kubernetes网络模型设计的一个基础原则是：每个Pod都拥有一个独立的IP地址，而且假定所有Pod都在一个可以直接连通的、扁平的网络空间中（在GCE里面是现成的网络模型）。在kubernetes中，IP是以Pod为单位进行分配的。一个Pod内部的所有容器共享一个网络堆栈（实际上就是一个网络命名空间，包括它们的IP地址、网络设备、配置等都是共享的）。按照这个网络原则抽象出来的一个Pod一个IP的设计模型也被称作IP-per-Pod模型。在我们搭建k8s集群的过程中，需要自己实现这个网络假设，将不同节点上的Docker容器之间的互相访问先打通，然后运行k8s。目前有许多开源组件支持容器网络模型，比如说Flannel、OpenvSwitch和Calico等。在本文中，我们利用OVS作为实现底层网络（如下图所示），仅实现了不同节点之间的docker0网桥之间的互通，没有搭建基于OVS的完整kubernetes集群。

OpenvSwitch是一个开源的虚拟交换机软件，OVS的网桥可以直接建立多种通信通道（隧道）如VxLAN，GRE，在k8s、Docker场景下，我们主要是建立L3到L3的隧道。在这里，我们采取VxLAN隧道的方式实现。

实验拓扑如图所示，在VMware上运行3台ubuntu16.04虚拟机。

当容器内的应用访问另一个容器的地址时，数据包会通过容器内的默认路由发送给docker0网桥。OVS的网桥是作为docker0网桥的端口存在的，它会将数据发送给OVS网桥。OVS网络已经通过配置建立了和其他OVS网桥的GRE/VxLAN隧道，自然能将数据送达对端的Node，并送往docker0及Pod。接下来进行实际操作。

1.安装Docker

sudo apt-get install docker.io

2.安装OpenvSwitch

sudo apt-get install openvswitch-switch

3.为docker0网桥重新分配IP

为了避免Docker创建的docker0地址产生冲突（因为Docker Daemon启动且给docker0选择子网时只有几个备选列表，很容易产生冲突，我这里装完docker，docker0网桥的地址都是172.17.0.1/16），所以我们要给docker0网桥重新分配IP地址，网上有很多种解决方案，众说纷纭，我这里按照下面的步骤进行。首先，停止docker服务，然后将docker0网桥删除，手动建立一个Linux网桥，然后手动给这个网桥配置IP地址范围。

sudo service docker stop
sudo ip link set dev docker0 down
sudo brctl delbr docker0
sudo brctl addbr docker0
sudo ip addr add 172.17.30.1/24 dev docker0
sudo ip link set dev docker0 up

查看IP地址信息：

我这里配置是，master节点的docker0 IP地址为172.17.20.1，node1节点docker0 IP地址为172.17.10.1，node2节点docker0 IP地址为172.17.30.1。

4 .创建网桥和Vxlan隧道

建立OpenvSwitch的网桥br0，然后通过ovs-vsctl命令给ovs网桥增加VxLAN端口，添加端口时要将目标连接的NodeIP地址设置为对端的IP地址。（对于大型集群网络，需要做自动化脚本来完成）

（1） 创建ovs网桥br0

分别在master，node1，node2节点上执行如下命令：

sudo ovs-vsctl add-br br0

（2） 创建Vxlan隧道连接到对端

首先建立master节点到node2节点之间的隧道：

在master节点执行：

sudo ovs-vsctl add-port br0 vxlan1 -- set interface vxlan1 type=vxlan option:remote_ip=10.0.0.76

其中10.0.0.76是node2的ens33网卡地址。

在node2上执行：

sudo ovs-vsctl add-port br0 vxlan1 -- set interface vxlan1 type=vxlan option:remote_ip=10.0.0.70

其中10.0.0.70是master的ens33网卡地址。

执行ovs-vsctl show可看到如下结果：

同理，建立master到node1之间的隧道，

在master上执行：

sudo ovs-vsctl add-port br0 vxlan2 -- set interface vxlan2 type=vxlan option:remote_ip=10.0.0.71

其中10.0.0.71是node1的地址，这里注意使用另外一个端口vxlan2来作为隧道的端口。

在node1上执行：

sudo ovs-vsctl add-port br0 vxlan2 -- set interface vxlan2 type=vxlan option:remote_ip=10.0.0.70

其中，10.0.0.70是master的IP地址。

执行ovs-vsctl可以看到：

master节点上的br0有两个端口用来做隧道，vxlan1和vxlan2。对于node1和node2之间则不需要再建立额外的隧道了，后面可以看到二者之间的docker0网桥能够相互ping通。

5.添加br0到本地docker0

sudo brctl addif docker0 br0

这个操作就相当于把两个交换机给连上了，使得容器流量通过OVS流经tunnel。

6. 启动br0与docker0网桥

sudo ip link set dev br0 upsudo ip link set dev docker0 up

7. 添加路由规则

由于10.0.0.70与10.0.0.71以及10.0.0.76的docker0网段分别为172.17.20.1/24、172.17.10.1/24和172.17.30.1/24，这几个网段的路由都需经过本机的docker0网桥路由，其中一个24网段是通过OVS的VxLAN隧道到达对端的，因此需要在每个node上添加通过docker0网桥转发172.17.0.0/16段的路由规则：

sudo ip route add 172.17.0.0/16 dev docker0

8.清空Docker自带的iptables规则以及Linux规则

#iptables –t nat –F; iptables –F

9.各节点上docker0之间的互通测试

master节点ping node1

master ping node2

node1 ping master和node2

node2 ping master和node1 :

10.wireshark抓包

监听br0网桥，在br0网桥上并没有VxLAN报文

在ens33上抓包，发现了VxLAN封装的ping包报文通过，说明VxLAN是在承载网的物理网络上完成的封包过程。

至此，基于OVS的网络搭建成功。kubernetes还有许多优秀的开源网络组件，大家各有优势和缺点，有时间做一个汇总。

参考资料：

《kubernetes权威指南》