本文专为面临容器网络选型困境的中高级工程师与架构师撰写。我们将跳出“功能列表”式的简单对比,深入Linux内核的网络命名空间、虚拟设备、路由与封包原理,从第一性原理出发,剖析Kubernetes CNI(容器网络接口)的本质。在此基础上,我们将对两种业界主流的网络插件——Flannel和Calico——进行硬核的实现层面对比,覆盖从数据平面性能、控制平面复杂度到网络策略实现等多个维度,最终给出一套在不同业务场景与技术栈下的架构选型与演进路线图。
现象与问题背景
在容器化浪潮席卷之前,应用直接运行在物理机或虚拟机上,网络模型简单直观:每个节点拥有一个或多个从物理网络中获取的IP地址,应用端口直接暴露在该IP上。网络策略由物理交换机、路由器和防火墙上的ACL(访问控制列表)统一管理。然而,Kubernetes的出现彻底颠覆了这一模型。它引入了Pod作为最小的调度和部署单元,并提出了一套全新的网络假设:
- Pod IP唯一性:集群中每一个Pod都拥有一个唯一的、无需NAT(网络地址转换)即可在集群内部路由的IP地址。
- Pod间直接通信:任意两个Pod之间,无论是否在同一Node上,都可以通过对方的Pod IP直接通信。
- Node与Pod间直接通信:任意Node可以与任意Pod通过Pod IP直接通信,反之亦然。
- Pod IP与自身认知一致:Pod内部看到的自己的IP地址,与外部其他Pod或Node看到的它的IP地址必须是同一个。
这套模型为服务发现、负载均衡和应用迁移带来了极大的便利,但也带来了前所未有的复杂性。原生的Docker网络(如bridge模式)无法满足跨主机通信的需求。如何在成百上千个Node组成的集群中,为成千上万个生命周期短暂的Pod动态分配和管理IP,并确保它们之间的高性能、低延迟互联,同时还要兼顾网络隔离与安全策略,这成为了Kubernetes落地中必须解决的核心问题。CNI(Container Network Interface)规范应运而生,它将网络实现的细节从Kubernetes核心(kubelet)中解耦,允许各种第三方网络插件根据自身优势提供解决方案。其中,Flannel和Calico凭借其鲜明的特点和广泛的应用,成为了选型中最常被提及的两个方案。
关键原理拆解
要理解Flannel与Calico的本质差异,我们必须回到Linux内核提供的基础网络构建块。作为一名架构师,脱离底层谈上层设计无异于空中楼阁。
第一性原理:Linux网络虚拟化基石
- Network Namespace (netns):这是内核提供的最核心的网络隔离机制。每个Pod都运行在自己独立的netns中,这意味着它拥有自己独立的网络协议栈——包括网卡(interfaces)、路由表(routing tables)、ARP表和iptables规则。这使得Pod A和Pod B即便在同一台物理机上,也感觉自己拥有独立的网络环境,实现了IP和端口空间的隔离。
- Veth Pair (Virtual Ethernet Pair):可以将其想象成一根虚拟的“网线”。它总是成对出现,一端连接在Pod的netns中(表现为`eth0`),另一端则“插”在主机的根netns中(通常是一个随机命名的设备,如`vethXXXXXXXX`)。从一端进入的数据包会原封不动地从另一端出来。veth pair是打通Pod与主机之间网络通道的关键。
- Bridge:Linux内核中的网桥(如`docker0`或`cbr0`)表现为一个虚拟的二层交换机。当主机上的多个veth pair的“主机端”都连接到同一个网桥上时,这些veth pair所连接的Pod之间就可以进行二层通信,实现了同节点Pod间通信。
- IP Forwarding & Routing:当内核参数`net.ipv4.ip_forward`设置为1时,Linux主机就变成了一个路由器。当主机收到一个目的IP不属于本机任何网卡的数据包时,它会查询自己的路由表,并将数据包转发到匹配的下一跳(next hop)。这是实现跨节点Pod间通信的基础。所有CNI插件的核心工作,就是巧妙地配置和管理每个Node上的路由表。
两种主流的跨节点通信模型
基于上述内核能力,业界演化出两种主流的跨节点Pod通信方案:Overlay(覆盖网络)和Underlay(底层网络)。
- Overlay Network:这种模型不改变现有物理网络的结构。它在现有的Node IP网络(Underlay)之上,构建一个虚拟的逻辑网络。当Pod A(在Node 1上)要发送数据包给Pod B(在Node 2上)时,Node 1的内核会将这个“Pod A -> Pod B”的原始数据包进行封装,套上一个新的IP头,其源IP为Node 1的IP,目的IP为Node 2的IP。这个被封装后的包在物理网络中传输,对物理交换机和路由器完全透明。当Node 2收到包后,内核会解封装,取出原始数据包,再根据本地路由转给Pod B。Flannel的VXLAN模式就是典型的Overlay网络。它的优点是普适性强,对底层网络无任何要求;缺点是封包/解包会带来额外的CPU开销和微小的延迟,并且由于增加了包头,可能导致MTU(最大传输单元)问题。
