7 Kubernetes容器网络

最新推荐文章于 2023-08-17 17:14:07 发布
最新推荐文章于 2023-08-17 17:14:07 发布
阅读量233 收藏
点赞数
分类专栏: 云平台
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_28893679/article/details/119085213
版权

1、容器网络
linux容器能看见的网络栈,实际上被隔离在它自己的network namespace中。网络栈包含了网卡、回环设备、路由表和iptables规则。

作为一个容器,可以声明直接使用宿主机的网络栈。即:但是,在大多数情况下,我们希望容器进程使用自己network namespace的网络栈。拥有自己的Ip地址和端口
在这里插入图片描述

那么,这个被隔离的容器进程,如何和其他的network namespace里的容器进程进行交互呢?

2、docker容器通信的原理
linux中,能够起到虚拟交换机作用的网络设备,是网桥。根据mac地址学习来将数据包转发到网桥的不同端口

docker项目会默认在宿主机上创建一个名为docker0的网桥,凡是连接docker0网桥上的容器,都可以通过它来进行通信。那么如何把容器连接到docker0网桥上呢?

使用到了一个名为veth pair的虚拟设备:这个设备被创建出来后,总是以两张虚拟网卡veth peer的形式成对出现的,而且其中一个网卡发出的数据包,可以直接出现在它对于的另一张网卡上。哪怕这两个网卡在不同netwok namespace的网线。

看一下例子:
假如有一个nginx容器,查看网络设备:容器里面有一个eth0的网卡,它就是一个veth pair设备在容器里的这一端,而使用route查看容器的路由表,eth0网卡是这个容器的默认路由设备,意味着所有172.17.0.0/16网段的请求,也会被交给eth0来处理。
在这里插入图片描述
在这里插入图片描述
接下来看宿主机上的信息,如下所示:下面就是一个vethxxx的虚拟网卡,然后通过brctl show,可以看到这张网卡被插到了docker0上。
在这里插入图片描述

那么此时如果到宿主机上启动另一个nginx的容器,然后再查看,就会发现名为vethb4xxx的虚拟网卡也插到了docker0网桥上。
在这里插入图片描述
然后此时在第一个容器里面,ping第二个容器的ip地址,发现是通的。

原理:
1、当在nginx1容器里面访问nginx2容器的ip地址的时候,这个目的ip地址会匹配上nginx1容器里面的第二条路由规则,因为172.17.0.0表示的是172.17.0.1-172.17.0.255这个范围的所有地址哈!!而这条路由规则的网关是0.0.0.0,意味着这是一条直连规则,即:凡是匹配到这条规则的ip包,应该经过本机的eth0网卡,通过二层网络直接发往目的主机。(假如nginx2的Ip地址是172.17.0.3)

2、此时就需要拿到172.17.0.3这个ip地址对应的mac地址,所以nginx1容器通过eth0网卡发送一个arp广播,来通过ip地址找到对应的mac地址,而eth0网卡是一个veth pair,它的一段是nginx1容器的network namespace,另一端在宿主机,并且被插到了宿主机的docker0网桥上,一旦一张虚拟网卡被插到网桥上,就变成了该网桥的从设备,用来接收流入的数据包,然后转发给网桥。

3、此时nginx1容器发出的数据会被转发到docker0网桥,然后又广播转发到所有插到docker0上的虚拟网卡上,这样同样连接在docker0的nginx2容器的网络协议栈就能接收到这个arp请求,然后返回这个容器的mac地址了。

4、有了mac地址以后,Nginx1容器就可以发送数据了。
在这里插入图片描述

通信的流程图如下所示:
回顾:
1、宿主机上的docker0是网桥,凡是连接在docker0网桥上的容器,都可以通过它来进行通信
2、然后Veth Pair的作用:能以两张虚拟网卡的形式在不同的network namespace中出现。如下所示,nginx1容器里的veth pair一段就是172.17.0.2,而另一端是宿主机上的veth9c02e56,这意味着容器可以和宿主机虚拟网卡通信
3、而veth pair的虚拟网卡是插在宿主机上的docker0网桥上的,且两个容器的veth pair的虚拟网卡的另一端是插入到了docker0网桥上,相当于两个容器之间就联通了,所以就可以通信了

总而言之,在默认情况下,被限制在network namespace里的容器进程,实际上是通过veth pair设备+宿主机网桥的方式,实现了跟其他容器的数据交换。!!!厉害吖!
在这里插入图片描述
而当你在一台宿主机上,访问该宿主机上的容器的Ip地址是,也是先到底docker0网桥,然后转到对应的veth pair设备,如下所示
在这里插入图片描述

当一个容器视图连接到另外一个宿主机,如下所示:
在这里插入图片描述

所以,当你遇到容器联不通外网的时候,都应该先试试docker0网桥能不能Ping通,然后查看一下跟docker0和veth pair设备相关的iptables规则是不是有异常。!!!

