multus cni 介绍Kubernetes 缺乏支持VNF中多个网络接口的所需功能。传统上,网络功能使用多个网络接口分离控制,管理和控制用户/数据的网络平面。他们还用于支持不同的协议,满足不同的调整和配置要求。
为了解决这个需求,英特尔实现了MULTUS的CNI插件,其中提供了将多个接口添加到Pod的功能。这允许POD通过不同的接口连接到多个网络,并且每个接口都将使用其自己的CNI插件。
有了MULTUS我们可以实现kubernetes高性能网络,例如sr-iov dpdk的方案。但这需要硬件网卡的支持。我们用multus和macvlan的方案实现pod多网卡的功能;
macvlan是linux内核实现的功能,实现通用pod多网卡解决方案。
前不久线上的集群ingress的一个pod发生了驱逐:
1 | [root@hy-master01 sjl]# check |
Kubernetes的安全性,您需要在您的环境中控制和限制资源创建。为此,Kubernetes提供了一个称为Pod安全策略(PSP)的beta功能,该功能很快将不被使用,并被称为Pod安全(PSS)的标准所取代。OPA Gatekeeper是Kubernetes的策略控制器。从技术上讲,这是一个可自定义的Kubernetes Admission Webhook,可帮助实施策略和加强治理。go来开发webhook,而通过Gatekeeper则能轻松实现策略管理,而不用经过复杂的编码。
kubernetes 的准入控制器的开发,通常情况下要么使用 go 的 net/http 开发http 服务端来实现逻辑,更简单的方法是使用 conntronl-runtime 实现。
我们用 kubebuilder 来开发 k8s operator 的时候,可以生成自定义资源的 webhook ,同时也能方便的生成资源清单。但无论是 kubebuilder 还是 operator-sdk 框架都无法实现 core type 资源的 webhook 。kubebuiler 的官方文档提到了 core type webbook 的开发,但并未具体提供具体的开发指导。
那么如何利用 kubebuiler 来简化核心资源准入控制器的开发?下面就探索了一种方式。