- Underlay Network:这种模型则追求极致性能。它不进行任何封包操作。Pod的IP直接暴露在网络中,被网络设备(路由器、交换机)视为与物理机IP同等的“一等公民”。为了让网络设备知道哪个Pod IP在哪台物理机上,每个Node需要扮演路由器的角色,通过动态路由协议(如BGP)向物理网络宣告:“Pod网段10.244.1.0/24可达,下一跳是我(Node 1)”。物理路由器收到这个宣告后,就会更新自己的路由表。当一个数据包发往10.244.1.5时,路由器会直接将其转发给Node 1。Calico的BGP模式是典型的Underlay网络。它的优点是性能极高,接近物理网络极限,且网络路径清晰;缺点是对底层网络有要求,需要网络设备支持BGP协议并进行相应配置。
系统架构总览
无论是Flannel还是Calico,它们都遵循CNI规范,通常以DaemonSet的形式在每个Kubernetes节点上运行一个agent进程,负责该节点的网络配置。
Flannel架构
Flannel的设计哲学是简单、易用。其核心组件`flanneld`在每个节点上运行。
- 控制平面:`flanneld`启动时会连接到Kubernetes的API Server(或直接连接etcd)。它的首要任务是从一个预先配置的、覆盖整个集群的Pod IP大网段(如`10.244.0.0/16`)中,为自己所在的Node申请一个小的子网(如Node 1申请到`10.244.1.0/24`,Node 2申请到`10.244.2.0/24`)。这个分配信息(Node IP -> Pod Subnet)会存储在Kubernetes的Node对象的Annotation中,或etcd中,从而被所有节点的`flanneld`实例共享。
- 数据平面:当kubelet创建Pod时,它会调用Flannel的CNI插件。插件从`flanneld`获取到本节点的Pod子网信息,并为新Pod分配一个IP。然后,`flanneld`会根据其配置的后端(backend),创建相应的虚拟设备和路由规则。最常见的后端是VXLAN:
- `flanneld`会在主机上创建一个名为`flannel.1`的VTEP(VXLAN Tunnel End Point)设备。
- 它会配置路由规则,将所有发往其他节点Pod子网的流量都指向`flannel.1`设备。
- 当一个跨节点数据包到达`flannel.1`时,内核的VXLAN模块会根据`flanneld`维护的对端VTEP信息(从API Server获取的Node IP映射)进行封包,并通过物理网卡发送出去。
Calico架构
Calico的设计哲学是高性能、强安全。其节点agent `calico-node`是一个集成了多个组件的容器。
- 控制平面:
- Felix:Calico在每个节点上的核心agent。它负责监听Kubernetes API Server,获取Pod、Service、NetworkPolicy等资源的变化。Felix的主要工作是将这些高级的意图(如“允许A组的Pod访问B组的80端口”)转换成底层的数据平面规则,并编程到内核中(如iptables规则、路由表项)。
- BIRD:一个成熟的、开源的BGP守护进程。Felix并不直接参与BGP通信。相反,当Felix决定需要在内核中添加一条指向远端Pod的路由时,它会通过一个内部通道告知BIRD。BIRD负责与集群中其他节点的BIRD实例建立BGP Peering(对等连接),并相互交换路由信息。这种分工使得Calico可以利用BGP这个工业级协议的稳定性和扩展性。在一个典型的“Node-to-Node Mesh”模式下,每个节点的BIRD都会和其他所有节点的BIRD建立连接。
- 数据平面:Calico的数据平面极为纯粹。当Pod A(Node 1)向Pod B(Node 2)发送数据包时:
- 数据包从Pod A的netns通过veth pair到达主机。
- 主机的内核路由表(由Felix通过BIRD的信息写入)中有一条明确的规则:“去往10.244.2.0/24(Pod B所在网段),下一跳是Node 2的IP地址”。
- 内核直接将这个原始的、未封装的数据包通过物理网卡发送给Node 2。
- 此外,Felix还会根据NetworkPolicy在iptables的FORWARD链上生成精细的规则,对进出Pod的数据包进行过滤,实现网络策略。
核心模块设计与实现
作为一名极客工程师,让我们直接看点硬核的。理论说千遍,不如`ip route`和`iptables-save`看一眼。
Flannel (VXLAN) 的内核现场
假设我们有一个双节点集群:Node1 (192.168.1.10) 和 Node2 (192.168.1.11)。Flannel分配的Pod子网分别为 `10.244.1.0/24` 和 `10.244.2.0/24`。
在Node1上,当你执行`ip route show`,你会看到类似这样的关键路由:
# 目的地址是Node2的Pod子网
10.244.2.0/24 dev flannel.1 proto kernel scope link src 10.244.1.0
# 本地Pod的路由
10.244.1.2 dev vethaxxx scope link
...
