k8s---kube网络原理--单机容器的网络实现原理

最新推荐文章于 2024-08-08 18:22:07 发布
最新推荐文章于 2024-08-08 18:22:07 发布
阅读量94 收藏
点赞数
分类专栏: 应用编排 文章标签: 网络 kubernetes linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jerry_smx/article/details/129150618
版权

k8s—kube网络原理–单机容器的网络实现原理

—读书笔记:请大佬们接受我虔诚的仰视

1.单机容器的网络实现原理
几个概念:
网络栈:网卡,回环设备,路由表。iptables规则,这些元素构成了发起和响应网络请求的基本环境;
要理解被隔离的容器进程如何和其他network namespace里的容器进程进行交互整个问题,可以把每个容器看作一个主机。他们呢都有一套独立的网络栈。
要实现两台主机之间的通信,最直接的办法就是用一根网线把他们呢链接起来,如果想实现多台主机之间的通信,就需要用网线连接到一台交换机上;
在linux中,能起到虚拟交换机作用的网络设备叫网桥,他是一个数据链路层设备。主要功能是根据mac地址学习将数据包转发到网桥的不同端口上;
为了实现多个容器的通信,docker项目会默认在宿主机上创建一个docker0的网桥,凡是与docker0网桥连接的容器。都可以通过它来进行通信;
那么如果把这些容器连接到docker0网桥上,这就是要使用一种vet pair的虚拟设备;
veth pair设备的特点:他被创建出来总是以两张虚拟卡的形式成对出现,并且从其中一张网卡发出去的数据包可以直接出现在对应的虚拟网卡上,哪怕这两张网卡在不同的namespace里;这就使得vethpair常用来连接不同的network namespace的网线,相当于一张网卡直接插在容器内的2个口;1个口连接docker0.一个连接容器内的network namespace;
一个容器nginx-1.访问ping另外一个容器nginx-2:10.1 ping 10.3
10.1的目的ip地址会匹配到容器内的路由规则地址,网关是0.0.0.0。则认为i是直线连接。匹配到此规则的ip包应该经过本机的eth0网卡通过二层网络直接发往目的主机;
要通过nginx2,就需要有10.3整个ip地址的mac地址,所以nginx-1容器的网络协议栈。通过容器内的eth0网卡发送arp广播,来通过ip地址查找对应的mac地址;docker0收到这些arp请求之后,就会把arp请求转发到其他插在docker0上的虚拟网卡上,这样连接在docker0的nginx-2容器的网络协议栈就能收到这个arp请求。于是将10.3的mac地址回复给nginx-1容器。有了mac地址,nginx-1的网卡就可以发送数据包了。发出数据包。从容器内直接出现在veth在宿主机的虚拟网卡上,同时直接到达docker0网桥,docker0根据数据包的目的mac地址。在他的cam表里查找对应的veth虚拟卡。然后将数据包法网该端口。通过虚拟网卡。数据包直接到达容器内网络栈,这样数据包就进入到了nginx-2的network namespace里了;nginx-2容器看到自己的eth0网卡上出现流入的数据包。这样nginx-2的网络栈将相应pong。返回到nginx-1

在数据传输过程中,网络协议栈的不同层次都有linux的内核netfilter参与其中,
排查容器无法连接外网时,应该先看看docker0网桥,查看跟docker0连接的iptables是否有异常。往往能找到答案;
#在宿主机上执行一下,可以打开iptables的trace功能查看数据包的传输过程;在这里插入图片描述
如果需要跨主机通信。就需要接入一种技术叫overlay网络,覆盖网络
这种容器网络的核心是在已经有的宿主机网络上在通过软件构件一个可以把所有容器连接起来的虚拟网络;这种股改网络可以由每台宿主机上的一个特殊网桥共同组成。这种数据网桥,在node1上的容器1要访问node2的容器3时候,node1的数据网桥在能获取到node2的mac地址。直接将数据包发送到node2的下一跳的mac地址上。就可以接收和响应数据了;

