해줍니다.
// 5. metric을 grafana와 연동시켜주고, dashboard를 확인해줍니다.Calico의 접근 통제
podSelector를 통해서 pod 기준으로 통제할 수 있다.
namespaceSelector로 namespace 기준으로 통제할 수 있다.
마지막으로 특정 CIDR에 따라 통제할 수 있다.
Last updated