kubernetes系列之四:kubernetes的源地址保持(source IP preserve)

最新推荐文章于 2024-06-12 23:18:36 发布
最新推荐文章于 2024-06-12 23:18:36 发布
阅读量5.6k 收藏 4
点赞数 2
分类专栏: 容器云的负载均衡解决方案 Kubernetes系列 文章标签: kubernetes iptables 容器网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cloudvtech/article/details/79927444
版权
kubernetes 同时被 3 个专栏收录
56 篇文章 11 订阅
订阅专栏
容器网络
30 篇文章 3 订阅
订阅专栏
container
25 篇文章 0 订阅
订阅专栏

一、前言

kubernetes提供服务的实体(POD)具有内部网络空间的地址,外部无法直接访问,所以kubernetes提供了多种对外暴露POD服务的方法。这些方法都借助于kubernetes的service的概念,将一系列具有等同服务能力的POD组成一个抽象的服务实体,这个服务实体具有一个虚IP,这个虚IP可以是kubernetes cluster内部网络可达的IP(对应cluster service),也可以是外部可达的IP(对应node port 和external load balancer)。

kubernetes service借助iptables将一组POD抽象成可达的网络服务,并且由于kubernetes要保证service在任何node的可达性,所以使用iptables rule将所有后端POD组成一个基于概率访问的组合,使用iptables的SNAT和DNAT技术在不同POD之间进行基于概率的请求转发。这样的模式带来了一个副作用:经过SNAT操作之后,客户端的IP消失在了请求的接入node,应用程序POD只能看到node的IP,对于一些对源IP有需求的应用来讲,需要kubernetes提供解决这个问题的机制。而kubernetes的source preserve的功能(https://kubernetes.io/docs/tutorials/services/source-ip/)就是为解决这个问题而引入的。

转载自https://blog.csdn.net/cloudvtech

二、kubernetes的服务和SNAT

在文章《Kubernetes如何利用iptables对外暴露service》中,可以看到基于概率对后端POD组进行访问的时候,如果选择的POD不在本地的node上面,则需要进行一次DNAT,将请求的目标地址设置成所选择的POD的IP,之后会进行路由选择,确定这是一个egress的数据包。在路由之后,还有一个POST ROUTING的规则如下:

-A KUBE-POSTROUTING -m comment --comment "kubernetes service traffic requiring SNAT" -m mark --mark 0x4000/0x4000 -j MASQUERADE

对于所有出去的数据包,需要进行MASQUERADE(基于接口动态IP的SNAT)处理,在这种情况下,source IP就丢失了,POD里面的应用程序看到的就是node的IP或者CNI互联设备的IP(比如bridge或者vxlan设备)。

转载自https://blog.csdn.net/cloudvtech

三、源IP保持的实现

通过上面的分析可以发现,如果不存在从一个node向另外一个node的请求转发,只在本地选择POD服务请求,则不会存在SNAT,进而可以保持源地址IP,kubernetes正式借助这一思路来实现源IP的保持。

在建立node port或者external load balancer service的时候,在1.7及以上版本中可以在service的定义的时候加入如下控制来保证只向属于这个service的本地的POD转发请求(如果本地没有POD能服务这个请求,请求将被iptables DROP掉,客户端会发现请求超时没有响应):

"externalTrafficPolicy": "Local"

在较老的v1.5 ~ v1.6版本中,可以使用annotation使能这个功能:

service.beta.kubernetes.io/external-traffic: OnlyLocal

in release notes:

* When switching from the service.beta.kubernetes.io/external-traffic annotation to the new ([#46716](https://github.com/kubernetes/kubernetes/pull/46716), [@thockin](https://github.com/thockin)) externalTrafficPolicy field, the values chnag as follows: * "OnlyLocal" becomes "Local" * "Global" becomes "Cluster".

https://kubernetes.io/docs/tasks/access-application-cluster/create-external-load-balancer/#preserving-the-client-source-ip

相关的code如下:

https://github.com/kubernetes/kubernetes/blob/master/pkg/proxy/iptables/proxier.go


...