明天写flannel网络插件的三种后端实现:xlan。host-gw。udp

jerry_smx
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
k8s-1.23版本安装
weixin_42816196的博客
12-16 1309
比如,设置net.bridge.bridge-nfcall-iptables=1后,二层的网桥在转发包时也会被 iptables的FORWARD 规则所过滤。测试结果:出公网没问题,域名解析正常,说明安装的coredns没有问题,可用解析到service 上,并解析正确无误,集群验证成功。上面脚本创建了的/etc/sysconfig/modules/ipvs.modules文件保证在节点重启后能自动加载所需模块。需要在所有节点上安装Docker、kubelet、kubectl、kubeadm。
单机部署k8s,以及使用kuboard面板部署应用(详细版)
love_THL的博客
12-15 5678
k8s单机部署、kuboard入门使用、k8s初始化常见问题解决
社区实践 | Kube-OVN实现K8s多租户网络管理
KubeOVN的博客
08-09 2366
本篇文章转自Kube-OVN社区成员技术博客,介绍了如何利用 Kube-OVN 与 KubeVirt 结合,实现网络多租户隔离,解决云原生虚拟化管理的问题。
k8s笔记25--k8s 跨主机网络flannel
脚步不能达到的地方,眼光可以达到;眼光不能达到的地方,精神可以飞到
05-04 1091
单机环境下,容器间可以通过 docker0 网桥来通信,但其无法实现不同主机容器之间的通信问题,为了解决不同主机之间容器的通信问题,跨主机网络方案便诞生了。当前社区提供了近20种网络方案,具体见Kubernetes 文档/概念/集群管理/安装扩展(Addon);其中,Flannel 是最经典的几种网络方案之一,它是 CoreOS 公司主推的容器网络方案。
K8S单机部署-01.单机部署K8S
Felix的小黑板
01-19 2160
如果之前部署过, 需要先彻底卸载如果之前部署过, 需要先彻底卸载如果之前部署过, 需要先彻底卸载。
K8S单机部署-学习笔记
Dcj695632854的博客
04-24 911
K8S作为一个优秀的。
k8s部署metric-server单机、集群版
martingpf的博客
12-28 523
### 2.0、高可用集群版本需要修改kube-apiserver参数如下“ - --enable-aggregator-routing=true”#### 2.3、完整配置文件"high-availability-1.21+.yamll"#### 2.4、部署"high-availability-1.21+.yaml"#### 2.1、下载metric-server-cluster。#### 1.4 部署"components.yaml"#### 1.1、下载metric-server。
环境搭建---单机k8s
大眼`不聚光
06-18 528
image-repository 因为是从阿里云拉取的docker镜像,需要指定仓库来启动。–apiserver-advertise-address 本机绑定的IP地址。默认k8s的master节点是不能跑pod的业务,需要执行以下命令解除限制。NoExecute: 不仅不会调度, 还会驱逐Node上已有的Pod。–pod-network-cidr 指定pod内部的tcp网络。创建admin-user账户及授权的资源配置文件。NoSchedule: 一定不能被调度。
CentOS7使用kubeadm部署k8s-1.28集群
fang1990的博客
02-29 2121
使用自定义kubernets镜像仓库进行初始化kubeadm参数详解参数名称参数含义默认值API 服务器所公布的其正在监听的 IP 地址。如果未设置,则使用默认网络接口。API 服务器绑定的端口。6443为控制平面指定一个稳定的 IP 地址或 DNS 名称。为服务的虚拟 IP 地址另外指定 IP 地址段。为服务另外指定域名指明 Pod 网络可以使用的 IP 地址段。如果设置了这个参数,控制平面将会为每一个节点自动分配 CIDR。选择用于拉取控制平面镜像的容器仓库。
K8S单机部署资源-kubectl和minikube
