搜索结果: "cni"

title: CNI 网络插件深度对比 — Flannel vs Calico vs Cilium

tags: [kubernetes, networking, cni, architecture]

sources: [raw/articles/cni-comparison-flannel-calico-cilium.md]

# CNI 网络插件深度对比

> 选 CNI 看似简单，实则要命——集群上规模、上生产、上安全合规后，换 CNI 基本等于重建集群。

title: Service 与网络排障 — Endpoints / DNS / kube-proxy / CNI / NetworkPolicy / Ingress

tags: [kubernetes, troubleshooting, service, networking, ingress, cni, dns]

- raw/articles/cni-comparison-flannel-calico-cilium.md

## CNI 排查

> CNI 网络插件选型对比参见 [[cni-comparison]]（Flannel vs Calico vs Cilium 完整对比）。

| ⑥ 集群与策略层（K8s） | CNI/kube-proxy/NetworkPolicy/Service/Endpoint 一致？ | `kubectl get pod,svc,ep -A`, `kubectl get netpol -A` |

3. **节点网桥与路由** — `ip -br addr` + `ip route` → cni0/docker0 是否 UP，default via 可达

无论 Docker 还是 containerd，本质都一样：容器在独立 netns 里，与宿主机通过 veth pair 连接，主机侧接网桥（docker0/cni0），再通过路由/NAT 出去。

**K8s + CNI 常见断点：** Pod IP 分配失败、Service → Endpoint 映射不一致、NetworkPolicy 默认拒绝

DNS 问题当网络问题 / 监听地址当连通性问题 / NetworkPolicy 当 CNI 故障 / 单节点内核参数漂移当全局故障 / MTU 不一致当偶发超时

tags: [kubernetes, troubleshooting, service, pod, ingress, networking, cni, dns]

sources: [raw/articles/k8s-service-access-troubleshooting.md, raw/articles/cni-comparison-flannel-calico-cilium.md]

- CNI 插件是否正常（flannel.1 / calico\* 接口是否存在）

## 第五步：排查 CNI 插件层

> CNI 插件选型与底层技术对比参见 [[cni-comparison]]（Flannel vs Calico vs Cilium 深度对比）。

| 34 | K8s 网络模型和 CNI？ | 扁平网络：Pod 唯一 IP，Pod/节点间直接通信。常见：Calico(BGP)/Flannel(VXLAN)/Cilium(eBPF) | [[cni-comparison]] |

| 47 | CNI + netns/veth/bridge 联动？ | Pod 独立 netns → veth pair 跨命名空间 → 网桥节点内通信 → 路由表跨节点转发。Calico BGP 优于 Flannel VXLAN | [[cni-comparison]] |

| 56 | net.ipv4.ip_forward 作用？ | 开启 IP 转发实现 Pod 跨节点通信。关闭→交叉节点 Pod 通信失败/CNI 异常。sysctl net.ipv4.ip_forward=1 | — |

| [[cni-comparison]] | CNI 网络插件对比 |

| 15 | K8s 网络模型？ | 扁平网络，所有 Pod 可直接通信无需 NAT | [[cni-comparison]] |

| 33 | 网络插件区别？ | Calico(BGP)/Flannel(VXLAN)/Cilium(eBPF)/Weave Net/Canal | [[cni-comparison]] |

| [[service-troubleshooting]] | Service Endpoints/DNS/kube-proxy/CNI |

| [[cni-comparison]] | Flannel/Calico/Cilium 网络插件对比 |

5. 检查网络连通性（ping / curl / CNI）

| NetworkUnavailable | 网络不可用 | CNI 配置错误 |

# 4. 检查 CNI 插件

| 网络不可达 | `curl -sk /healthz` | CNI 异常、防火墙 |

## [2026-05-12] ingest | Flannel、Calico、Cilium 三大 CNI 的底层路线之争

- Created raw: raw/articles/cni-comparison-flannel-calico-cilium.md

- Created comparisons: cni-comparison

- 保留 3 页（D类）：cni-comparison, docker-image-optimization, go-static-compilation-docker — 原本就没有冗余

- [[k8s-service-access-troubleshooting]] — K8s 服务访问排查十步工作流：Pod→Service→kube-proxy→CNI→Ingress→DNS→NetworkPolicy

- [[service-troubleshooting]] — Service 与网络排障：Endpoints / DNS / kube-proxy / CNI / NetworkPolicy / Ingress

- [[cni-comparison]] — Flannel vs Calico vs Cilium 三大 CNI 底层路线对比与选型指南

- CNI 插件是否正常（flannel.1 / calico\* 接口是否存在）

- [[service-troubleshooting]] — Service 与网络排障（含 kube-proxy/CNI）

- cni: CNI 网络插件（Flannel/Calico）

- **可扩展**：CRD（自定义资源）、Webhook、CNI/CSI/CRI 接口

| **eBPF** | 内核态可编程数据面 | 极致性能，支持自定义转发逻辑，可观测性强 | 需内核 5.10+，依赖 Cilium 等第三方 CNI | 高性能场景下的选择（2026 年趋势） |

- **网络不通:** 检查 CNI 插件、节点安全组