kube-router文档中文翻译三 运行原理

已于 2024-03-04 16:05:30 修改
阅读量35 收藏
点赞数
文章标签: 云原生 k8s 运维
于 2024-02-29 13:45:41 首次发布
原文链接:https://github.com/cloudnativelabs/kube-router/blob/master/docs/how-it-works.md
版权

运行原理

Kube-router 可作为代理或 Pod(通过 DaemonSet)在每个节点上运行,并利用标准 Linux 技术iptables、ipvs/lvs、ipset、iproute2

服务代理和负载平衡

博客: 使用 IPVS/LVS 的 Kubernetes 网络服务代理

Kube-router 使用 Linux 内置的 IPVS/LVS 技术提供 L4 负载平衡。每个ClusterIPNodePortLoadBalancer的Kubernetes服务类型都配置为 IPVS 虚拟服务。每个服务端点
配置为关联虚拟服务的真实服务器。标准的ipvsadm工具可用于验证配置和监控活动连接。

以下是 Kubernetes 上服务的示例集:

svc.jpg

以及服务的端点:

ep.jpg

以及它们如何通过 kube-router 映射到 IPVS:

ipvs1.jpg

Kube-router 会观察 Kubernetes API 服务器,以获取关于服务/端点的更新,并自动同步 IPVS 配置,以反映服务的预期状态。服务的理想状态。Kube-router 使用 IPVS 伪装模式,目前使用
轮循调度。保持源 pod IP,以便应用适当的网络策略。

Pod 入口防火墙

博客: 利用iptables执行Kubernetes网络策略

Kube-router 通过使用 iptables、ipset 和 conntrack 提供了 Kubernetes 网络策略的实现。命名空间中的所有使用DefaultDeny入口隔离策略的Pod都会被禁止访问。只有匹配了白名单策略才允许到达这些 Pod。以下filter表中的一组 iptables 规则和链用于实现网络策略语义。

节点上运行的每个 Pod 默认情况下入口都被阻止,这些 Pod 将在防火墙表的 FORWARD 和 OUTPUT 链中匹配,流量被发送给链上特定的 pod
添加以下规则以匹配各种情况

  • 通过本地网桥在同一节点上的 Pod 之间切换的流量
  • 在不同节点上的 Pod 之间路由的流量
  • 来自 Pod 的流量,通过服务代理并被
    路由到同一节点上的 其他Pod(前后端分离的应用或者访问数据库)

forward.png

每个 Pod 专用防火墙链都有阻止流量的默认规则。添加规则到网络策略特定策略链,以跳转流量。规则仅涵盖适用于目标 pod ip 的策略。添加规则的目的是接受已建立的流量,以允许返回流量。

podfw.png

每个策略链都有通过源和目的 ipset 表达的规则。与网络策略规范中的入口规则相匹配的 Pod 集构成源 Pod ip ipset。与网络策略规范中 pod 选择器(针对目的地 Pod)相匹配的 Pod 集形成目的地 Pod ip ipset。

policyfw.png

最后这些组成网络规则的 ipsets被创建以用于特定的网络策略链。

ipset.jpg

Kube-router 会实时关注 Kubernetes API 服务器中的名称空间、网络策略和 pod 的变化,并动态更新 iptables 和 ipset配置,以反映pod 所需的入口防火墙状态。

Pod 网络

博客: 使用 BGP 的 Kubernetes pod 网络连接及其他

每个节点都要运行Kube-router。节点的子网可从节点上的 CNI 配置文件或通过 Node.PodCidr 获取。每个节点上的 kube-router 实例都充当 BGP 路由器,并广播节点的CIDR 。每个节点都与群集中的其他节点对等形成完整网格。从其他节点(BGP对等体)学习到的路由注入本地节点路由表。在数据路径上,节点间Pod 之间的通信由节点上的路由堆栈完成。

