企业入门实战--k8s之vxlan 、calico、 ingress实现七层负载均衡

最新推荐文章于 2023-05-05 10:39:27 发布
最新推荐文章于 2023-05-05 10:39:27 发布
阅读量861 收藏 4
点赞数
分类专栏: 企业入门实战 文章标签: calico k8s 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_57117763/article/details/119222914
版权

企业入门实战--k8s之vxlan 、calico、 ingress实现七层负载均衡

Flannel vxlan

DR模式实现

flannel支持多种后端,包括
vxlan默认报文封装模式,适用于跨网段通信
Directrouting直连路由模式,适用于同网段通信。表现为host-gw,主机网关,性能好,但只能在二层网络中,不支持跨网。

flannel 会缓存所有节点的mac地址
两个eth0 如何知道对方的ip:桥接数据库

kubectl -n kube-system get cm
 kubectl -n kube-system get pod
kubectl -n kube-system edit cm kube-flannel-cfg ## 编辑文件

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

calico网络插件替换flannel

server1
打标签 上传至harbor仓库

docker load -i calico-v3.19.1.tar
docker images |grep calico |awk '{system("docker push "$1":"$2"")

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
server2

修改yaml资源清单,使得镜像拉取本地harbor仓库。(需要修改全部的image路径)
在这里插入图片描述
删除之前的网络插件flannel

kubectl delete -f kube-flannel.yml

在这里插入图片描述
必要步骤:删除所有k8s节点的插件配置缓存文件
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
拉起插件,等待初始化

kubectl apply -f calico.yaml

在这里插入图片描述
在这里插入图片描述
初始化完毕后查看节点

kubectl get pod -n kube-system

在这里插入图片描述

calico支持的网络策略-访问控制

限制访问指定服务:

apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: deny-nginx
spec:
  podSelector:
    matchLabels:
      app: nginx

允许指定pod访问服务:

kind: NetworkPolicy
apiVersion: networking.k8s.io/v1
metadata:
  name: access-nginx
spec:
  podSelector:
    matchLabels:
      app: nginx
  ingress:
  - from:
      - podSelector:
          matchLabels:
            app: demo

禁止 namespace 中所有 Pod 之间的相互访问:

apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: default-deny
  namespace: default
spec:
  podSelector: {}

禁止其他 namespace 访问服务:

kind: NetworkPolicy
apiVersion: networking.k8s.io/v1
metadata:
  name: deny-namespace
spec:
  podSelector:
    matchLabels:
  ingress:
  - from:
    - podSelector: {}

只允许指定namespace访问服务:

kind: NetworkPolicy
apiVersion: networking.k8s.io/v1
metadata:
  name: access-namespace
spec:
  podSelector:
    matchLabels:
      app: myapp
  ingress:
  - from:
    - namespaceSelector:
        matchLabels:
          role: prod

允许外网访问:

kind: NetworkPolicy
apiVersion: networking.k8s.io/v1
metadata:
  name: web-allow-external
spec:
  podSelector:
    matchLabels:
      app: web
  ingress:
  - ports:
    - port: 80
    from: []

Ingress-nginx七层负载均衡实现

安装Ingress

,harbor仓库中新建项目ingress-nginx,压入镜像到harbor仓库
在这里插入图片描述

docker tag reg.westos.org/ingress-nginx/controller:v0.48.1 hyl.westos.org/ingress-nginx/controller:v0.48.1
docker tag reg.westos.org/ingress-nginx/kube-webhook-certgen:v1.5.1 hyl.westos.org/ingress-nginx/kube-webhook-certgen:v1.5.1
docker push hyl.westos.org/ingress-nginx/controller:v0.48.1
docker push hyl.westos.org/ingress-nginx/kube-webhook-certgen:v1.5.1

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
官网下载ingress-nginx部署所需资源清单,修改镜像get地址为本地harbor仓库
在这里插入图片描述
拉起pod节点,kubectl apply -f deploy.yaml
在这里插入图片描述
查看生成的namespace状态

kubectl get ns

在这里插入图片描述
查看ingress-nginx的所有信息,可以看到ingress-nginx-controller已经running

kubectl -n ingress-nginx get all

在这里插入图片描述
查看svc暴露端口

kubectl -n ingress-nginx get svc

在这里插入图片描述
访问测试:
在这里插入图片描述
配置ingress-nginx七层均衡
添加svc服务
vim svc.yaml

apiVersion: v1
kind: Service
metadata:
  name: mysvc
spec:
  ports:
  - protocol: TCP
    port: 80
    targetPort: 80
  selector:
    app: myapp

