kubernetes容器底层网络要求

最新推荐文章于 2023-02-08 17:38:02 发布
最新推荐文章于 2023-02-08 17:38:02 发布
阅读量755 收藏 2
点赞数
分类专栏: 操作系统 (OS) Networking kubernetes 文章标签: veth mtu kubernetes容器底层网络要求 容器数据通道
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/somyjun/article/details/88746477
版权

       容器可能部署在云上(公有云或者私有云),也可能部署在数据中心物理宿主机上。云的场景涉及到虚拟网络,数据中心场景就是传统的物理网络,这些环境的网络架构以及底层技术有着很大的差异,这一节分析下。

      不管是云的场景还是传统的数据中心场景,部署容器的宿主机之间的网络,抽象归纳起来需要具备下面的两个条件:

  • 可以通过二层交换机、或者三层路由器互相访问。
  • 源容器的“原始IP包”,经过中间的各个虚拟的还是物理的设备(veth、bridge、tun等)、节点(交换机、路由器等),不会因为一些原因被修改、丢弃,及时的送到目的容器。

     那么,如何满足这两个条件,即本节所讨论的:容器对底层网络环境的要求。

 

     这第一个条件,比较容易满足:

  • 二层互通,宿主机在同一物理网络VLAN、或者同一虚拟网络VXLAN。通过mac地址+vlanID,或者mac地址+vniID寻址转发。
  • 三层互通,宿主机在不同网络。物理网络的路由器,云平台虚拟网络的SDN,通过路由、或者流表转发互通。

   

    这第二个条件,“原始IP包”不能被丢弃、修改,及时送到目的地(这里就不要求可靠性吗?),咋看起来真有点挑战性。

我们先来具体分析下不同的容器网络方案中,这个“原始IP”包经过中间网络过程中,是如何一层层封装的。

                                                                   Figure -- 1

       如图Figure -- 1所示,“原始IP包”,经过veth-pair到达宿主机协议栈,再经过udp、vxlan、Ip-tunnel封装路由,最后由宿主机的物理设备eth0发出。

                                              Figure -- 2

        Figure--2是一个EthernetII数据报文格式,数据帧的有效长度在:64-1518字节之间,Payload的有效长度在:46-1500字节之间。容器网络各种方案可能的Payload:

  • Fannel udp:74-1528字节
  • Fannel host-gw:46-1500字节
  • Fannel vxlan:96-1550字节
  • Calico IPinip:66-1520字节
  • Calico directip:46-1500字节

 

显然封装的报文payload可能的最大长度已经超出了以太网数据帧最大payload值1500,由此可能会产生两个问题:

  • “原始IP包”被分片,目的容器收到分片的报文。
  • 路径MTU装不下封装后的报文,报文被丢弃。

怎么来避免和处理这个由path mtu引起的问题呢?

                                        Figure -- 3

      如图Figure -- 3,给出了三种可能的解决方案:

1.  设置容器网卡的MTU值  

如图,容器eth0的mtu值是1440,比1500少了60个字节,这种方式,由容器的TCP/IP来处理将应用程序的报文分片。

2. 功能模块自己切片、加序列号

fanneld进程,内核的vxlan,iptunnel模块,发送和收包过程中,处理分片和组包。(有这么做的吗?)

3. 宿主机IP分片

宿主机的IP层执行分片和组包,这种方式下,可能的情况就是,容器的一个TCP segment还会在宿主机被拆成两个IP包,等于执行了两次分拆,效率是个问题。

后面继续结合不同的网络方案以及代码来讲讲,哈哈。

 

 

 

 

