Kubernetes kube-proxy 如何与 iptables 完美配合使用

最新推荐文章于 2024-05-23 11:39:44 发布
最新推荐文章于 2024-05-23 11:39:44 发布
阅读量1.5k 收藏 6
点赞数 2
分类专栏: k8s_docker
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ljx1528/article/details/119455701
版权
我们知道 kube-proxy 是 Kubernetes 中一个运行在每个节点上的守护进程,它基本上反映了集群中定义的服务已经对后端 Pod 负载均衡的规则管理。

服务在后端 Pod 之间对请求进行负载均衡
假设我们有几个 API 微服务的 Pods 运行在我们的集群中,这些 Pods 的副本通过一个 Service 服务暴露,当一个请求到达 Service 的虚拟 IP 时,如何将请求转发到其中一个底层 Pod?其实就是通过 kube-proxy 创建的规则,虽然表面上并没有那么简单,但是我们还是可以进行大致的了解。

kube-proxy 可以在三种不同的模式下运行。

  • iptables
  • IPvs
  • userspace(不再推荐)

虽然 iptables 模式对于许多集群和工作负载来说完全没有问题,但当服务数量很多时(超过1,000个),ipvs 就会很有优势了,由于 iptables 规则是按顺序读取的,如果集群中存在许多服务,那么它的使用会影响路由性能。

Tigera(Calico 的创建者和维护者)在这篇很棒的文章(https://www.tigera.io/blog/comparing-kube-proxy-modes-iptables-or-ipvs/)中详细介绍了 iptables 和 ipvs 模式的区别。
iptables 和 ipvs 模式的主要对比
本文我们将专注于 iptables 模式(下一篇文章将专门介绍 ipvs 模式)来说明 kube-proxy 是如何定义 iptables 规则。

为此,我们将使用我刚刚用 kubeadm 创建的一个双节点集群。

$ kubectl get nodes
NAME    STATUS   ROLES                  AGE   VERSION
k8s-1   Ready    control-plane,master   57s   v1.20.0
k8s-2   Ready    <none>                 41s   v1.20.0

接下来我们将部署一个简单的应用程序,并通过 NodePort 类型的服务将其暴露出来。

示例

首先,我们创建一个基于 ghost 镜像的 Deployment(ghost 是一个免费开源的博客平台)并指定两个副本。

$ kubectl create deploy ghost --image=ghost --replicas=2

然后使用 NodePort 类型的 Service 来暴露 Pods。

$ kubectl expose deploy/ghost \
  --port 80 \
  --target-port 2368 \
  --type NodePort

部署完成后就可以获取这个新创建的 Service 的相关信息了。

$ kubectl describe svc ghost
Name:                     ghost
Namespace:                default
Labels:                   app=ghost
Annotations:              <none>
Selector:                 app=ghost
Type:                     NodePort
IP:                       10.98.141.188
Port:                     <unset>  80/TCP
TargetPort:               2368/TCP
NodePort:                 <unset>  30966/TCP
Endpoints:                10.44.0.3:2368,10.44.0.4:2368
Session Affinity:         None
External Traffic Policy:  Cluster
Events:                   <none>

这里有几个需要注意的事项:

  • 分配给 Service 的虚拟 IP 地址(VIP)是:10.98.141.188

  • 已分配给该 Service 的 NodePort 端口是 30966。通过这个端口,我们可以从集群的任何节点(本例中使用的集群节点的IP地址为192.168.64.35 和 192.168.64.36)访问 ghost 网页界面
    从集群的任一个节点访问 Ghost

  • Endpoints 属性显示了 Service 所暴露的 Pod 的 IP 地址。换句话说,每个到达 Service 的虚拟 IP (10.98.141.188) 端口 80 的请求都会以随机的方式转发到 2368 端口的底层 Pod 的 IP (10.44.0.3 或 10.44.0.4)。