这条路由规则是Flannel的灵魂。它告诉内核:“任何要去往`10.244.2.0/24`网段的包,都给我丢给`flannel.1`这个设备”。`flannel.1`是一个VXLAN类型的虚拟设备。当包被丢给它时,内核的VXLAN驱动就会接管。它会查询一个叫FDB(Forwarding Database)的表,这个表由`flanneld`动态维护:
# bridge fdb show dev flannel.1
00:00:00:00:00:00 dst 192.168.1.11 self permanent
这行输出告诉VXLAN驱动,发往远端Pod子网的包,需要封装后发给`192.168.1.11`(Node2)。整个过程发生在内核态,效率相对较高,但封包的CPU消耗是实打实的。你可以用`tcpdump -i eth0 -n ‘udp port 8472’`抓包,会清晰地看到源/目的为Node IP的UDP包,里面包裹着源/目的为Pod IP的原始IP包。
工程坑点:VXLAN的封包会增加约50字节的头部,如果你的应用发送的数据包大小接近物理网络的MTU(通常是1500),这会导致IP分片,严重影响性能。因此,正确配置CNI插件的MTU,使其小于等于物理网卡MTU减去封包头大小,至关重要。Flannel会自动探测,但有时在复杂网络环境下会出错,需要手动调整。
Calico (BGP) 的内核现场
在同样的环境下,使用Calico(BGP模式),你在Node1上执行`ip route show`,会看到完全不同的景象:
# 目的地址是Node2的Pod子网,注意下一跳`via`
10.244.2.0/24 via 192.168.1.11 dev eth0 proto bird
# 每个本地Pod都有一条/32的精确路由
10.244.1.2 dev calixxxx scope link
...
看到区别了吗?这里没有`flannel.1`这样的隧道设备。路由规则简单粗暴、直击要害:“任何要去往`10.244.2.0/24`的包,通过`eth0`网卡,直接发给下一跳`192.168.1.11`”。`proto bird`表明这条路由是由BIRD守护进程学习并注入内核的。数据包从主机发出时,就是一个纯粹的、源IP为Pod A、目的IP为Pod B的包。没有封装,没有性能损耗。
Calico的网络策略实现则体现在iptables里。执行`iptables-save`,你会看到大量由Calico Felix生成的、以`cali-`开头的自定义链。这些链通过复杂的跳转规则,在FORWARD链上对Pod流量进行精细的匹配和ACCEPT/DROP操作,其效率远高于传统的基于IP范围的ACL。
工程坑点:在公有云上,默认的VPC网络通常会阻止用户发送源IP不属于虚拟机本身的包(即IP Spoofing Check)。而Calico BGP模式发出的包源IP是Pod IP,会被云厂商的安全组/网络设施丢弃。因此,在AWS、GCP等平台上使用Calico,你需要关闭这个检查(如AWS的”Source/Dest. Check”),或者使用Calico的IPIP/VXLAN封装模式,但这又回到了Overlay的老路,牺牲了性能优势。
性能优化与高可用设计
这是一个经典的Trade-off分析,也是架构师的核心价值所在。
- 性能(吞吐量与延迟)
- Calico (BGP): 胜出。数据平面几乎零开销,性能可以跑到物理网卡的线速。对于延迟敏感型应用,如金融高频交易、实时音视频、游戏服务器,Calico是无可争议的选择。
- Flannel (VXLAN): 一般。封包/解包引入CPU开销和微秒级延迟。在万兆网络下,这个开销会成为瓶颈,你可能无法打满带宽。对于大多数Web应用、CRUD业务,这点性能损失通常可以接受。
- 网络环境适应性
- Flannel (VXLAN): 胜出。因为它是一个Overlay网络,对底层物理网络没有任何要求,只要Node之间TCP/IP可达即可。无论是在裸金属、私有云还是任何公有云上,它都能“开箱即用”。
- Calico (BGP): 受限。要在裸金属环境中发挥最大性能,需要网络团队配合,将物理交换机/路由器配置为BGP Peer。在公有云上则需要特定的配置或使用封装模式。这增加了部署和运维的复杂性。
