cilium系列之二:深入理解cilium的伪装功能Masquerading

最新推荐文章于 2024-07-12 16:28:26 发布
最新推荐文章于 2024-07-12 16:28:26 发布
阅读量1.1k 收藏 1
点赞数
分类专栏: kubernetes cilium 文章标签: kubernetes
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sinat_32188225/article/details/110429732
版权

在这里插入图片描述
周日的时候几乎通宵,就倒在了cilium的伪装功能上,这个伪装功能就相当于pod的snat作用,以前这个工作在iptables完成的,现在cilium提供ebpf的实现,效率高了很多。

在–set tunnel:disabled直接路由模式下,只对native-routing-cidr的直接路由段不进行伪装,该网段必须精准计算kubernetes集群的ip段,准确填写子网掩码,不能随便乱写。假设192.168.1.100到192.168.1.104是kubernetes集群,假如cidr写了192.168.1.0/24,那pod一样是到不了192.168.1.100至104以外的主机,只能在100到104这几台机转悠。

–set ipMasqAgent.enabled=true而我手贱地设置上了这个参数,意味着以下这些网段也在kubernetes集群内,不需要伪装😂可是阿里云庞大的ecs内网,oss内网,rds内网,通通都囊括在了这些网络😭,我pod完全无法出去,连本机dhcp分配的dns地址都到不了,于是coredns一直报错😒

10.0.0.0/8
172.16.0.0/12
192.168.0.0/16
100.64.0.0/10
192.0.0.0/24
192.0.2.0/24
192.88.99.0/24
198.18.0.0/15
198.51.100.0/24
203.0.113.0/24
240.0.0.0/4

官方文档就说,如果想修改这些网段,可以设置kube-system名命空间下一个叫ip-masq-agent的configmap去修改,创建一个文件夹agent-config,里面放config。masqLinkLocal如果未设置或者为false,则nonMasqueradeCIDRs增加一个网段169.254.0.0/16。创建configmap后一会儿就可以查看到

mkdir agent-config;
#configmap内容如下
cat << EOF > config
nonMasqueradeCIDRs:
- 10.0.0.0/8
- 172.16.0.0/12
- 192.168.0.0/16
masqLinkLocal: false
EOF
#创建configmap
kubectl create configmap ip-masq-agent --from-file=agent-config --namespace=kube-system;
#查看cilium内部ipmasq列表
kubectl exec -it -n kube-system cilium-xxxx -- cilium bpf ipmasq list;

通过自定义段有什么作用呢?如果kubernetes集群中的网络是pod能够到达其他网络节点而不用经过网卡snat的话,那就可以增加自定义ipMasqAgent的网段达到直通的性能

