Kubernetes1.2如何使用iptables

最新推荐文章于 2024-09-06 20:52:30 发布
最新推荐文章于 2024-09-06 20:52:30 发布
阅读量1.8w 收藏 5
点赞数 1
分类专栏: 容器 文章标签: 源代码 iptables kubernetes docker 云计算
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/horsefoot/article/details/51249161
版权
本文详细解析了 Kubernetes 1.2 版本中 kube-proxy 如何通过 iptables 维护节点防火墙规则。kube-proxy 使用 iptables 提升性能,要求节点操作系统具备特定条件。文章深入介绍了 kube-proxy 创建自定义链和规则的过程,以及如何实现服务负载均衡和会话保持。
摘要由CSDN通过智能技术生成

本次分析的kubernetes版本号:v1.2.1-beta.0。
Kubernetes中kube-proxy组件负责维护NODE节点上的防火墙规则和路由规则,Kube-proxy有两种实现方式,一种是通过iptables,一种是通过userspace,在1.2中将使用iptables作为首选,可以大幅提升性能,下面看看kube-proxy组件是如何操作iptables的。
kube-proxy要求NODE节点操作系统中要具备/sys/module/br_netfilter文件,而且还要设置bridge-nf-call-iptables=1,如果不满足要求,那么kube-proxy只是将检查信息记录到日志中,kube-proxy仍然会正常运行,但是这样通过Kube-proxy设置的某些iptables规则就不会工作。
在源代码中有检查iptables版本是否低于1.4.11的校验,如果iptables版本低于1.4.11,那么不能使用-C/–check这个参数,这样可以保证kube-proxy对iptables版本的向下兼容性。
Iptables默认的数据包流向图如下图所示:
这里写图片描述
在iptables模式下,kube-proxy使用了iptables的filter表和nat表,并且对iptables的链进行了扩充,自定义了KUBE-SERVICES、KUBE-NODEPORTS、KUBE-POSTROUTING和KUBE-MARK-MASQ四个链,另外还新增了以“KUBE-SVC-”和“KUBE-SEP-”开头的数个链。
在iptables表中,通过iptables-save可以看到在filter表和nat表中创建

