解密OpenShift内部通信网络

最新推荐文章于 2025-03-05 22:02:20 发布
最新推荐文章于 2025-03-05 22:02:20 发布
阅读量992 收藏 5
点赞数
文章标签: 网络 编程语言 kubernetes 数据库 java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/k6T9Q8XKs6iIkZPPIFq/article/details/121045260
版权
本文深入浅出地解析了OpenShift中的网络通信,包括Pod间通信、Service的作用、负载均衡实现以及多租户网络隔离。通过5个关键问题,阐述了Service作为统一入口和负载均衡的重要性,同时也介绍了Service如何实现服务注册与发现。OpenShift通过CNI插件(如OVS)实现Pod间的二层通信,并依赖kube-proxy(iptables模式)进行负载均衡。此外,文章还讨论了集群外部访问Service的多种方式,以及OpenShift如何通过网络策略实现多租户的网络隔离。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

上一篇:PaaS中OpenShift持久化存储的管理实践

由于 OpenShift 网络通信概念较多,相对理解起来困难,为了方便读者能够清晰深入内部,在开始网络模型讲解之前,我们先尝试从 OpenShift 的用户角度,提出 5 个问题,并对 5 个问题作出解答,先对 OpenShift 网络通信有个大致的概念。然后读者带着对这 5 个问题的理解,阅读本章节更为详细的内容。

1. OpenShift 中 Pod 之间通讯是否一定需要 Service?

   

答案:Pod 之间的通信不需要 Service。

在同一个 Namespace 中, Pod A 开放了某个端口,在一个 Pod B 中 curl pod_A_IP:port,就能与之通信,如下图 2-45 所示。

aed0929214acc47c4da1b01308273b81.png

图 2-45 查看两个 pod 的 IP 地址

所以说:Pod 之间能不能通信,和两个 Pod 经不经过 Service、有没有 Service 无关。

2. 从一个 Pod 访问另外一个 Pod 可以通信,其数据链路是什么?

   

答案:两个 Pod 如果在一个 OpenShift 节点上,其通信流量没有绕出本宿主机的 OVS:如果两个 Pod 在不同节点上, Pod 之间的通信经过了 Vxlan。具体内容后文将展开说明。

3. 既然 Pod 之间通信不需要 Service,为何 Kubernetes 引入 Service?

   

我们首先要明确:Service 是对一组提供相同功能的 Pods 的抽象,并为它们提供一个统一的内部访问入口。它主要解决:

  1. 负载均衡:Service 提供其所属多个 Pod 的负载均衡

  2. 服务注册与发现:解决不同服务之间的通信问题。在 OpenShift 中的创建应用后,需要提供访问应用的地址供其他服务调用,这个地址就是由 Service 提供。

在 OpenShift 中,我们每创建一个 Service,会分配一个 IP 地址,称为 ClusterIP,这个 IP 地址是一个虚拟的地址(OpenShift 外部不可达),这样内部 DNS 就可以通过 Service 名称(FQDN)解析成 ClusterIP 地址。这就完成了服务注册,DNS 解析需要的信息全部保存在 Etcd 中。

那么,Service 注册到 Etcd 的内容是什么呢?

实际上是 Service 资源对象的 Yaml 包含的相关内容。

也就是说,Etcd 中记录的 Services 注册信息里有 Namespace,Service Name,ClusterIP 等,通过这三个信息就可组成 DNS A 记录,也就是,Service 的 FQDN 和 Service ip 之间的对应关系。需要说明的是,Etcd 不是 DNS,DNS A 记录是通过查询生成的。OpenShift 的 DNS 是由 SkyDNS/CoreDNS 实现的(后面内容详细介绍)。

服务发现这个词经常被妖魔化。它的作用是为了 OpenShift 某个服务发现另外一个服务。也就说,Service A 要和 ServiceB 通讯,我需要知道 ServiceB 是谁、在哪、Cluster IP、对应的 Pod IP 都是什么?这就叫服务发现。

4. 有了 Service 以后,Pod 之间的通讯和没有 Service 有何区别?

   

在数据通讯层,没区别,因为 Service 只是逻辑层面的东西。

但是,没有 Service,多个 Pod 无法实现统一入口,也无法实现负载均衡。也就是说,没有 Service,多个 Pod 之间的负载均衡就要依赖第三方实现。

那么,有了 Service 以后,Pod 之间怎么寻址?

