k8s网络模型

最新推荐文章于 2024-07-25 18:05:44 发布
最新推荐文章于 2024-07-25 18:05:44 发布
阅读量309 收藏
点赞数
文章标签: linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/B_memory/article/details/119929249
版权

Kubernetes网络模型

关于 Pod 如何接入网络这件事情,Kubernetes 做出了明确的选择。具体来说,Kubernetes 要求所有的网络插件实现必须满足如下要求:

  • 所有的 Pod 可以与任何其他 Pod 直接通信,无需使用 NAT 映射(network address translation)
  • 所有节点可以与所有 Pod 直接通信,无需使用 NAT 映射

Pod 内部获取到的 IP 地址与其他 Pod 或节点与其通信时的 IP 地址是同一个
在这些限制条件下,需要解决如下四种完全不同的网络使用场景的问题:

  • Container-to-Container 的网络
  • Pod-to-Pod 的网络
  • Pod-to-Service 的网络
  • Internet-to-Service 的网络
  • Container-to-Container的网络

通常,我们认为虚拟机中的网络通信是直接使用以太网设备进行的,
在这里插入图片描述
实际情况比这个示意图更加复杂一些。Linux系统中,每一个进程都在一个 network namespace中进行通信,network namespace 提供了一个逻辑上的网络堆栈(包含自己的路由、防火墙规则、网络设备)。换句话说,network namespace 为其中的所有进程提供了一个全新的网络堆栈。

Linux 用户可以使用 ip 命令创建 network namespace。例如,下面的命令创建了一个新的 network namespace 名称为 ns1:

$ ip netns add ns1

当创建 network namespace 时,同时将在 /var/run/netns 下创建一个挂载点(mount point)用于存储该 namespace 的信息。
执行 ls /var/run/netns 命令,或执行 ip 命令,可以查看所有的 network namespace:

$ ls /var/run/netns
ns1
$ ip netns
ns1

默认情况下,Linux 将所有的进程都分配到 root network namespace,以使得进程可以访问外部网络,如下图所示:
在这里插入图片描述
在 Kubernetes 中,Pod 是一组 docker 容器的集合,这一组 docker 容器将共享一个 network namespace。Pod 中所有的容器都:

  • 使用该 network namespace 提供的同一个 IP 地址以及同一个端口空间
  • 可以通过 localhost 直接与同一个 Pod 中的另一个容器通信
    Kubernetes 为每一个 Pod 都创建了一个 network namespace。具体做法是,把一个 Docker 容器当做 “Pod Container” 用来获取 network namespace,在创建 Pod 中新的容器时,都使用 docker run 的 --network:container 功能来加入该 network namespace,参考 docker run reference

如下图所示,每一个 Pod 都包含了多个 docker 容器(ctr*),这些容器都在同一个共享的 network namespace 中:
在这里插入图片描述
此外,Pod 中可以定义数据卷,Pod 中的容器都可以共享这些数据卷,并通过挂载点挂载到容器内部不同的路径,具体请参考 存储卷

Pod-to-Pod的网络

在 Kubernetes 中,每一个 Pod 都有一个真实的 IP 地址,并且每一个 Pod 都可以使用此 IP 地址与 其他 Pod 通信。本章节可以帮助我们理解 Kubernetes 是如何在 Pod-to-Pod 通信中使用真实 IP 的,不管两个 Pod 是在同一个节点上,还是集群中的不同节点上。我们将首先讨论通信中的两个 Pod 在同一个节点上的情况,以避免引入跨节点网络的复杂性。

从 Pod 的视角来看,Pod 是在其自身所在的 network namespace 与同节点上另外一个 network namespace 进程通信。在Linux上,不同的 network namespace 可以通过 Virtual Ethernet Device

或 veth pair (两块跨多个名称空间的虚拟网卡)进行通信。为连接 pod 的 network namespace,可以将 veth pair 的一段指定到 root network namespace,另一端指定到 Pod 的 network namespace。每一组 veth pair 类似于一条网线,连接两端,并可以使流量通过。节点上有多少个 Pod,就会设置多少组 veth pair。下图展示了 veth pair 连接 Pod 到 root namespace 的情况:
在这里插入图片描述
此时&#

