andrewbytecoder
diff --git a/‎README.adoc
Lines changed: 0 additions & 24 deletions b/‎README.adoc
Lines changed: 0 additions & 24 deletions
diff --git a/‎README.md
Lines changed: 12 additions & 0 deletions b/‎README.md
Lines changed: 12 additions & 0 deletions
diff --git a/‎calico/calico.adoc renamed to ‎calico/calico.md
Lines changed: 37 additions & 49 deletions b/‎calico/calico.adoc renamed to ‎calico/calico.md
Lines changed: 37 additions & 49 deletions
diff --git a/‎calico/calicoctl.adoc
Lines changed: 0 additions & 18 deletions b/‎calico/calicoctl.adoc
Lines changed: 0 additions & 18 deletions
diff --git a/‎calico/calicoctl.md
Lines changed: 7 additions & 0 deletions b/‎calico/calicoctl.md
Lines changed: 7 additions & 0 deletions
diff --git a/‎calico/calico架构.adoc renamed to ‎calico/calico架构.md
Lines changed: 6 additions & 19 deletions b/‎calico/calico架构.adoc renamed to ‎calico/calico架构.md
Lines changed: 6 additions & 19 deletions
@@ -0,0 +1,12 @@
+
+# k8s-explore
+
+[quote, 王亚周, [email protected];[email protected];[email protected]]
+____
+Linux 专家之路。
+____
+
+
+v1.0.0.1, 2024-11-25
+
+
@@ -1,152 +1,140 @@
-:toc:
-
-// 保证所有的目录层级都可以正常显示图片
-:path: calico/
-:imagesdir: ../image/
-
-// 只有book调用的时候才会走到这里
-ifdef::rootpath[]
-:imagesdir: {rootpath}{path}{imagesdir}
-endif::rootpath[]
-
-== Calico
+## Calico
 
 Calico组件主要架构由Felix、Confd、BIRD组成
 
 - Felix 运行在每一台 Host 的 agent 进程，Felix负责刷新主机路由和ACL规则等，以便为该主机上的 Endpoint 正常运行提供所需的网络连接和管理。进出容器、虚拟机和物理主机的所有流量都会遍历Calico，利用Linux内核原生的路由和iptables生成的规则。是负责Calico Node运行并作为每个节点Endpoint端点的守护程序，它负责管理当前主机中的Pod信息，与集群etcd服务交换集群Pod信息，并组合路由信息和ACL策略。
 - Confd是负责存储集群etcd生成的Calico配置信息，提供给BIRD层运行时使用。
 - BIRD（BIRD Internet Routing Daemon）是核心组件，Calico中的BIRD特指BIRD Client和BIRD Route Reflector，负责主动读取Felix在本机上设置的路由信息，并通过BGP广播协议在数据中心中进行分发路由
 
+### 网络模型
 
-=== 网络模型
-
-==== `IPIP`
+#### `IPIP`
 
 流量：tunl0设备封装数据，形成隧道，承载流量。
 
 适用网络类型：适用于互相访问的pod不在同一个网段中，跨网段访问的场景。外层封装的ip能够解决跨网段的路由问题。
 
 效率：流量需要tunl0设备封装，效率略低。
 
-image::calico/image-2025-03-04-16-35-09-325.png[]
+![[image-2025-03-04-16-35-09-325.png]]
 
-==== `BGP` 网络
+#### `BGP` 网络
 
 流量：使用主机路由表信息导向流量
 
 适用网络类型：适用于互相访问的pod在同一个网段，适用于大型网络。
 
 效率：原生hostGW，效率高。
 
-image::calico/image-2025-03-04-16-36-17-662.png[]
+![[image-2025-03-04-16-36-17-662.png]]
 
 
 
 
-=== 网络策略
-==== Cluster IP服务
+### 网络策略
+#### Cluster IP服务
 
 默认服务类型为 ClusterIP 。这允许通过虚拟 IP 地址（称为服务 Cluster IP）在集群内访问服务。服务的 Cluster IP 可通过 Kubernetes DNS 发现。例如，my-svc.my-namespace.svc.cluster-domain.example 。DNS 名称和 Cluster IP 地址在服务的整个生命周期内保持不变，即使支持该服务的 pod 可能会被创建或销毁，并且支持该服务的 pod 数量可能会随时间而变化。
 
