从一次apisix限流故障窥探kube-proxy原理

VIP文章 已于 2024-03-15 14:49:22 修改
阅读量1k 收藏 6
点赞数 19
分类专栏: k8s 文章标签: 网络 kubernetes 容器
于 2024-02-29 09:14:38 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/binquanlao2913/article/details/136361671
版权

一、背景

笔者在项目上用apisix网关limit-count插件对接口限流时,发现在k8s环境下,用nodeport 请求接口,无法按客户端IP进行限流。

实验环境如下:

k8s版本  1.19.3
apisix版本  3.2.2

路由配置了limit-count插件

"limit-count":{"count":3,"time_window":60,"policy":"local"}

期望:

每个客户端均可以在1分钟的限流窗口内访问三次。

现状:

在某客户端请求三次后被限流,在此限流期之中,其他客户端也均被限流。

二、原因分析

先说结论,k8s nodeport的external-traffic-policy属性可以设置成 Cluster 或者 Local。

Cluster:当设置为 Cluster 时,。kube-proxy会做SNAT改写,此时客户端源ip会被改写为节点的ip。

Local:当设置为 Local 时,kube-proxy会保留源IP。

k8s nodeport service 默认是采用Cluster,客户端源ip会被改写为节点的ip。而apisix需要通过对源客户端ip进行计数(感兴趣可以读读源码ÿ