最低0.47元/天 解锁文章
B_memory
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
K8s网络模型
bobi的博客
07-18 3099
Docker网络模型 容器 容器不是模拟一个完整的操作系统,而是对进程进行隔离,对容器里的进程来说它接触到的各种资源都是独享的,比虚拟机启动快、占用资源少。 Docker Docker是对Linux底层容器技术的封装,提供容器使用接口,docker将应用程序和该程序的依赖打包在同一个文件,即Docker image,运行Docker image就会生成一个Docker容器,程序在容器里运行就像在物理机或者虚拟机一样。 容器与虚拟机对比 虚拟机要模拟整台机器的操作系统,包括硬件资源;容器和主机共享操作系统,容
K8s系列之:网络原理
zhengzaifeidelushang的博客
02-11 5341
K8s系列之:网络原理一、K8s网络模型二、Docker的网络模型三、网络的命名空间1.网络命名空间的实现2.网络命名空间的操作3.网络命名空间的一些技巧四、Veth设备对1.Veth设备对的操作命令2.Veth设备对如何查看对端五、网桥1.Linux网桥的实现2.网桥的常用操作命令六、Iptables/Netfilter七、路由1.路由表的创建2.路由表的查看八、Docker的网络实现1.查看Docker启动后的系统情况2.查看容器启动后的情况(容器无端口映射)3.查看容器启动后的情况(容器端口映射)九、
详解K8S网络模型(包含Service讲解)
天然玩家的博客
07-05 4458
核心: (1)集群中的每个Pod会在集群范围内获取自己唯一的IP地址,Pod间通信无需建立连接,无需考虑端口映射; (2)Service是将一系列Pod应用暴露为网络服务的一种方法,即通过Service访问Pod; (3)代理模式有3种:用户空间代理模式、iptables代理模式和IPVs代理模式; (4)Kubernetes允许在Service对象中配置多个端口; (5)流量分配策略:Cluster和Local两种方式,Cluster:流量分发到就绪的Endpoint;Local流量只分发到本机Endpo
k8s的host网络模型
神棍之路
10-11 2638
一)网络模式介绍 (二)bridge模式(docker默认的网络模式) (三)host模式(共享主机的网络模式) (四)container 模式(容器之前的共享模式,学习k8s这个很重要) Pods中的多个container共享一个网络栈,这是基础了。Pods的网络namespace和宿主机的物理网络的namespace不是一个,之间通过docker bridge相连。在pods的namespace中,pods的虚拟网络接口为veth0;在宿主机上,物理网络网络接口为eth0。docker
k8s 的 CNI 网络模型
ChaITSimpleLove的博客
03-07 2340
CNI 全称是 Container Network Interface,即容器网络的 API 接口。CNI 是由 CoreOS 提出的容器网络规范,使用了插件(Pugin) 模型创建容器的网络栈,k8s 网络采用的就是这个 CNI 网络模型规范; 它是 K8s 中标准的一个调用网络实现的接口。Kubelet 通过这个标准的 API 来调用不同的网络插件以实现不同的网络配置方式。 CNI 插件就是实现了一系列的 CNI API 接口。
Kubernetes-k8s网络模型原理
热门推荐
adson1987的博客
05-15 1万+
Kubernetes-k8s网络工作原理同节点Pod之间的通信不同节点上的Pod通信CNI插件CalicoFlannelRomanaWeave Net Kubernetes 采用的是基于扁平地址空间的、非NAT的网络模型,每个Pod有自己唯一的IP地址。 另外需要注意的是: 网络是由系统管理员或CNI(container network interface)插件建立的,而非K8S本身。 K8S并不...
浅谈 K8S 网络模型CNI协议
学亮编程手记
06-23 552
参考链接: https://kandianshare.html5.qq.com/v2/news/8434174378232756546?cardmode=1&docId=8434174378232756546&from_app=qb&sGuid=2bd2bd7193da54974318ef8b75ee88cb&sQueryId=&sUserId=&sUserType=-1进入 K8s 的世界,会发现有很多方便扩展的 Interface,包括 CNI, CSI, CRI 等,将这些接口抽象出来,是为了更好的
K8s的网络模型网络策略
大叶子不小的博客
