CNI 网络分析 3.2 Flannel host-gw

已于 2023-02-23 22:44:18 修改
阅读量343 收藏 1
点赞数
分类专栏: CNI 从零开始 文章标签: 网络 CNI
于 2023-02-06 00:33:37 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/mr1jie/article/details/128895329
版权

文章目录

Flannel host-gw

理清和观测网络流量

环境

在这里插入图片描述

在这里插入图片描述

流量分析

同 node 不同 pod 之间

pod1 <-> pod2
在这里插入图片描述
抓包依次在 vethe6089662,cni0,veth78d63c78 都可以看到源 ip,mac 为 pod1 ,目的 ip ,mac 为 pod2 的 ip,且报文五元组没有变化。

00:26:08.926441 4a:cd:ef:ab:d2:e4 > ea:f8:8d:38:8c:f4, ethertype IPv4 (0x0800), length 98: 10.244.0.5 > 10.244.0.6: ICMP echo request, id 58976, seq 289, length 64
00:26:08.926493 ea:f8:8d:38:8c:f4 > 4a:cd:ef:ab:d2:e4, ethertype IPv4 (0x0800), length 98: 10.244.0.6 > 10.244.0.5: ICMP echo reply, id 58976, seq 289, length 64

不同 node 上 pod 之间

pod1 <-> pod3
抓包分别在 veth,cni0,ens10;node112 ens10,cni0,veth 抓到报文
在 veth,cni0 源 mac 是 pod1 mac,目的 mac 是 cni0 的 mac,cni0 有网关 ip。

00:57:09.100769 4a:cd:ef:ab:d2:e4 > 3e:c4:72:de:ef:fc, ethertype IPv4 (0x0800), length 98: 10.244.0.5 > 10.244.1.18: ICMP echo request, id 25006, seq 30, length 64
00:57:09.101403 3e:c4:72:de:ef:fc > 4a:cd:ef:ab:d2:e4, ethertype IPv4 (0x0800), length 98: 10.244.1.18 > 10.244.0.5: ICMP echo reply, id 25006, seq 30, length 64

在 ens10 上 源 mac 是 本节点 ens10 mac,目的 mac 是对端节点 ens10 的 mac

00:57:19.124440 52:54:00:c2:e7:0e > 52:54:00:f1:ec:b8, ethertype IPv4 (0x0800), length 98: 10.244.0.5 > 10.244.1.18: ICMP echo request, id 25006, seq 40, length 64
00:57:19.132212 52:54:00:f1:ec:b8 > 52:54:00:c2:e7:0e, ethertype IPv4 (0x0800), length 98: 10.244.1.18 > 10.244.0.5: ICMP echo reply, id 25006, seq 40, length 64

流量到达 cni0 时,匹配路由表 10.244.1.0/24 via 192.168.100.112 dev ens10 ,到10.244.1.18 的流量从 ens10 发出,且网关是 192.168.100.112。

Node 到其他 node 上的 pod

node111 <-> pod3
抓包在 node111 上 ens10,在 node112 ens10 抓到报文

01:17:14.398436 52:54:00:c2:e7:0e > 52:54:00:f1:ec:b8, ethertype IPv4 (0x0800), length 98: 192.168.100.111 > 10.244.1.18: ICMP echo request, id 4893, seq 19, length 64
01:17:14.399235 52:54:00:f1:ec:b8 > 52:54:00:c2:e7:0e, ethertype IPv4 (0x0800), length 98: 10.244.1.18 > 192.168.100.111: ICMP echo reply, id 4893, seq 19, length 64

在 node112 veth

01:17:25.590859 4a:67:29:6e:6a:e8 > e6:c5:20:8a:ad:a0, ethertype IPv4 (0x0800), length 98: 192.168.100.111 > 10.244.1.18: ICMP echo request, id 4893, seq 30, length 64
01:17:25.590947 e6:c5:20:8a:ad:a0 > 4a:67:29:6e:6a:e8, ethertype IPv4 (0x0800), length 98: 10.244.1.18 > 192.168.100.111: ICMP echo reply, id 4893, seq 30, length 64

node111 发起到 10.244.1.18 的 request 匹配路由表 10.244.1.0/24 via 192.168.100.112 dev ens10,源 ip 为 node111 ens10 ip,网关是 192.168.100.112,从 ens10 发出。

