网络插件

Kubernetes（版本 1.3 到最新的 1.31，以及以后）允许您使用容器网络接口 (CNI) 插件进行集群网络。您必须使用与您的集群兼容且符合您需求的 CNI 插件。在更广泛的 Kubernetes 生态系统中，有各种各样的插件可用（包括开源和闭源）。

CNI 插件是实现 Kubernetes 网络模型所必需的。

您必须使用与 v0.4.0 或更高版本的 CNI 规范兼容的 CNI 插件。Kubernetes 项目建议使用与 v1.0.0 CNI 规范兼容的插件（插件可以与多个规范版本兼容）。

安装

在网络上下文中，容器运行时是节点上的一个守护进程，它配置为为 kubelet 提供 CRI 服务。特别是，容器运行时必须配置为加载实现 Kubernetes 网络模型所需的 CNI 插件。

注意

在 Kubernetes 1.24 之前，CNI 插件也可以由 kubelet 使用 cni-bin-dir 和 network-plugin 命令行参数进行管理。这些命令行参数已在 Kubernetes 1.24 中删除，CNI 的管理不再属于 kubelet 的范围。

如果您在删除 dockershim 后遇到问题，请参阅排查 CNI 插件相关错误。

有关容器运行时如何管理 CNI 插件的特定信息，请参阅该容器运行时的文档，例如

有关如何安装和管理 CNI 插件的特定信息，请参阅该插件或网络提供程序的文档。

网络插件要求

环回 CNI

除了为实现 Kubernetes 网络模型而在节点上安装的 CNI 插件之外，Kubernetes 还要求容器运行时提供环回接口 lo，用于每个沙箱（Pod 沙箱、VM 沙箱等）。实现环回接口可以通过重复使用 CNI 环回插件来完成，或者通过开发自己的代码来实现（参见 CRI-O 中的此示例）。

支持 hostPort

CNI 网络插件支持 hostPort。您可以使用 CNI 插件团队提供的官方 portmap 插件，或者使用您自己的具有端口映射功能的插件。

如果您想启用 hostPort 支持，您必须在您的 cni-conf-dir 中指定 portMappings capability。例如

{
  "name": "k8s-pod-network",
  "cniVersion": "0.4.0",
  "plugins": [
    {
      "type": "calico",
      "log_level": "info",
      "datastore_type": "kubernetes",
      "nodename": "127.0.0.1",
      "ipam": {
        "type": "host-local",
        "subnet": "usePodCidr"
      },
      "policy": {
        "type": "k8s"
      },
      "kubernetes": {
        "kubeconfig": "/etc/cni/net.d/calico-kubeconfig"
      }
    },
    {
      "type": "portmap",
      "capabilities": {"portMappings": true},
      "externalSetMarkChain": "KUBE-MARK-MASQ"
    }
  ]
}

支持流量整形

实验性功能

CNI 网络插件还支持 Pod 入口和出口流量整形。您可以使用 CNI 插件团队提供的官方 bandwidth 插件，或者使用您自己的具有带宽控制功能的插件。

如果您想启用流量整形支持，您必须将 bandwidth 插件添加到您的 CNI 配置文件（默认情况下为 /etc/cni/net.d），并确保二进制文件包含在您的 CNI bin 目录中（默认情况下为 /opt/cni/bin）。

{
  "name": "k8s-pod-network",
  "cniVersion": "0.4.0",
  "plugins": [
    {
      "type": "calico",
      "log_level": "info",
      "datastore_type": "kubernetes",
      "nodename": "127.0.0.1",
      "ipam": {
        "type": "host-local",
        "subnet": "usePodCidr"
      },
      "policy": {
        "type": "k8s"
      },
      "kubernetes": {
        "kubeconfig": "/etc/cni/net.d/calico-kubeconfig"
      }
    },
    {
      "type": "bandwidth",
      "capabilities": {"bandwidth": true}
    }
  ]
}

现在，您可以向您的 Pod 添加 kubernetes.io/ingress-bandwidth 和 kubernetes.io/egress-bandwidth 注释。例如

apiVersion: v1
kind: Pod
metadata:
  annotations:
    kubernetes.io/ingress-bandwidth: 1M
    kubernetes.io/egress-bandwidth: 1M
...

下一步

了解有关集群网络的更多信息
了解有关网络策略的更多信息
了解有关排查 CNI 插件相关错误的更多信息

上次修改时间：2024 年 7 月 30 日下午 1:08 PST：更新 content/en/docs/concepts/extend-kubernetes/compute-storage-net/network-plugins.md (99d077cd74)