https://ops.freeedge.uk/tags/cni/ Recent content in CNI on Ops FreeEdge Hugo en-us Fri, 03 Apr 2026 18:30:00 +0000 https://ops.freeedge.uk/posts/tailscale-kubernetes-cni-plugin-network-overlay/ Fri, 03 Apr 2026 18:30:00 +0000 https://ops.freeedge.uk/posts/tailscale-kubernetes-cni-plugin-network-overlay/ <h2 id="引言">引言</h2> <p>Kubernetes CNI（容器网络接口）插件是为 Pod 提供 pod 间通信、服务发现和网络策略的核心组件。Tailscale 作为基于 WireGuard 的零配置安全网络，能否充当完整的 Kubernetes CNI 插件，将 tailnet 转变为 Pod 的网络 overlay？</p> <p>Tailscale <strong>官方并未提供 CNI 插件</strong>，但社区实现与 Tailscale 官方 Kubernetes 集成使其成为可能。本文深入解析社区 CNI 实现、官方替代方案、权衡取舍以及实操指南。</p> <h2 id="什么是-kubernetes-cni-插件">什么是 Kubernetes CNI 插件？</h2> <p>CNI 插件在 Pod 创建/删除时配置网络接口。主流 CNI 包括：</p> <ul> <li><strong>Calico/Flannel</strong>：Overlay 网络（VXLAN）</li> <li><strong>Cilium</strong>：基于 eBPF</li> <li><strong>Multus</strong>：多网络支持</li> </ul> <p>Tailscale CNI 的核心能力：</p> <ul> <li>为 Pod 分配 Tailscale IP</li> <li>将 Pod 流量通过 Tailscale mesh（DERP 中继或直接 WireGuard）路由</li> <li>无需 VPC 对等互连即可实现跨集群/节点安全通信</li> </ul> <h2 id="社区-tailscale-cnirmb938tailscale-cni">社区 Tailscale CNI：rmb938/tailscale-cni</h2> <p>主要社区项目为 <a href="https://github.com/rmb938/tailscale-cni">rmb938/tailscale-cni</a>（概念验证，非生产级）。</p> <h3 id="系统要求">系统要求</h3> <ul> <li>所有 Kubernetes 节点上已安装并运行 Tailscale（<code>tailscale up</code>）</li> <li>Kubernetes 集群已配置 pod-network-cidr（如 <code>kubeadm init --pod-network-cidr=172.18.0.0/16</code>）</li> </ul> <h3 id="安装步骤">安装步骤</h3> <ol> <li>构建并发布 Docker 镜像</li> <li>部署 Kustomize 清单，覆盖镜像地址</li> </ol> <p><strong>局限性</strong>：</p>