kube-proxy源码阅读(iptables实现)

最新推荐文章于 2024-05-15 20:32:28 发布
最新推荐文章于 2024-05-15 20:32:28 发布
阅读量1.6k 收藏 3
点赞数
分类专栏: k8s 文章标签: kubernetes golang docker
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/daihanglai7622/article/details/121924244
版权

Reference

文章目录

1 入口

cmd目录下的proxy.go

 利用Cobra构建CLI接口,并对proxy server进行调用。

kubernetes/cmd/kube-proxy/proxy.go

func main() {
   
	rand.Seed(time.Now().UnixNano())
    
    // 核心调用
	command := app.NewProxyCommand()

	// TODO: once we switch everything over to Cobra commands, we can go back to calling
	// utilflag.InitFlags() (by removing its pflag.Parse() call). For now, we have to set the
	// normalize func and add the go flag set by hand.
	pflag.CommandLine.SetNormalizeFunc(cliflag.WordSepNormalizeFunc)
	pflag.CommandLine.AddGoFlagSet(goflag.CommandLine)
	// utilflag.InitFlags()
	logs.InitLogs()
	defer logs.FlushLogs()

	if err := command.Execute(); err != nil {
   
		os.Exit(1)
	}
}

2 ProxyServer创建及调用

kubernetes/cmd/kube-proxy/app/server.go

func NewProxyCommand() *cobra.Command {
   
    .....
    cmd := &cobra.Command{
   
        ......
        Run:func(cmd *cobra.Command, args []string) {
   
            ......
            opts.Run()
        }
    }
    .....
    opts.config, err = opts.ApplyDefaults(opts.config)
    .....
}

ApplyDefaults中会配置默认的参数。/pkg/proxy/apis中的init方法内,会向SchemeBuilder注册添加默认参数的方法。这里面对于Porxy会注册SetObjectDefaults_KubeProxyConfiguration,最后调用了SetDefaults_KubeProxyConfiguration其中IPTables.SyncPeriod.Duration,默认值为30S(该值为失败后的尝试retry间隔,可以使用–iptables-sync-period配置,其指定了iptables重刷新的最大间隔)

kubernetes/cmd/kube-proxy/app/server.go

func (o *Options) Run() error {
   
	defer close(o.errCh)
	if len(o.WriteConfigTo) > 0 {
   
		return o.writeConfigFile()
	}

	proxyServer, err := NewProxyServer(o)
	if err != nil {
   
		return err
	}

	if o.CleanupAndExit {
   
		return proxyServer.CleanupAndExit()
	}

	o.proxyServer = proxyServer
	return o.runLoop()
}
注意:这里BounedFrequencyRunner的同步方法为proxier.syncProxyRules,最小时间间隔为minSyncPeriod(可以使用参数--iptables-min-sync-period配置,未配置时,应该就是0),最大时间间隔为1小时,突发数为2,失败重试间隔为proxier.syncPeriod(默认为30秒,可以用参数--iptables-sync-period配置,其指定了iptables重刷新的最大间隔,不允许为0)

3 ProxyServer 核心调用流程

opts.Run()->

o.runLoop()->

o.proxyServer.Run()->

s.Proxier.SyncLoop()

3.1 func (o *Options) Run() err

在构建ProxyCommand时,会在其Run方法内调用该方法

  • (1)如kube-proxy命令调用时,传入了–write-config-to参数,则会将kube-proxy的默认配置打印到指定文件,然后退出。
  • (2)调用NewProxyServer方法,构建proxyServer
  • (3)如果kube-proxy命令调用时传入了–cleanup参数,则会清理iptables及ipvs配置,然后退出
  • (4)调用o.runLoop方法。

3.2 func (o *Options) runLoop() error

  • (1)如果o.Watcher(用于监听ConfigFile的更新变化)不为空,则调用o.watcher.Run()(这里如果监听到配置文件的写或者rename事件,会导致kube-proxy的退出)
  • (2)调用o.proxyServer.Run()

