kube-proxy中iptables与ipvs对比整理

最新推荐文章于 2024-06-04 15:53:44 发布
最新推荐文章于 2024-06-04 15:53:44 发布
阅读量3.9k 收藏 13
点赞数 1
分类专栏: K8S与容器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_16240085/article/details/100083878
版权

kube-proxy中iptables与ipvs对比整理


参考:
https://blog.csdn.net/fanren224/article/details/86548398
https://kubernetes.io/docs/concepts/services-networking/service/

前言

kubectl–> API server --> etcd,每个节点的kube-proxy负责监听API server中service和endpoint的变化情况。将变化信息写入本地userspace、iptables、ipvs来实现service负载均衡,使用NAT将vip流量转至endpoint中。
这里仅对iptables和ipvs说明,userspace模式因为可靠性和性能(频繁切换内核/用户空间)早已经淘汰,所有的客户端请求svc,先经过iptables,然后再经过kube-proxy到pod,所以性能很差。

ipvs和iptables都是基于netfilter的,他们的差别为:
ipvs 为大型集群提供了更好的可扩展性和性能
ipvs 支持比 iptables 更复杂的复制均衡算法(最小负载、最少连接、加权等等)
ipvs 支持服务器健康检查和连接重试等功能

一、Iptables模式

在这种模式下,kube-proxy监视API Server中service和endpoint的变化情况。对于每个service,它都安装iptables规则,这些规则捕获到service的clusterIP和port的流量,并将这些流量随机重定向到service后端Pod。对于每个endpoint对象,它安装选择后端Pod的iptables规则。
如果选择的第一个Pod没有响应,kube-proxy将检测到到第一个Pod的连接失败,并将自动重试另一个后端Pod。

拓补图:
在这里插入图片描述
缺陷:
iptables 因为它纯粹是为防火墙而设计的,并且基于内核规则列表,集群数量越多性能越差。
一个例子是,在5000节点集群中使用 NodePort 服务,如果我们有2000个服务并且每个服务有10个 pod,这将在每个工作节点上至少产生20000个 iptable 记录,这可能使内核非常繁忙。

示例:
iptables原理分析参考: https://blog.csdn.net/u011563903/article/details/86692694

二、IPVS模式(NAT模式)

在这种模式下,kube-proxy监听API Server中service和endpoint的变化情况,调用netlink接口创建相应的ipvs规则,并定期将ipvs规则与Kubernetes服 Services和Endpoints同步。保证IPVS状态。当访问Services时,IPVS将流量定向到后端pod之一。
IPVS代理模式基于netfilter hook函数,该函数类似于iptables模式,但使用hash表作为底层数据结构,在内核空间中工作。这意味着IPVS模式下的kube-proxy使用更低的重定向流量。其同步规则的效率和网络吞吐量也更高。

拓补图:
在这里插入图片描述

说明:
ipvs依赖iptables进行包过滤、SNAT、masquared(伪装)。 使用 ipset 来存储需要 DROP 或 masquared 的流量的源或目标地址,以确保 iptables 规则的数量是恒定的,这样我们就不需要关心我们有多少服务了

