K8S CNI - Calico 글 목록

K8S CNI - Calico 1편 - POD 통신

K8S CNI - Calico 2편 - Node 통신

K8S CNI - Calico 3편 - eBPF (DSR)

K8S CNI - Calico 4편 - 내부망 연동 (BGP)

K8S Network 글 목록

K8S Service 1편

K8S Service 2편 - MetalLB

K8S Ingress

Istio 🌶️ 트래픽 흐름 Life of a packet

K8S CNI - CNI 글 목록

Cilium CNI (공개)

• 참고 링크 ← 해당 줄 및 아래 정리 내용 중 왼쪽 삼각형은 클릭하여 상세 내용을 확인 하시면 됩니다!

<aside> 💡 IPTABLES(IPVS) 모드와 eBPF 의 비교는 위 참고 링크 글들을 읽어보세요! - 링크

</aside>

<aside> 🙇🏻 아래 동작 내용 중 중요도가 낮거나 혹은 너무 복잡한 내용의 경우 생략하였고, 최대한 간략하게 설명을 하였음을 미리 알려드립니다 🙂

</aside>

0. 요약

<aside> 👉🏻 실습 환경은 K8S v1.21.2 , 노드 OS(Ubuntu 20.04) , CNI(Calico v3.19.1, Direct 모드)

</aside>

Calico's eBPF dataplane : 네트워크 트래픽 처리를 IPTABLES 대신 ⇒ eBPF를 사용

• 외부 클라이언트의 출발지 IP 보존 : Preserves external client source IP addresses all the way to the pod.
• DSR 동작 가능 : Supports DSR (Direct Server Return) for more efficient service routing.
• 제약 조건 Limitations - 링크

외부 클라이언트의 출발지 IP 보존 (NodePort without source IP preservation)

• 기존 : 서비스(NodePort Type) 사용 시 IPTABLES 분산 Rule 로 다른 노드의 파드로 전달 시 SNAT 되어 외부 클라이언트의 IP를 알 수 없다
• Calico eBPF : 서비스(NodePort Type) 사용 시 다른 노드의 파드로 전달 시 SNAT 되지 않고 전달하여 외부 클라이언트의 IP를 알 수 있다 👍

https://thenewstack.io/calico-extends-ebpf-data-plane-to-offer-host-protection/

DSR 동작 가능

• Calico eBPF DSR 설정 시 외부 클라이언트 IP는 보존되고, 리턴 트래픽은 해당 노드에서 바로 외부로 빠져나감 - 그림출처

eBPF 사용 시 DSR 설정 시, 파드에서 리턴 트래픽은 해당 노드에서 바로 외부로 빠져나감

일반 IPTABLES(IPVS) 모드 시, 파드에서 리턴 트래픽은 처음 인입한 노드로 되돌아간 후 외부로 나감

1. Calico's eBPF dataplane 설정