k8s网络

最新推荐文章于 2024-09-08 00:22:56 发布
最新推荐文章于 2024-09-08 00:22:56 发布
阅读量795 收藏 5
点赞数 21
文章标签: kubernetes 网络 容器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42334372/article/details/141995430
版权

pod 网络

在K8S集群里,多个节点上的Pod相互通信,要通过网络插件来完成,比如Calico网络插件。
使用kubeadm初始化K8S集群时,有指定一个参数–pod-network-cidr=10.18.0.0/16 它用来定义Pod的网段。
而我们在配置Calico的时候,同样也有定义一个CALICO_IPV4POOL_CIDR的参数,它的值同样也是Pod的网段。

容器网络尤其是在跨主机容器间的网络是非常复杂的。目前主流的容器网络模型主要有Docker公司提出的Container Network Model (CNM)模型和CoreOS公司提出的Container Network Interface (CNI)模型,而Kubernetes采用了由CoreOS公司提出的CNI模型。

1)CNI
首先我们介绍一下什么是 CNI,它的全称是 Container Network Interface,即容器网络的 API 接口。

CNI本身并不能提供网络服务,它只是定义了对容器网络进行操作和配置的规范。CNI仅关注在创建容器时分配网络资源,和在销毁容器时删除网络资源,这使得CNI规范非常轻巧、易于实现,得到了广泛的支持。

而真正实现和落地这些规范的是CNI插件。常见的CNI插件包括Calico、flannel、Terway、Weave Net 以及 Contiv。

2)K8S如何使用CNI插件
K8s 通过 CNI 配置文件来决定使用什么 CNI插件。

基本的使用方法为:

  1. 首先在每个节点上配置 CNI 配置文件(/etc/cni/net.d/xxnet.conf),其中 xxnet.conf 是某一个网络配置文件的名称。
  2. 安装CNI配置文件对应的二进制插件,在/opt/cni/bin目录中。
  3. 在这个节点上创建pod之后,kubelet就会跟进CNI配置文件执行安装CNI插件。
    在这里插入图片描述

在集群里面创建一个Pod的时候,首先会通过apiserver将Pod 的配置写入。apiserver的一些管控组件
(比如 Scheduler)会调度到某个具体的节点上去。Kubelet监听到这个Pod 的创建之后,会在本地进行
一些创建的操作。当执行到创建网络这一步骤时,它首先会读取刚才我们所说的配置目录中的配置文件,配置文件里面会声明所使用的是哪一个插件,然后去执行具体的CNI插件的二进制文件,再由 CNI插件进入 Pod 的网络空间去配置Pod 的网络。配置完成之后,Kuberlet也就完成了整个Pod 的创建过程,这个Pod 就在线了。

3)基于Calico的Pod网络
在这里插入图片描述

Service 网络

在介绍Service这个api资源对象时,我们已经汇总过Service的几个type:ClusterIP、NodePort、LoadeBalancer,除了这三个还有其它的类型,暂且不讨论。

这三种类型的Service,LoadBalancer依赖NodePort,而NodePort通常要和ClusterIP一起使用,如果在Service的yaml文件里定义type为LoadBalancer,则它会自动创建NodePort,而NodePort也会自动创建ClusterIP。

展示一下pod到service的网络变化情况(演绎通信流程):
1)单个Pod之间通信
单个Pod和Pod之间通信只能通过Pod的IP和Port来通信,如下图
在这里插入图片描述

2)Pod有多个
当引入了Deployment,并为Pod设置多个副本时,那么提供某一个服务(如Nginx服务)的Pod就不止一个了,此时即使知道了这些Pod的IP,那访问起来也并不方便。所以,这里需要有一个统一入口,其它Pod通过这个统一入口去请求该服务(Nginx)对应的所有Pod。 这时就有了Service这个资源对象,它主要作用就是用来提供统一入口,也就是说只需要一个IP就能访问所有的Pod,而这个入口IP就是ClusterIP,也就是Service的IP。
在这里插入图片描述