那如果另外一台宿主机上,也有一个docker容器,那么nginx01要如何访问呢?这就是跨主通信问题。
在docker的默认配置下,一台宿主机的docker0网桥和另一台宿主机上的网桥自然不同联通,那要怎么办呢?
可以通过软件的方式,创建一个集群公用的网桥。然后把集群里面所有的容器都连接到这个网桥上。!!!厉害
架构图如下所示:
在这里插入图片描述
在已有的宿主机网络上,再通过软件构建一个覆盖在已有宿主机网络之上的,可以把所有容器联通在一起的虚拟网络,就成为覆盖网络。

当 Node 1 上的 Container 1 要访问 Node 2 上的 Container 3 的时候,Node 1 上
的“特殊网桥”在收到数据包之后,能够通过某种方式,把数据包发送到正确的宿主机,比
如 Node 2 上。而 Node 2 上的“特殊网桥”在收到数据包后,也能够通过某种方式,把
数据包转发给正确的容器,比如 Container 3。

3、容器跨主机网络
例子:
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

在这里插入图片描述
在这里插入图片描述
5、k8s的CNI网络插件

在这里插入图片描述

6、k8s的三层网络方案
在这里插入图片描述

古月的三个锦囊
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
k8s容器通信-flannel网络.docx
04-09
flannel,k8s的网络模型,为k8s集群内的容器提供网络服务的组件。 主要作用: 为集群内所有容器提供一个扁平化的网络环境,即:所有容器在flannel提供的网络平面上可以看作是在同一网段,自由通信。其模型为全部的容器使用一个network,然后在每个host上从network中划分一个子网subnet。为host上的容器创建网络时,从subnet中划分一个ip给容器。这样就大大提高了容器之间工作效率,不用考虑IP转换问题。
Kubernetes 容器网络
果汁华的博客
02-04 1103
Linux 容器能看见的“网络栈”,实际上是被隔离在它自己的 Network Namespace 当中的。 而所谓“网络栈”,就包括了:网卡(Network Interface)、回环设备(Loopback Device)、路由表(Routing Table)和 iptables 规则。对于一个进程来说,这些要素,其实就构成了它发起和响应网络请求的基本环境。 需要指出的是,作为一个容器,它可以声明直接使用宿主机网络栈(–net=host),即:不开启 Network Namespace,比..
Docker容器网络-实现篇
民工哥的博客
09-30 577
点击上方“民工哥技术之路”,选择“设为星标”回复“1024”获取独家整理的学习资料!前面介绍了:Docker容器网络-基础篇前文说到容器网络对Linux虚拟化技术的依赖,这一篇章我们将一...
k8s查看pod所对应的网卡
ss810540895的博客
08-17 1243
登录k8s-node02节点,执行route -n|grep “172.27.14.193”网络原理这里不详细描述,这里主要进行calico查看veth pair。这里以nginx-test-795d659f45-k7gn5为例。查看到pod ip为172.27.14.193,在。登录pod所在节点,找到网卡序号为7的网卡。在执行 ip 查看网卡及状态。-node02节点上。方法二,进入容器查看。
kubectl常用命令
m0_54357014的博客
12-28 2169
kubectl常用命令
6. Kubernetes容器网络1
08-03
Kubernetes环境中,容器网络是实现服务之间通信的关键部分。Kubernetes使用了一种抽象的网络模型,使得每个Pod(Pod包含一个或多个容器)都像是一个独立的网络节点,拥有自己的IP地址,并且可以在集群内无缝通信。...
7. Kubernetes容器持久化存储1
08-03
Kubernetes(k8s)集群中,容器的持久化存储是确保数据在容器或Pod重启后仍能保留的关键技术。传统的本地存储如emptyDir和hostPath虽然简单易用,但它们不能提供跨节点的持久性,这在需要长期保存数据的场景下显得...
多租户Kubernetes容器网络方案.pdf
10-11
【多租户Kubernetes容器网络方案】是一种针对Kubernetes集群的高级网络架构设计,旨在为不同租户提供安全、隔离的网络环境。Kubernetes作为现代云原生应用的基石,其核心目标是实现应用程序的自动化部署、扩展和管理...
Kubernetes网络插件flannel配置文件
04-20
Kubernetes网络插件flannel配置文件
kubernetes网络插件-calico
最新发布
01-12
Kubernetes生态系统中,网络插件负责为Pods(应用容器)提供网络连接,确保服务间的通信以及与外部世界的交互。Calico以其高效、灵活和强大的网络策略而闻名,被广泛应用于大规模的容器化环境中。 Calico的核心...
