k8s中的ipvs

已于 2022-10-11 16:03:33 修改
阅读量1.6k 收藏 3
点赞数
分类专栏: # k8s 文章标签: kubernetes ipvs
于 2022-10-11 15:56:36 首次发布
原文链接:https://www.jianshu.com/p/e53e24c27efe
版权

原文

当我们部署kube-prox时都会存在一个选择, 是选择ipvs模式还是iptables哪个好呢? 也还存在其它的疑问外部流量访问到svc,然后svc跳转pod访问应用.
svc怎么跳转访问pod的呢?
kube-proxy实现svc到pod的访问和负载均衡. 让我们带着问题阅读下面的文章

1.IPVS工作原理

IPVS基本上是一种高效的Layer-4交换机,它提供负载平衡的功能。当一个TCP连接的初始SYN报文到达时,IPVS就选择一台服务器,将报文转发给它。此后通过查发报文的IP和TCP报文头地址,保证此连接的后继报文被转发到相同的服务器。这样,IPVS无法检查到请求的内容再选择服务器,这就要求后端的服务器组是提供相同的服务,不管请求被送到哪一台服务器,返回结果都应该是一样的。但是在有一些应用中后端的服务器可能功能不一,有的是提供HTML文档的Web服务器,有的是提供图片的Web服务器,有的是提供CGI的Web服务器。这时,就需要基于内容请求分发 (Content-Based Request Distribution),同时基于内容请求分发可以提高后端服务器上访问的局部性。

因为当我们指定--proxy-mode=ipvs 时IPVS使用的NAT模式做服务映射, 所以我们主要说NAT模式工作原理

IPVS/NAT模式

由于IPv4中IP地址空间的日益紧张和安全方面的原因,很多网络使用保留IP地址(10.0.0.0/255.0.0.0、 172.16.0.0/255.128.0.0和192.168.0.0/255.255.0.0)[64, 65,66]。这些地址不在Internet上使用,而是专门为内部网络预留的。当内部网络中的主机要访问Internet或被Internet访问时,就需要采用网络地址转换(Network Address Translation, 以下简称NAT),将内部地址转化为Internets上可用的外部地址。

NAT的工作原理是报文头(目标地址、源地址和端口等)被正确改写后,客户相信它们连接一个IP地址,而不同IP地址的服务器组也认为它们是与客户直接相连的。由此,可以用NAT方法将不同IP地址的并行网络服务变成在一个IP地址上的一个虚拟服务。

客户通过Virtual IPAddress(虚拟服务的IP地址)访问网络服务时,请求报文到达调度器,调度器根据连接调度算法从一组真实服务器中选出一台服务器,将报文的目标地址 Virtual IPAddress改写成选定服务器的地址,报文的目标端口改写成选定服务器的相应端口,最后将修改后的报文发送给选出的服务器。同时,调度器在连接Hash 表中记录这个连接,当这个连接的下一个报文到达时,从连接Hash表中可以得到原选定服务器的地址和端口,进行同样的改写操作,并将报文传给原选定的服务器。当来自真实服务器的响应报文经过调度器时,调度器将报文的源地址和源端口改为Virtual IPAddress和相应的端口,再把报文发给用户。我们在连接上引入一个状态机,不同的报文会使得连接处于不同的状态,不同的状态有不同的超时值

图没了

  1. 当用户向负载均衡调度器(Director Server)发起请求,调度器将请求发往至内核空间
  2. PREROUTING链首先会接收到用户请求,判断目标IP确定是本机IP,将数据包发往INPUT链
  3. IPVS是工作在INPUT链上的 ,当用户请求到达INPUT时,IPVS会将用户请求和自己已定义好的集群服务进行比对,如果用户请求的就是定义的集群服务,那么此时IPVS会强行修改数据包里的目标IP地址及端口,并将新的数据包发往FORWORD链
  4. FORWORD链将数据将数据包发给POSTROUTING链
  5. POSTROUTING链接收数据包后发现目标IP地址刚好是自己的后端服务器,那么此时通过选路,将数据包最终发送给后端的服务器