3)外部资源访问内部Pod
有了Service,的确可以很方便为内部的Pod提供入口,但是在集群外面访问这个内部的资源就没办法了。于是,就有了这个NodePort,使用Service的NodePort类型,可以将Service的ClusterIP对应的Port映射到每一个Node的IP上,映射出去的Port范围为30000~32767
在这里插入图片描述

4)借助公有云的负载均衡器
使用这个NodePort并不方便,毕竟它带着一个长长的端口号,而且还有一个非常尴尬的问题,就是访问时还得带着Node的IP,如果这个Node挂掉,那么就无法访问此资源,虽然可以通过另外一个Node去访问,但这样太麻烦了!所以,此时的解决方案是:借助三方的负载均衡器,将请求分发到所有的Node上,其底层还是NodePort。
在这里插入图片描述

总结:Service为内部Pod的统一入口,内部资源之间可以通过最简单的ClusterIP进行通信,而外部资源访问需要借助NodePort的形式,但是带着长长端口不方便,于是又衍生了LoadBalancer的形式,这种形式需要借助三方的负载均衡器,将请求分发到每一个NodePort上。

大江东去了吗
关注
  • 21
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
K8S系列】深入解析k8s网络插件—Weave Net
颜淡慕潇
08-13 5万+
总体而言,Weave Net 是一个功能强大且易于使用的 Kubernetes 网络插件,它提供了简单的网络配置和管理方式,并具有跨主机容器通信、动态网络拓扑和安全性等优点。然而,它也存在一些性能开销和单点故障的缺点,需要用户在使用之前了解和权衡。
K8S网络详解
fy_long的博客
01-15 1万+
K8S网络详解 按照我自己的理解,k8s网络分三个层面(由里到外): 容器网络(不同容器之间怎么相互访问) 集群内网络(不同节点之间怎么相互访问) 集群外网络(集群外怎么访问到集群内的服务) 容器网络 熟悉docker的同学会知道,docker创建的容器之间会通过一张docker0的网卡相互通信。而k8s社区为了方便用户适应各自的网络情况,暴露出一套api接口------cni,用户只要实现...
K8S网络策略
Blue summer的博客
11-30 1788
注:本文基于K8S v1.21.2版本编写 1 关于网络策略 k8s网络能力主要表现在两个方面,一个是连通性,保证pod之间能够互通,另一个就是隔离性,考虑安全、流量限制等业务需求。 而默认情况下,k8s集群的网络没任何限制,集群中的所有pod都是互通的,这对于一些业务来说是不符合安全需求的。同时如果考虑多租户的场景,这就更不能接受了,因此需要有方法能对集群网络进行限制,这就有了Network Policy。 但有一点,并不是所有网络插件都支持Network Policy,比如flannel就不支持网络
K8S系列】深入解析k8s 网络插件—Antrea
热门推荐
颜淡慕潇
10-07 6万+
Antrea 是一个 Kubernetes 网络插件,它提供了强大的网络功能,包括网络策略、路由、连接等任务,同时也是一个可观察性解决方案。Antrea 基于 Flannel 和 Calico,借用了 Flannel 的网络策略和 Calico 的网络可观察性优势。
K8S系列】深入解析k8s网络插件—Calico
颜淡慕潇
07-20 2万+
Calico是一个强大的开源容器网络网络安全解决方案,广泛应用于Kubernetes集群和其他容器编排平台。 它通过利用BGP(Border Gateway Protocol)协议和Linux网络命名空间来实现高性能的容器间通信和网络策略控制。
k8s搭建Kubernetesk8s)集群用到的部署CNI网络插件
02-21
问题场景:由于k8s安装master一直处于NotReady状态查看日志出现 failed to find plugin “flannel” in path [/opt/cni/bin]【CentOS7.9】(ps:不需要积分) 解决办法:下载CNI插件,在此提供amd和arm,其他可访问链接...
实现k8s网络互通方便本机调用k8s应用
06-05
本文将详细介绍如何实现k8s网络互通,以便本地开发环境能够方便地调用k8s中的应用。 首先,我们需要理解k8s网络模型。在k8s中,每个Pod都被赋予一个唯一的IP地址,并且在一个扁平的网络空间内,Pod可以直接通过IP...