注意:我们也可以使用标准的 kubectl get 命令来查询 Endpoints 信息。

$ kubectl get endpoints
NAME         ENDPOINTS                       AGE
ghost        10.44.0.3:2368,10.44.0.4:2368   4m
kubernetes   192.168.64.35:6443              6m

接下来,我们将仔细研究一下 kube-proxy 创建的 iptables 规则,以便将请求路由到后端 Pods。

iptables 规则

每次创建/删除 Service 或修改 Endpoints 时(例如,如果由于相关应用的 scale 而导致底层 Pod 数量发生变化),kube-proxy 都会负责更新集群每个节点上的 iptables 规则。
让我们看看我们之前定义的 Service是如何完成的。由于有相当多的 iptables 链生成,这里我们只考虑主要涉及到的请求的路由,这些请求在 NodePort 上得到并被转发到其中一个底层 Pods。

首先,KUBE-NODEPORTS 链就是来处理 NodePort 类型的 Service 上的数据包。
KUBE-NODEPORTS 链
因此,每一个来自 30966 端口的数据包都会首先被 KUBE-MARK-MASQ 处理,它会给数据包打上了 0x4000 的标签。

注意:只有当负载均衡使用 IPVS 模式时,才会考虑到这个标记。
KUBE-MARK-MASQ 链
接下来,这个数据包由 KUBE-SVC-4XJR4EADNBDQKTKS 链(在上面的 KUBE-NODEPORTS 链中引用)进行处理。如果我们仔细看一下,可以看到多了两个 iptables 链。

  • KUBE-SEP-7I5NH52DVZSA3QHP
  • KUBE-SEP-PSCUKR75MU2ULAEX
    Service iptables 链负载均衡请求我们可以看到这里随机概率为0.5 的 statistic mode,因此进入 KUBE-SVC-4XJR4EADNBDQKTKS 链的每个数据包都有50%的概率被 KUBE-SEP-7I5NH52DVZSA3QHP 或者 KUBE-SEP-PSCUKR75MU2ULAEX (当它被第一个链忽略时)链进行处理。

如果我们检查这两条链,可以看到它们定义了 ghost 应用的底层 Pod 之一的路由。
路由至 Pod 10.44.0.3
路由至 Pod 10.44.0.4
通过几个 iptables 链,我们就能够了解一个请求从到达节点端口到底层 Pod的历程。

在本文希望我已经澄清了 kube-proxy 在使用 iptables 模式时的工作方式。接下来我们将看到当使用 ipvs 模式进行负载均衡时,路由是如何进行的工作。