李炜伦
关注
专栏目录
最 Cool 的 Kubernetes 网络方案 Cilium 入门教程
hebiwen95的博客
08-04 752
以下基于 Cilium官网文档翻译整理。
离线安装Cilium v1.14.7
07-07
适用人群: IT管理员与DevOps工程师负责在隔离或受限网络环境中部署与维护Kubernetes集群。 安全团队成员需确保网络策略在无公网访问条件下实施。 使用场景: 高安全性要求的数据中心或军事设施,网络完全隔离。 工业控制系统、能源、交通领域,需离线升级网络策略。 步骤概述: 下载Cilium: ,适合离线传输。 离线环境准备: 使用USB驱动器或类似媒介,安全地传输软件包至目标系统。 安装部署: 解压或导入Cilium镜像,利用kubectl或类似工具部署至K8s集群。 验证运行: 检查Cilium服务状态,确保其在网络策略执行中正常运作。 安全与维护: 定期手动更新Cilium,确保软件版本及依赖库的可靠性。 关键提示: 操作前备份现有配置,避免在线操作,考虑使用自动化脚本简化复杂任务。适用于追求最高安全标准的组织和个人,在离线环境中高效、安全地升级Kubernetes网络能力。
Cilium Masquerading 故障排查记录
云原生实验室
07-01 735
❝本文转自 lx1036 的博客,原文:https://juejin.cn/post/7112768193126465567/,版权归原作者所有。欢迎投稿,投稿请添加微信好友:cloud-native-yang背景在版本升级 cilium v1.8.1 到 v1.11.1 时,导致业务 pod 报错连接 mysql 授权错误,经过排查发现连接 mysql server 的...
理清Cilium的概念及优势,看这一篇干货就够了
最新发布
gjjumin的专栏
07-12 608
Cilium 是一款开源软件,也是 CNCF 的孵化项目,最初它仅是作为一个 Kubernetes 网络组件,作为第一个通过 ebpf 实现了 kube-proxy 所有功能的网络插件,对kubernetes的网络方案的技术革新起到了推古拉朽的作用。Cilium 在 1.7 版本后推出并开源了Hubble,它是专门为网络可视化设计,能够利用 Cilium 提供的eBPF 数据路径,获得对 Kubernetes 应用和服务的网络流量的深度可见性。
如何基于 CiliumeBPF 打造可感知微服务的 Linux?
Docker的专栏
05-18 1678
本文内容来自 2019 年的一个技术分享How to Make Linux Microservice-Aware with Cilium and eBPF,作者是 Ci...
使用Cilium增强Istio—通过Socket感知BPF程序
Innocence_0的博客
02-13 480
使用Cilium增强Istio—通过Socket感知BPF程序
ip-masq-agent:管理节点上的IP伪装
05-01
ip-masq-agent ip-masq-agent将iptables规则配置为在链接本地(可选,默认情况下启用)和其他任意IP范围之外的MASQUERADE通信。 它创建了一个称为IP-MASQ-AGENT的iptables链,其中包含本地链接( 169.254.0.0/16 )和每个用户指定IP范围的匹配规则。 它还在POSTROUTING中创建一条规则,该规则跳至未绑定到LOCAL目标的任何流量的此链。 匹配IP-MASQ-AGENT中的规则(最终规则除外)的IP-MASQ-AGENT不会通过IP-MASQ-AGENT链(它们从链的早期RETURN )受到MASQUERADE约束。 IP-MASQ-AGENT链中的最终规则将对任何非LOCAL流量进行MASQUERADE 。 IP-MASQ-AGENT RETURN在调用链POSTROUTING的下一个规则处恢复规则处理。
交换机与路由器技术-33-静态NAT
w辣条小王子
09-25 1458
网络地址转换(Network Address Translation,缩写为NAT),也叫做(IP masquerading),是一种在IP数据包通过路由器或防火墙时重写来源IP地址或目的IP地址的技术。这种技术被普遍使用在有多台主机但只通过一个公有IP地址访问因特网的私有网络中。它是一个方便且得到了广泛应用的技术。在IPv4的网络环境中,网络分为公网和私网,私网地址无法直接在公网上路由,需要使用网络地址转换,将私网地址转换为公网,再通过公网访问网络。
云原生网络利器--CiliumeBPF
DaoCloud_daoke的博客
03-04 984
​ 在上一篇《 云原生网络利器--Cilium 总览篇》的文章中,整体的介绍了一下 Cilium 中常见技术术语和总体的架构介绍。接下来的篇幅会重点介绍 eBPF 的一些关键特性,以及在 Cilium 中使用 eBPF 做了哪些工作,并介绍基本的原理。
extra-cilium-metrics:Prometheus格式的额外Cilium指标的导出器
04-14
Prometheus格式的额外Cilium指标的导出器。 extra-cilium-metrics的目的是提供未提供的额外cilium指标。 我们根据其对我们的有用性来挑选额外的指标。 它们的数据由Cilium API提供,但未作为Prometheus指标公开。 ...
cilium-testings:使用Cilium进行调查和测试
04-01
该项目旨在研究Cilium的工作方式,以及如何将其与Junos cRPD集成。 测试基础架构 测试基础结构是具有2 * 10 CPU / 256G内存的基本服务器,在该服务器上部署了一组虚拟机。 使用ubuntu Focus进行基本节点配置 root@...
kubernetes 使用cilium 网络插件 替换kube-proxy
02-10
此外,Cilium的Hubble组件提供了丰富的网络可观测性功能,帮助管理员监控和诊断网络流量问题。 总的来说,Cilium作为kube-proxy的替代品,通过利用eBPF技术,为Kubernetes集群提供了更高性能、更安全、更可观察的...
cilium插件测试_Cilium使用 (Cilium 3)
weixin_35959421的博客
01-17 803
使用k3s测试Cilium,安装步骤可以参见官方文档Cilium安装使用docker安装使用如下命令安装最新版本的dockeryum install -y yum-utils \device-mapper-persistent-data \lvm2yum-config-manager \--add-repo \https://download.docker.com/linux/centos/doc...
最Cool Kubernetes网络方案Cilium入门教程
Docker的专栏
04-24 879
最近业界使用范围最广的Kubernetes CNI网络方案Calico宣布支持eBPF[1],而作为第一个通过eBPF实现了kube-proxy所有功能Kubernetes网络方案——...
【谐云课堂】Cilium 流量治理功能与部署实践
HarmonyCloud_的博客
07-01 667
本期课堂由谐云研发工程师叶元鹏作为讲师,带来《Cilium 流量治理功能概述及部署实践》分享,围绕Cilium进行了详细介绍,并对其组件、安装方式及路径功能等进行了深入讲解。01 Cilium 概述Cilium是一个具备API感知的网络和安全的开源软件,用于透明保护使用Docker和Kubernetes等Linux容器管理平台部署的应用程序服务之间的网络连接。Cilium的基础是一种称为BPF的新Linux内核技术,该技术可在Linux自身内部动态插入强大的安全可见性和控制逻辑。由于BPF在Linux内核中
【云原生利器之Cilium】什么是Cilium
西京刀客
06-09 7220
Cilium 是一个在 eBPF 之上设计的开源项目,旨在满足容器工作负载的网络、安全和可观测性要求。它在 eBPF 之上提供了一个高级抽象。Cilium 之于 eBPF,就像 Kubernetes 和容器运行时之于 Linux 内核namespace、cgroups 和 seccomp。......
Cilium 官方文档翻译(9) 替换kube-proxy
煮酒论架构
11-21 1596
本指南解释了如何在没有kube-proxy的情况下配置Kubernetes集群,以及如何使用Cilium完全替换它。cilium 使用 eBPF 实现了内核态高性能的负载均衡,并通过BPF Maps开放控制面的服务发现
Cilium系列-1-Cilium特色 功能及适用场景
2301_78834737的博客
07-23 298
Cilium 是一个开源的云原生解决方案,用于提供、保护(安全功能)和观察(监控功能)工作负载之间的网络连接,由革命性的内核技术eBPF提供动力。Cilium 主要使用场景是在 Kubernetes中,但 Cilium 的优势并不仅限于 Kubernetes 环境。在 Kubernetes 环境中,Cilium 可充当网络插件,提供 pod 之间的连接。
cilium native-routing模式流程分析
fengcai_ke的博客
08-06 486
本文分析cilium native routing模式下的报文路径和涉及到的ebpf源码分析。实验环境在vxlan模式下修改参数后而来。native routing和vxlan模式的区别主要是跨节点通信时,vxlan模式需要封装,native routing模式需要根据目的ip查找路由表转发到其他节点。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值