k8s网络插件calico启动yaml文件
06-10
k8s网络插件calico启动yaml文件
k8s网络flannel镜像包
08-08
k8s网络flannel镜像包 flannel_v0.23.0.tar flannel-cni-plugin_v1.2.0.tar 可直接使用docker load 到本地环境
k8s Helm
最新发布
巧克力人生的博客
09-08 768
了解HelmHelm是kubernetes中查找、分享、构建应用的最佳方式。Helm是一个Kubernetes应用的包管理工具,用来管理chart(一种预先配置好的安装包资源),有点类似于Ubuntu 的APT和CentOS/Rocky中的YUM。因此,helm的出现解决了k8s应用管理能力缺失的问题。另外Helm也是dev和ops的桥梁,运维人员在使用Helm的时候,一方面不需要理解大量在Chart中的各种k8s元素,只需要配置少量的环境变量即可安装;
k8s控制器
qq_67442238的博客
09-05 925
已经搭好的harbor仓库scp ca.crt root@172.25.250.120:/etc/docker/certs.d/bwmis.org/ ##发送证书##禁止swap磁盘的使用[k8s]name=k8sgpgcheck=0。
day43(9/4)——k8s
wh992610的博客
09-05 844
imageRepository: registry.cn-hangzhou.aliyuncs.com/google_containers # 指定了Kubernetes使用的镜像仓库的地址,阿里云的镜像仓库。net.bridge.bridge-nf-call-ip6tables = 1 # ⽤于控制⽹络桥接(bridge)的IP6tables过滤规则。net.ipv4.conf.all.route_localnet = 1 # 允许本地⽹络上的路由。
k8s多master多node环境搭建-k8s版本大于等于1.24,容器运行时为containerd
看到代码头都是大的~
09-04 1084
等待安装完成,需要一段时间(和服务器网络等因素相关)侧而是在k8s创建pod是否可以正常访问网络。3.配置containerd镜像加速器。1.安装containerd指定版本。master1节点执行传输。2.crictl文件生成。
k8s HPA
巧克力人生的博客
09-07 368
HPA可以基于CPU利用率对replication controller、deployment和replicaset中的pod数量进行自动扩缩容(除了CPU利用率,也可以基于其他应用程序提供的度量指标custom metrics进行自动扩缩容)。将image: k8s.gcr.io/metrics-server/metrics-server:v0.6.2 修改为 image: aminglinux/metrics-server:v0.6.2。pod自动缩放不适用于无法缩放的对象,比如daemonsets。
经验笔记:自动化工具(如Kubernetes)(K8S
qq_45831414的博客
09-04 529
Kubernetes是一个开源平台,旨在自动化容器化应用的部署、扩展和管理。它通过声明式的方式定义应用程序的状态,并确保集群按照这些定义来运行。Kubernetes的设计目标是为了简化在分布式系统中部署、维护和扩展容器化应用的过程。
Kubernetesk8s常用单词
翡翠泪滴的博客
09-03 655
Kubernetes 是一个用于自动化部署、扩展和管理容器化应用的开源系统。在 Kubernetes (通常简称为 k8s) 集群调度中,有一些关键的概念和技术术语需要了解。这些术语构成了 Kubernetes 的基础概念,理解它们对于操作和管理 Kubernetes 集群至关重要。了解这些术语有助于更好地理解和配置 Kubernetes 集群的调度策略,从而更有效地管理和优化资源。
学习笔记八:基于Jenkins+k8s+Git+DockerHub等技术链构建企业级DevOps容器云平台
weixin_43258559的博客
09-05 1261
Jenkins+k8s+nexus+gitlab+harbor+sonarqube+springloud构建DevOps
K8S实践笔记】Kubernetes(v1.28)集群搭建部署(1)
shgh_2004的专栏
09-06 595