...


node port service的例子yaml如下:

apiVersion: v1
kind: Service
metadata:
  name: myapp
  namespace: myapp
  labels:
    run: myapp
    app: myapp
spec:
  type: NodePort
  externalTrafficPolicy: Local
  ports:
  - port: 80
    protocol: TCP
    targetPort: 80
    nodePort: 80
  selector:
    app: myapp

根据这样的yaml生成的node port service如果本地存在对应的POD,则会出现如下iptables规则:

-A KUBE-XLB-N6IVUAXVQRPD4SQY -m comment --comment "Balancing rule 0 for namespace/svc-name:port" -j KUBE-SEP-V4WM6D5AHKHRR3SB

-A KUBE-XLB-EYNESMNWSNIVJYVW -m comment --comment "Balancing rule 1 for namespace/svc-name:port" -j KUBE-SEP-V4WM6D5AHKHRR3SB

如果本地不存在对应的POD,则会出现如下iptables规则:

-A KUBE-XLB-SB3VYBOWAYZV3VAW -m comment --comment " namespace/svc-name:port has no local endpoints" -j KUBE-MARK-DROP


转载自https://blog.csdn.net/cloudvtech



cloudvtech
关注
  • 2
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
如何在 Kubernetes 集群中快速获取客户端真实 IP
easylife206的专栏
09-08 1105
公众号关注「奇妙的 Linux 世界」设为「星标」,每天带你玩转 Linux !Kubernetes 依靠 kube-proxy 组件实现 Service 的通信与负载均衡。在这个过程中,由于使用了 SNAT 对源地址进行了转换,导致 Pod 中的服务拿不到真实的客户端 IP 地址信息。本篇主要解答了在 Kubernetes 集群中负载如何获取客户端真实 IP 地址这个问题。1. 创建一个后端服...
F5 源地址保持
05-14 2251
Virtusl Server: Web Portal建议选择成Source_Addr(源地址保持)。因为Web Portal提供WEB服务给用户访问,压力比较大,而源地址保持的方式处理速度比Cookie的方式快。同时在Virtual server的基本配置中Type可以选择Perfermence(Layer 4),可以加快处理的速度。另外,当Web Portal使用Cookie方式时...
云原生的前世今生
最新发布
春暖花开的日子
06-12 904
云(Cloud)原生(Native)云原生(CloudNative)云原生计算基金会(Cloud Native Computing Foundation,CNCF)成立于2015年12月11日,由谷歌与Linux基金会联合创办,成立这个非盈利组织的目的是为了推广、孵化和标准化云原生相关的技术。
Kubernetes(二十三)Service(二)会话保持和获取客户端的ip
wzj_110的博客
12-06 2015
接上 一 了解基本的术语 备注: 关于'各个术语',后续会'补充自己写的相关博客',构成一个'系列' 二 Service的会话粘滞 需求: 实现基于'客户端 IP' 的会话亲和性 效果: 来自'同一客户端(Client IP)'的请求与后端'某个pod'绑定('或者说映射'),如果没有特殊的配置,是'获取不了客户端的ip',获取的是'所访问的pod所在节点的ip' 更具体的效果: 如果'replicas=2'为两个副本,设置'sessionAffinity: ClientI...
Kubernetes1.1代码分析(一)
容器技术爱好者
03-27 2581
针对kubernetes v1.1.8-beta.0版本,从数据结构定义和使用的角度对kubernetes代码进行分析,分析scheduler模块和api-server模块。
【转】干货,Kubernetes中的Source Ip机制。
weixin_30426065的博客
02-27 260
准备工作 你必须拥有一个正常工作的 Kubernetes 1.5 集群,用来运行本文中的示例。该示例使用一个简单的 nginx webserver 回送它接收到的请求的 HTTP 头中的 IP 地址。你可以像下面这样创建它: $ kubectl run ``source``-ip-app --image=k8s.gcr.io``/echoserver``:1.4``deployment ``"s...