拉起服务并查看endpoint

在这里插入图片描述
修改svc配置文件为负载均衡
kubectl -n ingress-nginx edit svc ingress-nginx-controller
在这里插入图片描述

kubectl -n ingress-nginx get svc

在这里插入图片描述
vim deployment.yaml

apiVersion: apps/v1
kind: Deployment
metadata:
  name: nginx-deployment
  labels:
    app: nginx
spec:
  replicas: 3
  selector:
    matchLabels:
      app: nginx
  template:
    metadata:
      labels:
        app: nginx
    spec:
      containers:
      - name: nginx
        image: myapp:v2

拉起deployment,通过标签来锁定域名
在这里插入图片描述
为标签为nginx的deployment添加服务
vim svc.yaml


apiVersion: v1
kind: Service
metadata:
name: myapp-svc
spec:
ports:
- protocol: TCP
port: 80
targetPort: 80
selector:
app: myapp
---
apiVersion: v1
kind: Service
metadata:
name: nginx-svc
spec:
ports:
kubectl apply -f deployment.yaml
kubectl apply -f svc.yaml
kubectl -n ingress-nginx get all
kubectl get ns
测试:
curl www1.westos.org/hostname.html
curl www2.westos.org/hostname.html
- protocol: TCP
port: 80
targetPort: 80
selector:
app: nginx

查看svc信息
在这里插入图片描述
查看节点endpoint服务是否健康

kubectl describe svc myapp-svc
kubectl describe svc nginx-svc

在这里插入图片描述
在这里插入图片描述
配置服务与ingress连接,并给定域名
vim ingress.yaml

apiVersion: networking.k8s.io/v1beta1
kind: Ingress
metadata:
  name: ingress-nginx
spec:
  rules:
  - host: www1.westos.org
    http:
      paths:
      - path: /
        backend:
          serviceName: nginx-svc
          servicePort: 80

---
apiVersion: networking.k8s.io/v1beta1
kind: Ingress
metadata:
  name: ingress-myapp
spec:
  rules:
  - host: www2.westos.org
    http:
      paths:
      - path: /
        backend:
          serviceName: myapp-svc
          servicePort: 80