最低0.47元/天 解锁文章
程序员是只喵
关注
  • 19
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
kube-proxy-temp-1.16.8.yaml
10-09
aws-kube-proxy1.16.8版本示例文件
kube-proxy 原理
Johnny_Li的博客
03-15 1632
kube-proxy & service必要说明 kube-proxy其实就是管理service的访问入口,包括集群内Pod到Service的访问和集群外访问service。 kube-proxy管理sevice的Endpoints,该service对外暴露一个Virtual IP,也成为Cluster IP, 集群内通过访问这个Cluster IP:Port就能访问到集群内对应的ser...
Kubernetes kube-proxy工作原理
小楼一夜听春雨,深巷明朝卖杏花
08-10 1411
比如一个数据包被网卡接收到了,链路层接收到数据包之后,如果它是本机的数据包,那么它会将这个包发送到netfilter框架,这个包回去被网络层处理,在处理的时候整个net filter会提供一个一个的hook点,就是一个一个的钩子,在这个钩子里面,这个数据包在处理的时候首先有个柔婷 descision,它会去看这个数据包的五元组,这个数据包里面存的是源IP,源端口,目标IP和端口,以及协议,代表协议的请求和流向。............
K8S kube-proxy iptables 原理分析
shufanhao.top Blog
01-29 4906
文章目录Precondition什么是 Kube ProxyKube Proxy 原理搭建一个GuestBook 例子分析iptables1. 创建iptables实现外方通过nodePort访问2. 分析k8s的 iptables2.1 集群内部通过cluster ip 访问到Pod2.2 集群外部通过node ip 访问到PodRefer Precondition 要理解这篇文章之前,需要先对...
修改 kube-proxy网络模式,并重启kube-proxy
进行中
02-02 1598
kube-proxy
kube-proxy_v1.15.3.tar
09-20
k8s.gcr.io/kube-proxy:v1.15.3镜像tar包,使用 docker load --input kube-proxy_v1.15.3.tar进行导入
k8s.gcr.io/kube-proxy:v1.17.3镜像包
03-06
kubernetes的k8s.gcr.io/kube-proxy:v1.17.3镜像包,版本为v1.17.3。文件是kube-proxy_v_1_17.3.tar
kube-proxy:kube-proxy组件配置
05-15
库贝代理 即将推出! 实现 它提供 提供用于配置kube-proxy的版本化API。 兼容性 此仓库的HEAD将与k8s.io/apiserver、k8s.... 从同步kube-proxy 。 在该位置进行代码更改,合并到k8s.io/kubernetes ,然后在此处同步。
kube-proxy-amd64-v1.11.1
09-27
kube-proxy-amd64-v1.11.1镜像,镜像使用方法: docker load -i kube-proxy-amd64-v1.11.1.tar.gz
Linux网络编程:网络基础
weixin_73234157的博客
05-20 592
当我们形成计算机网络后,小明要给他的暗恋对象小红发一句“我喜欢你”,结果发给了小芳……,在计算机网络中会出现许许多多的主机,当我们进行网络通信时,我们要通过协议来找到指定的接收方。同理在单台主机中,数据从键盘中读入再转载到当前网卡也是需要协议的。简单来说:协议就是一种约定当计算机在读取数据时,发现数据中存在向网卡输送的标志(协议)时,就往网卡输送。当网卡读取到输送给小红,网卡就不会发送给小芳。
使用MPLS解决BGP的路由黑洞(详解)
qq_64302290的博客
05-18 232
我们知道在MPLS中数据的转发不再依靠路由表而是靠标签(注意:标签是在路由的基础上形成的)。所以在BGP中,我们依靠的就是这个特性来解决BGP的路由黑洞。BGP路由黑洞的解释:BGP的路由黑洞其实就是路由层面可达,数据层面不可达。(你可以收到对方的路由,但是不能和对方通讯。
云服务器遇到攻击怎么办,有哪些安全措施
dexunyun的博客
05-18 547
DDoS攻击对云服务器安全构成了严重威胁,但通过采取合适的防护策略,我们可以有效地降低攻击的影响。选择可靠的云服务提供商、部署DDoS防护服务是保护云服务器免受DDoS攻击的有效措施。德迅云安全提供了多种防护解决方案,可以帮助企业有效防止DDoS攻击,保护云服务器的安全,保障业务稳定。
MQTT 异常断开(一)
m0_50668851的博客
05-21 166
MQTT异分析问题总结 前提:MQTT是基于TCP层再次封装,MQTT是不关心TCP层的实现与传输,但是如果TCP链路出现异常(丢失TCP ACK,网络延时TCP ACK等)一定会导致MQTT断开连接。 MQTT代理服务器存在如下问题: a.代理服务器,对于连接时没有及时处理收到模块关于TCP层的 TCP ACK(Seq确认包),出现重传MQTT Connect Ack。模块内部MQTT的处理逻辑,NQTT收到Connect Ack之后,模块已经准备就绪,回码OK, 但是客户......
netstat协议
lovemelovefish的博客
05-15 388
本机各端口的网络连接情况。
文件操作IO&网络编程&网络原理
tulingtuling的博客
05-13 1609
文件操作IO,网络编程,网络原理
0基础如何进入IT行业
2302_76516899的博客
05-19 545
IT(Information Technology,信息技术)行业涵盖了与计算机技术相关的所有领域。主要包括软件开发、硬件维护、网络架构、数据库管理、网络安全、云计算和人工智能等。了解这些领域的基本概念和发展趋势是进入IT行业的第一步。
OSPF多区域组网实验(思科)
qq_65150735的博客
05-21 194
OSPF(Open Shortest Path First,开放式最短路径优先)是一种广泛使用的动态路由协议,属于链路状态路由协议。它主要用于在单一自治系统(AS)内部决策路由,并通过传递链路状态信息和使用算法计算最短路径,为数据包选择最佳的路径,实现快速且有效的数据传输。
用UDP写一个回显服务器和一个字典服务器
最新发布
冷瞳的博客
05-21 245
操作系统提供了一些网络通信的api(socket)。1. 读取请求并解析。2. 根据请求计算响应。3. 把响应写回给客户端。
kube-proxy
09-12
kube-proxy是Kubernetes集群中负责实现服务负载均衡的组件。它主要有两种实现模式:iptables模式和IPVS模式。在iptables模式下,kube-proxy使用iptables规则来实现负载均衡;而在IPVS模式下,kube-proxy使用Linux...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值