2.Service提供常用的类型

  • ClusterIP,也是默认方式。Service会分配一个集群内部的固定虚拟IP,实现集群内通过该IP来对POD进行访问。这个又有两类,上面说到的最普通的Service,ClusterIP还有一种是Headless Service,这种形式不会分配IP也不会通过kube-proxy做反向代理或者负载均衡,而是通过DNS提供稳定的网络ID来访问,DNS会将headless service的后端直接解析为POD的IP列表,这种主要是共StatefulSet类型使用。
  • NodePort,这种类型的Service是除了使用ClusterIP的功能外还会映射一个宿主机随机端口到service上,这样集群外部可以通过宿主机IP+随机端口来访问。
  • LoadBalancer:和nodePort类似,不过除了使用ClusterIP和NodePort之外还会向使用的公有云申请一个负载均衡器,从而实现集群外部通过LB来访问服务
  • ExternalName:是Service的一种特例,此模式主要面对运行在集群外部的服务,通过它可以将外部服务映射到k8s集群,具备k8s内服务的一些特性,来为集群内部提供服务。

我们主要说的是ClusterIP和NodePort

3.kube-proxy如何处理请求

图没了

如上图所示Iptables的链的规则从pod发起的请求到达主机以后首先会到达PREROUTEING链, kube-proxy 中主要用到了iptables的NAT表

NAT表有三种内建链:

  • PREROUTING链 – 处理刚到达本机并在路由转发前的数据包。它会转换数据包中的目标IP地址(destination ip address),通常用于DNAT(destination NAT)。
  • POSTROUTING链 – 处理即将离开本机的数据包。它会转换数据包中的源IP地址(source ip address),通常用于SNAT(source NAT)。
  • OUTPUT链 – 处理本机产生的数据包。
$ iptables-save
...
*nat
:PREROUTING ACCEPT [7:420]
:INPUT ACCEPT [7:420]
:OUTPUT ACCEPT [9:556]
:POSTROUTING ACCEPT [9:556]
:DOCKER - [0:0]
:KUBE-FIREWALL - [0:0]
:KUBE-KUBELET-CANARY - [0:0]
:KUBE-LOAD-BALANCER - [0:0]
:KUBE-MARK-DROP - [0:0]
:KUBE-MARK-MASQ - [0:0]
:KUBE-NODE-PORT - [0:0]
:KUBE-POSTROUTING - [0:0]
:KUBE-SERVICES - [0:0]
-A PREROUTING -m comment --comment "kubernetes service portals" -j KUBE-SERVICES
-A PREROUTING -m addrtype --dst-type LOCAL -j DOCKER
-A OUTPUT -m comment --comment "kubernetes service portals" -j KUBE-SERVICES
-A OUTPUT ! -d 127.0.0.0/8 -m addrtype --dst-type LOCAL -j DOCKER
-A POSTROUTING -m comment --comment "kubernetes postrouting rules" -j KUBE-POSTROUTING
-A POSTROUTING -s 10.243.0.0/16 -d 10.243.0.0/16 -j RETURN
-A POSTROUTING -s 10.243.0.0/16 ! -d 224.0.0.0/4 -j MASQUERADE
-A POSTROUTING ! -s 10.243.0.0/16 -d 10.243.104.0/21 -j RETURN
-A POSTROUTING ! -s 10.243.0.0/16 -d 10.243.0.0/16 -j MASQUERADE
-A KUBE-FIREWALL -j KUBE-MARK-DROP
-A KUBE-LOAD-BALANCER -j KUBE-MARK-MASQ
-A KUBE-MARK-MASQ -j MARK --set-xmark 0x4000/0x4000
-A KUBE-NODE-PORT -p tcp -m comment --comment "Kubernetes nodeport TCP port for masquerade purpose" -m set --match-set KUBE-NODE-PORT-TCP dst -j KUBE-MARK-MASQ
-A KUBE-POSTROUTING -m comment --comment "kubernetes service traffic requiring SNAT" -m mark --mark 0x4000/0x4000 -j MASQUERADE
-A KUBE-POSTROUTING -m comment --comment "Kubernetes endpoints dst ip:port, source ip for solving hairpin purpose" -m set --match-set KUBE-LOOP-BACK dst,dst,src -j MASQUERADE
-A KUBE-SERVICES ! -s 10.243.0.0/16 -m comment --comment "Kubernetes service cluster ip + port for masquerade purpose" -m set --match-set KUBE-CLUSTER-IP dst,dst -j KUBE-MARK-MASQ
-A KUBE-SERVICES -m addrtype --dst-type LOCAL -j KUBE-NODE-PORT
-A KUBE-SERVICES -m set --match-set KUBE-CLUSTER-IP dst,dst -j ACCEPT
COMMIT
...

