Antrea Agent Docker镜像文档

1. 镜像概述和主要用途

Antrea Agent Docker镜像是Antrea项目的核心组件之一，用于在Kubernetes集群中提供网络和安全服务。Antrea是一款Kubernetes原生的网络解决方案，工作在OSI模型的第3/4层，通过Open vSwitch（OVS）作为数据平面，为集群提供网络连接和安全策略 enforcement。

本镜像是多平台镜像（支持amd64、arm64、arm/v7架构），基于Ubuntu系统构建，设计为以特权模式（privileged）在Kubernetes集群中作为DaemonSet运行，确保每个节点均能提供一致的网络服务。

2. 核心功能和特性

2.1 核心功能

• Kubernetes原生网络：提供符合Kubernetes网络模型的Pod网络连接，支持Pod间通信及外部网络访问。
• 安全策略 enforcement：实现基于Kubernetes NetworkPolicy的网络安全控制，支持L3/4层访问策略。
• OVS数据平面：集成Open vSwitch作为高性能数据平面，处理数据包转发、VLAN隔离等底层网络操作。

2.2 关键特性

• 多平台支持：兼容amd64、arm64、arm/v7架构，适配异构集群环境。
• 特权模式运行：需以特权模式启动，以访问主机网络设备、OVS内核模块及系统资源。
• 节点级部署：作为DaemonSet运行，确保集群中每个节点均部署一个Agent实例。
• Ubuntu基础镜像：基于Ubuntu构建，提供稳定的系统依赖环境。

3. 使用场景和适用范围

3.1 典型使用场景

• Kubernetes集群的Pod网络构建（覆盖网络、Underlay网络）。
• 基于NetworkPolicy的Pod间通信控制（入站/出站规则、端口限制等）。
• 多架构Kubernetes集群（如混合x86_64和ARM节点的边缘集群）的网络统一管理。

3.2 适用范围

• 运行Kubernetes 1.21+的集群（需匹配Antrea版本兼容性要求）。
• 需要L3/4层网络服务的场景（如Pod IP分配、Service负载均衡、网络隔离）。
• 支持amd64、arm64、arm/v7架构的节点环境。

4. 使用方法和配置说明

4.1 部署方式

Antrea Agent需在Kubernetes集群中以DaemonSet形式部署，通常通过Antrea官方提供的YAML清单或Helm Chart安装（推荐）。直接使用docker run命令手动启动的场景较少，仅建议用于调试或特殊环境。

4.2 配置参数

Antrea Agent的配置通过以下方式注入：

• Kubernetes ConfigMap：核心配置（如OVS桥接模式、隧道类型、MTU等）通过ConfigMap挂载到容器中（通常路径为/etc/antrea/antrea-agent.conf）。
• 环境变量：集群相关参数（如APIServer地址、节点名称）通过环境变量注入（如NODE_NAME、KUBERNETES_SERVICE_HOST等）。
• 命令行参数：部分运行时参数可通过启动命令传入（如--config指定配置文件路径）。

具体配置项及默认值可参考Antrea源码仓库的文档或示例配置。

5. 部署方案示例

5.1 Kubernetes DaemonSet部署（推荐）

以下为Antrea Agent DaemonSet的核心配置片段（完整配置需参考Antrea官方YAML）：

apiVersion: apps/v1
kind: DaemonSet
metadata:
  name: antrea-agent
  namespace: kube-system
spec:
  selector:
    matchLabels:
      app: antrea-agent
  template:
    metadata:
      labels:
        app: antrea-agent
    spec:
      hostNetwork: true  # 使用主机网络命名空间
      tolerations:
      - operator: "Exists"  # 容忍所有污点，确保在所有节点部署
      containers:
      - name: antrea-agent
        image: antrea/antrea-agent:v1.14.0  # 替换为实际版本
        securityContext:
          privileged: true  # 必须启用特权模式
          capabilities:
            add: ["NET_ADMIN", "SYS_MODULE"]  # 需添加网络管理及内核模块权限
        volumeMounts:
        - name: ovs-run
          mountPath: /var/run/openvswitch  # OVS运行时目录
        - name: antrea-config
          mountPath: /etc/antrea  # 配置文件目录
        - name: host-var-lib
          mountPath: /var/lib/antrea  # 持久化数据目录
      volumes:
      - name: ovs-run
        hostPath:
          path: /var/run/openvswitch
          type: DirectoryOrCreate
      - name: antrea-config
        configMap:
          name: antrea-config  # 引用包含Agent配置的ConfigMap
      - name: host-var-lib
        hostPath:
          path: /var/lib/antrea
          type: DirectoryOrCreate

5.2 Docker run命令示例（调试用）

在非Kubernetes环境中手动启动Antrea Agent（仅用于调试，生产环境需通过DaemonSet部署）：

docker run -d \
  --name antrea-agent \
  --privileged \
  --net=host \
  --cap-add=NET_ADMIN \
  --cap-add=SYS_MODULE \
  -v /var/run/openvswitch:/var/run/openvswitch \
  -v /var/lib/antrea:/var/lib/antrea \
  -v /etc/antrea:/etc/antrea \
  -e NODE_NAME=node-1 \
  -e KUBERNETES_SERVICE_HOST=10.96.0.1 \
  -e KUBERNETES_SERVICE_PORT=443 \
  antrea/antrea-agent:v1.14.0

参数说明：

• --privileged：启用特权模式，允许访问主机设备和内核模块。
• --net=host：使用主机网络命名空间，确保Agent能管理节点网络。
• -v：挂载主机目录（OVS运行时目录、Antrea数据目录、配置目录）。
• -e：注入环境变量（节点名称、Kubernetes APIServer地址等）。

6. 参考资料

• Antrea源码仓库
• Antrea官方文档