 在典型的 Kubernetes 部署中，kube-proxy 在每个节点上运行，负责拦截到 Cluster IP 地址的连接，并在支持每个服务的 Pod 组之间进行负载平衡。作为此过程的一部分，DNAT 用于将目标 IP 地址从 Cluster IP 映射到所选的支持 Pod。连接上的响应数据包随后在返回发起连接的 Pod 的途中进行 NAT 反向转换
 
-image::calico/image-2025-01-23-19-29-59-234.png[]
+![[image-2025-01-23-19-29-59-234.png]]
 
 
 
-image::calico/image-2025-01-23-20-07-26-827.png[]
+![[image-2025-01-23-20-07-26-827.png]]
 
 
-image::calico/image-2025-01-23-20-09-30-283.png[]
+![[image-2025-01-23-20-09-30-283.png]]
 
 
-==== NodePort 节点端口服务
+#### NodePort 节点端口服务
 
 从集群外部访问服务的最基本方法是使用 NodePort 类型的服务。节点端口是集群中每个节点上保留的端口，可通过该端口访问服务。在典型的 Kubernetes 部署中，kube-proxy 负责拦截与节点端口的连接并在支持每个服务的 pod 之间对其进行负载平衡
 
-image::calico/image-2025-01-23-19-36-07-020.png[]
+![[image-2025-01-23-19-36-07-020.png]]
 
-image::calico/image-2025-01-23-20-11-50-660.png[]
+![[image-2025-01-23-20-11-50-660.png]]
 
-image::calico/image-2025-01-23-20-16-41-799.png[]
+![[image-2025-01-23-20-16-41-799.png]]
 
 
 请注意，由于连接源 IP 地址已通过 SNAT 转换为节点 IP 地址，因此服务支持 pod 的入口网络策略看不到原始客户端 IP 地址。通常，这意味着任何此类策略仅限于限制目标协议和端口，而不能基于客户端/源 IP 进行限制。
 
-==== 负载均衡器服务
+#### 负载均衡器服务
 
-image::calico/image-2025-01-23-19-39-20-407.png[]
+![[image-2025-01-23-19-39-20-407.png]]
 
 大多数网络负载均衡器都会保留客户端源 IP 地址，但由于服务随后会通过一个内部节点(kube-proxy)，因此支持 Pod 本身看不到客户端 IP。
 
-image::calico/image-2025-01-23-20-31-03-560.png[]
+![[image-2025-01-23-20-31-03-560.png]]
 
-==== Advertising service IPs
+#### Advertising service IPs
 
 使用节点端口或网络负载平衡器的一种替代方法是通过 BGP 通告服务 IP 地址。这要求集群在支持 BGP 的底层网络上运行
 
 Calico supports advertising service Cluster IPs, or External IPs for services configured with one.
 
 https://github.com/metallb/metallb?tab=readme-ov-file[metallb和calico一样根据路由提供负载均衡]
 
-image::calico/image-2025-01-23-19-46-52-810.png[]
+![[image-2025-01-23-19-46-52-810.png]]
 
-image::calico/image-2025-01-23-20-23-12-971.png[]
-image::calico/image-2025-01-23-20-24-46-501.png[]
+![[image-2025-01-23-20-23-12-971.png]]
+![[image-2025-01-23-20-24-46-501.png]]
 
 
-==== externalTrafficPolicy:local
+#### externalTrafficPolicy:local
 
 默认情况下，无论是使用服务类型NodePort还是LoadBalancer，还是通过BGP公布服务IP地址，从集群外部访问服务都会在支持该服务的所有 Pod 之间均匀负载平衡，与 Pod 位于哪个节点无关。可以通过使用externalTrafficPolicy:local 配置服务来更改此行为，该配置指定连接应仅负载平衡到本地节点上支持该服务的Pod。
 
-image::calico/image-2025-01-23-19-51-38-831.png[]
+![[image-2025-01-23-19-51-38-831.png]]
 
-image::calico/image-2025-01-23-20-32-35-229.png[]
+![[image-2025-01-23-20-32-35-229.png]]
 
 
-image::calico/image-2025-01-23-20-26-12-008.png[]
+![[image-2025-01-23-20-26-12-008.png]]
 
 
-==== Calico eBPF本机服务处理
+#### Calico eBPF本机服务处理
 
 Calico作为kube-proxy的替代方案，支持eBPF本机服务处理，通过eBPF实现服务路由，这可以保留源IP简化网络策略，提供DSR(直接服务返回)以减少流量的网络跳数。
 
-image::calico/image-2025-01-23-19-57-38-107.png[]
+![[image-2025-01-23-19-57-38-107.png]]
 