Kubernetes容器集群管理系统调研与对比
01-20
2. **集群管理**:Kubernetes 支持跨机器的容器集群,通过Kubelet组件管理Pods(容器的逻辑分组)和容器,而Kube-proxy则在节点之间提供网络代理和负载均衡。 3. **自我修复**:Kubernetes 具备自我修复机制,能够...
CentOS7实战Kubernetes部署
03-01
上一节我们阐述了Kubernetes的系统架构,让大家对Kubernetes有一定的初步了解,但是就...演示Kubernetes管理容器1.VMwareWorkstation:10.0.32.VMwareWorkstation网络模式:NAT3.操作系统信息:CentOS764位4.OpenvSwitc
kubernetes-flannel网络插件
01-12
Flannel 是 CNI (Container Network Interface) 插件的一种,CNI 是 Kubernetes 容器网络的标准接口,允许不同的网络策略和解决方案得以集成。 **一、Flannel 的工作原理** Flannel 的主要任务是分配一个全局唯一...
安装 kubernetes 网络组件-Calico
06-18
Calico 提供了容器网络接口(CNI),遵循 Kubernetes 网络模型,即每个 Pod 都有一个独立的 IP 地址,并可以直接通过 IP 进行通信。Calico 使用 BGP(边界网关协议)来传播 Pod 的 IP 范围,实现跨节点的通信。此外...
kubernetes网络资源 flannel
04-13
kubernetes网络资源组件flannel的yaml文件
Kubectl、Pod Phase和Container Status映射关系
Qinng的博客
05-11 2456
注:以下状态为kubernetes-1.10的映射关系,较新版本有部分改动 Pod Phase Kubectl Status Container Status 备注 Pending Pending None Pod没有到达Kubelet之前 Pending ImagePullBackOff Pod没有到达Kubelet之后,Image拉取镜像成功之前 CreateContainerConfigError ...
kubernetes调试pod网络故障方法之一
云原生,DevOps,Kubernetes
04-18 807
使用故障pod的network namespace运行一个容器来调试调试pod网络 有时候我们要排查pod的网络问题,但是生产容器内一般不会有调试命令,另外容器可能处于CrashLoopBackOff或其它不可用的状态。 本篇就是针对这种情况,运行一个与故障pod相同的网络namespace来调试pod网络。 首先高版本的k8s可以使用kubectl debug命令。但较低版本k8s还不支持kubectl debug命令,这种情况下我们可以到pod运行的宿主机使用docker命令指定挂载的namespace
kubernetes 查询容器的 network namespace
安心Smile的博客
02-23 2559
简介 命名空间是容器使用的主要方面之一(请参见下图)。 它们提供了一种隔离形式,允许容器保持可移植性并与主机系统分离。 尽管 Linux 内核提供了各种类型的名称空间,在本文中,我们将研究如何查看 Kubernetes 集群中容器的 network namespace,这对于故障排除和学习非常有用。 普通方式查询 一般情况下,可以通过 ip netnd list命令查看主机的 network namespace,但是,在 kubernetes 集群的主机上,不会返回 network names.
一起误删cni0虚拟网卡引发的k8s事故
Huangjiazhen711的博客
09-20 2302
在一台只有两个pod的节点上查看虚拟网卡的情况,发现在node主机上可以看到两个veth前缀的虚拟网卡,它们的另一端在pod中,并且pod的netns也可以通过show命令看到。由于生产K8S集群需要踢出一个已存在的节点后重新加入,在清理node节点环境的过程中,误将需要在node节点上执行的删除cni0虚拟网卡的操作在master节点上执行了。从通信过程可以知道,pod的网络需要连接到cni0网桥,而cni0和flannel.1网桥之间是没有连接的,通过node节点的路由表来实现转发通信的。
Kubernetes容器云平台实战与网络解析
总结来说,Kubernetes是一个强大的容器编排工具,它的网络解决方案如Flannel和Calico为企业提供了灵活且安全的容器网络环境。理解这些核心概念和组件对于成功部署和管理Kubernetes集群至关重要。通过深入学习和实践...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值