回答这个问题,我们要站在开发者角度。如果一个程序员,要写微服务,微服务之间要相互调用,怎么写?写 Pod IP 和 ClusterIP 是不现实的,因为这两个 IP 可能发生变化。

如果程序员决定用 Kubernetes 做服务发现的前提下(如果使用微服务框架中的服务注册中心做服务注册发现,可以不使用 Kubernetes 的 Service),实现不同服务之间的调用,那么就需要使用 Kubernetes 的 Service 名称。因为 Service 名称我们是可以固定的。

OpenShift/Kubernetes 中 Service 有短名和长名。以下图 2-46 为例,jws-app 就是 Service 的短名,Service 长名的格式是:..svc.cluser.local,也就是 jws-app.web.svc.cluser.local。Service 短名可以自动补充成长名,这是 OpenShift 中的 DNS 做的,这个后面介绍。

12e0fb6c470ba9dca47a08f22826ada5.png

图 2-46 查看 Service 的名称

那么,如果在两个不同的 Namespace 中,有两个相同的 Service 短名,微服务调用不是会出现混乱?程序员的代码里是不是要写 Service 全名?

首先,站在 OpenShift 集群管理员的角度,我们看所有的项目,有几十个或者而更多,会觉得在不同 Namespaces 中存在相同的 Service 短名是可能(比如 Namespace A 中有个 acat 的 Service,Namespace B 中也有个 acat 的 Service)。但站在程序员角度,他只是 OpenShift 的使用者、拥有有自己的 Namespace 的管理权,其他 Namespace 不能访问。而且绝大多数情况下,同一个业务项目的微服务一般会运行在同一个 Namespace 中,默认如果使用短名称(只写 Service Name),则会自动补全成当前 Namespace 的 FQDN,只有在跨 Namespace 调用的时候才必须写全名 FQDN。

所以,程序员写的程序用到了 Service Name。那么,真正运行应用的 Pod 之间的通讯,也必然会以 Service Name 去找。通过 Service 名称解析为 Service ClusterIP,然后经过 Kube-proxy(默认 Iptables 模式)的负载均衡最终选择一个实际的 Pod IP。找到 Pod IP 以后,接下来就会进行实际的数据交换,这就和 Service 没有关系了。

5. ClusterIP 到 Pod IP 这部分的负载均衡怎么实现的?

   

目前版本 OpenShift 中是通过 kube-proxy(iptables 模式)实现的。具体内容后面内容详细介绍。

6

   

通过以上 5 个问题的问答,相信很多读者关于 OpenShift 通信网络的疑问有了大致的了解。接下来,我们针对 OpenShift 的网络通信展开讲述。

7

   

OpenShift 的网络模型

OpenShift 的网络模型继承于 Kubernetes,从内到外共包含如下四个方面:

  1. Pod 内部容器通信的的网络。

  2. Pod 与 Pod 通信的网络。

  3. Pod 和 Service 之间通信的网络。

  4. 集群外部与 Service 或 Pod 通信的网络。

这四部分构成了整个 OpenShift 的网络模型,下面我们分别进行说明。

7.1

   

Pod 内部容器通信的网络

我们都知道 Pod 是一组容器的组合,意味着每个 Pod 中可以有多个容器存在,那么这多个容器之间如何通信呢?这就是这部分要解决的问题。

Kubernetes 通过为 Pod 分配统一的网络空间,实现了多个容器之间网络共享,也就是同一个 Pod 中的容器之间通过 Localhost 相互通信。

7.2

   

Pod 与 Pod 通信的网络

关于这部分 Kubernetes 在设计之时的目标就是 Pod 之间可以不经过 NAT 直接通信,即使 Pod 跨主机。而这部分 Kubernetes 早期并未提供统一标准的方案,需要用户提前将节点网络配置完成,各个厂商提供了不同的解决方案,诸如 Flannel、OVS 等等。随着 Kubernetes 的发展,在网络方向上希望通过统一的方式来集成不同的网络方案,也就有了现在的网络开放接口 CNI(Container Network Interface)。

CNI 项目是由多个公司和项目创建组成的,包括 CoreOS、红帽、Apache Mesos、Cloud Foundry、Kubernetes、Kurma 和 rkt。CoreOS 首先提出定义网络插件和容器之间的通用接口,CNI 被设计为规范,它仅关注容器的网络连接并在删除容器时删除分配的网络资源。

CNI 有三个主要组成部分:

  1. CNI 规范:定义容器运行时和网络插件之间的 API。

  2. 插件:对各种 SDN 对接的组件。

  3. 库:提供 CNI 规范的 Go 实现,容器运行时可以使用它来便捷地使用 CNI。

各厂商遵守规范开发网络组件,在技术实现上共分为两大阵营:

  1. 基于二层实现:通过将 Pod 放在一个大二层网络中,跨节点通信通常使用 Vxlan 或 UDP 封包实现,常用的此类插件有 Flannel(UDP 或 Vxlan 封包模式)、OVS、Contiv、OVN 等。