拉起资源清单

kubectl apply -f ingress.yaml

在这里插入图片描述
查看ingress反向代理信息

kubectl get ingress

在这里插入图片描述
测试:
测试机添加解析到服务节点172.25.5.10

172.25.5.10  www1.westos.org  www2.westos.org

访问测试

curl www1.westos.org
curl www2.westos.org

在这里插入图片描述

鱼子酱048
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
HCIE-DC之VxLAN技术
03-27
HCIE-DC之VxLAN技术,VXLAN技术原理,封装方式,组网方式等。
详解 Calico 三种模式(与 Fannel 网络对比学习)
热门推荐
叮当猫的喵i
08-04 1万+
之后「源 VTEP 设备」 —— 会将此「 Vxlan 数据包」进行「UDP封装」,其中「 Vxlan 数据包」会视为「UDP数据包的基础数据信息」通过「目的 Pod IP」—— 得知「目的 VTEP 设备的 MAC 地址」 —— 「源 VTEP 设备」根据得到的信息构建 Vxlan 数据包。”二层“通信 —— 指的是,需要维护「MAC 地址级别的信息」,即「虚拟IP」与「MAC 地址」的映射关系。之后此封装好的「UDP数据包」,将会通过三层网络,到达目的容器所在的主机的「目的VTEP设备」......
kubernetes(k8s)—calico网络插件、Ingress服务
xy_的博客
07-06 1298
1.calico网络插件 在做三层解决方案时,calico是行业界的大哥,flannel只负责网络通信,而不提供网络策略,而calico即支持网络通信,也支持网络策略。 calico里有一些镜像,为了方便节点下载,我们先提前下载这些镜像,并上传到私有仓库中。 vim calico.yaml ##编辑calico文件 这种方式和flannel的host-gw是类似的。 前面我们将ipip给关闭了,这里我们将其打开来测试一下。 vim calico.yaml
calico vxlan interface down,导致 calico-node 无法添加路由
qq_44397993的博客
07-13 1066
关于calico vxlan模式下,无法正常下发路由
flannel使用的vxlancalico使用的IPIP对比
lingshengxiyou的博客
03-21 834
从上面的报文可以看出vxlan报文比原始报文多出了50个字节,包括8个字节的vxlan协议相关部分,8个字节的UDP头部,20个字节的IP头部和14个字节的MAC头部。
calico 两种报文传输路径的分析】
weixin_42130912的博客
05-05 315
容器网络、calico
Kubernetes(k8s)集群部署七、k8s网络通信+service扩展ingress(TLS,认证,地址重写)calico网络插件(允许指定pod访问服务,禁止其他namespace访问服务)
ninimino的博客
03-03 1058
k8s网络通信k8s网络通信1.容器间通信2.pod之间的通信2.1同一节点的pod2.2不同节点的pod之间的通信flannel网络原理flannel支持多种后端:3.pod和service通信4.pod和外网通信5.Service与集群外部客户端的通信ingress创建ingress服务:Ingress TLS 配置Ingress 认证配置(认证之前做好加密)Ingress地址重写calico网络插件:能够解决策略 k8s网络通信 k8s通过CNI接口接入其他插件来实现网络通讯。目前比较流行的插件有fl
k8s 网络之Calico
tuonian的博客
05-11 1571
Calico 是一种容器之间互通的网络方案。 在虚拟化平台,比如OpenStack、Docker等,都需要实现workloads之间的互连,同时也需要对容器做隔离控制。就像云服务器的安全组,只开放特定的端口,白名单之类的,需要提供隔离和管控机制。 在多数的虚拟化平台实现中,通常都是用二层隔离技术来实现容器的网络,这些二层的技术有一些弊端,比如需要依赖VLAN,bridge或者隧道技术,其中bridge带来了复杂性,VLAN隔离和tunnel隧道则消耗更多的资源,并对物理环境有要求,随着网...
kubernets网络插件calico overlay IPIP和Vxlan模式的简单分析
weixin_42130912的博客
04-28 1253
跨节点两个pod互ping对相应的包进行详细拆解:外层为宿主机ip,内层为podip内层报文协议:实际ping包协议 icmp外层报文协议:ipip前12个字节为两个mac头:第22-23字节为source的宿主机地址,24-25为dest 宿主机地址;第48-49字节为source的pod地址,50.51为dest pod地址;25-48中间22个字节为协议实现
vxlan 简单理解 vs calico 网络模型
weixin_30929195的博客
10-20 804
1.vxlan(virtual Extensible LAN)虚拟可扩展局域网,是一种overlay的网络技术,使用MAC in UDP的方法进 行封装,共50字节的封装报文头。 2.VTEP为虚拟机的数据包加上了层包头,这些新的报头之有在数据到达目的VTEP后才会被去掉。 3.由于VXLAN的数据包在整个转发过程中保持了内部数据的完整,因此VXLAN的数据平面是一个基于隧道 的数据平面。...
vagrant-juno-linuxbridge-vxlan-vlan
06-18
使用 Vagrant 部署 OpenStack Juno(Linux-Bridge + VXLAN)特征三个节点(控制器、网络、计算)- Ubuntu 14.04 带有 VXLAN 和 VLAN 租户网络的 Linux-Bridge 适用于 VMware Fusion 或 VirtualBox 网络节点包括...
HCIE-Datacom VXLAN LAB手册
03-14
HCIE-Datacom VXLAN LAB手册
HCIE-Datacom VxLAN集中式网关部署学习笔记
03-14