# kubectl get svc
nginx-service   NodePort    10.97.40.43   <none>        8080:30080/TCP   3d14h

# kubectl get endpoints
nginx-service   10.244.0.6:80,10.244.1.18:80   46h

Pod 访问 service clusterIP

在该种组网中,pod 访问 service,如果后端和 pod 在同一节点上(同一网段),则会不通,原因是 pod 访问 svc ip dnat 成 endpoint ip,但 endpoint ip 和 pod id 在同一网段,则直接回复,pod 收到的是 endpoint 的 ip,不是 svc 的 ip(没有 snat)。所以访问失败。
通常需要更改 kube-proxy 配置,将 masqueradeAll 设置为 true,这样 endpoint 时报文 snat 成 bridge 的 ip(即网关 ip),然后 回复给网关,再做地址转换为 svc ip 返回。
pod2 netns 内抓包

00:59:50.272087 3e:c4:72:de:ef:fc > ea:f8:8d:38:8c:f4, ethertype IPv4 (0x0800), length 74: 10.244.0.1.56465 > 10.244.0.6.http: Flags [S], seq 2798923111, win 65495, options [mss 65495,sackOK,TS val 142498968 ecr 0,nop,wscale 7], length 0
00:59:50.272120 ea:f8:8d:38:8c:f4 > 3e:c4:72:de:ef:fc, ethertype IPv4 (0x0800), length 74: 10.244.0.6.http > 10.244.0.1.56465: Flags [S.], seq 877639235, ack 2798923112, win 65160, options [mss 1460,sackOK,TS val 1783025537 ecr 142498968,nop,wscale 7], length 0

pod1 netns 内抓包

01:06:04.294475 4a:cd:ef:ab:d2:e4 > 3e:c4:72:de:ef:fc, ethertype IPv4 (0x0800), length 74: 10.244.0.5.60530 > 10.97.40.43.webcache: Flags [S], seq 2893464217, win 64240, options [mss 1460,sackOK,TS val 1338698913 ecr 0,nop,wscale 7], length 0
01:06:04.299262 3e:c4:72:de:ef:fc > 4a:cd:ef:ab:d2:e4, ethertype IPv4 (0x0800), length 74: 10.97.40.43.webcache > 10.244.0.5.60530: Flags [S.], seq 167067484, ack 2893464218, win 65160, options [mss 1460,sackOK,TS val 1676037596 ecr 1338698913,nop,wscale 7], length 0

如果转换为 pod3 endpoint ip
pod3 抓包
未开启 masqueradeAll
收到源地址为 pod1 的 ip

01:10:30.935315 4a:67:29:6e:6a:e8 > e6:c5:20:8a:ad:a0, ethertype IPv4 (0x0800), length 74: 10.244.0.5.46922 > 10.244.1.18.http: Flags [S], seq 1408226702, win 64240, options [mss 1460,sackOK,TS val 1338965560 ecr 0,nop,wscale 7], length 0
01:10:30.935444 e6:c5:20:8a:ad:a0 > 4a:67:29:6e:6a:e8, ethertype IPv4 (0x0800), length 74: 10.244.1.18.http > 10.244.0.5.46922: Flags [S.], seq 903084461, ack 1408226703, win 65160, options [mss 1460,sackOK,TS val 3416518735 ecr 1338965560,nop,wscale 7], length 0

开启 masqueradeAll
收到源地址为 node111 的 数据网卡 ip

01:08:14.224106 4a:67:29:6e:6a:e8 > e6:c5:20:8a:ad:a0, ethertype IPv4 (0x0800), length 74: 192.168.100.111.27776 > 10.244.1.18.http: Flags [S], seq 1589463928, win 64240, options [mss 1460,sackOK,TS val 1338828846 ecr 0,nop,wscale 7], length 0
01:08:14.224181 e6:c5:20:8a:ad:a0 > 4a:67:29:6e:6a:e8, ethertype IPv4 (0x0800), length 74: 10.244.1.18.http > 192.168.100.111.27776: Flags [S.], seq 4010889874, ack 1589463929, win 65160, options [mss 1460,sackOK,TS val 1676167528 ecr 1338828846,nop,wscale 7], length 0

