網絡選項

默認情況下，K3s 將以 flannel 作為 CNI 運行，使用 VXLAN 作為默認后端。

Flannel 選項

Flannel 的默認后端是 VXLAN。要啟用加密，請使用下面的 IPSec（Internet Protocol Security）或 WireGuard 選項。

如果你想使用 WireGuard 作為你的 flannel 后端，可能需要額外的內核模塊。請參閱 WireGuard 安裝指南了解詳情。WireGuard 的安裝步驟將確保為您的操作系統安裝適當的內核模塊。在嘗試使用 WireGuard flannel 后端選項之前，您需要在 server 和 agent 的每個節(jié)點上安裝 WireGuard。

自定義 CNI

使用?--flannel-backend=none?運行 K3s，然后在安裝你選擇的 CNI。大多數 CNI 插件都有自己的網絡策略引擎，因此建議同時設置 ?--disable-network-policy? 以避免沖突。應該為 Canal 和 Calico 啟用 IP 轉發(fā)。請參考以下步驟。

• Canal

訪問Project Calico Docs網站。按照以下步驟安裝 Canal。修改 Canal 的 YAML，在 container_settings 部分中允許 IP 轉發(fā)，例如：

"container_settings": {
              "allow_ip_forwarding": true
          }

應用 Canal YAML.

通過在主機上運行以下命令，確保設置已被應用：

cat /etc/cni/net.d/10-canal.conflist

你應該看到 IP 轉發(fā)被設置為 true。

• Calico

按照Calico CNI 插件指南。修改 Calico YAML，在 container_settings 部分中允許 IP 轉發(fā)，例如：

"container_settings": {
              "allow_ip_forwarding": true
          }

應用 Calico YAML.

通過在主機上運行以下命令，確保設置已被應用：

cat /etc/cni/net.d/10-calico.conflist

你應該看到 IP 轉發(fā)被設置為 true。

Dual-stack 安裝

首次創(chuàng)建集群時必須配置 dual-stack 組網。它不能在現有的 single-stack 集群上啟用。

k3s v1.21 或更高版本支持 dual-stack 。

要在 K3s 中啟用 dual-stack ，你必須在所有 server 節(jié)點上提供有效的 dual-stack ?cluster-cidr? 和 ?service-cidr?。server 和 agent 都必須提供有效的 dual-stack ?node-ip? 設置。 dual-stack 集群不支持節(jié)點地址自動檢測，因為 kubelet 只獲取它找到的第一個 IP 地址。此外，目前僅支持 vxlan 后端。這是有效配置的示例：

k3s server --node-ip 10.0.10.7,2a05:d012:c6f:4611:5c2:5602:eed2:898c --cluster-cidr 10.42.0.0/16,2001:cafe:42:0::/56 --service-cidr 10.43.0.0/16,2001:cafe:42:1::/112

注意，你可以選擇任何 ?cluster-cidr? 和 ?service-cidr? 的值，但是 ?node-ip? 的值必須與你的主接口的 ip 地址相對應。如果你在公有云中部署，記住要允許 ipv6 流量。

如果你使用的是自定義的 cni 插件，即與 flannel 不同的 cni 插件，前面的配置可能不足以在 cni 插件中啟用 dual-stack。請在其文檔中查看如何啟用 dual-stack，并驗證是否可以啟用網絡策略。

只安裝 IPv6

K3s v1.22 或以上版本支持只安裝 IPv6。

提示：
如果你的 IPv6 默認路由是由路由器廣告（RA）設置的，你需要設置 net.ipv6.conf.all.accept_ra = 2，否則，一旦默認路由過期，節(jié)點將放棄該路由。請注意，接受 RA 可能會增加中間人攻擊的風險。