运维那些事~
关注
  • 2
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
Kubernetes1.2如何使用iptables
容器技术爱好者
04-26 1万+
Kuberneteskube-proxy组件负责维护NODE节点上的防火墙规则和路由规则,Kube-proxy有两种实现方式,一种是通过iptables,一种是通过userspace,在1.2中将使用iptables作为首选,可以大幅提升性能,下面看看kube-proxy组件是如何操作iptables的。
12、Kubernetes中KubeProxy实现之iptables和ipvs
weixiaohuai的博客
09-30 1396
iptables和ipvs其实都是依赖的一个共同的Linux内核模块:Netfilter。Netfilter是Linux 2.4.x引入的一个子系统,它作为一个通用的、抽象的框架,提供一整套的hook函数的管理机制,使得诸如数据包过滤、网络地址转换(NAT)和基于协议类型的连接跟踪成为了可能。Netfilter的架构就是在整个网络流程的若干位置放置了一些检测点(HOOK),而在每个检测点上登记了一些处理函数进行处理。
12、Kubernetes中KubeProxy实现之iptables和ipvs_ipvs和iptables
m0_60453176的博客
04-05 347
-A KUBE-SEP-D23ODROEH5R4FSGE -s 172.30.1.2/32 -m comment --comment “default/kubernetes:https” -j KUBE-MARK-MASQ -A KUBE-SEP-D23ODROEH5R4FSGE -p tcp -m comment --comment “default/kubernetes:https” -m tcp -j DNAT --to-destination 172.30.1.2:6443 -A KUBE-SEP-
比较kube-proxy模式:iptables还是IPVS?
最新发布
didiplus
05-23 1217
kube-proxy是任何Kubernetes部署中的关键组件。它的作用是将流向服务(通过集群 IP 和节点端口)的流量负载均衡到正确的后端pod。kube-proxyuserspaceiptables或IPVS。userspace模式非常旧且慢,绝对不推荐!但是,应该如何权衡选择iptables还是IPVS模式呢?在本文中,我们将比较这两种模式,在实际的微服务环境中衡量它们的性能,并解释在何种情况下你可能会选择其中一种。首先,我们将简要介绍这两种模式的背景,然后深入测试和结果……
kubernetesKube-proxyiptables转发规则
田园园野的博客
06-01 1万+
概念 kube-proxy 实际上并不起一个 proxy 的作用,而是 watch 变更并更新 iptables,也就是说,client 的请求直接通过 iptables 路由。 如果kube-proxy通过iptables 转发。会修改filter和nat表 filter表 filter表通过OUTPUT链规定所有的出报文都要经过KUBE-SERVICES,如果一个Service没有对应的end...
kube-proxy模式之iptables
Blue summer的博客
09-18 2105
注:本文基于K8S v1.21.2版本编写 1 默认模式 2 关于iptables 3 针对一个特定服务分析数据流
三十、Kuberneteskube-proxy三种工作模式详解
全栈行动派的博客
01-18 2228
Kuberneteskube-proxy三种工作模式详解
kubernetes 使用cilium 网络插件 替换kube-proxy
02-10
Kubernetes环境中,传统的服务发现和网络代理方案是通过kube-proxy来实现的,它提供了iptables、ipvs等不同的工作模式。然而,随着云原生应用的发展,对网络性能、安全性和可观测性的需求日益增强,这催生了Cilium...
kubernetes-iptables-proxy:使用iptables快速实现Kubernetes代理
05-23
设置: iptables -t nat -I PREROUTING -j my-dnatiptables -t nat -I OUTPUT -j my-dnatiptables -t nat -I POSTROUTING -j my-snat/usr/bin/docker run --name kube-iptables-proxy --privileged --...
kube-router:Kube-router,Kubernetes网络的交钥匙解决方案
02-02
启用所有功能后,kube-router是典型的Kubernetes集群中使用的几个网络组件的精简而强大的替代方案。 所有这些都来自单个DaemonSet / Binary。 这并没有变得容易。 基于IPVS / LVS的服务代理| --run-service-proxy ...
my-kube-proxy:用户空间
03-26
标题 "my-kube-proxy: 用户空间" 暗示了我们正在讨论的是一个与 KubernetesKube-proxy)相关的用户自定义实现,可能是用 Go 语言编写的。Kube-proxyKubernetes 集群中的核心组件之一,它负责维护 Service 的...
kubernetes-server-linux-amd64.tar.gz
