K8s网络模型

最新推荐文章于 2024-05-15 15:08:50 发布
最新推荐文章于 2024-05-15 15:08:50 发布
阅读量5.2k 收藏 39
点赞数 8
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_37055174/article/details/99957377
版权

一、前言

k8s对Pods之间如何进行组网通信提出了要求,k8s对集群的网络有以下要求:

  • 所有的Pods之间可以在不使用NAT网络地址转换的情况下相互通信

  • 所有的Nodes之间可以在不使用NAT网络地址转换的情况下相互通信

  • 每个Pod自己看到的自己的ip和其他Pod看到的一致

k8s网络模型设计基础原则:每个Pod都拥有一个独立的 IP地址,而且 假定所有 Pod 都在一个可以直接连通的、扁平的网络空间中 。 所以不管它们是否运行在同 一 个 Node (宿主机)中,都要求它们可以直接通过对方的 IP 进行访问。设计这个原则的原因 是,用户不需要额外考虑如何建立 Pod 之间的连接,也不需要考虑将容器端口映射到主机端口等问题。

由于 Kubemetes 的网络模型假设 Pod 之间访问时使用的是对方 Pod 的实际地址,所以一个 Pod 内部的应用程序看到的自己的 IP 地址和端口与集群内其他 Pod 看到的一样。它们都是 Pod 实际分配的IP地址 (从dockerO上分配的)。将IP地址和端口在Pod内部和外部都保持一致, 我们可以不使用 NAT 来进行转换,地址空间也自然是平的。

鉴于上面这些要求,我们需要解决四个不同的网络问题::

  • Docker容器和Docker容器之间的网络

  • Pod与Pod之间的网络

  • Pod与Service之间的网络

  • Internet与Service之间的网络

下面我们一一进行讨论每种网络问题,以及如何解决。

二、容器和容器之间的网络

640?wx_fmt=png

  • 在k8s中每个Pod中管理着一组Docker容器,这些Docker容器共享同一个网络命名空间。

  • Pod中的每个Docker容器拥有与Pod相同的IP和port地址空间,并且由于他们在同一个网络命名空间,他们之间可以通过localhost相互访问。 什么机制让同一个Pod内的多个docker容器相互通信那?其实是使用Docker的一种网络模型:–net=container

container模式指定新创建的Docker容器和已经存在的一个容器共享一个网络命名空间,而不是和宿主机共享。新创建的Docker容器不会创建自己的网卡,配置自己的 IP,而是和一个指定的容器共享 IP、端口范围等

每个Pod容器有有一个pause容器其有独立的网络命名空间,在Pod内启动Docker容器时候使用 –net=container就可以让当前Docker容器加入到Pod容器拥有的网络命名空间(pause容器)

640?wx_fmt=png

三、Pod与Pod之间的网络

640?wx_fmt=png

  • k8s中,每个Pod拥有一个ip地址,不同的Pod之间可以直接使用改ip与彼此进行通讯

  • 在同一个Node上,从Pod的视角看,它存在于自己的网络命名空间中,并且需要与该Node上的其他网络命名空间上的Pod进行通信。

那么是如何做到的?这多亏了使用linux虚拟以太网设备或者说是由两个虚拟接口组成的veth对使不同的网络命名空间链接起来,这些虚拟接口分布在多个网络命名空间上(这里是指多个Pod上)。

为了让多个Pod的网络命名空间链接起来,我们可以让veth对的一端链接到root网络命名空间(宿主机的),另一端链接到Pod的网络命名空间。

每对Veth就像一根接插电缆,连接两侧并允许流量在它们之间流动;这种veth对可以推广到同一个Node上任意多的Pod上,如上图这里展示使用veth对链接每个Pod到虚拟机的root网络命名空间。

下面我们看如何使用网桥设备来让通过veth对链接到root命名空间的多个Pod进行通信。

linux以太网桥(Linux Ethernet bridge)是一个虚拟的2层网络设备,目的是把多个以太网段链接起来,网桥维护了一个转发表,通过检查转发表通过它传输的数据包的目的地并决定是否将数据包传递到连接到网桥的其他网段,网桥代码通过查看网络中每个以太网设备特有的MAC地址来决定是传输数据还是丢弃数据。

