网络架构图

master01: 172.16.10.11

master01: 172.16.10.12

master01: 172.16.10.13

外部LB：172.16.10.62

背景原因

环境为双网卡环境，默认部署使用单一网卡的ip 证书信任， 另外一网卡ip没做证书信任，现在需要重新生成证书来添加ip信任，让apiserver 支持多ip地址访问

备份 kubernetes 目录

cp -r /etc/kubernetes{,-bak}

helm3安装方法

使用脚本安装

Helm现在有个安装脚本可以自动拉取最新的Helm版本并在 本地安装。

您可以获取这个脚本并在本地执行。它良好的文档会让您在执行之前知道脚本都做了什么。

curl -fsSL -o get_helm.sh https://raw.githubusercontent.com/helm/helm/main/scripts/get-helm-3
chmod 700 get_helm.sh
./get_helm.sh

如果想直接执行安装，运行curl https://raw.githubusercontent.com/helm/helm/main/scripts/get-helm-3 | bash。

背景目的

构建同一个镜像支持amd和arm平台

ovn实现ACL

第一种方法通过k8s标准资源networkpolicy实现ACL（推荐使用）

什么是网络策略？

首先NetworkPolicy是k8s的一种resource，可以通过以下三种维度对整个namespace或单一POD进行隔离：pod（允许某些pod访问）、namespace（允许某些namespace访问）、ip段（CIDR，但是pod所运行node节点始终可以访问该pod）当定义基于pod和namespace的NetworkPolicy时，需要根据标签来选择对应的pod或者namespace。

另外当需要使用NetworkPolicy资源时，k8s集群采用的网络插件必须支持，比如ovn-kubernetes等等

Multus CNI 简介

Multus CNI enables attaching multiple network interfaces to pods in Kubernetes.

以上是 Multus CNI 项目官方对其存在意义的精简描述，它的存在就是帮助 K8s 的 Pod（可简单理解为一组容器的集合，是 K8s 可管理的最小“容器”单位）建立多网络接口。

Multus CNI 本身不提供网络配置功能，它是通过用其他满足 CNI 规范的插件进行容器的网络配置。

背景目的

当容器使用ovn网络的时候，需要给容器里面注入ovn 分配对应的vf网卡的ip信息

ovnkube-route开发文档(内核态路由)背景目的在流量分离双CNI的场景下，实现实时路由下发，控制SVC服务从指定CNI网络出去； 双CNI方案架构： Calico作为默认网络，承载管理流量与非低延时业务流量； OVN-Kubernetes作为第二网络，承载低延时业务流量； 最终路由 ...

OSI模型第二层【数据链路层】

_dl_ _即是_ data link 的缩写。

dl_type=ethertype

匹配以太网协议类型以太类型，以10到65535之间的整数（包括0和65535）指定，以十进制或以0x前缀的十六进制数表示，示例如下。

• dl_type=0x0800 匹配IPv4数据包，等同于dl_type=ip 。

• dl_type=0x086dd 匹配IPv6数据包，等同于dl_type=ipv6 。

• dl_type=0x0806 匹配ARP数据包，等同于dl_type=arp 。

• dl_type=0x8035 匹配RARP数据包，等同于 dl_type=rarp。

ubuntu安装containerd

以下以Ubuntu为例
说明：安装containerd与安装docker流程基本一致，差别在于不需要安装docker-ce

1. containerd: apt-get install -y containerd.io
2. docker: apt-get install docker-ce docker-ce-cli containerd.io