metallb及k8s网络通信

最新推荐文章于 2023-04-23 19:06:08 发布
最新推荐文章于 2023-04-23 19:06:08 发布
阅读量648 收藏 2
点赞数
分类专栏: 运维企业实战 文章标签: kubernetes linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/snji_g/article/details/110959528
版权

metallb

官网: https://metallb.universe.tf/

搭建步骤:

1.kubectl edit configmap -n kube-system kube-proxy 编辑kube-proxy 的configmap文件
在这里插入图片描述

  1. kubectl apply -f https://raw.githubusercontent.com/metallb/metallb/v0.9.5/manifests/namespace.yaml 可以先通过wget 将该yaml文件拿下来,再应用
    kubectl apply -f https://raw.githubusercontent.com/metallb/metallb/v0.9.5/manifests/metallb.yaml 应用yaml文件
    kubectl create secret generic -n metallb-system memberlist --from-literal=secretkey="$(openssl rand -base64 128)" 创建一个secret
    在这里插入图片描述

测试;

  1. 建立一个地址池
apiVersion: v1
kind: ConfigMap
metadata:
  namespace: metallb-system
  name: config
data:
  config: |
    address-pools:
    - name: default
      protocol: layer2
      addresses:
      - 172.25.254.110-172.25.254.120

效果:
在这里插入图片描述
2. 启动一个简单的服务

apiVersion: v1
kind: Service
metadata:
  name: lb-nginx
spec:
  ports:
    - name: http
      port: 80
      targetPort: 80
  selector:
    app: nginx
  type: LoadBalancer

---

apiVersion: apps/v1
kind: Deployment
metadata:
  name: deployment-nginx
spec:
  replicas: 3
  selector:
    matchLabels:
      app: nginx
  template:
    metadata:
      labels:
        app: nginx
    spec:
      containers:
        - name: nginx
          image: nginx
          imagePullPolicy: IfNotPresent

测试效果;
在这里插入图片描述

结合ingress:
正常启动ingress,使其能通过节点端口的方式访问后端service,通过修改ingress-nginx-controller 的type为LoadBalancer

在这里插入图片描述

  1. 修改解析,查看测试效果
    在这里插入图片描述

k8s网络通信

k8s通过CNI接口接入其他插件来实现网络通讯,目前比较流行的插件有flannel,calico
CNI插件的存放位置: /etc/cni/net.d/ 目录下

  • 容器间通信:同一个pod内的多个容器间的通信,通过lo即可实现

  • pod之间的通信

    1. 同一节点的pod之间通过cni网桥转发数据包
    2. 不同节点的pod之间的通信需要网络插件的支持

  • pod和service通信:通过iptables或ipvs实现通信,ipvs取代不了iptables,因为ipvs没有nat功能

flannel网络通信

在这里插入图片描述

各个组件的解释:

  • Cni0: 网桥设备,每创建一个pod都会创建一对veth pair。其中一端时pod中的eth0,另一端时Cni0网桥中的端口(网卡)。Pod中从网卡eth0发出的流量都会发送到Cni0网桥设备的端口(网卡)上。
    Cni0 设备获得的ip地址是该节点分配到的网段的第一个地址。
  • Flannel.1: overlay网络的设备,用来进行vxlan报文的处理(封包和解包)。不同node之间的pod数据流量都从overlay设备以隧道的形式发送到对端。
    Flanneld:flannel在每个主机中运行flanneld作为agent,它会为所在主机从集群的网络地址空间中,获取一个小的网段subnet,本主机内所有容器的IP地址都将从中分配。同时Flanneld监听K8s集群数据库,为flannel.1设备提供封装数据时必要的mac,ip等网络数据信息。

不同node上的pod的通信流程

  1. pod中产生数据,根据pod的路由信息,将数据发送到Cni0
  2. Cni0 根据节点的路由表,将数据发送到隧道设备flannel.1
  3. Flannel.1查看数据包的目的ip,从flanneld获得对端隧道设备的必要信息,封装数据包。
  4. Flannel.1将数据包发送到对端设备。对端节点的网卡接收到数据包,发现数据包为overlay数据包,解开外层封装,并发送内层封装到flannel.1设备。
  5. Flannel.1设备查看数据包,根据路由表匹配,将数据发送给Cni0设备。
  6. Cni0匹配路由表,发送数据给网桥上对应的端口。

可以通过实验来感受这个过程,用daemonset控制器启动两个pod,默认就会在每一个节点起一个pod。
在这里插入图片描述
效果
在这里插入图片描述
命令查看:
在这里插入图片描述
网络原理:
在这里插入图片描述