- 功能丰富度(特别是网络策略)
- Calico: 完胜。Calico项目从诞生之初就将网络策略作为其核心能力。它完整实现了Kubernetes NetworkPolicy API,并提供了更丰富的扩展策略(Calico GlobalNetworkPolicy)。其基于iptables/eBPF的实现也极为高效。
- Flannel: 缺失。Flannel本身只专注于解决网络连通性问题,不提供网络策略功能。标准的做法是“Flannel on data plane, Calico on control plane”,即使用Flannel提供网络,再部署Calico的Felix来 enforce policies。这虽然可行,但维护两个网络组件增加了系统的复杂度。
- 可扩展性
- Calico: 在超大规模集群(数千节点)中,Node-to-Node Mesh模式的BGP会产生O(N^2)的连接数,导致控制平面压力巨大。此时必须引入BGP Route Reflector(路由反射器)来优化拓扑,将连接数降至O(N)。
- Flannel: 控制平面非常轻量,每个agent只需和API Server通信,扩展性极好。数据平面的扩展性则受限于Overlay的固有性能瓶颈。
架构演进与落地路径
不存在“银弹”,只有最适合当前场景和团队能力的方案。以下是一条务实的演进路径建议:
第一阶段:初创业务、快速迭代、公有云环境
选择:Flannel (VXLAN)
在这个阶段,业务验证和产品迭代速度是第一位的。运维简单、稳定可靠、环境普适性强的Flannel是最佳选择。你不需要为了网络方案去和云厂商、网络团队扯皮。应用性能瓶颈大概率在数据库或业务逻辑本身,而不是网络插件的这点开销。先把业务跑起来,快速交付价值。
第二阶段:业务增长、性能与安全需求浮现
随着用户量增长,你开始遇到性能瓶颈,或者由于合规、多租户等原因,必须实施严格的网络隔离。此时,你有两个选择:
- 低风险演进:Flannel + Calico for Policy。保持现有的Flannel数据平面不变,避免对网络连通性做任何变更。在此基础上,额外部署Calico,并将其配置为只启用策略执行引擎。这是一个增量式的改进,风险可控,能快速满足安全需求。
- 一步到位演进:迁移到Calico。如果性能瓶颈已经非常明确地指向了网络封包开销,或者你预见到未来对高性能网络的强需求,那么就应该规划向Calico的完整迁移。这需要周密的计划:
- 环境准备:如果是在裸金属环境,与网络团队合作,规划BGP AS号,配置ToR交换机。如果是在公有云,研究并测试IPIP模式或如何关闭源/目的地址检查。
- 迁移执行:由于CNI插件的更换通常需要重建Pod才能生效,因此无法做到完全无感。最佳实践是采用蓝绿发布或金丝雀发布策略。新建一个使用Calico的Node Pool,将无状态应用逐步迁移过去。对于有状态应用,则需要更精细的、结合业务停机窗口的迁移方案。
最终阶段:大规模、混合云、高性能计算
选择:Calico (BGP) with eBPF
当你的集群规模达到极致,并且对性能的要求到了锱铢必较的程度,Calico的eBPF数据平面是你的终极武器。通过eBPF,Calico可以将数据包处理逻辑直接注入到内核的早期处理路径中,绕过大部分iptables和网络协议栈的开销,实现比传统BGP模式更低的延迟和更高的吞吐。同时,配合BGP路由反射器,解决控制平面的扩展性问题。这代表了当前云原生网络技术的顶峰,但也对内核版本、运维能力提出了最高的要求。
结论:Flannel以其极致的简单性,为你铺平了通往Kubernetes的第一公里;而Calico则以其极致的性能和强大的安全能力,为你攀登云原生技术之巅提供了坚实的阶梯。理解它们在内核层面的根本差异,并结合自身业务的生命周期做出理性的选择,是每一位架构师的必修课。
延伸阅读与相关资源
-
想系统性规划股票、期货、外汇或数字币等多资产的交易系统建设,可以参考我们的
交易系统整体解决方案。 -
如果你正在评估撮合引擎、风控系统、清结算、账户体系等模块的落地方式,可以浏览
产品与服务
中关于交易系统搭建与定制开发的介绍。 -
需要针对现有架构做评估、重构或从零规划,可以通过
联系我们
和架构顾问沟通细节,获取定制化的技术方案建议。