安装和配置选项¶
在一键安装中我们使用默认配置进行安装,Kube-OVN 还支持更多 自定义配置,可在安装脚本中进行配置,或者之后更改各个组件的参数来进行配置。本文档将会介绍这些自定义选项 的作用,以及如何进行配置。
内置网络设置¶
Kube-OVN 在安装时会配置两个内置子网:
default
子网,作为 Pod 分配 IP 使用的默认子网,默认 CIDR 为10.16.0.0/16
,网关为10.16.0.1
。join
子网,作为 Node 和 Pod 之间进行网络通信的特殊子网, 默认 CIDR 为100.64.0.0/16
,网关为100.64.0.1
。
在安装时可以通过安装脚本内的配置进行更改:
POD_CIDR="10.16.0.0/16"
POD_GATEWAY="10.16.0.1"
JOIN_CIDR="100.64.0.0/16"
EXCLUDE_IPS=""
EXCLUDE_IP
可设置 POD_CIDR
不进行分配的地址范围,格式为:192.168.10.20..192.168.10.30
。
需要注意 Overlay 情况下这两个网络不能和已有的主机网络和 Service CIDR 冲突。
在安装后可以对这两个网络的地址范围进行修改请参考修改默认子网和修改 Join 子网。
Service 网段配置¶
由于部分 kube-proxy
设置的 iptables 和路由规则会和 Kube-OVN 设置的规则产生交集,因此 Kube-OVN 需要知道 Service 的 CIDR 来正确设置对应的规则。
在安装脚本中可以通过修改:
SVC_CIDR="10.96.0.0/12"
来进行配置。
也可以在安装后通过修改 kube-ovn-controller
Deployment 的参数:
args:
- --service-cluster-ip-range=10.96.0.0/12
来进行修改。
Overlay 网卡选择¶
在节点存在多块网卡的情况下,Kube-OVN 默认会选择 Kubernetes Node IP 对应的网卡作为容器间跨节点通信的网卡并建立对应的隧道。
如果需要选择其他的网卡建立容器隧道,可以在安装脚本中修改:
IFACE=eth1
该选项支持以逗号所分隔正则表达式,例如 ens[a-z0-9]*,eth[a-z0-9]*
。
安装后也可通过修改 kube-ovn-cni
DaemonSet 的参数进行调整:
args:
- --iface=eth1
如果每台机器的网卡名均不同,且没有固定规律,可以使用节点 annotation ovn.kubernetes.io/tunnel_interface
进行每个节点的逐一配置,拥有该 annotation 节点会覆盖 iface
的配置,优先使用 annotation。
kubectl annotate node no1 ovn.kubernetes.io/tunnel_interface=ethx
MTU 设置¶
由于 Overlay 封装需要占据额外的空间,Kube-OVN 在创建容器网卡时会根据选择网卡的 MTU 进行容器网卡的 MTU 调整, 默认情况下 Overlay 子网下 Pod 网卡 MTU 为主机网卡 MTU - 100,Underlay 子网下,Pod 网卡和主机网卡有相同 MTU。
如果需要调整 Overlay 子网下 MTU 的大小,可以修改 kube-ovn-cni
DaemonSet 的参数:
args:
- --mtu=1333
全局流量镜像开启设置¶
在开启全局流量镜像的情况下,Kube-OVN 会在每个节点上创建一块 mirror0
的虚拟网卡,复制当前机器所有容器网络流量到该网卡上, 用户可以通过 tcpdump 及其他工具进行流量分析,该功能可以在安装脚本中通过下面的配置开启:
ENABLE_MIRROR=true
也可在安装后通过修改 kube-ovn-cni
DaemonSet 的参数方式进行调整:
args:
- --enable-mirror=true
流量镜像的能力在默认安装中为关闭,如果需要细粒度的流量镜像或需要将流量镜像到额外的网卡请参考容器网络流量镜像。
LB 开启设置¶
Kube-OVN 使用 OVN 中的 L2 LB 来实现 Service 转发,在 Overlay 场景中,用户可以选择使用 kube-proxy
来完成 Service 流量转发, 在这种情况下可以关闭 Kube-OVN 的 LB 功能以达到控制面和数据面更好的性能。
该功能可以在安装脚本中进行配置:
ENABLE_LB=false
或者在安装后通过更改 kube-ovn-controller
Deployment 的参数进行配置:
args:
- --enable-lb=false
LB 的功能在默认安装中为开启。
从 Kube-OVN v1.12.0 版本开始,在 subnet crd 定义中增加了 spec 字段 enableLb
,将 Kube-OVN 的 LB 功能迁移到子网层级,可以基于不同的子网分别设置是否开启 LB 功能。kube-ovn-controller
Deployment 中的 enable-lb
参数作为全局参数,控制是否创建 load-balancer 记录,子网中新增的 enableLb
参数用于控制子网是否关联 load-balancer 记录。之前版本升级到 v1.12.0 之后,子网 enableLb
参数会自动继承原有的全局开关参数取值。
NetworkPolicy 开启设置¶
Kube-OVN 使用 OVN 中的 ACL 来实现 NetworkPolicy,用户可以选择关闭 NetworkPolicy 功能 或者使用 Cilium Chain 的方式利用 eBPF 实现 NetworkPolicy, 在这种情况下可以关闭 Kube-OVN 的 NetworkPolicy 功能以达到控制面和数据面更好的性能。
