Sign in
  1. 概述
  2. 快速上手
  3. HTTP、HTTP/2 和 gRPC 代理
  4. TCP 代理和协议检测
  5. 重试和超时
  6. 自动 mTLS
  7. Ingress
  8. 遥测和监控
  9. 负载均衡
  10. 授权策略
  11. 自动代理注入
  12. CNI 插件
  13. 分布式追踪
  14. 故障注入
  15. 高可用性
  16. 多集群通信
  17. 集群上的指标堆栈
  18. 服务配置文件
  19. 流量拆分(金丝雀、蓝/绿部署)
  20. 将您的服务添加到 Linkerd
  21. vip 自动化的金丝雀发布
  22. vip 自动轮换控制平面 TLS 凭证
  23. vip 自动轮换 Webhook TLS 凭证
  24. vip 带上你自己的 Prometheus
  25. vip 配置代理并发
  26. vip 配置重试
  27. vip 配置超时
  28. vip 控制平面调试端点
  29. vip 使用 Kustomize 自定义 Linkerd 的配置
  30. vip 调试 502s
  31. vip 使用请求跟踪调试 gRPC 应用程序
  32. vip 使用每个路由指标调试 HTTP 应用程序
  33. vip 使用 Linkerd 进行分布式跟踪
  34. vip 导出指标
  35. vip 公开 Dashboard
  36. vip 生成您自己的 mTLS 根证书
  37. vip 获取每条路由指标
  38. vip Linkerd SMI 扩展入门
  39. vip 优雅的 Pod 关闭
  40. vip 入口流量
  41. vip 故障注入
  42. vip 安装 Linkerd
  43. vip 使用 Helm 安装 Linkerd
  44. vip 安装多集群组件
  45. vip Linkerd 和 Pod 安全策略 (PSP)
  46. vip 手动轮换控制平面 TLS 凭证
  47. vip 修改代理日志级别
  48. vip 多集群通信
  49. vip 与 StatefulSets 的多集群通信
  50. vip 更换过期证书
  51. vip 限制对服务的访问
  52. vip 轮换 webhook 证书
  53. vip 保护您的集群
  54. vip 设置服务配置文件
  55. vip 卸载 Linkerd
  56. vip 卸载多集群
  57. vip 使用自定义集群域
  58. vip 使用私有 Docker 存储库
  59. vip 使用扩展
  60. vip 将 GitOps 与 Linkerd 和 Argo CD 结合使用
  61. vip 使用 Debug Sidecar
  62. vip 验证您的 mTLS 流量
  63. vip 架构
  64. vip 授权策略
  65. vip 服务配置文件
  66. vip Service Mesh 术语表
By admin in Linkerd Service Mesh(v2.14)

CNI 插件

CNI 插件

Linkerd数据平面的工作原理是透明地将所有 TCP 流量路由到每个网格化 Pod和从每个 网格化 Pod 到其代理。(请参阅架构文档。)这允许 Linkerd 在应用程序不知情的情况下进行操作。

默认情况下,此重新路由是使用 Init Container 完成的,该容器在 pod 启动时使用 iptablespod 安装路由规则。但是,这需要 CAP_NET_ADMIN 功能;并且在某些集群中,此功能未授予 pod

为了解决这个问题,Linkerd 可以选择在 CNI 插件中而不是在 Init Container 中运行这些 iptables 规则。这避免了对 CAP_NET_ADMIN 功能的需要。

LinkerdCNI 插件旨在与您现有的 CNI 插件一起运行,使用 CNI chaining
它仅处理特定于 Linkerd 的配置,并不会取代对 CNI 插件的需求。

安装

使用 Linkerd CNI 插件需要先在集群上成功安装 linkerd-cni DaemonSet,然后再安装 Linkerd 控制平面

使用 CLI

要安装 linkerd-cni DaemonSet,请运行:

linkerd install-cni | kubectl apply -f -

一旦 DaemonSet 启动并运行,网格化的 pod 不应再使用 linkerd-init Init Container。为此,请在安装控制平面时使用 --linkerd-cni-enabled 标志:

linkerd install --linkerd-cni-enabled | kubectl apply -f -

使用此选项将在 linkerd-config ConfigMap 中设置一个 cniEnabled 标志。代理注入将读取此字段并省略 linkerd-init 初始化容器。

使用 Helm

首先确保您的 Helm 本地缓存已更新:

helm repo update
helm search linkerd2-cni

安装 CNI DaemonSet:

# install the CNI plugin first
helm install linkerd2-cni linkerd2/linkerd2-cni

# ensure the plugin is installed and ready
linkerd check --pre --linkerd-cni-enabled

对于低于 v3Helm 版本,必须专门传递 --name 标志。在 Helm v3 中,它已被弃用,并且是上面指定的第一个参数。

此时,您已准备好在启用 CNI 的情况下安装 Linkerd。按照使用 Helm 安装 Linkerd说明进行操作。

附加配置

linkerd install-cni 命令包括可用于自定义安装的附加标志。有关更多信息,请参阅 linkerd install-cni --help。请注意,许多标志类似于运行 linkerd inject 时可用于配置代理的标志。如果您在运行 linkerd install-cni 时更改了默认值,则需要确保在运行 linkerd inject 时进行相应的更改。

最重要的标志是:

  1. --dest-cni-net-dir: 这是 CNI 配置所在节点上的目录。默认为:/etc/cni/net.d
  2. --dest-cni-bin-dir: 这是 CNI 插件二进制文件所在节点上的目录。它默认为:/opt/cni/bin
  3. --cni-log-level: 将此设置为 debug 将允许更详细的日志记录。为了查看 CNI 插件日志,您必须能够看到 kubelet 日志。一种方法是登录节点并使用 journalctl -t kubelet。字符串 linkerd-cni: 可以用作搜索来查找插件日志输出。

升级 CNI 插件

由于 CNI 插件基本上是无状态的,因此不需要单独的 upgrade 命令。如果您使用 CLI 升级 CNI 插件,您可以执行以下操作:

linkerd install-cni | kubectl apply --prune -l linkerd.io/cni-resource=true -f -
Previous

自动代理注入

 Next

分布式追踪