08-28
1. **kube-apiserver**:作为Kubernetes集群的入口点,它提供了REST API,使得管理员和用户能够与集群交互,进行资源管理。 2. **etcd**:一个分布式的键值存储系统,用于保存Kubernetes集群的状态信息。 3. **...
kube-proxy iptables模式原理分析
summer_fish的专栏
04-19 878
kubernetes集群内,访问一个pod应用可以通过pod IP,但是pod删除重建后IP会发生变化,而且在高可用多副本场景下直接通过IP访问,则会有客户端需要实现负载均衡等问题。为了解决上述问题,kubernetes在客户端和pod间引入了一个抽象层:service。 service通过labelSelector与pod关联,客户端通过service访问pod。访问类型可以分为两类: 通过service VIP访问:通过访问service clusterIP代理到后端pod。 通过servi
记一次K8S网络问题排查过程,kube-proxy的ipvs模式转发失败,修改iptables模式
一个还不成熟、正在努力成长的博客小站。
06-18 6206
两个节点的k8s集群环境,master 和 node在添加calico服务的时候,master节点正常,node节点上的calico的pod一直异常,10.233.64.1:443 timeout,启动不起来。 calico-node服务需要连接Master节点的kube-apiserver服务,由于网络不通导致连接失败,服务也就启动失败,问题转化成K8S网络问题排查。 ......
Kubernetes 网络排错骨灰级指南!
因上努力,果上随缘。但行好事,莫问前程。
08-25 1214
本文将引入一个思路:“在 Kubernetes 集群发生网络异常时如何排查”。文章将引入 Kubernetes 集群中网络排查的思路,包含网络异常模型,常用工具,并且提出一些案例以供学习。Pod 常见网络异常分类网络排查工具Pod 网络异常排查思路及流程模型CNI 网络异常排查步骤案例学习。
Linux之iptables -f 简介
qq_44733432的博客
07-06 5529
CentOS 7 系统中防火墙规则默认保存在 /etc/sysconfig/iptables 文件中,使用 iptables-save 将规则保存至该文件中可以实现保存防火墙规则的作用,计算机重启后会自动加载该文件中的规则。使用 -A 选项添加防火墙规则会将该规则追加到整个链的最后,而使用 -I 选项添加的防火墙规则则会默认插入到链中作为第一条规则。注意,有时需要删除的规则较长,删除时需要写一大串的代码,这样比较容易写错,这时可以先使用 -line-number 找出该条规则的行号,再通过行号删除规则。
kube-proxy使用ipvs与iptables的比较
linus.lin的博客
10-24 6988
Iptables模式 kube-proxy 就可以通过 Service 的 Informer 感知到API Server中service和endpoint的变化情况。而作为对这个事件的响应,它就会在宿主机上创建这样一条 iptables 规则(你可以通过 iptables-save 看到它)。这些规则捕获到service的clusterIP和port的流量,并将这些流量随机重定向到service后端Pod。对于每个endpoint对象,它生成选择后端Pod的iptables规则。 如果选择的第一个Pod没有
关于linux 命令“iptables -F”,不要轻易执行
热门推荐
aw277866304的博客
06-03 1万+
一、文章背景 昨天在公司服务器的linux开发环境里,部署了几个spring boot项目和nginx代理,都成功启动后,发现本地无法访问(Xshell是可以连接的)。于是各种纳闷,网上搜解决方案。其实最想想到的当然是防火墙是否是开启的状态,但是输入查询防火墙状态的命令,发现没有权限。继续搜索后,发现了一篇文章,最关键的一点,说是执行命令“iptables -F”就可以解决。在迫切想解决的心理下,不管三七二十一执行了这条命令,没一会,发现Xshell断开了连接,然后就一直连接不上了。然后,我以为是..
kube-proxy iptables
07-27
kube-proxyKubernetes集群中的一个网络代理组件,它负责将网络流量转发到正确的目标Pod。而iptables是Linux系统中的一个工具,用于配置和管理网络规则。 在Kubernetes中,kube-proxy使用iptables来实现服务的负载均衡和网络转发。它会监听Kubernetes API中的Service和Endpoint对象的变化,并根据这些信息更新iptables规则,实现服务的访问和转发。 具体来说,kube-proxy会为每个Service创建一个iptables规则,该规则将流量转发到Service的后端Pod。当新的Pod加入Service或者现有的Pod离开Service时,kube-proxy会相应地更新iptables规则,以确保流量被正确地转发到可用的Pod上。 通过使用iptableskube-proxy能够提供高效且可靠的服务发现和负载均衡功能,以满足Kubernetes集群中不同服务之间的网络通信需求。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

运维那些事~

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值