cilium系列之二:深入理解cilium的伪装功能Masquerading

最新推荐文章于 2024-07-12 16:28:26 发布
最新推荐文章于 2024-07-12 16:28:26 发布
阅读量1.1k 收藏 1
点赞数
分类专栏: kubernetes cilium 文章标签: kubernetes
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sinat_32188225/article/details/110429732
版权

在这里插入图片描述
周日的时候几乎通宵,就倒在了cilium的伪装功能上,这个伪装功能就相当于pod的snat作用,以前这个工作在iptables完成的,现在cilium提供ebpf的实现,效率高了很多。

在–set tunnel:disabled直接路由模式下,只对native-routing-cidr的直接路由段不进行伪装,该网段必须精准计算kubernetes集群的ip段,准确填写子网掩码,不能随便乱写。假设192.168.1.100到192.168.1.104是kubernetes集群,假如cidr写了192.168.1.0/24,那pod一样是到不了192.168.1.100至104以外的主机,只能在100到104这几台机转悠。

–set ipMasqAgent.enabled=true而我手贱地设置上了这个参数,意味着以下这些网段也在kubernetes集群内,不需要伪装😂可是阿里云庞大的ecs内网,oss内网,rds内网,通通都囊括在了这些网络😭,我pod完全无法出去,连本机dhcp分配的dns地址都到不了,于是coredns一直报错😒

10.0.0.0/8
172.16.0.0/12
192.168.0.0/16
100.64.0.0/10
192.0.0.0/24
192.0.2.0/24
192.88.99.0/24
198.18.0.0/15
198.51.100.0/24
203.0.113.0/24
240.0.0.0/4

官方文档就说,如果想修改这些网段,可以设置kube-system名命空间下一个叫ip-masq-agent的configmap去修改,创建一个文件夹agent-config,里面放config。masqLinkLocal如果未设置或者为false,则nonMasqueradeCIDRs增加一个网段169.254.0.0/16。创建configmap后一会儿就可以查看到

mkdir agent-config;
#configmap内容如下
cat << EOF > config
nonMasqueradeCIDRs:
- 10.0.0.0/8
- 172.16.0.0/12
- 192.168.0.0/16
masqLinkLocal: false
EOF
#创建configmap
kubectl create configmap ip-masq-agent --from-file=agent-config --namespace=kube-system;
#查看cilium内部ipmasq列表
kubectl exec -it -n kube-system cilium-xxxx -- cilium bpf ipmasq list;

通过自定义段有什么作用呢?如果kubernetes集群中的网络是pod能够到达其他网络节点而不用经过网卡snat的话,那就可以增加自定义ipMasqAgent的网段达到直通的性能