640?wx_fmt=png

网桥实现了ARP协议用来根据给定的ip地址找到对应机器的数据链路层的mac地址,一开始转发表为空,当一个数据帧被网桥接受后,网桥会广播该帧到所有的链接设备(除了发送方设备),并且把响应这个广播的设备记录到转发表;随后发往相同ip地址的流量会直接从转发表查找正确的mac地址,然后转发包到对应的设备。

640?wx_fmt=png

如上图显示了两个Pod通过veth对链接到root网络命名空间,并且通过网桥进行通信

3.1 同一个Node中的Pod之间的一次通信

鉴于每个Pod有自己独立的网络命名空间,我们使用虚拟以太网设备把多个Pod的命名空间链接到了root命名空间,并且使用网桥让多个Pod之间进行通信,下面我们看如何在两个pod之间进行通信:

640?wx_fmt=png

  • 通过网桥这里把veth0和veth1组成为一个以太网,他们直接是可以直接通信的,另外这里通过v

最低0.47元/天 解锁文章
阿里加多
关注
  • 8
    点赞
  • 39
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
k8s容器通信-flannel网络.docx
04-09
flannel,k8s网络模型,为k8s集群内的容器提供网络服务的组件。 主要作用: 为集群内所有容器提供一个扁平化的网络环境,即:所有容器在flannel提供的网络平面上可以看作是在同一网段,自由通信。其模型为全部的容器使用一个network,然后在每个host上从network中划分一个子网subnet。为host上的容器创建网络时,从subnet中划分一个ip给容器。这样就大大提高了容器之间工作效率,不用考虑IP转换问题。
K8s网络模型网络策略
大叶子不小的博客
07-07 1316
1、Kubernetes网络模型和CNI插件 在Kubernetes中设计了一种网络模型,要求无论容器运行在集群中的哪个节点,所有容器都能通过一个扁平的网络平面进行通信,即在同一IP网络中。需要注意的是:在K8S集群中,IP地址分配是以Pod对象为单位,而非容器,同一Pod内的所有容器共享同一网络名称空间。1.1Docker网络模型 了解Docker的友友们都应该清楚,Docker容器的原生网络模型主要有4种:Host(主机)、Container、Bridge(桥接)、none。host模式:容器和宿主机共
k8s的网路配置
weixin_58376680的博客
05-15 1046
Flannel的功能是让集群中的不同节点主机创建的Docker容器都具有全集群唯一的虚拟IP地址。Flannel是Overlay网络的一种,也是将TCP源数据包封装在另一种网络包里面进行路由转发和通信,目前支持UDP、VXLAN、host-GW三种数据转发方式。
k8s网络模型
qq_43555156的博客
09-07 706
放在一起 效率更高 如不用记录ip 只要访问本地 pod之间 pod和node不需要经过net访问 在node上的iptable上做地址转换clustip 这样会识别不了 app 等于web的能访问mysql 去/etc** 读取配置 第一个为要执行的cni是哪个 然后去/opt执行cni ipam负责ip的分配或释放 main 容器网卡的初始化或清除 meta 负责其他技术如限速等 main类型的cni主要配置了容器内的网络打通了容器与宿主机的网络 如加网卡 配ip路由 节点与节点间的网络不管
高清经典-每天5分钟完砖Kubernetes
09-14
超级详细,简单易懂的一门课程,自动化运维、devops学习必备
详解K8S网络模型(包含Service讲解)
天然玩家的博客
07-05 4412
核心: (1)集群中的每个Pod会在集群范围内获取自己唯一的IP地址,Pod间通信无需建立连接,无需考虑端口映射; (2)Service是将一系列Pod应用暴露为网络服务的一种方法,即通过Service访问Pod; (3)代理模式有3种:用户空间代理模式、iptables代理模式和IPVs代理模式; (4)Kubernetes允许在Service对象中配置多个端口; (5)流量分配策略:Cluster和Local两种方式,Cluster:流量分发到就绪的Endpoint;Local流量只分发到本机Endpo
10 张图解 K8S CNI Calico 网络模型原理与功能实战
2201_75362610的博客
08-15 1412
Calico` 是一个联网和网络策略供应商。Calico 支持一套灵活的网络选项,因此你可以[根据自己的情况选择最有效的选项,包括非覆盖和覆盖网络,带或不带 BGP。