ip地址 k8s 显示pod_Kubernetes-Pod容器内Nginx如何获取客户端真实IP
weixin_39915204的博客
12-22 733
kubernetes将在Pod所在Node上针对nodePort下发DNAT规则,而在其他节点上针对nodePort下发DROP规则client^ / \/ / \/ v Xnode 1 node 2^ || || vendpoint以下使用nginx的例子。在svc的编排文件中增加externalTrafficPolicy后,重新创建nginx-service。k...
raspberry-preserve:Raspberry Preserve,用于 Raspberry Pi 的 bittorrent 同步客户端
06-02
覆盆子蜜饯基于 Raspberry Pi 的 BitTorrent 同步客户端。 全新安装运行 Noobs 的 Raspberry Pi 后,运行以下命令对其进行更新。...btsync repo 并安装按照这些说明 sudo apt-get btsync安装节点包 sudo
proxy-server-preserve-client-ip
04-03
在这个特定的案例中,“proxy-server-preserve-client-ip”指的是一个代理服务器配置或应用,其主要目的是在转发请求时保持客户端的原始IP地址信息。在许多场景下,这是一项关键的需求,因为客户端IP对于识别用户...
preserve-cd:游戏保存项目
03-17
现在有很多什么1800个dos游戏之类的合集,说实话,30GB的内容下载下来你不知道怎么玩,你不知道玩啥。这个光碟只有650MB的CD-R容量,却为你精选了64款最值得玩的DOS游戏,每个游戏配上截图和文字介绍,包括制作方,...
GitHub: Preserve URL fragment in auth flow-crx插件
04-02
语言:English (United States)当GitHub将您重定向到auth时,它将最终使您返回到原始URL,但会丢失该URL的片段部分……当GitHub将您重定向到auth时,它将最终使您返回到原始URL,但会丢失URL的片段部分(例如“#L104...
kubernetes对象--Service
lyk-ops
08-02 131
为了适应快速的业务需求,微服务架构已经逐渐成为主流,微服务架构的应用需要有非常好的服务编排支持。K8S中的核心要素Service便提供了一套简化的服务代理和发现机制,天然适应微服务架构。 概念 Service是一种抽象概念,定义了一个Pod逻辑集合以及访问它们的策略。目标是提供一个代理服务器,作为Pod的访问入口,它会为访问者提供一个固定访问地址,用于在访问时重定向到相应的后...
F5内网负载均衡配置--源地址保持影响
csuzhaobo的专栏
08-12 4179
一般F5配置都是加上源地址保持,但如果内网模块间使用F5的vs调用,该vs也配置了“源地址保持”的话,新增服务节点时,会发生新增的节点无法提供服务的情况,原因推测是由于内网IP固定,“源地址保持”使连接一直指向旧节点;
Kubernetes(k8s)kube-proxy、Service详解
匠人精神,持之以恒!
09-25 3247
文章目录一、kube-proxy简介二、Service 简介三、Service 类型1)ClusterIp(集群内部使用)2)NodePort(对外暴露应用)3)LoadBalancer(对外暴露应用,适用于公有云)4)ExternalName四、Service 工作流程五、Service, Endpoints与Pod的关系六、kubernetes服务发现1)环境变量2) DNS五、Service代理模式1)userspace模式2)iptables模式(默认模式)3)ipvs模型4)kube-proxy
k8s service概念与与原理
小胡子
01-29 815
https://yanglinwei.blog.csdn.net
K8S核心概念之SVC(易混淆难理解知识点总结)
m0_67698950的博客
08-18 6077
本文将结合实际工作当中遇到的一些问题和情况来解析SVC的作用以及一些比较易混淆和难理解的概念,方便日后工作用到或者遗忘时可以直接在自己曾经学习总结的博客当中直接查找到。
Kubernetes】最佳实践1:kube-proxy与服务发现
热门推荐
《云计算架构技术与实践》
06-02 1万+
作者:彭靖田 Kubernetes的node节点主要有kubelet、kube-proxy、flannel、dockerd四个组件组成,本文主要分析kube-proxy组件的功能和原理。Pod是Kubernetes中资分配的最小单位,也是执行任务的最小实体。 每个Pod都拥有flannel overlay network上的独立IP。node节点内pod通信由docker0网桥实现;
