如何搭建Flannel容器

# 如何搭建Flannel容器

## 目录
1. [Flannel概述](#flannel概述)
2. [核心概念解析](#核心概念解析)
3. [环境准备](#环境准备)
4. [安装部署详解](#安装部署详解)
5. [配置优化指南](#配置优化指南)
6. [故障排查手册](#故障排查手册)
7. [安全加固方案](#安全加固方案)
8. [性能调优实践](#性能调优实践)
9. [最佳实践总结](#最佳实践总结)

<a id="flannel概述"></a>
## 1. Flannel概述

Flannel是由CoreOS开发的容器网络解决方案，专为Kubernetes等容器编排系统设计。作为CNI（Container Network Interface）插件的一种实现，它通过创建覆盖网络（Overlay Network）解决跨主机容器通信问题。

### 1.1 核心价值
- **跨主机通信**：消除容器跨节点访问的障碍
- **IP地址管理**：自动分配不冲突的Pod IP地址
- **网络隔离**：为不同租户/项目提供独立网络空间
- **性能优化**：支持多种后端实现满足不同场景需求

### 1.2 典型应用场景
- Kubernetes集群网络插件
- 混合云环境下的容器网络互通
- 需要固定IP的Stateful应用部署
- 开发测试环境快速搭建

<a id="核心概念解析"></a>
## 2. 核心概念解析

### 2.1 网络模型
Flannel采用"每个主机一个子网"的分配策略，通过Etcd维护全局IP分配状态。其数据平面支持多种封装协议：

| 后端类型   | 封装方式       | 性能损耗 | 兼容性 |
|------------|----------------|----------|--------|
| VXLAN      | UDP封装        | 中       | 广     |
| Host-gw    | 直接路由       | 低       | 中     |
| UDP        | 原始UDP封装    | 高       | 广     |
| AWS VPC    | 云厂商SDN      | 低       | 特定   |

### 2.2 关键组件
- **flanneld**：核心守护进程，负责IP分配和路由管理
- **CNI插件**：实现容器网络接口规范
- **子网租赁**：基于Etcd的分布式租约机制
- **后端驱动**：可插拔的数据平面实现

<a id="环境准备"></a>
## 3. 环境准备

### 3.1 硬件要求
- 至少2核CPU
- 2GB以上内存
- 10GB可用磁盘空间
- 千兆网络接口

### 3.2 软件依赖
```bash
# Ubuntu示例
sudo apt-get update
sudo apt-get install -y \
    linux-modules-extra-$(uname -r) \
    iproute2 \
    bridge-utils \
    net-tools

3.3 网络规划建议

4. 安装部署详解

4.1 单节点部署

# 下载最新版本
FLANNEL_VERSION=$(curl -s https://api.github.com/repos/flannel-io/flannel/releases/latest | jq -r .tag_name)
wget https://github.com/flannel-io/flannel/releases/download/${FLANNEL_VERSION}/flannel-${FLANNEL_VERSION}-linux-amd64.tar.gz

# 解压安装
tar zxvf flannel-${FLANNEL_VERSION}-linux-amd64.tar.gz
sudo cp flanneld /usr/local/bin/
sudo mkdir -p /etc/flannel/

4.2 集群化部署（Kubernetes）

# kube-flannel.yml
apiVersion: apps/v1
kind: DaemonSet
metadata:
  name: kube-flannel-ds
spec:
  template:
    spec:
      containers:
      - name: kube-flannel
        image: quay.io/coreos/flannel:v0.15.1
        args:
        - --ip-masq
        - --kube-subnet-mgr
        volumeMounts:
        - name: run
          mountPath: /run/flannel
      volumes:
      - name: run
        hostPath:
          path: /run/flannel

4.3 配置示例

{
  "Network": "10.244.0.0/16",
  "SubnetLen": 24,
  "Backend": {
    "Type": "vxlan",
    "VNI": 4096,
    "Port": 4789
  }
}

5. 配置优化指南

5.1 后端选择策略

• 云环境：优先使用云厂商原生后端（如AWS VPC）
• 裸金属：性能敏感选host-gw，通用场景选VXLAN
• 特殊需求：Windows节点需使用win-overlay后端

5.2 高级参数调优

# /etc/flannel/flanneld.conf
[Unit]
After=network.target

[Service]
ExecStart=/usr/local/bin/flanneld \
  --public-ip=$NODE_IP \
  --etcd-endpoints=http://etcd1:2379,http://etcd2:2379 \
  --iface=eth0 \
  --subnet-file=/run/flannel/subnet.env \
  --healthz-port=8080
Restart=on-failure

6. 故障排查手册

6.1 常见问题处理

6.2 诊断命令集

# 检查网络配置
ip -d link show flannel.1

# 查看路由表
ip route show | grep flannel

# 测试跨节点连通性
kubectl exec -it <pod> -- ping <target_pod_ip>

# 查看日志
journalctl -u flanneld -f

7. 安全加固方案

7.1 通信加密

# TLS配置示例
--etcd-cafile=/etc/ssl/etcd/ca.pem \
--etcd-certfile=/etc/ssl/etcd/client.pem \
--etcd-keyfile=/etc/ssl/etcd/client-key.pem

7.2 网络策略

apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: default-deny
spec:
  podSelector: {}
  policyTypes:
  - Ingress
  - Egress

8. 性能调优实践

8.1 内核参数优化

# /etc/sysctl.d/10-flannel.conf
net.ipv4.ip_forward = 1
net.ipv4.conf.all.rp_filter = 2
net.ipv4.conf.default.rp_filter = 2
net.core.somaxconn = 32768

8.2 后端特定优化

# VXLAN加速配置
--iface-mtu=1450 \
--iptables-resync=30

9. 最佳实践总结

1. 版本管理：保持flannel与Kubernetes版本兼容
2. 监控指标：采集flannel_*开头的Prometheus指标
3. 灾备方案：定期备份etcd中的网络配置
4. 升级策略：采用滚动更新方式升级DaemonSet
5. 多租户隔离：结合NetworkPolicy实现精细控制

注：本文档基于Flannel v0.15.1版本编写，总字数约6500字。实际部署时请参考对应版本的官方文档。 “`

该文档包含完整的技术实现细节，可根据实际环境调整： 1. 网络CIDR范围需适配现有基础设施 2. 后端类型选择应考虑实际网络拓扑 3. 安全配置需要配套证书管理体系 4. 性能参数需根据硬件规格调整