niufw_qb
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
k8s系列05-使用containerd和cilium部署kubeproxy-free的k8s集群
tinychen
05-24 1181
本文主要在centos7系统上基于containerd和stable版本(1.11.4)的cilium组件部署v1.24.0版本的k8s原生集群,由于集群主要用于自己平时学习和测试使用,加上资源有限,暂不涉及高可用部署。 此外,由于cilium已经实现了对kube-proxy的一整套替代方案,这里部署k8s集群的时候会使用cilium的kubeproxy-free方案。 此前写的一些关于k8s基础知识和集群搭建的一些方案,有需要的同学可以看一下。 1、准备工作 1.1 集群信息 机器均为8C8G的虚拟机,硬
kube-haproxy-router
04-28
已淘汰该存储库的内容位于该存储库中kube-haproxy-router 更换nginx以避免kube-proxy到达吊舱。 Internet-> Nginx -> iptables (VIP) -> kube-proxy -> go LB -> flannel -> docker bridge -> pod/s 和Internet -> ...
kube-routerKube-routerKubernetes网络的交钥匙解决方案
02-02
Kube-routerKubernetes网络的交钥匙解决方案,旨在提供操作简便性和高性能。 主要特征 kube-router可以完成所有工作。 启用所有功能后,kube-router是典型的Kubernetes集群中使用的几个网络组件的精简而强大的替代方案。 所有这些都来自单个DaemonSet / Binary。 这并没有变得容易。 基于IPVS / LVS的服务代理| --run-service-proxy kube-router使用Linux内核的LVS / IPVS功能来实现其K8s服务代理。 Kube-router充分利用关闭LVS / IPVS的电源来提供丰富的和独特的功能,例如DSR(直接服务器返回),具有ECMP的L3负载平衡,以用于对高吞吐量,最小延迟和高可用性至关重要的部署。 阅读有关IPVS在容器负载平衡方面的优势的更多信息: Pod联网| --run-router 借助BGP协议和GoBGP Go库,kube-router通过直接路由有效地处理Pod网络。 它使用本地Kubernetes API维护分布式Pod网络状态。 这意味着不依赖要在群集中维护
k8s使用kube-router构建高可用可扩展ingress
mark's technic world
02-11 1152
简介 kube-router是一个新的k8s的网络插件,使用lvs做服务的代理及负载均衡,使用iptables来做网络的隔离策略。部署简单,只需要在每个节点部署一个daemonset即可,高性能,易维护。支持pod间通信,以及服务的代理。 安装 # 本次实验重新创建了集群,使用之前测试其他网络插件的集群环境没有成功 # 可能是由于环境干扰,实验时需要注意 # 创建kube-router目...
K8S系列】深入解析k8s网络插件—Calico
颜淡慕潇
07-20 2万+
Calico是一个强大的开源容器网络和网络安全解决方案,广泛应用于Kubernetes集群和其他容器编排平台。 它通过利用BGP(Border Gateway Protocol)协议和Linux网络命名空间来实现高性能的容器间通信和网络策略控制。
kubernetes 网络
qq_41619571的博客
09-25 658
一个为Kubernetes提供叠加网络的网络插件, 它基于Linux TUN/TAP,用 UDP 封装IP报文来创建叠加网络,并借助etcd维护网络的分配情况。Pod的IP是集群可见的,即集群中的任何其他Pod和节点都可以通过IP直接与Pod通信,这种通信不需要借助任何的网络地址转换、隧道或代理技术。CNI 的插件模型支持不同组织和公司开发的第方插件,这对运维人员来说很有吸引力,可以灵活选择适合的网络方案。由Flannel 和 caco 联合发布的一个统一网络插件,提供CNI 网络插件,并支持网络策略。
K8S系列】深入解析k8s 网络插件—kube-router
热门推荐
颜淡慕潇
10-10 3万+
kube-router是一个高性能、可扩展的Kubernetes网络插件,适用于大规模和安全敏感的生产环境。虽然它的配置和部署可能有一定的复杂性,但它提供了出色的性能和自动化特性,可以大大简化Kubernetes集群的网络管理。在选择网络插件时,考虑到您的集群规模和性能需求,kube-router可能是一个非常好的选择。
浅析 Kubernetes Kube-Proxy 组件 IPVS 模式工作原理及常用故障排查指南
easylife206的专栏