02-10
标题中的“K8S单机部署资源-kubectl和minikube”指的是在本地环境中搭建一个 Kubernetes (K8s) 单节点集群的实践,主要涉及两个关键组件:kubectl 和 minikubekubectl 是 Kubernetes 的命令行工具,它允许用户与...
CentOS7安装k8s-v1.14.1.docx
11-08
1. **环境规划**:我们有三个 Master 节点(k8s-master1、k8s-master2、k8s-master3)和两个 Worker 节点(k8s-worker1、k8s-worker2)。Master 节点将运行高可用性 (HA) 的 etcd 集群、kube-apiserver、kube-...
K8sKubernetes)架构培训笔记.pdf
10-14
Kubernetes(简称K8s),是一个自动部署、扩展和管理容器化应用程序的开源系统。它提供了一个灵活、可扩展、可靠的平台,用于自动部署、扩展和管理容器化应用程序。 Kubernetes架构概览 --------------------------...
k8s入门教程之环境搭建(单机模式)共8页.pdf.zip
11-20
标题"K8s入门教程之环境搭建(单机模式)共8页.pdf.zip"表明这是一个关于 Kubernetes(简称K8s)的初级教程,专注于介绍如何在单机环境中设置Kubernetes集群。这通常适用于学习者或者开发者在个人计算机上建立一个...
dask-kubernetes:适用于Dask的本地Kubernetes集成
05-14
Kubernetes(通常简称为K8s)是Google开源的一种容器编排系统,用于自动化容器化应用的部署、扩展和管理。它提供了一个平台,使得开发者和运维人员能够轻松地在集群中管理容器化的应用程序,实现服务发现、负载均衡...
【随笔】VRRP+MSTP
weixin_41997073的博客
08-06 364
VRRP 使用选择策略从路由器组中选出一台作为主控,负责 ARP 响应和 IP 数据包转发,组中的其他路由器作为备份的角色处于待命状态。当主控空路由发生故障时,备份路由器能在几秒的时间延后升级的主路由器。一个VRRP组中只能由一台处于主控角色的路由器,可以有一个或多个备份角色的路由器。开销值越低,表示该链路的传输速度越快,路由器会优先选择这些链路进行数据传输。抢占模式的意义, 当 R1 路由器中断又恢复后,则恢复 R1 的主导地位。设计采用主备模式,将VRRP组内多个路由设备都映射为一个虚拟路由设备。
网络药理学:autodock tool(mgltools)实现大分子蛋白(PDB ID已知)和小分子配体的分子快速实践流程总结
最新发布
zhiaidaidai的博客
08-08 153
这里是快速实践的流程总结版(正文步骤都需要在中进行)。pocasaPDB。
【haproxy】haproxy七层代理
m0_64570996的博客
08-08 935
就是通过发布三层的IP地址(MIP),然后加四层的端口号,来决定哪些流量需要做负载均衡,对需要处理的流量进行NAT处理,转发至后台服务器,并记录下这个TCP或者UDP的流量是由哪台服务器处理的,后续这个连接的所有流量都同样转发到同一台服务器处理。所谓的四到七层负载均衡,就是在对后台的服务器进行负载均衡时,依据四层的信息或七层的信息来决定怎么样转发流量。Webserver1---172.25.254.10--下载ngnix!Webserver2---172.25.254.20--下载ngnix!
如何提前预防网络威胁
dexun123的博客
08-06 721
这场攻击规模空前,据官方数据,受影响的服务器数量飙升至3800余台,波及范围广泛,尤以美、加、法、德等国的企业为重灾区。态势感知,作为一种根植于环境、动态且全局性的安全风险洞察能力,其核心在于运用安全大数据的浩瀚资源,从宏观视角深化对安全威胁的发现、理解、分析及响应能力,最终引领至精准的安全决策与行动。态势感知强调对网络安全态势的全方位、实时、动态监控与评估,旨在于攻击链条的每一个细微环节捕捉异常,无论是情报搜集的微妙动作,还是攻击尝试的初步试探,乃至数据窃取与情报回传的隐蔽行动,都难逃其敏锐的“法眼”。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值