基于三台运行CentOS 8的服务器(IP地址为192.168.10.x)来搭建Kubernetes v1.28.2集群的详细步骤。我们将使用kubeadm工具来简化这一过程,并选择Calico作为CNI插件。声明:本文是实战案例,经过实测检验,提供完整的解决方案。包括国内网络问题的解决,提供完整的配置文件, 以及各种常见问题的解答等。
k8s网络相关知识点
09-21
### 回答1: Kubernetes网络系统是由多个组件组成的, 它们协作为应用程序提供网络连接和通信. 其中一些主要的组件包括: - kube-proxy: 运行在每个节点上, 负责为 Pod 和 Service 提供代理服务. - kube-dns: 为应用程序提供 DNS 服务. - 网络插件: 用于为 Pod 提供网络连接, 支持不同的网络模型, 如 Calico, Flannel, Cilium 等. - Service: 为应用程序提供负载均衡和服务发现. Kubernetes网络模型是基于 Pod 的, 每个 Pod 都有一个独立的 IP 地址, 使得容器间直接通信成为可能. Service 则提供了一种发现和负载均衡的机制, 让外部客户端可以访问 Pod. ### 回答2: KubernetesK8s)是一个开源的容器编排平台,用于自动化部署、扩展和管理容器化应用程序。下面是一些与K8s网络相关的知识点。 1. 服务发现:K8s通过DNS(域名系统)服务提供内部服务发现机制。每个服务都会被分配一个唯一的域名,其他服务可以通过该域名访问该服务。 2. Pod网络:Pod是K8s中的最小调度单元,它可以包含一个或多个容器。每个Pod都有一个唯一的IP地址,容器可以通过本地回环地址访问其他Pod中的容器。 3. 容器网络接口(CNI):CNI是一个规范,用于定义容器网络的实现方式。K8s使用CNI插件来设置和管理Pod的网络。不同的CNI插件可以支持不同的网络方案,如VLAN、VXLAN、Calico等。 4. 服务代理:K8s使用服务代理来实现服务之间的通信。服务代理可以在集群各个节点上运行,并通过负载均衡来分发到后端Pod。 5. 网络策略:K8s允许用户通过网络策略来定义集群中的网络访问规则。网络策略可以限制哪些Pod可以与另一个Pod通信,以及允许的协议和端口。 6. Ingress控制器:Ingress控制器是K8s中用于管理入站网络流量的组件。它可以将外部流量路由到集群内部的服务,并提供负载均衡和SSL终止等功能。 7. 可插拔网络解决方案:K8s提供了一些可插拔的网络解决方案,如Flannel、Calico等。这些解决方案可以根据具体需求选择,以提供不同的网络拓扑结构和性能。 总而言之,K8s网络相关的知识点包括服务发现、Pod网络、CNI、服务代理、网络策略、Ingress控制器和可插拔网络解决方案。这些知识点帮助我们理解和管理K8s集群中的网络配置和通信。 ### 回答3: Kubernetes(简称k8s)是一种用于容器编排和管理的开源平台,它涉及到一些重要的网络概念和组件。 首先,k8s网络模型是基于虚拟网络的概念。每个k8s集群中的容器都会被分配一个独立的IP地址,并且可以通过这个IP地址跨节点进行通信。这是通过一个称为kube-proxy的组件实现的,它会在每个节点上监听API服务器上的变化,并使用iptables或者IPVS等工具在宿主机上进行流量转发。 其次,k8s通过Service和Endpoint来暴露和访问容器。Service是一个逻辑概念,用于封装一组具有相同功能的容器,在集群内部提供服务的访问入口。一个Service可以通过ClusterIP、NodePort或者LoadBalancer等不同的类型暴露。而Endpoint是实际运行容器的IP和端口的集合,用于告诉Service流量应该转发到哪里。 此外,k8s还支持Ingress资源,用于在集群外部暴露服务,实现外部访问。Ingress通过定义一个或多个规则,将外部流量转发到不同的Service上,从而实现域名或路径的复杂路由。 最后,网络插件是k8s网络中的重要组件。k8s提供了一些默认的网络插件,如Flannel、Calico等,用于管理Pod之间的网络通信。网络插件负责创建网络的子网和路由表,并将Pod的IP地址与宿主机的虚拟网卡进行关联。 总结来说,k8s网络涉及到虚拟网络、kube-proxy、Service、Endpoint、Ingress等概念和组件,这些都是为了实现容器间的通信和外部访问的需求。不同的网络插件可以根据具体需求选择,以满足集群的网络需求。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值