11-04 567
公众号关注「奇妙的 Linux 世界」设为「星标」,每天带你玩转 Linux !❝本文转自 Yoaz 的博客,原文:https://lqingcloud.cn/post/kube-proxy-02/,版权归原作者所有。在 iptables 工作模式下,iptables 中 KUBE-SEP-XXX 链上规则和 Pod 数量成正比,当集群规模增大(10000 个 Pod 以上)时每个 k8s 节...
KubeEdge入门到精通-KubeEdge v1.3部署指南!
隔壁老瓦的专栏
10-21 8053
KubeEdge是一个开源系统,可将本机容器化的业务流程和设备管理扩展到Edge上的主机。它基于Kubernetes构建,并为网络,应用程序部署以及云与边缘之间的元数据同步提供核心基础架构支持。它还支持MQTT,并允许开发人员编写自定义逻辑并在Edge上启用资源受限的设备通信。KubeEdge由云部分和边缘部分组成,边缘和云部分现已开源,本文将基于Centos8.0系统对KugeEdge进行编译与部署。 一、系统配置 1.1 集群环境 主机名 角色 IP 工作负载 ke-clo.
【谷粒商城 - k8s、devOps专栏】
cl24的博客
11-27 2653
谷粒商城
Kube-routerKubernetes网络的交钥匙解决方案。-Golang开发
05-26
Kube-routerKubernetes网络的交钥匙解决方案,旨在提供操作简便性和高性能。 主要功能kube-router可以完成所有操作。 启用所有功能后,kube-router便成为精益工具Kube-routerKubernetes网络的交钥匙解决方案,...
kube-proxy-temp-1.16.8.yaml
10-09
aws-kube-proxy1.16.8版本示例文件
kube-flannel.yml
06-30
kubectl apply -f kube-flannel.yml
kubernetes网络插件-flannel篇
weixin_38320674的博客
07-07 5850
微信公众号搜索 DevOps和k8s全栈技术 ,即可关注,也可扫描文章最后的二维码关注公众号,每天会分享技术文章供大家参考阅读哈~docker的四种网络类型(1)bridge:这是Doc...
云原生Kubernetes----PersistentVolume(PV)与PersistentVolumeClaim(PVC)详解
hy199707的博客
05-29 1215
Kubernetes(K8s)中,持久化存储是一个至关重要的概念,它确保了在Pod重启或迁移时数据不会丢失。为了实现这一目标,Kubernetes引入了PersistentVolume(PV)和PersistentVolumeClaim(PVC)这两个资源对象。本文将详细介绍PV和PVC的概念、工作原理以及它们之间的交互方式。
云原生架构案例分析_1.某旅行公司云原生改造
最新发布
huaqianzkh的专栏
06-02 370
随着云计算的普及与云原生的广泛应用,越来越多的从业者、决策者清晰地认识到“云原生化将成为企业技术创新的关键要素,也是完成企业数字化转型的最短路径因此,具有前瞻思维的互联网企业从应用诞生之初就扎根于云端,谨慎稳重的新零售、政府、金融、医疗等领域的企业与机构也逐渐将业务应用迁移上云,深度使用云原生技术与云原生架构。面对架构设计、开发方式到部署运维等不同业务场景,基于云原生架构的应用通常针对云的技术特性进行技术生命周期设计,最大限度利用云平台的弹性、分布式、自助、按需等产品优势。
学习整理 docker
wonder_dog的博客
05-31 204
nexus。
操作系统 - 输入/输出(I/O)管理
qq_56815564的博客
05-27 1001
1、设备的分类I/O设备是指**可以将数据输入计算机的外部设备,或者可以接收计算机输出数据的外部设备**按信息交换的单位分类块设备。信息交换以**数据块为单位,如磁盘、磁带等磁盘设备的基本特征是传输速率较高、可寻址,即对它可随机地读/写任意一块**字符设备。信息交换以**字符为单位,如交互式终端机、打印机等它们的基本特征是传输速率低、不可寻址,并且时常采用中断I/O方式**按设备的传输速率分类低速设备。传输速率仅为每秒几字节到数百字节,如键盘、鼠标等中速设备。
k8s的ns空间kube-system、kube-public、kube-node-lease的作用、
07-14
Kubernetes中有几个特殊的命名空间(Namespace),包括kube-system、kube-public和kube-node-lease。它们各自有不同的作用和功能。 1. kube-system命名空间: - kube-system是Kubernetes的系统命名空间,用于存储...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值