 
-image::calico/image-2025-01-23-20-29-34-564.png[]
+![[image-2025-01-23-20-29-34-564.png]]
 
 
-==== Calico网络模型示例
+#### Calico网络模型示例
 
 均衡按照节点进行均衡
 
-image::calico/image-2025-01-23-20-27-47-118.png[]
+![[image-2025-01-23-20-27-47-118.png]]
 
 
 
 
-image::calico/image-2025-01-24-10-17-18-714.png[]
+![[image-2025-01-24-10-17-18-714.png]]
 
-image::calico/image-2025-01-24-10-17-35-695.png[]
+![[image-2025-01-24-10-17-35-695.png]]
 
 In-cluster ingress solution exposed as service type LoadBalancer with externalTrafficPolicy:local
 
-image::calico/image-2025-01-24-10-40-18-480.png[]
+![[image-2025-01-24-10-40-18-480.png]]
 
 External ingress solution via node ports
 
-image::calico/image-2025-01-24-10-41-22-363.png[]
+![[image-2025-01-24-10-41-22-363.png]]
 
 External ingress solution direct to pods
 
-image::calico/image-2025-01-24-10-42-26-185.png[]
+![[image-2025-01-24-10-42-26-185.png]]
 
 
 
 
 
-==== Calico eBPF数据平面简介
+#### Calico eBPF数据平面简介
 
 
 
 
@@ -0,0 +1,7 @@
+
+
+
+
+
+
+
@@ -1,30 +1,17 @@
-:toc:
 
-// 保证所有的目录层级都可以正常显示图片
-:path: calico/
-:imagesdir: ../image/
-
-// 只有book调用的时候才会走到这里
-ifdef::rootpath[]
-:imagesdir: {rootpath}{path}{imagesdir}
-endif::rootpath[]
-
-== Calico架构
-
-
-=== 路由配置组件 Felix
+### 路由配置组件 Felix
 
 
 如果只有两台机器，每台机器只有两个容器，而且保持不变。我手动配置一下，倒也没啥问题。但是如果容器不断地创建、删除，节点不断地加入、退出，情况就会变得非常复杂
 
-image::calico/image-2025-04-19-17-10-36-534.png[]
+![[image-2025-04-19-17-10-36-534.png]]
 
 就像图中，有三台物理机，两两之间都需要配置路由，每台物理机上对外的路由就有两条。如果有六台物理机，则每台物理机上对外的路由就有五条。新加入一个节点，需要通知每一台物理机添加一条路由。
 
 这还是在物理机之间，一台物理机上，每创建一个容器，也需要多配置一条指向这个容器的路由。如此复杂，肯定不能手动配置，需要每台物理机上有一个 agent，当创建和删除容器的时候，自动做这件事情。这个 agent 在 Calico 中称为 Felix。
 
 
-=== 路由广播组件 BGP Speaker
+### 路由广播组件 BGP Speaker
 
 当 Felix 配置了路由之后，接下来的问题就是，如何将路由信息，也即将“如何到达我这个节点，访问我这个节点上的容器”这些信息，广播出去。
 
@@ -33,15 +20,15 @@ image::calico/image-2025-04-19-17-10-36-534.png[]
 在 Calico 中，每个 Node 上运行一个软件 BIRD，作为 BGP 的客户端，或者叫作 BGPSpeaker，将“如何到达我这个 Node，访问我这个 Node 上的容器”的路由信息广播出去。所有 Node 上的 BGP Speaker 都互相建立连接，就形成了全互连的情况，这样每当路由有所变化的时候，所有节点就都能够收到了
 
 
-=== 安全策略组件 Network Policy
+### 安全策略组件 Network Policy
 
 Calico 中还实现了灵活配置网络策略 Network Policy，可以灵活配置两个容器通或者不通。这个怎么实现呢？
 
-image::calico/image-2025-04-19-17-16-08-387.png[]
+![[image-2025-04-19-17-16-08-387.png]]
 
 虚拟机中的安全组，是用 iptables 实现的。Calico 中也是用 iptables 实现的。这个图里的内容是 iptables 在内核处理网络包的过程中可以嵌入的处理点。Calico 也是在这些点上设置相应的规则。
 
-image::calico/image-2025-04-19-17-16-55-005.png[]
+![[image-2025-04-19-17-16-55-005.png]]
-Original file line number
+Diff line change
@@ @@ -0,0 +1,7 @@ @@
++
++
++
++
++
++
++