Node 访问 service clusterIP

node111 直接 curl svc
在 pod2 netns 抓包
先 ipvs + ipset dnat 后,根据路由,从 cni0 用 cni0 的 ip 进行访问。

16:04:27.364671 3e:c4:72:de:ef:fc > ea:f8:8d:38:8c:f4, ethertype IPv4 (0x0800), length 74: 10.244.0.1.25397 > 10.244.0.6.http: Flags [S], seq 2466363544, win 65495, options [mss 65495,sackOK,TS val 196776061 ecr 0,nop,wscale 7], length 0
16:04:27.364719 ea:f8:8d:38:8c:f4 > 3e:c4:72:de:ef:fc, ethertype IPv4 (0x0800), length 74: 10.244.0.6.http > 10.244.0.1.25397: Flags [S.], seq 957695108, ack 2466363545, win 65160, options [mss 1460,sackOK,TS val 1837302629 ecr 196776061,nop,wscale 7], length 0

在 pod3 netns 抓包
先 ipvs + ipset dnat 后,根据路由 10.244.1.0/24 via 192.168.100.112 dev ens10,从 ens10 用 ens10 的 ip 进行访问。

16:06:00.470891 4a:67:29:6e:6a:e8 > e6:c5:20:8a:ad:a0, ethertype IPv4 (0x0800), length 74: 192.168.100.111.8805 > 10.244.1.18.http: Flags [S], seq 2461366502, win 65495, options [mss 65495,sackOK,TS val 196869175 ecr 0,nop,wscale 7], length 0
16:06:00.471047 e6:c5:20:8a:ad:a0 > 4a:67:29:6e:6a:e8, ethertype IPv4 (0x0800), length 74: 10.244.1.18.http > 192.168.100.111.8805: Flags [S.], seq 3668497900, ack 2461366503, win 65160, options [mss 1460,sackOK,TS val 1730033775 ecr 196869175,nop,wscale 7], length 0

外部访问 service NodePort,且 backend pod 在当前节点

访问 node111:30080
在 node111 网卡抓包

16:20:28.829876 ac:7e:8a:6c:41:c4 > 52:54:00:ba:dc:62, ethertype IPv4 (0x0800), length 74: 172.20.150.110.35662 > 172.18.22.111.30080: Flags [S], seq 3415939106, win 64240, options [mss 1460,sackOK,TS val 1380747195 ecr 0,nop,wscale 7], length 0
16:20:28.830114 52:54:00:ba:dc:62 > ac:7e:8a:6c:41:c4, ethertype IPv4 (0x0800), length 74: 172.18.22.111.30080 > 172.20.150.110.35662: Flags [S.], seq 3478177905, ack 3415939107, win 65160, options [mss 1460,sackOK,TS val 1838264095 ecr 1380747195,nop,wscale 7], length 0

在 pod2 netns 抓包
流量进到机器内做 masquerade 和 Node 访问 service clusterIP 一样

16:18:42.881908 3e:c4:72:de:ef:fc > ea:f8:8d:38:8c:f4, ethertype IPv4 (0x0800), length 74: 10.244.0.1.43601 > 10.244.0.6.http: Flags [S], seq 2936641286, win 64240, options [mss 1460,sackOK,TS val 1380641225 ecr 0,nop,wscale 7], length 0
16:18:42.881988 ea:f8:8d:38:8c:f4 > 3e:c4:72:de:ef:fc, ethertype IPv4 (0x0800), length 74: 10.244.0.6.http > 10.244.0.1.43601: Flags [S.], seq 1236494118, ack 2936641287, win 65160, options [mss 1460,sackOK,TS val 1838158146 ecr 1380641225,nop,wscale 7], length 0

外部访问 service NodePort,且 backend pod 不在当前节点

访问 node111:30080
在 pod3 netns 抓包

16:19:48.265489 4a:67:29:6e:6a:e8 > e6:c5:20:8a:ad:a0, ethertype IPv4 (0x0800), length 74: 192.168.100.111.34095 > 10.244.1.18.http: Flags [S], seq 2140428405, win 64240, options [mss 1460,sackOK,TS val 1380706638 ecr 0,nop,wscale 7], length 0
16:19:48.265579 e6:c5:20:8a:ad:a0 > 4a:67:29:6e:6a:e8, ethertype IPv4 (0x0800), length 74: 10.244.1.18.http > 192.168.100.111.34095: Flags [S.], seq 1160199023, ack 2140428406, win 65160, options [mss 1460,sackOK,TS val 1730861570 ecr 1380706638,nop,wscale 7], length 0