最低0.47元/天 解锁文章
容器技术爱好者
关注
专栏目录
【k8s集群部署篇】使用containerd运行时部署kubernetes集群(V1.27版本)
jks212454的博客
08-02 1016
【k8s集群部署】使用containerd运行时部署kubernetes集群(V1.27版本)
二进制方式搭建Kubernetes高可用集群(超丰富的组件概念理论总结)
热门推荐
江晓龙的博客
09-23 7万+
二进制方式部署Kubernetes高可用集群 文章目录二进制方式部署Kubernetes高可用集群1.环境准备1.1.Kubernetes高可用集群部署方式1.2.Kubernetes集群弃用docker容器1.3.Kubernetes集群所需的证书1.4.环境准备1.5.安装cfssl证书生成工具2.操作系统初始化配置3.部署Etcd集群3.1.使用cfssl证书工具生成etcd证书3.2.部署etcd集群4.部署Docker服务4.1.安装docker4.2.为docker创建systemctl启动脚本
kubernetes系列之二:iptables概览
cloudvtech的博客
04-06 2442
一、前言在基于虚拟化的云系统中,网络虚拟化是不可或缺的关键部分。虚拟化的网络可以自由的在本地进行基于单机的网络配置或者借助一些互联技术(underlay、overlay或者点对点技术)在虚拟网络内部空间实现跨节点和数据中心的网络互联,但是如果虚拟网络内部的服务要对外进行暴露,就不得不借助地址转换或者端口转换等数据包修改技术。而在现有的container管理框架中,iptables更是承担了服务暴露...
Kubernetes service之iptables规则以及Coredns
小楼一夜听春雨,深巷明朝卖杏花
12-28 3339
K8s当中的service是如何工作的呢?实际上由Kube-proxy进行工作的。 Service代理模式 访问cluster还是nodeport通过iptables帮你转发。转发方式有两种,一种是iptable还有一种是ipvs,默认使用的是iptables的模式。 Service的底层实现主要有iptables和ipvs二种网络模式,决定了如何转发流量。 可以看到kube-proxy里面显示转发使用的是itpables [root@k8s-master ~]# kubectl l.
iptables防火墙的通俗理解,和k8s中的iptables策略使用
最新发布
2401_84019227的博客
09-06 1101
但是从k8s集群内部看,不同名称空间的资源是完全独立的,比如网络ip,文件系统,挂载,持久卷,用户和组,进程id,消息队列,信号量,主机名,这些如果不在同一个名称空间下,是看不到别的名称空间的这些资源的。所以,在用kubectl管理k8s集群的时候,如果没有指定名称空间,比如kubectl get pods,看一下有哪些pod,这个是默认看的是default名称空间下的pod,如果要看lucky名称空间下的pod,就需要用kubectl -n lucky get pods来查看。
Kubernetes IPVS和IPTABLES
sinat_40572875的博客
11-19 1131
IPVS(IP Virtual Server,IP虚拟服务器)实现了传输层的负载平衡,通常称为4 LAN(四层局域网)交换,是Linux内核的一部分。IPVS在主机上运行,在真实服务器集群前面充当负载平衡器。IPVS可以将基于 TCP 和 UDP 的服务请求定向到真实服务器上。
# 第五课 k8s网络基础学习-iptables和TCP协议
QnHyn
06-09 565
iptables和TCP协议
k8s iptables
bijiarong8928的博客
06-28 2518
理解kubernetes环境的iptables node节点的iptables是由kube-proxy生成的,具体实现可以参见kube-proxy的代码kube-proxy只修改了filter和nat表,它对iptables的链进行了扩充,自定义了KUBE-SERVICES,KUBE-NODEPO...
kubernetes的安装和使用
我真不是李华的博客
11-07 918
1 kubernetes介绍 1.1 kubernetes功能 自动装箱 基于容器对应用运行环境的资源配置要求自动部署应用容器 自我修复(自愈能力) 当容器失败时,会对容器进行重启 当所部署的Node节点有问题时,会对容器进行重新部署和重新调度 当容器未通过监控检查时,会关闭此容器 直到容器正常运行时,才会对外提供服务 水平扩展 通过简单的命令、用户UI界面或基于CPU等资源使用情况,对应用容器进行规模扩大或规模剪裁 服务发现 用户不需要使用额外的服务发现机制,就能够基于Kubernetes
Kubernetes大规模优化实战:Iptables与IPVS比较与解决方案
它通过统计模块(statistic)为每个后端实例设置权重,如`iptables -t nat -A PREROUTING -d 1.2.3.4 -dport 80 -m statistic -m random --probability 25 -j DNAT --to-destination 10.20.30.40:8080`,确保流量...
k8s集群搭建
wishli的博客
12-25 1万+
  上来装centos7集群敲着命令呢,突然网断了,我以为我哪里命令搞错了,弄崩了系统,重装,之前因为已经zhua装好一个centos7并且多装了个vmtools,后面查明 cd /etc/sysconfig/network-scripts/ vim  ifcfg-ens33  (ifconfig 获取)(最基本安装连这个命令都没有,我后面都带界面安装了) ONBOOT=no 改成 ON...
k8s集群网络(9)-service之iptables与ipvs对比
weixin_46073333的博客
01-14 1884
在前面的几篇文章里我们介绍了基于iptables和ipvs模式下cluster ip类型的service和node port类型的service实现原理,这里我们做一下回顾总结和对比,相...
Kubernetes kube-proxy 如何与 iptables 完美配合使用
运维那些事儿
08-06 1609
我们知道 kube-proxy 是 Kubernetes 中一个运行在每个节点上的守护进程,它基本上反映了集群中定义的服务已经对后端 Pod 负载均衡的规则管理。 假设我们有几个 API 微服务的 Pods 运行在我们的集群中,这些 Pods 的副本通过一个 Service 服务暴露,当一个请求到达 Service 的虚拟 IP 时,如何将请求转发到其中一个底层 Pod?其实就是通过 kube-proxy 创建的规则,虽然表面上并没有那么简单,但是我们还是可以进行大致的了解。 kube-proxy 可以在
K8S-iptables在K8S中的应用剖析
weixin_60092693的博客
07-15 2294
仅自己学习笔记
kubernetes工作原理(二)-iptables
CodeAsWind
03-09 3164
前言 虚拟化的网络可以自由的在本地进行基于单机的网络配置或者借助一些互联技术(underlay、overlay或者点对点技术)在虚拟网络内部空间实现跨节点和数据中心的网络互联,但是如果虚拟网络内部的服务要对外进行暴露,就不得不借助地址转换或者端口转换等数据包修改技术。而在现有的container管理框架中,iptables更是承担了服务暴露和服务后端负载均衡等功能,是诸如kubernetes、O...
Kubernetes网络权威指南》读书笔记 | iptables
COCO_gsta的博客
10-15 415
书籍来源:《Kubernetes网络权威指南:基础、原理与实践》iptablesDockerKubernetes网络中应用甚广。例如,Docker容器和宿主机的端口映射、Kubernetes Service的默认模式、CNI的portmap插件、Kubernetes网络策略等都是通过iptables实现的。
看过最详细的Kube-proxy的iptables模式原理详解
zhangxiangui40542的专栏
03-08 2万+
Kubernetes如何利用iptables 原文地址 Linux内置的防火墙可以对IP数据包做一系列如过滤、更改、转发这样的操作,防火墙在对数据包做过滤决定时,有一套遵循的规则,这些规则存储在专用的数据包过滤表(table)中,而这些表集成在Linux 内核中。在数据包过滤表中,规则被分组放在我们所谓的链(chain)中。 我们通常说的iptables就是指Linux内置的防火墙,它实际上...
Kubernetes kubeadm 快速部署集群
小楼一夜听春雨,深巷明朝卖杏花
11-17 920
Kubernetes集群架构与组件 生产环境部署K8s的2种方式 kubeadm Kubeadm是一个工具,提供kubeadm init和kubeadm join,用于快速部署Kubernetes集群。 部署地址:https://kubernetes.io/docs/reference/setup-tools/kubeadm/kubeadm/(可以快速部署k8s,为了简化二进制部署K8s集群) 缺点是如果使用kubeadm搭建出来k8s集群,那么后期的维护会有点难度,因为搭建集群完全帮你.
桥接模式使用iptables
07-24
这可以使用iptables的`bridge-masquerade`规则来实现: ```bash sudo iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j DNAT --to-destination 192.168.1.100 sudo iptables -t nat -A POSTROUTING -o ...
评论 9
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值