Kubernetes Multus CNI详细剖析

1. 引言：Kubernetes 网络模型与 Multus 的定位

1.1 Kubernetes 默认网络模型

在标准 Kubernetes 集群中，每个 Pod 仅有一个网络接口（由 CNI 插件如 Calico、Flannel 等提供），通过该接口与其他 Pod 或外部服务通信。此模型适用于大多数场景，但无法满足以下需求：

• 多网络平面隔离：如数据面、控制面分离。
• 高性能网络需求：如 SR-IOV、DPDK 加速。
• 异构网络接入：如同时连接公有云、私有云和本地网络。

1.2 Multus 的诞生与作用

Multus CNI 是一个 Meta-plugin（元插件），允许单个 Pod 附加多个网络接口。它不直接提供网络功能，而是协调其他 CNI 插件（如 Macvlan、IPVLAN、SR-IOV）为 Pod 创建额外接口。

核心价值：

• 支持 Pod 多网络接口，每个接口可独立配置。
• 兼容现有 CNI 插件，灵活扩展。
• 满足 NFV（网络功能虚拟化）、边缘计算等场景需求。

2. Multus 核心概念与工作原理

2.1 核心组件与架构

2.1.1 Multus 的运作流程

1. 主网络接口：由默认 CNI（如 Calico）创建，提供 Pod 基础通信。
2. 额外网络接口：通过 Multus 调用其他 CNI 插件创建，如 Macvlan、SR-IOV。
3. NetworkAttachmentDefinition（NAD）：自定义资源（CRD），定义如何创建额外网络。

2.1.2 关键组件

• Multus DaemonSet：部署在每个节点，负责管理多网络接口。
• CRD：NetworkAttachmentDefinition：用户定义的网络配置模板。
• CNI 配置链：Multus 通过调用链委托其他 CNI 插件执行操作。

2.2 工作原理详解

1. Pod 创建时：kubelet 调用 Multus 处理网络配置。
2. Multus 解析配置：读取 Pod 的 annotations 或 spec 中的网络需求。
3. 委托 CNI 插件：按顺序调用主 CNI 和其他 CNI 插件，为 Pod 添加接口。
4. 接口绑定与IP分配：每个插件为 Pod 创建独立接口并分配 IP。

3. 安装与配置 Multus

3.1 前置条件

• Kubernetes 集群（v1.16+）
• 已安装默认 CNI 插件（如 Calico）
• kubectl 和 jq 工具

3.2 安装 Multus

3.2.1 通过 DaemonSet 部署

# 下载 Multus 部署文件
kubectl apply -f https://raw.githubusercontent.com/k8snetworkplumbingwg/multus-cni/master/deployments/multus-daemonset.yml# 验证安装
kubectl get pods -n kube-system | grep multus

3.2.2 手动配置 CNI 文件

在 /etc/cni/net.d/ 下创建 Multus 配置文件：

{"name": "multus-cni","type": "multus","kubeconfig": "/etc/cni/net.d/multus.d/multus.kubeconfig","delegates": [{"name": "default-network","cniVersion": "0.3.1","plugins": [{"type": "calico","log_level": "info",...}]}]
}

3.3 配置 NetworkAttachmentDefinition（NAD）

示例：创建 Macvlan 网络

apiVersion: "k8s.cni.cncf.io/v1"
kind: NetworkAttachmentDefinition
metadata:name: macvlan-netnamespace: default
spec:config: '{"cniVersion": "0.3.1","name": "macvlan-net","type": "macvlan","master": "eth0","mode": "bridge","ipam": {"type": "host-local","subnet": "192.168.1.0/24","rangeStart": "192.168.1.100","rangeEnd": "192.168.1.200"}}'

4. 使用场景与实战案例

4.1 场景一：NFV 中的多网络平面

• 需求：一个 Pod 需要连接数据平面（高速转发）和控制平面（管理流量）。
• 方案：
  • 主网络：Calico 用于控制流量。
  • 额外网络：SR-IOV 提供高性能数据面接口。

4.2 场景二：多租户网络隔离

不同租户的 Pod 通过独立网络接口接入各自的 VPC。

4.3 实战案例：创建多网络接口 Pod

Pod 定义示例

apiVersion: v1
kind: Pod
metadata:name: multi-net-podannotations:k8s.v1.cni.cncf.io/networks: macvlan-net, sriov-net
spec:containers:- name: appimage: nginx

验证网络接口

kubectl exec -it multi-net-pod -- ip a
# 输出应包含 eth0（主接口）、net1（macvlan）、net2（sriov）

5. 常见问题与注意事项

5.1 常见问题

1. 网络接口未正确附加：

   • 检查 NAD 配置和 Pod 注解。
   • 查看 Multus 日志：kubectl logs -n kube-system <multus-pod>.

2. IP 地址冲突：

   • 使用 IPAM 插件（如 host-local）管理 IP 分配。

5.2 注意事项

• 资源冲突：确保节点有足够的虚拟功能（VF）或 MAC 地址空间。
• 安全策略：多接口可能扩大攻击面，需配合 NetworkPolicy 限制流量。

6. 总结

Multus CNI 通过灵活的多网络接口管理能力，成为 Kubernetes 复杂网络场景的基石。无论是 NFV、边缘计算还是多云互联，Multus 均能提供可靠支持。未来随着云原生网络的发展，其在与 Service Mesh、eBPF 等技术的结合中将发挥更大潜力。