示例:
kube-proxy原理分析参考:https://www.jianshu.com/p/89f126b241db

qq_道可道
关注
  • 1
    点赞
  • 13
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
kubernetes 使用cilium 网络插件 替换kube-proxy
02-10
Kubernetes环境,传统的服务发现和网络代理方案是通过kube-proxy来实现的,它提供了iptablesipvs等不同的工作模式。然而,随着云原生应用的发展,对网络性能、安全性和可观测性的需求日益增强,这催生了Cilium...
kube-router:Kube-router,Kubernetes网络的交钥匙解决方案
02-02
启用所有功能后,kube-router是典型的Kubernetes集群使用的几个网络组件的精简而强大的替代方案。 所有这些都来自单个DaemonSet / Binary。 这并没有变得容易。 基于IPVS / LVS的服务代理| --run-service-proxy ...
iptables ipset详解
zhangjikuan的专栏
05-29 1万+
iptables iptables [-t 表名] 命令选项 [链名] [条件匹配] [-j 目标动作或跳转] -t 表名 可以省略,指定规则存放在哪个表,默认为filter表 用于存放相同功能的规则 filter表: 负责过滤功能能, nat表: 网络地址转换功能 mangle表: 拆解报文 做出修改并重新封装的功能 raw表: 关闭nat表上启用的连接追踪机制 命令选项 -A 在...
linux查看日志过滤ip,linux 防火墙: 从 iptablesipset 的过滤ip | 求索阁
weixin_28818643的博客
05-01 456
iptables简介iptables,可以将规则组成一个列表,实现绝对详细的访问控制功能工作在用户空间,定义规则的工具,本身并不算是防火墙。它们定义的规则,可以让在内核空间当的netfilter来读取,并且实现让防火墙工作。而放入内核的地方必须要是特定的位置,必须是tcp/ip的协议栈经过的地方。而这个tcp/ip协议栈必须经过的地方,可以实现读取规则的地方就叫做 netfilter.(网...
kube-proxy 使用ipvsiptables的比较
最新发布
小楼一夜听春雨,深巷明朝卖杏花
06-04 2496
这种模式同样有效,IPVS 的设计就是用来为大量服务进行负载均衡的,它有一套优化过的 API,使用优化的查找算法,而不是简单的从列表查找规则。这意味着,与 iptables 模式下的 kube-proxy 相比,IPVS 模式下的 kube-proxy 重定向通信的延迟要短,并且在同步代理规则时具有更好的性能。kube-proxy 使用的是一种 O(n) 算法,其的 n 随集群规模同步增长,所以这里的集群规模越大,更明确的说就是服务和后端 Pod 的数量越大,查询的时间就会越长。
K8S教程:kube-proxy服务代理模式ipvsiptables的异同?
学亮编程手记
11-05 343
iptables 是一个通用的 Linux 防火墙工具,通过在内核空间的 iptables 规则链上进行流量转发和处理。而 iptables 的性能可能会受到规则数量和链的复杂度的影响。可用性:IPVS 模式在某些 Linux 发行版可能需要额外的内核模块支持,而 iptables 是 Linux 内核的一部分,所以在大多数情况下都可以直接使用。支持的协议:IPVS 支持 TCP、UDP 和 SCTP 协议的负载均衡,而 iptables 通常用于处理 IP 层和 TCP/UDP 层的防火墙规则。
看过最详细的Kube-proxyiptables模式原理详解
热门推荐
zhangxiangui40542的专栏
03-08 2万+
Kubernetes如何利用iptables 原文地址 Linux内置的防火墙可以对IP数据包做一系列如过滤、更改、转发这样的操作,防火墙在对数据包做过滤决定时,有一套遵循的规则,这些规则存储在专用的数据包过滤表(table),而这些表集成在Linux 内核。在数据包过滤表,规则被分组放在我们所谓的链(chain)。 我们通常说的iptables就是指Linux内置的防火墙,它实际上...
kube-proxy使用ipvsiptables的比较
linus.lin的博客
10-24 6989
Iptables模式 kube-proxy 就可以通过 Service 的 Informer 感知到API Serverservice和endpoint的变化情况。而作为对这个事件的响应,它就会在宿主机上创建这样一条 iptables 规则(你可以通过 iptables-save 看到它)。这些规则捕获到service的clusterIP和port的流量,并将这些流量随机重定向到service后端Pod。对于每个endpoint对象,它生成选择后端Pod的iptables规则。 如果选择的第一个Pod没有
my-kube-proxy:用户空间
03-26
2. **网络规则维护**:它根据 API 服务器的 Service 和 Endpoints 对象来配置网络规则,比如 iptables 规则或 IPVS 规则,使得网络流量能够正确路由到目标 Pod。 3. **负载均衡**:kube-proxy 提供基于 IP 地址的...
kubernetes-node-linux-amd64.tar.gz
03-27
6. **安装并启动kube-proxy**:kube-proxyKubernetes网络的重要组成部分,它通过iptablesIPVS在Node上实现服务代理,确保Pods间的网络通信。 7. **验证安装**:通过kubectl命令,检查节点是否已成功加入集群,...