目前flannel有多种backend管理网络,常用的有三种:hostgw,udp,vxlan,三者差异如下:

特点
host-gw这种方式就是直接路由
vxlan是flannel推荐的方式。需要通信的网络设备能够支持vxlan协议
udp该方式与vxlan很类似,它对ip层网络进行包装。通常用于调试环境或者不支持vxlan协议网络环境中。

默认采用vxlan的模式,可以修改为host-gw模式,或者两者并存:

  1. kubectl -n kube-system edit cm kube-flannel-cfg 进入交互模式,进行修改。
    在这里插入图片描述
  2. 修改了cm文件,并不会立马生效,可以通过删除flanel pod 的方式,使之生效。
    在这里插入图片描述
  1. 修改前后的变化
    在这里插入图片描述

vxlan模式,traceroute
在这里插入图片描述
host-gw模式
在这里插入图片描述

calico网络通信

官网: https://docs.projectcalico.org/about/about-calico

calico安装文件: calico.yml和namespace.yml 提取码: je48

镜像:

网络策略

官网: https://kubernetes.io/zh/docs/concepts/services-networking/network-policies/
通过deployment控制器,生成标签为app=nginx的pod。默认情况下,Pod 是非隔离的,它们接受任何来源的流量。可以通过NetworkPolicy来控制访问规则。
networkPolicy:

apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: deny-nginx
spec:
  podSelector:
    matchLabels:
      app: nginx

效果:
在这里插入图片描述
默认会禁止入站流量,对出站流量不做限制。

禁止namespace中所有Pod之间的相互访问

apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: default-deny
  namespace: default
spec:
  podSelector: {}

禁止其他namespace访问服务

不同namespace的pod是可以直接通行的
在这里插入图片描述

禁止其他namespace访问服务的yaml

apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: deny-namespace
spec:
  podSelector:
    matchLabels:
  ingress:
  - from:
    - podSelector: {}

