Linux Overlay配置对网络有何要求

一、内核版本要求
Linux Overlay网络（如VXLAN、IPIP等隧道技术）需要内核具备相应的网络虚拟化支持，内核版本至少为3.10（部分特性如VXLAN需更高版本，如3.7+支持VXLAN）。低版本内核无法加载必要的模块（如overlay、vxlan），导致Overlay网络无法建立。

二、内核参数配置要求
Overlay网络依赖内核参数的正确设置，关键参数如下：

• IP转发：必须开启net.ipv4.ip_forward=1，否则宿主机无法在不同网络命名空间或网卡间转发数据包，Overlay隧道直接失效。
• UDP端口范围：VXLAN默认使用8472端口（部分环境为4789），需确保net.ipv4.conf.all.udp_port_range包含该端口，允许Overlay报文收发。
• ICMP重定向：需开启net.ipv4.conf.*.accept_redirects=1，Overlay隧道网关常通过ICMP重定向更新下一跳，关闭会导致跨子网路由黑洞。
• ARP代理：Flannel host-gw/ipip等场景需开启net.ipv4.conf.*.proxy_arp=1，宿主机需代答ARP请求，否则跨节点ARP解析失败。
• 反向路径过滤（rp_filter）：建议设置为0（禁用）或2（宽松模式），严格模式（1）会对隧道封装后的源地址校验丢包，导致跨主机通信中断。

三、网络设备与MTU要求

• 网络设备：Overlay网络需宿主机具备支持虚拟化网络功能的网卡（如Intel 82599、Mellanox ConnectX系列），以处理隧道封装（如VXLAN的UDP封装）带来的额外开销。
• MTU设置：Overlay网络因封装会增加数据包大小（如VXLAN封装增加50字节），需将宿主机及交换机的MTU调大至1600或1650字节（默认1500字节），避免分片导致的丢包和延迟。

四、CNI插件与配置一致性要求

• CNI插件支持：需使用支持Overlay网络的CNI插件（如Flannel、Calico、Docker Overlay），插件需正确配置Overlay驱动（如Flannel的vxlan模式、Calico的IPIP模式）。
• 配置一致性：所有参与Overlay网络的节点需配置相同的Overlay网络参数（如Docker的--subnet、--gateway，Flannel的vxlanid_list），确保节点间能识别并转发Overlay流量。

五、防火墙与安全策略要求

• 开放必要端口：需允许Overlay网络使用的端口通过防火墙（如Docker默认的2377端口用于集群管理、7946端口用于节点间通信；VXLAN的8472端口），避免阻塞隧道流量。
• 加密与隔离：建议启用TLS加密Overlay网络通信（如Calico的etcd集群通信），并通过网络策略（如Kubernetes NetworkPolicy）限制容器间流量，提升安全性。

六、存储驱动兼容性要求
若使用Overlay作为容器存储驱动（而非网络驱动），需确保内核支持overlay2（推荐）或overlay驱动，且底层文件系统（如XFS、ext4）启用d_type=true（支持目录项类型），否则会导致容器启动失败或性能下降。

七、性能优化相关要求

• 内核参数优化：调整TCP参数（如net.ipv4.tcp_window_scaling=1启用窗口缩放、net.ipv4.tcp_rmem/net.ipv4.tcp_wmem增大读写缓冲区）提升Overlay网络吞吐量；优化内核连接跟踪参数（如net.ipv4.tcp_max_tw_buckets增大TIME_WAIT桶大小、net.ipv4.tcp_tw_reuse=1重用TIME_WAIT连接）减少延迟。
• 网络拓扑优化：尽量将相互通信的容器部署在同一宿主机上，减少跨主机Overlay隧道的开销（跨主机通信延迟约为本地通信的10倍）。
• 硬件加速：使用支持RDMA（远程直接内存访问）的网卡或智能网卡（SmartNIC）卸载Overlay封装/解封装任务，降低CPU负载，提升网络性能。