k8s架构图整体框架知识合集
04-13
k8s网络模型是基于CNI(Container Network Interface)的,CNI是一个容器网络接口。k8s网络隔离是通过NetworkPolicy实现的。 四、k8s调度与资源管理 k8s调度与资源管理是基于资源模型和资源管理的。资源模型k8s...
Kubernetes K8s CKA认证-PPT
最新发布
05-24
网络模型.pdf 9.helm -v3.pdf 9.日志管理.pdf 9.监控管理.pdf cicd.pdf descheduler.pdf etcd的备份和恢复.pdf helm3部署prometheus监控.pdf kubeconfig3.pdf kuboard文档.pdf nfs实现动态卷供应.pdf ...
超详细K8S学习笔记,0基础也可上手
02-13
学习K8S网络模型:掌握K8S内部网络模型,包括网络命名空间、网络隔离、网络访问等。 学习K8S存储管理:掌握K8S存储管理,包括存储卷的创建、管理、挂载和使用。 学习K8S监控与日志:学习K8S监控技术,包括使用...
K8s-cks进阶技能攻略
02-07
K8s-cks进阶技能攻略 Kubernetes(K8s)是容器编排系统,它提供了自动化部署、扩展和管理容器化应用程序的功能。下面是K8s的关键组件、架构、工作原理、调度流程、准入控制等知识点。 Kubernetes核心组件 ...
k8s 网络模型
weixin_30843605的博客
04-25 843
一、前言 k8s对Pods之间如何进行组网通信提出了要求,k8s对集群的网络有以下要求: 所有的Pods之间可以在不使用NAT网络地址转换的情况下相互通信 所有的Nodes之间可以在不使用NAT网络地址转换的情况下相互通信 每个Pod自己看到的自己的ip和其他Pod看到的一致 k8s网络模型设计基础原则:每个Pod都拥有一个独立的 IP地址,而且 假定所有 Pod 都在一个可以直...
Kubernetes(k8s)CNI(flannel)网络模型原理
因上努力,果上随缘。但行好事,莫问前程。
11-23 1732
一、概述Kubernetes 采用的是基于扁平地址空间的、非NAT的网络模型,每个Pod有自己唯一的IP地址。网络是由插件建立的,而非K8S本身。二、常见的几种CNI插件介绍为了使容器之间的通信更加方便,Google 和 CoreOS 主导制定了一个容器网络标准CNI(Conteinre Network Interface)。
Kubernetes网络模型概述
云原生Java Web领域技术博客
01-17 1128
Kubernetes网络模型设计的一个基础原则是:每个Pod都拥有一个独立的IP地址,并假定所有Pod都在一个可以直接连通的、扁平的网络空间中。所以不管这些Pod是否运行在同一个Node中,都要求它们可以直接通过对方的IP进行访问。由于Kubernetes的网络模型假设Pod之间访问时使用的是对方Pod的实际地址,所以一个Pod内部的应用程序看到的自己的IP地址和端口与集群内其他Pod看到的一样。
Kubernetes 网络模型
weixin_60197334的博客
03-15 1069
通过这两天的学习,大概理解了 k8s 网络模型的整体结构,对容器和容器的通信、pod 到 pod的通信、pod 到服务之间的通信过程有了基本的了解,知道了通信过程中需要哪些工具、组件,怎样工作完成的通信。同时对集群外部通信的三种方式:NodePort、Load Balancer 和 Ingress原理也有了基本了解,知道请求数据进入集群后的发送过程是怎样的,用到了哪些工具、组件,通信的过程是怎样的,每种方式的优缺点是什么。
Kubernetes中的PodIP、ClusterIP和EXTERNAL-IP
u的博客
12-08 2038
Pod IP Kubernetes的最小部署单元是Pod。利用Flannel作为不同HOST之间容器互通技术时,由Flannel和etcd维护了一张节点间的路由表。Flannel的设计目的就是为集群中的所有节点重新规划IP地址的使用规则,从而使得不同节点上的容器能够获得“同属一个内网”且”不重复的”IP地址,并让属于不同节点上的容器能够直接通过内网IP通信。 每个Pod启动时,会自动创建一个镜像为gcr.io/google_containers/pause:0.8.0的容器,容器内部与外部的通信经由此容
Kubernetes网络模型
昨日晨曦的博客
05-03 1183