3.3 func (s *ProxyServer) Run() error

  • (1)如果启动参数中配置了–oom-score-adj(oom打分调整,OOM killer 会给进程打分,把 oom_score 最大的进程先杀死,如果这个值设置成负数,则表明不优先级杀死它,如果位正数则优先杀死,如果设置为0表明与用户不调整)。则为kube-proxy配置该值
  • (2)如果Broadcaster及EventClient不为空,则开启事件记录服务
  • (3)如果健康检查服务不会空,则启动
  • (4)如果指标绑定地址大于0,则启动服务
    • 1)curl 10.19.188.3:10249/proxyMode, 可以获得proxyMode运行模式
    • 2)curl curl 10.19.188.3:10249/metrics, 可以获得运行指标信息
  • (5)如过contracker会为空,则根据启动参数,配置系统contracker配置。(这里我们会把所有的contracker相关配置设置为0, 即不修改系统原先的conntrack配置)
    • 1)首先调用getConntrackMax,如果–conntrack-max-per-core参数不为空,且值大于0(不配置时,默认值为32768),则用其乘以cpu数,获取上限值,如果该值大于配置中的–conntrack-min,则返回该值,否则返回–conntrack-min。否则返回0
    • 2)如果max值大于0,则更新系统配置
    • 3)如果配置了–conntrack-tcp-timeout-close-wait duration,且其值大于0, 则更新系统值
    • 4)如果配置了–conntrack-tcp-timeout-established,且其值大于0,则更新系统中的该值。
  • (6)构建kube-proxy监听的server的选择器,及Informer(对于具有service.kubernetes.io/service-proxy-name及service.kubernetes.io/headless label的service不处理),注册service事件处理器,并启动
  • (7)如果使用EndpointSlices,则构建endpointsSlice事件处理器,
最低0.47元/天 解锁文章
八月对半
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Kube-proxy 使用 iptables 模式时,通过 Service 服务发布入口如何到达 Pod ?
山河已无恙
04-09 578
被问到这个问题,整理相关的笔记当 kube-proxy 模式设置为 iptables 的时候,通过 SVC 服务发布入口如何到达 Pod?博文内容涉及:问题简单介绍三种常用的服务发布方式到Pod报文路径解析当前集群为版本为v1.25.1Demo 演示使用了ansible理解不足小伙伴帮忙指正食用需要了解iptables生命的火花不是目标,而是对生活的热情。——《心灵奇旅》
kube-proxy模式之iptables
Blue summer的博客
09-18 2085
注:本文基于K8S v1.21.2版本编写 1 默认模式 2 关于iptables 3 针对一个特定服务分析数据流
[Kubernetes] kube-proxy 详解
最新发布
959
05-15 816
kube-proxy 详解
kubernetes_核心组件_KubeProxy_KubeProxy三种模式和参数解析
毛毛的专栏
06-22 2680
kubeProxy
kube-proxy iptables模式原理分析
summer_fish的专栏
04-19 858
在kubernetes集群内,访问一个pod应用可以通过pod IP,但是pod删除重建后IP会发生变化,而且在高可用多副本场景下直接通过IP访问,则会有客户端需要实现负载均衡等问题。为了解决上述问题,kubernetes在客户端和pod间引入了一个抽象层:service。 service通过labelSelector与pod关联,客户端通过service访问pod。访问类型可以分为两类: 通过service VIP访问:通过访问service clusterIP代理到后端pod。 通过servi
kube-proxy参数ClusterCIDR做什么
期待幸福
10-24 286
可以看到这里做了几个链,在 *KUBE-SERVICES* 链中指明了非来自 ClusterCIDR 的 IP 都做一个,并且访问的目的地址是 *KUBE-CLUSTER-IP* (ipset 里配置的地址) 那么将跳转到 *KUBE-MARK-MASQ* 链做一个 ` --set-xmark 0x4000/0x4000` ,而在 *KUBE-POSTROUTING* 中对没有被标记 `0x4000/0x4000` 的操作不做处理。但实际上做了什么并不知道,那么就从码解决这个问题。
kube-proxy-temp-1.16.8.yaml
10-09
aws-kube-proxy1.16.8版本示例文件
kubernetes 使用cilium 网络插件 替换kube-proxy
02-10
在 Cilium 出现之前, Service 由 kube-proxy实现实现方式有 userspace,iptables,ipvs 三种模式。 Cilium 是基于 eBpf 的一种开网络实现,通过在 Linux 内核动态插入强大的安全性、可见性和网络控制逻辑,...
kube-proxy_v1.15.3.tar
09-20
k8s.gcr.io/kube-proxy:v1.15.3镜像tar包,使用 docker load --input kube-proxy_v1.15.3.tar进行导入
kube-proxy:kube-proxy组件配置
05-15
提供用于配置kube-proxy的版本化API。 兼容性 此仓库的HEAD将与k8s.io/apiserver、k8s.io/apimachinery和k8s.io/client-go的HEAD匹配。 它从何而来? 从同步kube-proxy 。 在该位置进行代码更改,合并到k8s.io/...