  2. 基于三层实现:将 Pod 放在一个互联互通的网络中,通常使用路由实现,常用的此类插件有 Calico、Flannel-GW、Contiv、OVN 等。

可以看到网络插件的种类较为繁多,OpenShift 默认使用的是基于 OVS 的二层网络实现 Pod 与 Pod 之间的通信,后面我们将详细介绍。

7.3

   

Pod 和 Service 之间通信的网络

Pod 与 Service 之间的通信主要指在 Pod 中访问 Service 的地址。在 OpenShift 中, Service 是对一组提供相同功能的 Pods 的抽象,并为它们提供一个统一的内部访问入口。主要解决以下两个问题:

服务注册与发现:服务注册发现在微服务架构中,解决不同服务之间的通信问题。在 OpenShift 中的创建应用后

最低0.47元/天 解锁文章
【重识云原生】第四章云网络4.9.5.1节下一代智能网卡——DPU综述
junbaozi的专栏
07-20 1430
随着数据中心的高速发展,通信能力和计算能力成为数据中心基础设施的相辅相成的两个重要发展方向。若数据中心仅关注计算能力的提升,通信基础设施的提升跟不上,那么数据中心的整体系统性能依然受限,无法发挥出真正的潜力。DPU的提出背景就是应对这些数据量和复杂性的指数级增长。未来,需要将计算移至接近数据的位置,这是目前业界所公认的以数据为中心的体系结构下的创新。综上,DPU对数据中心来说,是通过更明细的分工来实现效率的提升、实现总体系统的成本最优化。...
二进制部署1.23.0高可用集群(docker版)
2301_78862407的博客
11-12 1191
当集群工作节点数量较多时,为每个节点手动颁发kubelet证书非常不方便,k8s引入了bootstraping引导机制来简化证书颁发流程。kubelet 会使用一个预先提供的 “bootstrap” 证书来向 Api Server 发送一个证书签名请求 (CSR) ,从而自动生成 kubelet 的证书。$1。
openshift网络
weixin_30530939的博客
04-08 131
http://www.cnblogs.com/sammyliu/p/10064450.html 转载于:https://www.cnblogs.com/alpha1981/p/10670944.html
openshift三种网络支持方式概述
nejore的博客
05-31 744
openshift三种网络支持方式概述
001.OpenShift介绍
最新发布
木二
03-05 832
Red Hat OpenShijft Container Platform (OpenShift)是一个容器应用程序平台,它为开发人员和IT组织提供了一个云应用程序平台,用于在安全的、可伸缩的资源上部署新应用程序,而配置和管理开销最小。OpenShift构建于Red Hat Enterprise Linux、Docker和Kubernetes之上,为当今的企业级应用程序提供了一个安全且可伸缩的多租户操作系统,同时还提供了集成的应用程序运行时和库。OpenShift带来了健壮、灵活和可伸缩的特性。
DO280OpenShift网络--创建router
IT民工金鱼哥,专注运维技术。
06-19 1021
第三章 OpenShift网络--创建router
OpenShift网络平面选择与配置
任我行的博客
05-09 643
OpenShift网络平面选择与配置 Macvlan是OpenShift较为理想的多网络平面方案 1. Macvlan分配地址的方式 Macvlan的地址分配方式有静态指定和动态分配两种:、 如果需要为Pod指定固定IP地址,可以使用静态指定IP地址的方式。这种方式不利于容器的弹性伸缩。 如果允许Pod随机获取IP地址,可以使用动态分配IP地址的方式,我们只需要指定一个IP地址段即可。这种方式管理更方便,也便于实现容器的弹性伸缩。 2. 静态指定 修改网络ClusterOperator,增加附加网络
Openshift网络之三:openshift-ovs-subnet代码分析
cloudvtech的博客
04-24 2180
一、前言Openshift基于OVS SDN的CNI网络方案中,存在一个SDN master节点,而Openshift的所有工作节点也都是SDN的工作节点。SDN工作节点在启动的时候先向master注册(建立etcd子节点),master监控到这个节点注册信息之后,会为自节点分配一个子网写入到etcd该子节点下面,然后自节点利用这些信息在节点本地进行初始化配置:建立OVS bridge设备br0,...
解析OpenShift的存储规划
中生代技术
11-03 374
上一篇分享了:PaaS中OpenShift持久化存储的管理实践和 解密OpenShift内部通信网络本篇继续分享OpenShift的存储规划1 OpenShift 使用存储类型选择选择...
Oracle高可用性架构:RAC与Data Guard的实现教程
[Oracle高可用性架构:RAC与Data Guard的实现教程](https://docs.oracle.com/en-us/iaas/Content/openshift-on-oci/images/architecture.png) # 1. Oracle高可用性基础介绍 随着企业数字化转型的深入,企业对数据库...
Openshift网络之二:SDN master代码分析
cloudvtech的博客
04-23 1073
