k8s007之网络

最新推荐文章于 2024-05-14 17:08:18 发布
最新推荐文章于 2024-05-14 17:08:18 发布
阅读量151 收藏
点赞数
分类专栏: 容器技术
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41822345/article/details/115532121
版权

文章目录

kubernetes网络

一、有哪些网络问题?

集群网络系统是 Kubernetes 的核心部分。 下面列出的是网络系统的的四个主要问题:

  1. Pod中的容器间通信:通过 Pods 和 localhost 通信解决。
  2. Pod 与 Pod 之间的通信:通过Overlay Network来解决。
  3. Pod 与 服务 之间的通信:通过各节点的Iptables/Ipvs解决。
  4. 外部 与 Pod 之间的通信:通过Service/Ingress方式解决。

Kubernetes 的宗旨就是在应用之间共享机器。 通常来说,共享机器需要两个应用之间不能使用相同的端口,但是在多个应用开发者之间去大规模地协调端口是件很困难的事情(网络策略问题),尤其是还要让用户暴露在他们控制范围之外的集群级别的问题上。

动态分配端口也会给系统带来很多复杂度 - 每个应用都需要设置一个端口的参数, 而 API 服务器还需要知道如何将动态端口数值插入到配置模块中,服务也需要知道如何找到对方等等。 与其去解决这些问题,Kubernetes 选择了其他不同的方法。

二、Kubernetes 网络模型

每一个 Pod 都有它自己的IP地址,这就意味着不需要显式地在每个 Pod 之间创建链接, 几乎不需要处理容器端口到主机端口之间的映射。 这将创建一个干净的、向后兼容的模型,在这个模型里,从端口分配、命名、服务发现、 负载均衡、应用配置和迁移的角度来看,Pod 可以被视作虚拟机或者物理主机

Kubernetes 对所有网络设施的实施,都需要满足以下的基本要求(除非有设置一些特定的网络分段策略):

  • 节点上的 Pod 可以不通过 NAT 和其他任何节点上的 Pod 通信
  • 节点上的代理(比如:系统守护进程、kubelet)可以和节点上的所有Pod通信

备注:仅针对那些支持 Pods 在主机网络中运行的平台(比如:Linux),那些运行在节点的主机网络里的 Pod 可以不通过 NAT 和所有节点上的 Pod 通信

三层网络模型

可以简单的把 kubernetes 网络划分为三层:

  • Pod与 Pod 之间通信通过 Pod 网络(底层)
  • Pod 与 服务之间通信通过 Service 网络(中间层)
  • Pod 与 外部 之间通信通过 节点网络(外层)

在这里插入图片描述

这个模型不仅不复杂,而且还和 Kubernetes 的实现廉价的从虚拟机向容器迁移的初衷相兼容, 如果你的工作开始是在虚拟机中运行的,你的虚拟机有一个 IP , 这样就可以和其他的虚拟机进行通信,这是基本相同的模型。

Kubernetes 的 IP 地址存在于 Pod 范围内 - 容器共享它们的网络命名空间 - 包括它们的 IP 地址和 MAC 地址。 这就意味着 Pod 内的容器都可以通过 localhost 到达各个端口。 这也意味着 Pod 内的容器都需要相互协调端口的使用,但是这和虚拟机中的进程似乎没有什么不同, 这也被称为“一个 Pod 一个 IP”模型。

有很多种方式可以实现这种网络模型,这里仅仅介绍一种,Flannel网络。Flannel 是一个非常简单的能够满足 Kubernetes 所需要的覆盖网络。

三、Flannel网络

Flannel 是 CentOS 团队针对kubernetes 设计的一个网络规划服务(k8s太火了,因此CentOS团队专门针对k8s开发设计了Flannel网络),简单来说:它的功能是让集群中的不同节点主机创建的 Docker 容器都具有全集群唯一的虚拟 IP 地址,并在这些 IP 地址之间建立了一个覆盖网络(通常称为Overlay Network),通过这个覆盖网络,就可以将数据包原封不动的传递到指定的目标容器内,从而达成通信。