somyjun
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Kubernetes(K8s)从入门到精通系列之八:部署K8s对软件、硬件、网络通信的要求
zhengzaifeidelushang的博客
08-05 735
Kubernetes(K8s)从入门到精通系列之八:部署K8s对软件、硬件、网络通信的要求
kubernetes 网络之 flannel 与 calico
03-16
Kubernetes是Google开源的一个容器编排引擎,它支持自动化部署、大规模可伸缩、应用容器化管理。在生产环境中部署一个应用程序时,通常要部署该应用的多个实例以便对应用请求进行负载均衡。在Kubernetes中,我们可以创建多个容器,每个容器里面运行一个应用实例,然后通过内置的负载均衡策略,实现对这一组应用实例的管理、发现、访问,而这些细节都不需要运维人员去进行复杂的手工配置和处理。 K8s网络kubernetes的管理中是不可或缺的部分,本套课程主要围绕目前主流的flannel和calico两个网络组件进行讲解。还深入的剖析了calico和k8s网络策略等。主要讲解K8S网络的以下几个方面:  1. Flannel网络在k8s中的应用,及三种后端模式的演示。  2. Calico网络在k8s中的架构及部署。  3. Calico各选项的调整及对网络性能的优化。  4. Calico网络策略和K8s网络策略的常见用法及案例。  5. Calico网络策略的高级使用场景,比如限制到k8s节点的流量及高并发流量的旁路等。  6. Flannel网络的迁移及和calico策略的集成。注意: 本课程学习需要具有一定的Linux基础,网络基础,至少需要您了解网络七层协议,路由等基础知识,并掌握Docker和k8s相关知识点。
跨网段主机搭建k8s集群注意事项
myp的博客
09-16 3126
跨网段主机搭建k8s集群需注意MTU值设置与calico网络模式
K8s扩容节点MTU引发跨网络段异常问题
u013488838的专栏
06-07 1338
容器新增主机,跨网段的话注意一下 网卡的 mtu设置问题,以下是问题解决说明,加跨网段机器前需要考虑调整mtu,否则新旧主机网络不通,新旧都要调整。具体可咨询zhaoyq。 「 和IP分片有关的,有一个重要的参数MTU。在默认的情况下,mtu不会有问题的,1500的默认值。集中化的MTU值不是1500 而是1450 现有集中化主机bond1的 mtu不是1500,而是1450,tunl0 是1440(默认值)。calico的官网,翻到MTU的章节,IPIP有20个字节的ip 头, 要比硬件网卡的..
kubernetes环境配置
weixin_43817952的博客
04-27 4855
K8S概述 k8s全称kubernetes,是一个为容器服务而生的可移植容器的编排管理工具,是谷歌严格保密十几年的秘密武器----Borg系统的一个开源版本,于2014年9月发布第一个版本,2015年7月发布第一个正式版本。目前k8s已经主导了云业务流程,推动了微服务架构等热门技术的普及和落地。K8S在架构方面很好的解决了可用性、伸缩性。在部署运维层面、服务部署、服务监控、应用扩容和故障处理方面,K8S都提供了很好的解决方案。 K8S的架构: 前期准备 准备的组件:三台CentOS7系统的服务器(一主二从
kubernetes容器网络
05-26 779
kubernetes中要保证容器之间网络互通网络至关重要。而kubernetes本身并没有自己实现容器网络,而是通过插件化的方式自由接入进来。在容器网络接入进来需要满足如下基本原则: pod无论运行在任何节点都可以互相直接通信,而不需要借助NAT地址转换实现。 node与pod可以互相通信,在不限制的前提下,pod可以访问任意网络。 pod拥有独立的网络栈,pod看到自己的地址和外部看见的地址应该是一样的,并且同个pod内所有的容器共享同个网络栈。 容器网络基础 一个Linux容器网络栈是被隔离在
6. Kubernetes容器网络1
08-03
Kubernetes环境中,容器网络是实现服务之间通信的关键部分。Kubernetes使用了一种...在实际应用中,Kubernetes还提供了多种网络插件,如Flannel、Calico等,它们在底层使用了上述技术,以提供更高级的功能和服务。
Kubernetes容器云平台多租户方案研究与设计
01-19
容器云平台中,租户共享底层的计算、存储、网络等资源,存在租户容器运行和数据安全问题。分析了 Kubernetes 访问控制和资源隔离实现方案基础上,提出了一种基于多租户访问控制模型的容器云平台多租户方案,涵盖多...
云原生详解-解读容器-Kubernetes .docx
08-24
【云原生详解-解读容器-Kubernetes】 云原生是一种以容器化应用为中心的软件开发方法,强调利用微服务架构、持续集成/持续部署(CI/CD)以及DevOps文化来快速迭代和部署应用程序。其中,Kubernetes(K8s)作为核心...
IBM基于Kubernetes容器云全解析
02-25
容器云最主要的功能是以...我们IBM的BlueDock就是这样一个容器云平台,主要基于Kubernetes实现了容器的编排和资源调度,并默认使用Mesos作为底层的资源管理器,但如果用户没有运行多个framework的需求,可不使用Meso
k8s特性
qq_44912603的博客
11-20 1414
一个目标:容器操作;两地三中心;四层服务发现;五种Pod共享资源;六个CNI常用插件;七层负载均衡;八种隔离维度;九个网络模型原则;十类IP地址;百级产品线;千级物理机;万级容器;相如无亿,K8s有亿:亿级日服务人次。 一个目标:容器操作 Kubernetes(k8s)是自动化容器操作的开源平台。这些容器操作包括:部署,调度和节点集群间扩展。 具体功能: 自动化容器部署和复制。 实时弹性收缩容器规模。 容器编排成组,并提供容器间的负载均衡。 调度:容器在哪个机器上运行。 组成: kubectl:客户端命令行