2+3+4、Kubernetes 集群安装+Kubernetes 资源清单+Deployment 控制器-V4.pdf
10-11
kube-proxy 开启 ipvs 的前置条件是指在安装 Kubernetes 之前,需要安装 ipvs 软件,以便于 kube-proxy 的正常工作。 安装 Docker 软件 安装 Docker 软件是指安装 Docker 软件,以便于 Kubernetes 组件的正常工作...
kube-proxy模式之iptables
Blue summer的博客
09-18 2105
注:本文基于K8S v1.21.2版本编写 1 默认模式 2 关于iptables 3 针对一个特定服务分析数据流
K8S kube-proxy- iptable模式实现原理分析
阿磊的博客
11-30 1698
每台机器上都运行一个kube-proxy服务,它监听api-server 和endpoint变化情况,维护service和pod之间的一对多的关系,通过iptable或者ipvs为服务提供负载均衡的能力。通常kube-proxy作为deemonset运行在各种节点kube-proxy 常支持以下二种: 1)iptablesiptable模式是目前的默认模式,可以看成是userspace模式的升级版,它将请求的代理转发规则全部写入iptable,砍掉了kube-proxy转发的部分。整...
【博客522】kube-proxyiptablesipvs模式性能对比与分析
qq_43684922的博客
10-16 1077
iptables 是一个 Linux 内核功能,旨在成为一种高效的防火墙,具有足够的灵活性来处理各种常见的数据包操作和过滤需求。它允许将灵活的规则序列附加到内核数据包处理管道的各种钩子上。在 iptables 模式下,kube-proxy 将规则附加到“NAT 预路由”钩子以实现其 NAT 和负载平衡功能。
K8Siptablesipvs区别
ss810540895的博客
10-11 896
同样基于Netfilter,但是ipvs采用的hash表,iptables采用一条条的规则列表。在这种模式下,kube-proxy监听API Serverservice和endpoint的变化情况,调用netlink接口创建相应的ipvs规则,并定期将ipvs规则与Kubernetes服 Services和Endpoints同步。对于每个service,它都生成相应的iptables规则,这些规则捕获到service的clusterIP和port的流量,并将这些流量随机重定向到service后端Pod。
云原生|kubernetes|集群网络优化之启用ipvs
zsk_john的技术分享专用博客
09-26 1939
ipvs也称之为lvs,以往写过一个简单的lvs服务实现,我的博客内写的应该还算详细。那么,它的优点是哪些呢?
iptablesipvs的异同
Q先生
12-14 994
Kubernetes 1.29 新版将抛弃 iptables那么我们就来聊一下iptablesipvs的异同iptablesipvs都是Linux系统用于网络流量控制和管理的工具,但它们在实现方式、功能和性能上有所不同。本文将对iptablesipvs进行比较,以帮助读者更好地了解它们之间的区别
ipvsiptables区别
lbzrl的博客
04-13 500
1)实现方式:iptables是基于Netfilter框架的网络过滤工具,它使用链表(chain)和规则(rule)来处理网络数据包。2)功能:iptables主要用于实现网络地址转换(NAT)、端口转发(forwarding)、流量过滤等功能,而ipvs主要用于实现负载均衡(load balancing)和服务器健康检查(health check)。4)使用场景:iptables更适合用于防火墙、NAT和端口转发等场景,而ipvs更适合用于负载均衡和服务器集群管理。
kube-proxy开启ipvs代替iptables
Reboot的博客
09-10 9947
kubernetes1.8版本开始,新增了kube-proxyipvs的支持,并且在新版的kubernetes1.11版本被纳入了GA。 iptables模式问题不好定位,规则多了性能会显著下降,甚至会出现规则丢失的情况;相比而言,ipvs就稳定的多。 这里使用的kubernetes版本为1.10.3,可以参考https://blog.csdn.net/shihao99/article/...
kube-proxyipvs负载有何区别
03-31
kube-proxyipvs都是Kubernetes集群用于负载均衡的组件,但它们有以下区别: 1. 实现方式不同:kube-proxy是一个基于iptables的代理,而ipvs则是一个基于内核的负载均衡器。 2. 性能表现不同:ipvs相对于kube-proxy在性能上更高效,因为它是基于内核实现的,可以利用内核的高性能进行负载均衡。 3. 支持的协议不同:kube-proxy可以支持TCP和UDP协议,而ipvs支持更多的协议,包括TCP、UDP、SCTP等。 4. 配置方式不同:kube-proxy的配置是通过kubeconfig文件或命令行参数进行的,而ipvs的配置是通过修改内核参数或使用ipvsadm工具进行的。 5. 支持的负载均衡算法不同:kube-proxy支持的负载均衡算法有RoundRobin、Random和SessionAffinity,而ipvs支持的算法包括RR、WRR、LC、WLC、DH、SH等。 综上所述,ipvs相对于kube-proxy在性能和功能上更加强大,但配置和使用也更为复杂。在实际应用,需要根据具体情况进行选择。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值