在这里插入图片描述

注明:ETCD 会存储并管理 Flannel 可分配的 IP 地址段资源;Flannel 会监控 ETCD 中每个 Pod 的实际地址,并在内存中建立维护 Pod 节点路由表。

详细说明

  • 同一个 Pod 内部通信:同一个 Pod 共享同一个网络空间,共享同一个 Linux 协议栈(例如localhost),所以天然互通。

  • Pod1 到 Pod2 之间的通信分为两种情况:

    • Pod1 和 Pod2 在同一台机器,由 Docker0 网桥直接转发请求至 Pod2,不需要经过 Flannel
    • Pod1 和 Pod2 不在同一台机器,Pod 地址是与 Docker0 在同一个网段的,但是 Docker0网段与宿主机是两个完全不同的 IP 网段(如上图),并且不同 Node 之间的通信只能通过宿主机的物理网卡进行。将 Pod 的 IP 和所在的 Node 的 IP 通过 Flannel 关联起来,这个关联可以让不同 Node 的 Pod 之间可以互相访问。

  • Pod 到 Service 之间的网络:目前基于性能考虑,由 iptable/ipvs(默认iptable,但ipvs性能更高)维护和转发。

  • Pod 到 外网的通信:Pod 向外网发送请求,会查找路由表,转发数据包到宿主机的网卡,宿主机网卡通过路由选择iptables/ipvs 执行 Masquerade,把源 IP 更改为宿主网卡的IP,然后就可以向外部网络发送请求。

  • 外网 到 Pod 的通信:通过Servcice(四层网络)、Ingress(七层网络)等技术实现。

在这里插入图片描述

四、k8s组件间通信原理

  • API Server 负责 etcd 存储的所有操作,且只有 API Server 才直接操作 etcd 集群。
  • API Server 对内(集群中的其他组件)和对外(用户)提供统一的 REST API,其他组件均通过 API Server 进行通信。
  • Controller Manager、Scheduler、Kube-proxy 和 Kubelet 等均通过 API Server watch API 监测资源变化情况,并对资源作相应的操作。
  • 所有需要更新资源状态的操作均通过 API Server 的 REST API 进行。
  • API Server 也会直接调用 Kubelet API(如 logs, exec, attach 等),默认不校验 Kubelet 证书,但可以通过 --kubelet-certificate-authority 开启(而 GKE 通过 SSH 隧道保护它们之间的通信)。

可以看出API Server 是通信的核心,因此,k8s的安全设计就是围绕API Server设计的。

比如典型的创建 Pod 的流程为:

在这里插入图片描述

  1. 用户通过 REST API 创建一个 Pod。

  2. API Server 将其写入 etcd。

  3. Scheduler 检测到未绑定 Node 的 Pod,开始调度并更新 Pod 的 Node 绑定。

  4. Kubelet 检测到有新的 Pod 调度过来,通过 Container Runtime 运行该 Pod。

  5. Kubelet 通过 Container Runtime 取到 Pod 状态,并更新到 API Server 中。

进击的程序猿~
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
k8s pod里访问不到外部ip_Pod在混合云中的多K8S集群通信,RH@KubeCon 2019 Day2
weixin_31310913的博客
01-01 482
本Topic是红帽的两位软件工程师。笔者按照自己的理解和这两位同事的探讨,对演讲内容进行解读(注解仅供参考,OCP是红帽OpenShift Container Platform的简称)。OCP3中,每个pod只能有一个IP地址,OCP4可以配置多个(有了CNI)。不同service之间的pod内部通讯,通过service访问。如果pod要访问外部网络,需要通过NAT的方式,用node的i...
k8s网络
werefsegt的博客
06-25 447
k8s通过CNI接口接入其他插件来实现网络通讯。目前比较流行的插件有flannel,calico等。 CNI插件存放位置:# cat /etc/cni/net.d/10-flannel.conflist插件使用的解决方案如下: 虚拟网桥,虚拟网卡,多个容器共用一个虚拟网卡进行通信。 多路复用:MacVLAN,多个容器共用一个物理网卡进行通信。 硬件交换:SR-LOV,一个物理网卡可以虚拟出多个接口,这个性能最好容器间通信:同一个pod内的多个容器间的通信,通过lo即可实现; pod之间的通信: 同一节点的p
K8s 核心组件介绍
RAB
12-12 5071
K8s 核心组件简介。
k8s 网络组件详细 介绍
最新发布
wyq2070857323的博客
05-14 1194
源主机 A 的 flanneld 服务将原本的数据内容封装到 UDP 报文中, 根据自己的路由表通过物理网卡投递给目的节点主机 B 的 flanneld 服务,数据到达以后被解包,然后直接进入目的节点的 flannel0 接口, 之后被转发到目的主机的 docker0/cni0 网桥,最后就像本机容器通信一样由 docker0/cni0 转发到目标容器。而Flannel作为具体的网络实现,通过VXLAN等技术解决了容器跨节点通信的问题,为容器提供了一个统一的虚拟网络环境。数据通信性能则大受影响。
Kubernetes(k8s)入门:核心组件详解
秃了也弱了
07-04 1100
Kubernetes(k8s)集群搭建,完整无坑,不需要科学上网~Controllers官网文档:https://kubernetes.io/docs/concepts/workloads/controllers/ReplicationController通过selector来管理template(pod),selector中的key-value需要对应template中的labels,否则会找不到。同时支持扩缩容,副本数永远保持不变。
Kubernetes(K8s)的核心组件简介
博然的宝藏库
05-27 4661
Kubernetes 支持多种容器运行时,包括 Docker、containerd、CRI-O 和其他实现 Kubernetes Container Runtime Interface (CRI) 的运行时。它是 Kubernetes 的前端,处理和响应命令行接口(CLI)、用户接口(UI)或其他管理系统的请求。Kubernetes(简称 K8s)是一个开源的,用于自动化部署、扩展和管理容器化应用程序的平台。它根据各个节点的资源利用率、输入的资源需求、数据位置、策略等因素做出决策。这对于服务发现极为重要。
k8s组件(详细版)
weixin_55282711的博客
11-08 288
与 kube-controller-manager 一样,cloud-controller-manager 将多个逻辑上独立的控制循环组合到一个二进制文件中,并作为单个进程运行。如果您在自己的场所或自己的 PC 内的学习环境中运行 Kubernetes,则集群没有云控制器管理器。kube-proxy 是一个网络代理,在集群中的每个节点上运行,实现了 Kubernetes 服务概念的一部分。允许你将你的集群连接到云提供商的 API 之上, 并将与该云平台交互的组件同与你的集群交互的组件分离开来。
s007互联之光商城整站程序
07-01
【s007互联之光商城整站程序】是一款针对电商行业的综合性网站系统,它集成了网上购物、商品管理、订单处理、支付接口等多种功能,旨在为企业或个人提供一站式的在线商业解决方案。这款程序可能包括了前端用户界面、...
s007网人分类信息最新的5.0商业版acc数据库
07-02
【标题】"s007网人分类信息最新的5.0商业版acc数据库"涉及到的是一个基于Access(ACC)数据库的应用程序,该程序主要用于管理网人分类信息。s007网人分类信息系统可能是一个在线平台,允许用户发布、搜索和管理各种...
美的S007芯片电路图
07-31