【K8S运维知识汇总】第3天5:Flannel之SNAT规划优化
就叫一片白纸的博客
07-03 1048
flannel之SNAT规则优化的目的是由于在K8S中的容器内,访问不同宿主机中的容器的资的时候,日志文件会记录为宿主机的IP地址,而不是记录为容器本身自己的IP地址,建议在不同的宿主机上的容器互访的时候,在日志文件中查询到的IP地址均为容器的真实的IP地址。如下图所示,是为宿主机或进入宿主机的容器中进行curl访问另外node节点的容器,都会被记录成宿主机的IP地址,这样就会导致不同宿主机的容器互访,会经过一次SNAT转换,而实际上,不同宿主机容器之间的访问,应该会被记录为容器的实际IP地址而非宿主机的
[原]kubernetes1.1版本上遇到的坑
酱油蔡的酱油坛
01-07 679
最近又开始倒腾kubernetes了,翻出了大概两年前kubernetes刚刚release 1.0时我们在1.0,1.1版本上踩过的坑的笔记。虽然现在都已经release 1.9.0了,当年踩过的坑,现在部署也都已经遇不到了,但是发现基础的东西还在,解决问题的方式还是需要考虑那些方方面面。所以在此把一些仍然可以在遇到问题时参考的在此分享出来,也算是对过去的付出有个交代。 1. flannel网
transform-style: preserve-3d;
09-04
### 回答1: transform-style: preserve-3d; 是一个CSS3属性,用于定义一个元素的子元素是如何在三维空间中呈现的。 当应用于一个元素时,它指示该元素的子元素应该在三维空间中进行变换,而不是在二维平面中变换。这意味着子元素可以在三维空间中进行旋转、缩放和移动,而不受到其父元素的影响。 例如,如果一个元素有许多子元素,当应用 transform-style: preserve-3d; 后,这些子元素将会在三维空间中摆放,这样它们可以以更自由的方式进行旋转和变形,而不会受到其父元素的影响。 需要注意的是,使用 transform-style: preserve-3d; 属性时,父元素必须具有透视属性(perspective),否则子元素将无法正确呈现在三维空间中。 ### 回答2: transform-style: preserve-3d; 是一个CSS属性,用于控制3D变换元素内容的呈现方式。 当使用3D变换属性(如rotateX、rotateY等)来转换一个元素时,该元素的子元素也会被影响,它们可能会在3D空间中随着父元素的变换发生改变。但是,默认情况下,子元素的变换发生在二维平面上,即使父元素发生了3D变换。 使用transform-style: preserve-3d; 可以改变子元素的变换方式,使其也在3D空间中进行变换。这意味着子元素可以跟随父元素的旋转和变换,并在3D空间中自由移动。 此属性对于制作3D效果的网页或动画非常有用。例如,在一个3D立方体中,可以通过设置父元素的transform-style为preserve-3d,使得立方体内的内容也在3D空间中进行变换,从而创造出更加生动逼真的效果。 需要注意的是,transform-style: preserve-3d; 只会应用在直接子元素上,对于孙元素或更深层次的元素,需要单独设置transform-style属性。 总之,通过使用transform-style: preserve-3d; 属性,可以在3D变换中更好地控制元素的呈现方式,增强网页或动画的视觉效果。 ### 回答3: transform-style: preserve-3d; 是CSS属性,用于定义一个元素的子元素应如何在3D空间中呈现。 当我们在 CSS 中使用 3D 转换时,通常会在某个容器元素上使用 transform-style: preserve-3d; 属性。这样可以确保容器元素的子元素能够保持其在3D空间中的位置和变换效果。 这个属性的默认值是 flat,即子元素在容器元素的平面内进行变换。而当我们将属性值设置为 preserve-3d 时,容器元素的子元素将以3D空间的形式进行变换,使得子元素可以具有在3D空间中移动、旋转和缩放的效果。 这个属性在进行复杂的3D转换时非常有用。通过将容器元素的子元素设置为 preserve-3d,我们可以在子元素上应用各种3D转换,例如 translate3D、rotate3D 和 scale3D 等。这样能够更加精确地控制子元素在3D空间中的位置和变换效果。 总之,transform-style: preserve-3d; 是一个非常有用的CSS属性,当我们需要在页面中创建3D效果时,可以使用它来确保容器元素的子元素能够正确地在3D空间中进行变换。通过合理运用这个属性,我们可以创造出令人惊叹的3D动画和效果。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值