k8s.gcr.io/kube-proxy:v1.17.3镜像包
03-06
kubernetes的k8s.gcr.io/kube-proxy:v1.17.3镜像包,版本为v1.17.3。文件是kube-proxy_v_1_17.3.tar
kubernetes启用ipvs
suiyingday的博客
03-19 323
注意: 1、需要内核4.1以上 2、--masquerade-all参数与calico的网络隔离策略有些冲突,需注意 3、kube-proxy 根据 --cluster-cidr 判断集群内部和外部流量,指定 --cluster-cidr 或 --masquerade-all 选项后 kube-proxy 才会对访问 Service IP 的请求做 SNAT; 1、准备环境 cat >> /etc/sysctl.conf <<EOF net.ipv4.ip_forward
看过最详细的Kube-proxyiptables模式原理详解
热门推荐
zhangxiangui40542的专栏
03-08 2万+
Kubernetes如何利用iptables 原文地址 Linux内置的防火墙可以对IP数据包做一系列如过滤、更改、转发这样的操作,防火墙在对数据包做过滤决定时,有一套遵循的规则,这些规则存储在专用的数据包过滤表(table)中,而这些表集成在Linux 内核中。在数据包过滤表中,规则被分组放在我们所谓的链(chain)中。 我们通常说的iptables就是指Linux内置的防火墙,它实际上...
kube-proxy 详解
m0_57223716的博客
06-07 1万+
在kubernets集群的每个节点上都运行着kube-proxy进程,负责实现Kubernetes中service组件的虚拟IP服务。目前kube-proxy有如下三种工作模式:User space模式在这种模式下,kube-proxy通过观察Kubernetes中service和endpoint对象的变化,当有新的service创建时,所有节点的kube-proxy在node节点上随机选择一个端口,在iptables中追加一条把访问service的请求重定向到这个端口的记录,并开始监听这个端口的连接请求。
kube-proxy中使用ipvs与iptables的比较
linus.lin的博客
10-24 6971
Iptables模式 kube-proxy 就可以通过 Service 的 Informer 感知到API Server中service和endpoint的变化情况。而作为对这个事件的响应,它就会在宿主机上创建这样一条 iptables 规则(你可以通过 iptables-save 看到它)。这些规则捕获到service的clusterIP和port的流量,并将这些流量随机重定向到service后端Pod。对于每个endpoint对象,它生成选择后端Pod的iptables规则。 如果选择的第一个Pod没有
从僵尸网络追踪到入侵检测 第10章 Iptables 安装与配置
安全参透之旅
01-13 397
Iptables 安装与配置   环境配置 1、RHEL6.4 IP 1:10.10.10.135(桥接网络) IP 2:192.168.190.128(私有地址) 2、Windows2008R2 IP:192.168.190.129(私有地址) 3、使用工具 iptables防火墙   拓扑图     步骤(注意红字) 1、查看iptables是否安装 [root@MIG
iptables之snat
fengcai_ke的博客
07-19 1362
iptables snat
k8s码分析——kube-proxy 码分析
cbmljs的博客
10-22 1270
功能概述 kube-proxy是管理service的访问入口,包括集群内Pod到Service的访问和集群外访问service。当用户创建 service 的时候,endpointController 会根据service 的 selector 找到对应的 pod,然后生成 endpoints 对象保存到 etcd 中。运行在每个节点上的Kube-proxy会通过api-server 获得etc...
【原创】k8s码分析-----kube-proxy(1)Config
月牙寂
04-14 5651
  本文QQ空间链接:http://user.qzone.qq.com/29185807/blog/1460620187 本文csdn链接:http://blog.csdn.net/screscent/article/details/51152192 kube-proxy是kubernetes中 service的负载均衡器和服务代理器。kube-proxy运行在Minion上,本文主要讲解,...
kube-proxy iptables
07-27
kube-proxy是Kubernetes集群中的一个网络代理组件,它负责将网络流量转发到正确的目标Pod。而iptables是Linux系统中的一个工具,用于配置和管理网络规则。 在Kubernetes中,kube-proxy使用iptables实现服务的负载均衡和网络转发。它会监听Kubernetes API中的Service和Endpoint对象的变化,并根据这些信息更新iptables规则,实现服务的访问和转发。 具体来说,kube-proxy会为每个Service创建一个iptables规则,该规则将流量转发到Service的后端Pod。当新的Pod加入Service或者现有的Pod离开Service时,kube-proxy会相应地更新iptables规则,以确保流量被正确地转发到可用的Pod上。 通过使用iptableskube-proxy能够提供高效且可靠的服务发现和负载均衡功能,以满足Kubernetes集群中不同服务之间的网络通信需求。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值