由于在企业中部署私有云的场景会更普遍,所以在私有云中运行Kubernetes + Docker集群之前,就需要自己搭建符合Kubernetes要求的网络环境。现在的开源世界里,有很多开源组件可以帮助我们打通Docker容器和容器之间的网络,实现Kubernetes要求的网络模型。当然每种方案都有自己适合的场景,我们要根据自己的实际需要进行选择。
k8s网络相关知识点
09-21
### 回答1: Kubernetes 的网络系统是由多个组件组成的, 它们协作为应用程序提供网络连接和通信. 其中一些主要的组件包括: - kube-proxy: 运行在每个节点上, 负责为 Pod 和 Service 提供代理服务. - kube-dns: 为应用程序提供 DNS 服务. - 网络插件: 用于为 Pod 提供网络连接, 支持不同的网络模型, 如 Calico, Flannel, Cilium 等. - Service: 为应用程序提供负载均衡和服务发现. Kubernetes 的网络模型是基于 Pod 的, 每个 Pod 都有一个独立的 IP 地址, 使得容器间直接通信成为可能. Service 则提供了一种发现和负载均衡的机制, 让外部客户端可以访问 Pod. ### 回答2: Kubernetes(K8s)是一个开源的容器编排平台,用于自动化部署、扩展和管理容器化应用程序。下面是一些与K8s网络相关的知识点。 1. 服务发现:K8s通过DNS(域名系统)服务提供内部服务发现机制。每个服务都会被分配一个唯一的域名,其他服务可以通过该域名访问该服务。 2. Pod网络:Pod是K8s中的最小调度单元,它可以包含一个或多个容器。每个Pod都有一个唯一的IP地址,容器可以通过本地回环地址访问其他Pod中的容器。 3. 容器网络接口(CNI):CNI是一个规范,用于定义容器网络的实现方式。K8s使用CNI插件来设置和管理Pod的网络。不同的CNI插件可以支持不同的网络方案,如VLAN、VXLAN、Calico等。 4. 服务代理:K8s使用服务代理来实现服务之间的通信。服务代理可以在集群各个节点上运行,并通过负载均衡来分发到后端Pod。 5. 网络策略:K8s允许用户通过网络策略来定义集群中的网络访问规则。网络策略可以限制哪些Pod可以与另一个Pod通信,以及允许的协议和端口。 6. Ingress控制器:Ingress控制器是K8s中用于管理入站网络流量的组件。它可以将外部流量路由到集群内部的服务,并提供负载均衡和SSL终止等功能。 7. 可插拔网络解决方案:K8s提供了一些可插拔的网络解决方案,如Flannel、Calico等。这些解决方案可以根据具体需求选择,以提供不同的网络拓扑结构和性能。 总而言之,K8s网络相关的知识点包括服务发现、Pod网络、CNI、服务代理、网络策略、Ingress控制器和可插拔网络解决方案。这些知识点帮助我们理解和管理K8s集群中的网络配置和通信。 ### 回答3: Kubernetes(简称k8s)是一种用于容器编排和管理的开源平台,它涉及到一些重要的网络概念和组件。 首先,k8s网络模型是基于虚拟网络的概念。每个k8s集群中的容器都会被分配一个独立的IP地址,并且可以通过这个IP地址跨节点进行通信。这是通过一个称为kube-proxy的组件实现的,它会在每个节点上监听API服务器上的变化,并使用iptables或者IPVS等工具在宿主机上进行流量转发。 其次,k8s通过Service和Endpoint来暴露和访问容器。Service是一个逻辑概念,用于封装一组具有相同功能的容器,在集群内部提供服务的访问入口。一个Service可以通过ClusterIP、NodePort或者LoadBalancer等不同的类型暴露。而Endpoint是实际运行容器的IP和端口的集合,用于告诉Service流量应该转发到哪里。 此外,k8s还支持Ingress资源,用于在集群外部暴露服务,实现外部访问。Ingress通过定义一个或多个规则,将外部流量转发到不同的Service上,从而实现域名或路径的复杂路由。 最后,网络插件是k8s网络中的重要组件。k8s提供了一些默认的网络插件,如Flannel、Calico等,用于管理Pod之间的网络通信。网络插件负责创建网络的子网和路由表,并将Pod的IP地址与宿主机的虚拟网卡进行关联。 总结来说,k8s网络涉及到虚拟网络、kube-proxy、Service、Endpoint、Ingress等概念和组件,这些都是为了实现容器间的通信和外部访问的需求。不同的网络插件可以根据具体需求选择,以满足集群的网络需求。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值