该功能可以在安装脚本中进行配置:
ENABLE_NP=false
或者在安装后通过更改 kube-ovn-controller
Deployment 的参数进行配置:
args:
- --enable-np=false
NetworkPolicy 的能力在默认安装中为开启。
EIP 和 SNAT 开启设置¶
默认网络下如果无需使用 EIP 和 SNAT 的能力,可以选择关闭相关功能,以减少 kube-ovn-controller
在创建和更新 网络时的检查消耗,在大规模集群环境下可以提升处理速度。
该功能可在安装脚本中进行配置:
ENABLE_EIP_SNAT=false
或者在安装后通过更改 kube-ovn-controller
Deployment 的参数进行配置:
args:
- --enable-eip-snat=false
EIP 和 SNAT 的能力在默认安装中为开启。该功能的相关使用和其他可配参数请参考 EIP 和 SNAT 配置。
Load Balancer 类型 Service 支持开启设置¶
默认 VPC 下可通过开启该选项来支持 Load Balancer 类型 Service。该功能的相关使用和其他可配参数请参考 LoadBalancer 类型 Service。
该功能默认关闭,可在安装脚本中进行配置:
ENABLE_LB_SVC=true
或者在安装后通过更改 kube-ovn-controller
Deployment 的参数进行配置:
args:
- --enable-lb-svc=true
集中式网关 ECMP 开启设置¶
集中式网关支持主备和 ECMP 两种高可用模式,如果需要启用 ECMP 模式, 需要更改 kube-ovn-controller
Deployment 的参数进行配置:
args:
- --enable-ecmp=true
从 Kube-OVN v1.12.0 版本开始,在 subnet crd 定义中增加了 spec 字段 enableEcmp
,将集中式子网 ECMP 开关控制迁移到子网层级,可以基于不同的子网分别设置是否开启 ECMP 模式。原有的 kube-ovn-controller
Deployment 中的 enable-ecmp
参数不再使用。之前版本升级到 v1.12.0 之后,子网开关会自动继承原有的全局开关参数取值。
集中式网关默认安装下为主备模式,更多网关相关内容请参考子网使用。
Kubevirt VM 固定地址开启设置¶
针对 Kubevirt 创建的 VM 实例,kube-ovn-controller
可以按照类似 StatefulSet Pod 的方式进行 IP 地址分配和管理。 以达到 VM 实例在生命周期内启停,升级,迁移等操作过程中地址固定不变,更符虚拟化合用户的实际使用体验。
该功能在 1.10.6 后默认开启,若要关闭此功能,需要在 kube-ovn-controller
Deployment 的启动命令中设置如下参数:
args:
- --keep-vm-ip=false
CNI 配置相关设置¶
Kube-OVN 默认会在 /opt/cni/bin
目录下安装 CNI 执行文件,在 /etc/cni/net.d
目录下安装 CNI 配置文件 01-kube-ovn.conflist
。 如果需要更改安装位置和 CNI 配置文件的优先级,可以通过安装脚本的下列参数进行调整:
CNI_CONF_DIR="/etc/cni/net.d"
CNI_BIN_DIR="/opt/cni/bin"
CNI_CONFIG_PRIORITY="01"
或者在安装后更改 kube-ovn-cni
DaemonSet 的 Volume 挂载和启动参数:
volumes:
- name: cni-conf
hostPath:
path: "/etc/cni/net.d"
- name: cni-bin
hostPath:
path:"/opt/cni/bin"
...
args:
- --cni-conf-name=01-kube-ovn.conflist
隧道类型设置¶
Kube-OVN 默认 Overlay 的封装模式为 Geneve,如果想更换为 Vxlan 或 STT,可以通过安装脚本的下列参数进行调整:
TUNNEL_TYPE="vxlan"
或者在安装后更改 ovs-ovn
DaemonSet 的环境变量:
env:
- name: TUNNEL_TYPE
value: "vxlan"
如果需要使用 STT 隧道需要额外编译 ovs 的内核模块,请参考性能调优。
不同协议在实际使用中的区别请参考隧道协议说明。
SSL 设置¶
OVN DB 的 API 接口支持 SSL 加密来保证连接安全,如要开启可调整安装脚本中的如下参数:
ENABLE_SSL=true
SSL 功能默认安装下为关闭模式。
绑定本地 ip¶
kube-ovn-controller/kube-ovn-cni/kube-ovn-monitor 这些服务支持绑定本地 ip,该功能设计原因主要是因为某些场景下出于安全考虑不允许服务绑定 0.0.0.0 (比如该服务部署在某个对外网关上,外部用户可以直接通过公网 ip 并指定端口去访问到该服务),该功能默认是打开的,由安装脚本中如下参数控制:
ENABLE_BIND_LOCAL_IP=true
以 kube-ovn-monitor 为例,开启功能后会把服务绑定本地的 pod ip 如下:
# netstat -tunlp |grep kube-ovn
tcp 0 0 172.18.0.5:10661 0.0.0.0:* LISTEN 2612/./kube-ovn-mon
安装后也可通过修改服务的 deployment 或者 daemonSet 的环境变量参数进行调整:
env:
- name: ENABLE_BIND_LOCAL_IP
value: "false"