Kubernetes进阶 -- Flannel网络插件vxlan,host-gw,udp
thermal_life的博客
06-28 1304
vxlan是flannel网络的主流模式,通过了解通讯原理理解pod之间是怎样通讯的。
Docker 网络详解
03-15
Docker 是 PaaS 供应商 DotCloud 开源的一个基于 LXC 的高级容器引擎,基于 Go 语言开发并遵从Apache 2.0  协议,通过内核虚拟化技术(namespaces及cgroups等,这里的内核技术指的是Linux内核)来提供容器的资源隔离与安全保证等。由于docker通过操作系统层的虚拟化实现隔离,所以在运行时,不需要额外的虚拟化管理程序(VMM(Virtual Machine Monitor),以及Hyperisor)支持,它属于内核级虚拟化,可以实现更高的性能,同时对资源的额需求更低。它和KVM 虚拟化的区别在于:docker是通过隔离来进行创建容器,而KVM虚拟化通过模拟方式创建虚拟机。而本套课程主要讲解docker容器网络的各种构建方式,比如单台主机内的容器通信,及多台主机间的容器通信的主流实现方式。主要讲解Docker 网络以下几个方面:  1.  Linux的虚拟桥和虚拟网卡、网络名称空间等。  2.  Docker网络的基础知识。  3.  用户自定义的网络  4.  Docker和openvswitch虚拟交换机的集成。  5.  容器dns相关配置  6.  容器网络通信的相关安全  7.  容器和flannel网络集成  8.  容器网络的相关排错注意:本课程学习需要具有一定的Linux基础、网络基础,至少需要您了解网络七层协议,路由等基础知识,并掌握Docker相关知识点。
Docker学习:容器五种(3+2)网络模式 | bridge模式 | host模式 | none模式 | container 模式 | 自定义网络模式详解
热门推荐
血煞长虹 的专栏
01-12 2万+
本讲是从Docker系列讲解课程,单独抽离出来的一个小节,重点介绍容器网络模式, 属于了解范畴,有助于更好的理解Docker的容器之间的访问逻辑。 疑问:为什么要了解容器网络模式? 前言 首先,容器之间虽然不是物理隔离,但是它们彼此之间默认是不互联互通的,这也有助于保持每个容器的纯粹性,相互之间互不影响。 其次,既然使用了容器,通常情况下,容器需要与宿主机通信,或者A容器与B容器通信而B不需要知道A的存在,或者A/B两容器互通信。 从而,就引出了本节内容,他们相互通信,就绕不开容器网络模式
tcp_tw_recycle 参数导致的K8S网络问题
最新发布
甄能忽悠的博客
02-08 1122
开启这个功能是有很大风险的,服务器端会根据同一个 IP 发送过来的包的时间戳来判断是否丢包,而时间戳是根据发包的客户端的系统时间得来的,如果服务端收到的包是同一出口 IP 而系统时间不一样的两个客户端的包,就有可能会丢包,可能出现的情况就是一个局域网内有的客户端能连接服务端,有的不能。具体原因是客户端处于NAT模式下,出口ip可能是同一个ip,不同客户端的发送的时间戳可能乱序,服务器会检查相同ip地址发送来过的包的时间戳是不是小于缓存的时间戳,如果不是,直接丢掉。参数,以前看别人遇到过类似问题。
docker host net mtu (by quqi99)
技术并艺术着
03-06 1540
作者:张华 发表于:2021-03-06 版权声明:可以任意转载,转载时请务必以超链接形式标明文章原始出处和作者信息及本版权声明 在一个gre虚机上创建一个docker container,显然网络不通是由mtu造成的。但是如果host=net创建的网络为什么也是不行呢? sudo docker run --rm --net=host --privileged --name=nginx -v /sys/fs/cgroup:/sys/fs/cgroup -d -ti nginx sudo docker exe
解决Centos7 docker容器MTU值与宿主机不一致问题
Hu_wen的专栏
11-16 1566
1、在宿主机创建一个新网络连接(最后一串为网络名称,可自定义) docker network create --opt com.docker.network.driver.mtu=1450 app-network 2、创建新的容器(有容器可省略这步) docker-compose-1.26.2 -f /opt/docker-compose.yml up -d tomcat8008 3、查看容器的ID docker ps -a 4、给容器赋予新的网络连接 docker network connect MTU-
容器应用总是丢包如何分析?
爱死亡机器人
08-05 1665
文章目录1. 回顾2. 案例准备3. 案例分析3.1 链路层3.2 网络层和传输层3.3 iptables3.4 tcpdump 1. 回顾 容器化后的应用程序,问题分析结合: cgroups 会影响容器应用的运行; iptables 中的 NAT,会影响容器网络性能; 叠加文件系统,会影响应用的 I/O 性能等。 就以最常用的反向代理服务器 Nginx 为例,学习丢包的分析方法 所谓丢包,是指在网络数据的收发过程中,由于种种原因,数据包还没传输到应用程序中,就被丢弃了。这些被丢弃包的数量,除以总的
Docker Overlay网络MTU
weixin_34259232的博客
01-11 1003
原文地址 Docker Daemon生产环境配置提到了MTU设置,但是这只是针对于名为bridge的docker bridge network,对于overlay network是无效的。 如果docker host machine的网卡MTU为1500,则不需要此步骤 设置ingress和docker_gwbridge的MTU 以下步骤...
Arhiteture_f_Kubernetes.pdf
03-21
Arhiteture_f_Kubernetes.pdf

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值