Flannel 没有 networkPolicy

junjie xu
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Kubernetes网络flannelhost-gw模式分析
柠檬园看护人
01-19 1697
Kubernetes的Flannel host-gw模式下报文流转分析
cni-plugins-amd64-v0.7.4.tgz
04-15
下载 cni-plugins-amd64-v0.7.5.tgz - CSDN下载 网上很多帖子介绍k8s手动安装过程,但是大多数资源都被墙了,下载不下来,所以将k8s 1.14.2安装所需的所有资源都打包。
【kubernetes】集群网络(二):Flannel的VxLanHost-GW模式
追寻梦想的青春
02-01 971
Flannel作为k8s中广泛使用的网络插件,它的实现相对容易理解,它还提供了不同的模式,常用的是VxLanHost-GW,由于Host-GW要求宿主机在同一个网段,使用受限,因此,最常用的还是VxLan
Kubernetes FlannelHOST-GW模式
小楼一夜听春雨,深巷明朝卖杏花
07-26 1814
host-gw模式相比vxlan简单了许多,直接添加路由,将目的主机当做网关,直接路由原始封包没有隧道这一说了,它们之间就是通过原始的数据包进行封装的。当你设置flannel使用host-gw模式,flanneld会在宿主机上创建节点的路由表目的IP地址属于10.244.1.0/24网段的IP包,应该经过本机的eth0设备发出去(即deveth0);并且,它下一跳地址是192.168.31.63(即host-gw模式下的通信过程如下图所示。......
如何使用 flannel host-gw backend?- 每天5分钟玩转 Docker 容器技术(62)
weixin_34185512的博客
09-01 133
2019独角兽企业重金招聘Python工程师标准>>> ...
CNCF CNI系列之四:flannel host-gw模式工作原理浅析
cloudvtech的博客
04-05 8811
一、前言flannel作为一个container互联解决方案,不仅提供基于封装类型的互联技术,也提供基于路由技术的互联技术,比如host-gw模式。host-gw模式通过建立主机IP到主机上对应flannel子网的mapping,以直接路由的方式联通flannel的各个子网。这种互联方式没有vxlan等封装方式带来的负担,通过路由机制,实现flannel网络数据包在主机之间的转发。但是这种方式也有...
K8s 配置网络插件flannel
热门推荐
Jesse技术博客
09-17 1万+
配置网络插件flannel docker:     bridge:容器的默认网络     joined:使用别的容器的网络空间     open:容器直接共享宿主机的网络空间     none:不使用网络空间 Kubernetes网络通信:     容器间通信:同一个Pod内的多个容器间的通信     Pod通信:Pod IP &lt;==&gt; Pod IP     Pod与Service...
CNI plugins v0.8.6,k8s安装flannel等插件下载
03-15
tar zxvf cni-plugins-linux-amd64-v0.8.6.tgz -C /opt/cni/bin 部署CNI网络: wget https://raw.githubusercontent.com/coreos/flannel/master/Documentation/kube-flannel.yml sed -i -r "s#quay.io/coreos/...
cni-plugins-linux-amd64-v0.8.6.tgz(CNI插件下载)
07-07
Kubelet 通过这个标准的 API 来调用不同的网络插件以实现不同的网络配置方式,实现了这个接口的就是 CNI 插件,它实现了一系列的 CNI API 接口。常见的 CNI 插件包括 Calico、flannel、Terway、Weave Net 以及 ...
Kubernetes部署CNI网络插件
04-18
部署CNI网络插件
containerd-cni-1.6.6-linux-amd64.tar.gz 包
08-11
执行如下命令下载最新...wget https://download.fastgit.org/containerd/containerd/releases/download/v1.6.6/cri-containerd-cni-1.6.6-linux-amd64.tar.gz --no-check-certificate ``` 下载不了,可以使用这个