李炜伦
关注
专栏目录
【谐云课堂】Cilium 流量治理功能与部署实践
HarmonyCloud_的博客
07-01 669
本期课堂由谐云研发工程师叶元鹏作为讲师,带来《Cilium 流量治理功能概述及部署实践》分享,围绕Cilium进行了详细介绍,并对其组件、安装方式及路径功能等进行了深入讲解。01 Cilium 概述Cilium是一个具备API感知的网络和安全的开源软件,用于透明保护使用Docker和Kubernetes等Linux容器管理平台部署的应用程序服务之间的网络连接。Cilium的基础是一种称为BPF的新Linux内核技术,该技术可在Linux自身内部动态插入强大的安全可见性和控制逻辑。由于BPF在Linux内核中
最 Cool 的 Kubernetes 网络方案 Cilium 入门教程
hebiwen95的博客
08-04 754
以下基于 Cilium官网文档翻译整理。
Cilium Masquerading 故障排查记录
云原生实验室
07-01 740
❝本文转自 lx1036 的博客,原文:https://juejin.cn/post/7112768193126465567/,版权归原作者所有。欢迎投稿,投稿请添加微信好友:cloud-native-yang背景在版本升级 cilium v1.8.1 到 v1.11.1 时,导致业务 pod 报错连接 mysql 授权错误,经过排查发现连接 mysql server 的...
理清Cilium的概念及优势,看这一篇干货就够了
最新发布
gjjumin的专栏
07-12 630
Cilium 是一款开源软件,也是 CNCF 的孵化项目,最初它仅是作为一个 Kubernetes 网络组件,作为第一个通过 ebpf 实现了 kube-proxy 所有功能的网络插件,对kubernetes的网络方案的技术革新起到了推古拉朽的作用。Cilium 在 1.7 版本后推出并开源了Hubble,它是专门为网络可视化设计,能够利用 Cilium 提供的eBPF 数据路径,获得对 Kubernetes 应用和服务的网络流量的深度可见性。
使用Cilium增强Istio—通过Socket感知BPF程序
Innocence_0的博客
02-13 482
使用Cilium增强Istio—通过Socket感知BPF程序
ip-masq-agent:管理节点上的IP伪装
05-01
ip-masq-agent ip-masq-agent将iptables规则配置为在链接本地(可选,默认情况下启用)和其他任意IP范围之外的MASQUERADE通信。 它创建了一个称为IP-MASQ-AGENT的iptables链,其中包含本地链接( 169.254.0.0/16 )和每个用户指定IP范围的匹配规则。 它还在POSTROUTING中创建一条规则,该规则跳至未绑定到LOCAL目标的任何流量的此链。 匹配IP-MASQ-AGENT中的规则(最终规则除外)的IP-MASQ-AGENT不会通过IP-MASQ-AGENT链(它们从链的早期RETURN )受到MASQUERADE约束。 IP-MASQ-AGENT链中的最终规则将对任何非LOCAL流量进行MASQUERADE 。 IP-MASQ-AGENT RETURN在调用链POSTROUTING的下一个规则处恢复规则处理。
cilium native-routing模式流程分析
fengcai_ke的博客
08-06 493
本文分析cilium native routing模式下的报文路径和涉及到的ebpf源码分析。实验环境在vxlan模式下修改参数后而来。native routing和vxlan模式的区别主要是跨节点通信时,vxlan模式需要封装,native routing模式需要根据目的ip查找路由表转发到其他节点。
如何配置 Cilium 和 BGP 协同工作?
云原生实验室
01-05 1160
❝本文转自 Yoaz 的博客,原文:https://lqingcloud.cn/post/cilium-03/,版权归原作者所有。欢迎投稿,投稿请添加微信好友:cloud-native-yang背景官方提供了多篇文档说明如何配置 Cilium 和 BGP 协同工作,本文主要对以下部分功能进行验证:Using BIRD to run BGP[1]Using kube-router to run BG...
extra-cilium-metrics:Prometheus格式的额外Cilium指标的导出器
04-14
Prometheus格式的额外Cilium指标的导出器。 extra-cilium-metrics的目的是提供未提供的额外cilium指标。 我们根据其对我们的有用性来挑选额外的指标。 它们的数据由Cilium API提供,但未作为Prometheus指标公开。 ...
cilium-testings:使用Cilium进行调查和测试
04-01
该项目旨在研究Cilium的工作方式,以及如何将其与Junos cRPD集成。 测试基础架构 测试基础结构是具有2 * 10 CPU / 256G内存的基本服务器,在该服务器上部署了一组虚拟机。 使用ubuntu Focus进行基本节点配置 root@...
kubernetes 使用cilium 网络插件 替换kube-proxy
02-10
此外,Cilium的Hubble组件提供了丰富的网络可观测性功能,帮助管理员监控和诊断网络流量问题。 总的来说,Cilium作为kube-proxy的替代品,通过利用eBPF技术,为Kubernetes集群提供了更高性能、更安全、更可观察的...
离线安装Cilium v1.14.7
07-07
下载Cilium: ,适合离线传输。 离线环境准备: 使用USB驱动器或类似媒介,安全地传输软件包至目标系统。 安装部署: 解压或导入Cilium镜像,利用kubectl或类似工具部署至K8s集群。 验证运行: 检查Cilium服务状态,确保...
虚拟网络之Kubernetes Cilium CNI 网络通信调测
海渊_haiyuan的博客
12-20 1529
文章目录虚拟网络之Kubernetes Cilium CNI 网络通信调测前言Cilium CNI 配置查看同Node pod 通信:跨node pod 访问:Cilium cli参考: 虚拟网络之Kubernetes Cilium CNI 网络通信调测 前言 Cilium CNI 是基于Linux 新版本内核中的eBPF实现的,对应数据面转发逻辑和Flannel CNI 比较有了不小的变化,从实现机制上来说,性能上是有很大的提升的;本篇就是将我在环境上实操验证进行一个简单的记录;关于Cilium CNI
cilium系列之一:安装并配置cilium
热门推荐
李炜伦的博客
09-16 1万+
cilium可以在内核转发和过滤数据包,可以解决现有的kube-proxy性能问题,这是有关介绍链接http://dockone.io/m/article/10046 现在主要的问题不仅在于网络是underlay还是overlay,也在于networkpolicy。
[serviceMesh]iptables,cilium,ebpf学习
小小李的博客
01-13 894
serviceMesh A Service Mesh is adedicated infrastructure layerfor handling service-to-service communication. It’s responsible for the reliable delivery of requests through the complex topology of services that comprise a modern, cloud native application..
管理pod的nat策略
yevvzi的博客
03-19 645
关闭docker及flannel的snat策略 关闭dockersnat docker默认开启masq,可以通过 --ip-masq=false参数关闭masq 关闭flannel snat策略 flannel默认通过参数注入的方式开启masq: 使用daemonset方式启动可以通过删除–ip-masq参数实现 在系统直接部署的可以修改/usr/libexec/flannel...
使用ip-masq-agent灵活的控制容器服务Kubernetes集群的SNAT规则
weixin_34034261的博客
02-12 1042
使用ip-masq-agent灵活的控制容器服务Kubernetes集群的SNAT规则 在容器服务的集群中,默认情况下的flannel会对POD访问到非POD的网段做SNAT,以确保POD到集群外部的资源访问,但在某些情况下,比如在容器服务的VPC集群中,POD到集群外部的资源是直接可以访问的,这时我们就可以自己定义节点上的SNAT规则,而达到直接用容器...
kubernetes/k8s源码分析】kubelet源码分析之容器网络初始化源码分析
zhonglinzhang
10-16 3695
一. 网络基础 1.1 网络命名空间的操作 创建网络命名空间: ip netns add 命名空间内执行命令: ip netns exec 进入命名空间: ip netns exec bash 1.2bridge-nf-call-iptables 数据包进入网卡,协议栈代码就能“看到”整个数据包,剩下的问题就是如何来解析和过滤的问题了 由于网桥工作于数据链路层,在ip...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值