abb123456accc1234567890
VBA-OM-S007 使用说明书
04-30
VBA-OM-S007 使用说明书
奇妙S007写频软件
11-02
奇妙S007写频软件是一款专为对讲机设备设计的配置工具,主要用于设置对讲机的各种工作参数,如频率、信道间隔、呼叫模式等。在无线电通信领域,写频是调整无线设备工作频率及附加功能的关键步骤,确保设备能够按照...
k8s架构、工作流程、集群组件详解
qq_51545656的博客
01-25 2452
Kubernetes(简称K8s,是因为 k 和 s 之间有八个字符)是一个开源的容器编排平台,用于管理云平台中多个主机上的容器化应用程序。它提供了一种机制,用于自动化部署、扩展和管理容器化应用程序的集群。Kubernetes的目标是让部署容器化应用程序变得简单高效。它提供了应用程序部署、规划、更新和维护的基本机制,同时具备强大的扩展性和可靠性。Kubernetes采用主从设备模型(Master-Slave架构),其中Master节点负责核心的调度、管理和运维任务,而Slave节点负责运行应用程序的容器。
Kubernetes(k8s)容器编排Pod介绍和使用
赵广陆
06-24 3053
目录 1 Pod 特点 1.1 网络 1.2 存储 2 使用方式 2.1 自主式Pod 2.2 控制器管理的Pod 3 自主运行Pod 3.1 创建资源清单 3.1.1 参数描述 3.2 创建Pod 3.3 Pod操作 3.3.1 查看Pod列表 3.3.2 查看描述信息 3.3.3 访问pod 3.3.4 删除Pod 4 控制器运行Pod 4.1 创建资源清单 4.2 参数描述 4.2.1 Replicas 4.2.2 Selector 4.2.3 Pod Template 4.3 创建Pod
K8s介绍和各组件盘点;搭建一个单机版的k8s
weixin_44681307的博客
12-01 1108
Kubernetes(K8s),是用于自动部署、扩容、缩容和管理容器化应用程序的开源系统。它将组成应用程序的容器组合成逻辑单元,以便于管理和服务发现。Kubernetes源自google 15年生产环境的运维经验,同时凝聚了社区最佳创意和实践。
K8S组件介绍及安装
TimeRovers的博客
06-18 1477
K8S组件 组件作用 master组件 1. API Server 程序:kube-apiserver,定义存储特定存储格式,声明式,只支持特定格式的存储(类似文档格式{key1:value1,key2:value2}) 2. Controller Manager(控制管理) 程序:kube-controller-manager,(管理容器扩缩容,滚动更新等) 控制器:包含route controller(路由),volume controller(数据卷),service controller(服务
k8s--基础--02--组件
zhou920786312的博客
08-08 874
一个Kubernetes集群是由一组工作机器组成,这些机器称为节点,节点上运行容器。每个k8s集群至少有一个工作节点。工作节点主要用来运行部署应用程序的pod。control plane(控制平面/master节点)用来管理工作节点和整个kubernetes集群的pod。在生产环境中,master节点通常跨越多台计算机。...
K8s组件全解析,你需要知道的一切秘密
Hanko的专栏
09-01 270
当你部署完 Kubernetes,便拥有了一个完整的集群。Kubernetes,作为目前最流行和广泛采用的容器编排和管理平台,背后有一系列强大的组件,共同协作以实现容器化应用的自动化部署、弹性扩展、服务发现和负载均衡等关键功能。本文将介绍 Kubernetes 集群中的主要组件,揭示它们的作用和相互关系,为您提供关于 Kubernetes 内部工作原理的深入理解。安装前有几个概念要了解下。
【重识云原生】第六章容器6.3.1节——K8S核心组件总述
junbaozi的专栏
09-15 1617
Kubernetes 借鉴了 Borg 的设计理念,比如 Pod、Service、Labels 和单 Pod 单 IP 等。Kubernetes 的整体架构跟 Borg 非常像,在设计遵循了c/s架构设计理念,也就是下图中apiserver与其余组件的交互。K8s将集群中的机器划分为主节点(Master Node)和工作节点(Worker Node),在生产中通常会有多个Master节点组成高可用集群,以实现K8s系统管控服务的高可用。
select t.xh, C.RXRQ AS rxrq, a.tnrxrs, to_number(trunc(sysdate- to_date(substr(RXRQ,1,10),'yyyy-mm-dd'))) as sj from S007_T_JW_XSGL_001 t
07-20
您的查询语句中,您选择了表 S007_T_JW_XSGL_001 中的一些列。具体来说,您选择了 t.xh、C.RXRQ AS rxrq、a.tnrxrs,并在查询中计算了一个名为 sj 的列。您使用了 to_number 函数来将 sysdate 减去 RXRQ 列的日期...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

进击的程序猿~

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值