Linux下的实时网络流量监控工具 – iftop
weixin_34267123的博客
06-10 121
iftop是一款Linux下的实时网络流量监控工具,可以在以类unix为操作系统的服务器或VPS上安装使用,主要用来显示本机网络流量情况及各相互通信的流量集合,如单独同那台机器间的流量大小,非常适合于代理服务器和iptables服务器使用   从Centos EPEL Repo安装: yum install iftop 或者编译安装: 第一步: 安装libpcap ...
Wireshark TS | 应用传输丢包问题
7ACE的博客
06-09 730
Wireshark TS | 应用传输丢包问题
计算机网络(6) ICMP协议
qq_42761215的博客
06-14 397
ICMP是网络通信中不可或缺的协议,虽然不传输用户数据,但在网络管理和诊断中起着重要作用。理解ICMP及其各种消息类型对于网络管理员和工程师来说是至关重要的,它有助于维护网络的正常运行和性能优化。
网络安全技术实验一 信息收集和漏洞扫描
zzzfff__的博客
06-09 981
了解信息搜集和漏洞扫描的一般步骤,利用Nmap等工具进行信息搜集并进行综合分析;掌握TCP全连接扫描、TCP SYN扫描的原理,利用Scapy编写网络应用程序,开发端口扫描功能模块;使用漏洞扫描工具发现漏洞并进行渗透测试。
工业网关在智能制造中的具体应用和效果-天拓四方
最新发布
2401_84969963的博客
06-14 465
通过对数据的处理和分析,我们可以获得设备的运行状态、生产效率、故障预警等信息,为企业提供决策支持和优化建议。未来,随着技术的不断进步和应用场景的拓展,工业网关将在智能制造领域发挥更加重要的作用,为企业创造更多的价值。网关设备通过有线或无线方式与生产设备进行连接,实时收集设备的运行状态、生产数据等信息,并将数据通过安全可靠的通信协议传输至企业的数据中心或云平台。通过工业网关的应用,企业实现了对生产设备的实时监控和数据分析,能够及时发现并解决设备故障和生产瓶颈,提高生产效率。
cs61C | lecture4
DaphneOdera17的博客
06-10 668
## Stack在最顶部,向下增长。包含局部变量和 function frame information。栈指针(SP, Stack Pointer) 告诉我们最低(当前)stack frame 在哪里。当进程结束时,SP 会移动回之前的位置,但是数据会保留(现在变成 garbage)。```ca(0);return 1;b(1);c(2);d(4);```!!以下错误代码:```cint y;y = 3;return &y;/* 3 *//*?*/
网络编程之XDP技术应用
fpcc的专栏
06-10 824
在上文中介绍了XDP技术,XDP技术的基本原理已经明白,但有一个问题,一个技术如何落地,如何在实际中应用?这就需要有一个承载其的具体的形式。举一个例子,网络编程一般使用Socket方式,那么能不能够在这种方式里使用XDP技术呢?答案是肯定的。 Linux在内核中提供了AF_XDP套接字编程,这就意味着,大部分的编程方式仍然可以以原来的套接字编程为主。这样的好处显而易见,对开发者和维护者来说,都是相对要容易理解和支持。AF_XDP类似于AF_NET(TCP/IP等)等一样,是一个协议族,大家有没有记得在TCP
智能驾驶时代:车联网需要怎样的智能网络底座?
syscloud123的博客
06-11 940
2024年,智能驾驶市场火热,无论是造车新势力还是老牌车企纷纷发力智能驾驶,他们深知,新能源汽车的下半场已到,再不发力智能驾驶,可能真的有些来不及了。车企不断加码单车智能的同时,政府也在稳步的推进车路协同。智能驾驶领域一直处在新技术广泛应用和验证的前沿,让我们一起探索智能驾驶的发展将给我们带来哪些启示。2024年年初,工业和信息化部、公安部等5部门印发,提出智能网联汽车“车路云一体化”协同发展的系列政策举措。
multus-cni网络cni插件源码分析
05-09
接着,multus-cni 调用下层 CNI 插件(比如 flannel、calico、ovs 等)完成网络接口的创建和配置;最后,multus-cni 继续执行其他 CNI 插件(比如 ipvlan、macvlan、bridge 等)完成其他网络接口的创建和配置。 ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值