VxLAN:虚拟扩展vlan 问题: 1、vlan不够,不能适应租户的要求2、数据中心的架构技术演进1) xSTP 1.5)TRILL---大二层(没有标准化)2)堆叠 3)M-LAG 4) vd (VxLAN)
华三H3C-VXLAN配置-扫盲必看
最新发布
04-03
H3C-VXLAN,H3设备的基础配置,详细介绍了 华三VXLAN的概念,配置指导,配置案例,以及使用场景,适合数据中心SDN虚拟化以及小型局域网整网设计应用的技术,其中里面有一部分扫盲配置,并带有相关基础配置,包括...
解决calico-vxlan模式下服务之间无法正常访问问题
qq_44397993的博客
04-13 3714
目前在一套上云的环境中k8s用的是calicovxlan模式,可 以支持跨vpc的访问,但是在部署服务过程中发现服务之间无法互相访问,无论是通过域名/svc ip还是pod ip,只有访问自身是没有问题的如下图: 因为我们集群的kube-proxy用的是iptables模式,第一个想到的就是查看下iptables的防火墙规则,看看路由转发到对应访问的服务主机上没有,查看了下也有相对应的路由规则,检查主机防火墙也是关着的。 接下来开始查看calico,记得当时部署的时候calico的ippool
K8s网络】安装Calico系统要求
qq_43753286的博客
07-09 1612
K8s网络】安装Calico系统要求,主要包括【K8s网络】安装Calico系统要求使用实例、应用技巧、基本知识点总结和需要注意事项,具有一定的参考价值,需要的朋友可以参考一下。x86-64、arm64、ppc64le 或 s390x 处理器具有 Linux 内核 3.10 或更高版本 所需依赖项的 。 以下发行版具有所需的内核及其依赖项,并且是 已知与 Calico 和 Kubernetes 配合良好。Calico 必须能够管理主机上的cali接口。 当 IPIP 是 启用(默认),Calico 也需要
kubernetes 网络之 flannel 与 calico
03-16
Kubernetes是Google开源的一个容器编排引擎,它支持自动化部署、大规模可伸缩、应用容器化管理。在生产环境中部署一个应用程序时,通常要部署该应用的多个实例以便对应用请求进行负载均衡。在Kubernetes中,我们可以创建多个容器,每个容器里面运行一个应用实例,然后通过内置的负载均衡策略,实现对这一组应用实例的管理、发现、访问,而这些细节都不需要运维人员去进行复杂的手工配置和处理。 K8s网络在kubernetes的管理中是不可或缺的部分,本套课程主要围绕目前主流的flannel和calico两个网络组件进行讲解。还深入的剖析了calicok8s网络策略等。主要讲解K8S网络的以下几个方面:  1. Flannel网络在k8s中的应用,及三种后端模式的演示。  2. Calico网络在k8s中的架构及部署。  3. Calico各选项的调整及对网络性能的优化。  4. Calico网络策略和K8s网络策略的常见用法及案例。  5. Calico网络策略的高级使用场景,比如限制到k8s节点的流量及高并发流量的旁路等。  6. Flannel网络的迁移及和calico策略的集成。注意: 本课程学习需要具有一定的Linux基础,网络基础,至少需要您了解网络七层协议,路由等基础知识,并掌握Docker和k8s相关知识点。
Kubernetes5——通信、flannel、calicoingress
qwejiaji的博客
07-30 1027
目录一、k8s通信二、flannel网络三、calico1、calico安装与部署2、calico网络策略四、ingress服务 一、k8s通信 k8s通过CNI接口接入其他插件来实现网络通讯。目前比较流行的插件有flannel,calico等 CNI插件存放位置:# cat /etc/cni/net.d/10-flannel.conflist 插件使用的解决方案: 虚拟网桥,虚拟网卡,多个容器共用一个虚拟网卡进行通信。 多路复用:MacVLAN,多个容器共用一个物理网卡进行通信。 硬件交换:SR-LOV
Calico 介绍、原理与使用
qq_24794401的博客
05-08 4562
什么是 CalicoCalico是一套开源的网络和网络安全方案,用于容器、虚拟机、宿主机之前的网络连接,可以用在kubernetes、OpenShift、DockerEE、Open...
华为二层Vxlan和三层Vxlan,配置说明
07-15
华为二层Vxlan和三层Vxlan是两种不同的虚拟化技术,用于在数据中心网络中实现虚拟隧道的功能。它们有不同的配置要求和使用场景。 1. 二层Vxlan配置说明: 二层Vxlan(Virtual Extensible LAN)是在二层以太网基础上实现虚拟化隧道的技术。它将数据包封装在UDP报文中,通过隧道传输,在底层网络中实现逻辑网络的扩展。 配置步骤如下: - 创建Vxlan实例:创建一个Vxlan实例,并指定相应的ID和名称。 - 配置隧道接口:指定Vxlan实例与底层物理网络的连接接口,并配置相应的IP地址。 - 配置Vxlan隧道:指定Vxlan实例的隧道属性,包括远程VTEP(Vxlan Tunnel Endpoint)的IP地址和VNI(Virtual Network Identifier)等。 - 配置Vxlan转发:将需要通过Vxlan隧道转发的流量指向相应的Vxlan实例。 2. 三层Vxlan配置说明: 三层Vxlan(Virtual Extensible LAN)是在三层IP网络基础上实现虚拟化隧道的技术。它将数据包封装在UDP报文中,通过隧道传输,在底层网络中实现逻辑网络的扩展。 配置步骤如下: - 创建Vxlan实例:创建一个Vxlan实例,并指定相应的ID和名称。 - 配置隧道接口:指定Vxlan实例与底层物理网络的连接接口,并配置相应的IP地址。 - 配置Vxlan隧道:指定Vxlan实例的隧道属性,包括远程VTEP(Vxlan Tunnel Endpoint)的IP地址和VNI(Virtual Network Identifier)等。 - 配置三层转发:在底层网络中配置路由,将需要通过Vxlan隧道转发的流量指向相应的Vxlan实例。 需要注意的是,二层Vxlan适用于在数据中心内部扩展二层网络,而三层Vxlan适用于在不同数据中心之间扩展三层网络。配置时需要根据具体的网络拓扑和需求来选择适合的Vxlan技术。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值