07-07 1337
1、Kubernetes网络模型和CNI插件 在Kubernetes中设计了一种网络模型,要求无论容器运行在集群中的哪个节点,所有容器都能通过一个扁平的网络平面进行通信,即在同一IP网络中。需要注意的是:在K8S集群中,IP地址分配是以Pod对象为单位,而非容器,同一Pod内的所有容器共享同一网络名称空间。1.1Docker网络模型 了解Docker的友友们都应该清楚,Docker容器的原生网络模型主要有4种:Host(主机)、Container、Bridge(桥接)、none。host模式:容器和宿主机共
理解k8s 网络模型
shufanhao.top Blog
06-17 538
TODO 翻译: 比较好的文章:https://sookocheff.com/post/kubernetes/understanding-kubernetes-networking-model/
k8s 网络通信详解
11-12
PDF文件(如An illustrated guide to Kubernetes Networking [Part 1].pdf、An illustrated guide to Kubernetes Networking [Part 2].pdf)可能是详细的指南,深入介绍了K8s网络的工作原理,包括Part 1和Part 2的...
k8s配置网络插件.zip
06-08
1. **网络模型**:Flannel采用“Overlay Network”模式,它会在物理网络之上创建一个虚拟网络,使得Pods可以跨越不同的主机进行通信。 2. **数据包转发**:Flannel通过在每个节点上设置一个iptables规则,确保Pod到...
k8s架构图整体框架知识合集
04-13
k8s网络模型是基于CNI(Container Network Interface)的,CNI是一个容器网络接口。k8s网络隔离是通过NetworkPolicy实现的。 四、k8s调度与资源管理 k8s调度与资源管理是基于资源模型和资源管理的。资源模型是k8s...
k8s+k8s+pod介绍与网络通讯+配合博文
03-30
k8s网络模型基于每个Pod都拥有独立IP地址的设计,这意味着Pod之间可以直接通过IP通信。此外,Service作为Pod的抽象,提供了一个稳定的网络接口,即使Pod实例变化,Service的IP保持不变。Service通过Label Selector来...
k8s集群环境搭建资源
10-27
3. **网络模型**:k8s使用CNI(Container Network Interface)插件来实现Pod间的通信。默认的Flannel或Calico等插件为Pod提供跨节点的网络连通性,确保Pods间可以相互通信,且每个Pod都有一个唯一的IP地址。 4. **...
Linux:Linux发展史
weixin_51142926的博客
07-22 4292
大家好!此篇文章并非技术博文,而是简单了解Linux的时代背景和发展史,只有知其所以然才能让我们更好地让走进Liunx的世界!
RV1126 Linux 系统,接外设,时好时坏(一)应该从哪些方面排查问题
最新发布
小灰灰的博客
07-25 100
在 Linux 系统中排查外设连接问题时,需要从硬件、软件、时序和协议等多个方面进行全面分析。逐步排查并记录每一步的测试结果,有助于快速定位问题的根源。解决 “时好时坏”的问题可能需要综合考虑多个因素,耐心细致的排查将会提高找到解决方案的效率。
linux上导出数据库
weixin_43652507的博客
07-24 292
linux上导出数据库 MySQL、PostgreSQL、SQLite、MongoDB
【Linux】管道通信和 system V 通信
Front123456的博客
07-24 795
因为它们的第一个字段 ipc_perm 是一样的,所以可以维护一个 struct ipc_perm* 的指针数组,存共享内存、消息队列、信号量它们三者中,第一个元素的地址,也就是 &ipc_perm。这样就可以把共享内存、消息队列和信号量三个部分直接管理起来了。而我们知道结构体的第一个成员的地址和结构体对象的地址在数值上是相同的,并且操作系统在内部可以识别这个对象是共享内存、消息队列和信号量中的哪一个,因此我们拿到这个数组中的 ipc_perm 地址便能访问这结构体的其它成员,将它们管理起来
k8s网络相关知识点
09-21
首先,k8s网络模型是基于虚拟网络的概念。每个k8s集群中的容器都会被分配一个独立的IP地址,并且可以通过这个IP地址跨节点进行通信。这是通过一个称为kube-proxy的组件实现的,它会在每个节点上监听API服务器上的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值