一、前言Openshift基于OVS SDN的CNI网络方案具有一个以etcd key-value store为中心master节点和若干worker节点,Openshift SDN master在etcd维护一个worker节点和SDN网络相关的数据库。master主要的责任如下:当Openshift加入或者删除一个worker节点,master会监听到这个事件,为这个节点分配或者收回子网段,将...
OVN大二层网络解决方案-V1.0
12-09
OVN兼容主流网络厂商的大二层网络技术,虚拟交换机技术。将两台物理交换机作为单一逻辑虚拟交换机运行隧道技术。通过在二层报文前插入额外的帧头,并采用路由计算的方式控制数据的转发L2 over L3技术,将二层数据报文封装在三层报文中,跨越中间的三层网络实现两地二层网络的互通
openshift部署前后端项目
毛毛雨的博客
05-11 635
一、部署前端 1.1搜索nginx 1.2填写项目名,前端项目git地址 1.3点击build 出错原因:git仓库需要账号和密码,所以clone的时候报错。可以点击“View log”查看报错信息: 解决方法: ①创建secrets(点击Resources->Secrets->create Secrets) ②.点击刚才创建的镜像(Builds->镜像名) ③.点击Start Build 1.4创建nginx配置文件与容器内部关联 ①...
OpenShift 4 - 通过NetworkPolicy配置Pod访问策略(附视频)
多恩斯基的博客
12-14 1588
部署测试应用 创建2个项目,然后每个项目中部署两个应用用来进行测试。 $ oc new-project project1 $ oc new-project project2 $ oc new-app -n project1 openshiftroadshow/parksmap --name=project1-app1 $ oc new-app -n project1 openshiftroadsh...
openshift节点扩容
KK下山去买菜
03-15 766
本文是公司内部集群扩容笔记,只做参考 软硬件环境 阿里云ecs,1个deploy,3个master,3个infra,其余为计算节点 centos7.6 docker-1.13.1 openshfit 3.11 1. 扩容节点配置 1.1 ssh到新的节点 hostnamectl set-hostname computeXX.youdomain.local 1.2 禁用swap sudo s...
openshift 学习笔记-1
vito
10-12 1682
一、网络 pod IP:172.17.0.3 –>docker 中的容器ip service IP:172.30.217.14 –>服务IP 用于pod间通信,可跨node节点,此IP是虚拟IP,物理机无法访问。 route IP:192.168.226.144 –>暴露给外网的IP,路由到service–>container 二、oc 客户端 查看版本 $oc versi
OpenShift简介(二)
热门推荐
justlpf的专栏
08-30 1万+
参考文章: OpenShift简介_虹科云科技的博客-CSDN博客_openshift架构详解openshift是红帽的云开发平台即服务(PaaS),底层以Docker作为容器引擎驱动,以k8s作为容器编排引擎组件,openshift提供了开发语言、中间件、自动化流程工具及界面等元素,提供了一套完整的基于容器的应用云平台。OKD是 Kubernetes 的一个发行版,针对持续应用程序开发和多租户部署进行了优化。OKD 还充当上游代码库,红帽 OpenShift Online和红帽 OpenShift 容器平
openshift简介
justlpf的专栏
09-22 3304
参考文章:什么是openshift Openshift是一个开源的容器云平台,底层基于当前容器的事实标准编排系统Kubernetes和docker引擎,企业可以基于此平台搭建内部Paas平台,贯穿CI/CD流程,提高企业IT效率,拥抱DevOps和敏捷开发。 什么是Paas PaaS(Platform as a Service,平台即服务)最早是在云计算领域被提出。如下图所示,将企业IT服务分为九层,传统自建数据中心九层设施都需要企业自己维护,成本极高。而云计算架构就相当于把九层架构中的底层一部分外包
了解OpenShift容器平台,以及Kubernetes
2401_83911225的博客
01-03 775
红帽 OpenShift 管理二:配置生产性集群(DO280)”可帮助 OpenShift 集群管理员对托管内部团队和外部供应商提供的应用的集群执行日常管理任务,为具有不同角色的集群用户启用自助服务,并部署需要特殊权限的应用,如 CI/CD 工具、性能监控和安全扫描程序。增强的安全性:OpenShift采用了基于角色的访问控制(RBAC)和默认启用的安全策略(如运行容器的用户权限控制、强制的SELinux和容器隔离等),为生产环境提供了额外的安全性。下面是它们的比较以及各自的优势。
Grafana与Skydive整合:监控OpenShift网络的神器
- **带有skydive DataSource插件**:DataSource通常指的是数据来源,一个插件能够使Grafana与Skydive进行通信,从而在Grafana中展示Skydive所监控到的网络数据。这意味着用户可以在Grafana界面中查看到Skydive所提供...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值