效果:
在这里插入图片描述

允许指定namespace访问
在这里插入图片描述
限制指定namespace 下匹配的pod 禁止访问
在这里插入图片描述

snji
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
k8s 网络通信详解
11-12
不同的网络命名空间中,协议栈是独立的,完全隔离,彼此之间无法通信。同一个网络命名空间有独立的路由表和独立的Iptables/Netfilter来提供包的转发、NAT、IP包过滤等功能。
使用phpstudy8布置网站,局域网内部其他电脑即可访问
x111mj222的博客
09-18 2946
使用phpstudy8布置网站,局域网内部其他电脑即可访问前言一、关闭防火墙二、布置网站1.使用phpstudy8建立网站2.测试网络通信是否正常3.访问网站总结 前言 作为一个新手程序员,进入公司了有时候会要求把网站放入局域网给同事展示的场景,现在展示一下,应该我是怎么做。 一、关闭防火墙 二、布置网站 1.使用phpstudy8建立网站 这里是使用集成环境,方便开发,你也可以使用其他的集成环境工具wamp等等,如果不用集成环境也可以(可自行去网上查找)。使用phpstudy布置网站,我这里使用的
用PHPstudy8布置网站,局域网下其他电脑可访问(手把手教学)
呼啦呼啦嘞的博客
11-14 3988
手把手教你 如何在局域网下让别人访问你部署在电脑上的网站
phpstudy设置项目可以由局域网的其他电脑可以访问
dw5235的博客
05-23 776
PHPStudy局域网访问WWW
平凡老者
08-28 5302
PHPStudy集成环境下 配置局域网内访问项目目录,可以在其他局域网内的电脑上直接访问本机项目。 搭建并配置好环境后,打开 vhosts-conf配置文件: <VirtualHost *:80>     DocumentRoot "D:\phpStudy\WWW\zentao"     ServerName www.zentao.com     ServerAlias 192.16...
phpstudy 设置同一局域网可以访问
qq_28286687的博客
05-22 4307
phpstudy 设置同一局域网可以访问
k8s fannel网络插件
02-20
k8s fannel网络插件
K8s外部网络访问之Ingress附件
最新发布
10-25
K8s外部网络访问之Ingress附件
k8s网络插件calico启动yaml文件
06-10
k8s网络插件calico启动yaml文件
k8s容器通信-flannel网络.docx
04-09
flannel,k8s的网络模型,为k8s集群内的容器提供网络服务的组件。 主要作用: 为集群内所有容器提供一个扁平化的网络环境,即:所有容器在flannel提供的网络平面上可以看作是在同一网段,自由通信。其模型为全部的...
MetalLB暴露的VIP部分端口不通
喝醉酒的小白
04-23 1108
MetalLB是一个开源的负载均衡器,用于在Kubernetes集群中为服务分配外部IP地址。如果您的Kubernetes集群部署在云服务提供商上,则需要确保正确配置了防火墙规则以允许流量通过MetalLB暴露的端口。如果您的Kubernetes集群启用了网络策略,则需要确保正确配置了网络策略以允许流量通过MetalLB暴露的端口。如果telnet或nc命令无法连接到MetalLB暴露的端口,则可能存在网络连接问题。通过以上步骤进行排查,可以找到MetalLB暴露的VIP部分端口不通的原因。
phpStudy8实现内网访问网站,支持多网站
qq_33947509的博客
02-10 2042
phpstudy8新建网站实现内网访问
k8s安装部署及pod、控制器、service、ingress简介
Snji_G的博客
12-10 1613
service: 容器内部之间访问 clusterIP模式(默认) [root@server1 k8s_file]# cat service.yml --- apiVersion: v1 kind: Service metadata: name: myservice spec: selector: app: myapp ports: - protocol: TCP port: 80 targetPort: 80 type: ClusterIP 适用于集群内部
利用pcs +pacemaker +corosync 实现(HA)高可用集群
Snji_G的博客
10-26 990
实验环境搭建 在linux环境中,通过母盘是redhat7.6的操作系统,克隆搭建三台域名分别为node1,node2, node3,主机名分别为server1,server2,server3的三台虚拟机。(名称可以任选) 给三台主机分别配置好各自的ip地址和dns地址解析,实现三台虚拟机可以互相ping通。 对于虚拟机的ip和对应的dns解析可以参考 配置好三台主机的yum源仓库,(可以通过宿主机的httpd服务,搭建网络仓库) 对于做高可用节点的虚拟机server1和server2则需要
mysql 5.7.31+ php7.4.12 + nginx1.91.1源码编译
Snji_G的博客
11-02 746
mysql5.7.31源码编译 源码包:安装mysql-boost-5.7.31.tar.gz tar zxf mysql-boost-5.7.31.tar.gz 解压安装包到当前路径 yum install gcc gcc-c++ ncurses-devel openssl-devel cmake bison 解决安装mysql需要的软件依赖性 cd mysql-5.7.31 进入到解压目录开始进行编译,执行下边这个命令 cmake -DCMAKE_INSTALL_PREFIX=
openstack核心组件的安装和部署(mitaka)
Snji_G的博客
03-21 728
KVM环境: controller控制节点和计算节点都需要: 双网卡 cpu 设置: 需要设置设置host-passthrough 模式 解析,三个节点都需要修改 每个节点都需要,时间同步服务chronyd服务,选择同步真机的时间。 真机配置文件的修改: 节点直接同步就行了chronyc sources -v显示同步成功 控制节点 部署openstack源仓库 执行yum upgrade在主机上升级包 yum upgrade 安装 OpenStack 客户端:
mysql主从复制,组复制以及高可用
Snji_G的博客
11-09 538
实验环境模拟: 一台进行源码编译过mysql.5.7.31的主机lnmp,编译目录在 /usr/local/lnmp/mysql ,主机IP为172.25.3.199/24。 一台IP为172.25.3.1/24 的server1主机,两台主机都做好了解析。 mysql 的主从复制 基于二进制文件的主从复制 步骤: 通过rsync命令将lnmp主机上的nginx 源码编译后的目录发送到server1主机上,并添加mysql用户. 将mysql目录下的bin 目录写在 $PATH 中,用mysqld
keepalive+Lvs 实现高可用负载均衡
Snji_G的博客
10-29 526
实验环境搭建 在linux环境中,通过母盘是redhat7.6的操作系统,克隆搭建四台域名分别为node1,node2, node3,node4; 主机名分别为server1,server2,server3, server4的四台虚拟机。(名称可以任选) 给四台主机分别配置好各自的ip地址和dns地址解析,实现四台虚拟机可以互相ping通。 对于虚拟机的ip和对应的dns解析可以参考 配置好四台主机的yum源仓库,(可以通过宿主机的httpd服务,搭建网络仓库) 关闭掉所有虚拟机的防火墙,并将所
k8s网络相关知识点
09-21
k8s提供了一些默认的网络插件,如Flannel、Calico等,用于管理Pod之间的网络通信。网络插件负责创建网络的子网和路由表,并将Pod的IP地址与宿主机的虚拟网卡进行关联。 总结来说,k8s网络涉及到虚拟网络、kube-...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值