3.1集群内部流量

流程如下:

+------+     +--------------+     +--------------------+     +------+
| POD1 | --> | OUTPUT CHAIN | --> | KUBE-SERVICES RULE | --> | IPVS |
+------+     +--------------+     +--------------------+     +------+

OUTPUT CHAIN规则如下, 所有流量跳转到KUBE-SERVICES CHAIN

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination
KUBE-SERVICES  all  --  0.0.0.0/0            0.0.0.0/0            /* kubernetes service portals */
DOCKER     all  --  0.0.0.0/0           !127.0.0.0/8          ADDRTYPE match dst-type LOCAL

KUBE-SERVICES CHAIN规则如下

Chain KUBE-SERVICES (2 references)
target     prot opt source               destination
KUBE-MARK-MASQ  all  -- !10.243.0.0/16        0.0.0.0/0            /* Kubernetes service cluster ip + port for masquerade purpose */ match-set KUBE-CLUSTER-IP dst,dst
KUBE-NODE-PORT  all  --  0.0.0.0/0            0.0.0.0/0            ADDRTYPE match dst-type LOCAL
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0            match-set KUBE-CLUSTER-IP dst,dst

ClusterIP service 的访问流量会匹配ACCEPT,其匹配规则是match-set KUBE-CLUSTER-IP dst,dst,即封包的IP:port匹配内核中名为KUBE-CLUSTER-IP的 ipset。

IPVS的配置如下

$ ipvsadm -L -n
IP Virtual Server version 1.2.1 (size=4096)
Prot LocalAddress:Port Scheduler Flags
  -> RemoteAddress:Port           Forward Weight ActiveConn InActConn
TCP  10.244.0.1:443 rr
  -> 10.40.58.153:6443            Masq    1      0          0
  -> 10.40.58.154:6443            Masq    1      0          0
  -> 10.40.61.116:6443            Masq    1      1          0

3.2集群外部流量

流程如下:

+--------+     +---------+     +------------------+     +--------------------+     +----------------+     +------+
| CLIENT | --> | SERVICE | --> | PREROUTING CHAIN | --> | KUBE-SERVICES RULE | --> | KUBE-MARK-MASQ | --> | IPVS |
+--------+     +---------+     +------------------+     +--------------------+     +----------------+     +------+

PREROUTING CHAIN规则如下, 所有流量跳转到KUBE-SERVICES CHAIN

$ iptables -L -t nat
Chain PREROUTING (policy ACCEPT)
target     prot opt source               destination
KUBE-SERVICES  all  --  anywhere             anywhere             /* kubernetes service portals */
DOCKER     all  --  anywhere             anywhere             ADDRTYPE match dst-type LOCAL

KUBE-SERVICES CHAIN规则如下

Chain KUBE-SERVICES (2 references)
target     prot opt source               destination
KUBE-MARK-MASQ  all  -- !10.243.0.0/16        0.0.0.0/0            /* Kubernetes service cluster ip + port for masquerade purpose */ match-set KUBE-CLUSTER-IP dst,dst
KUBE-NODE-PORT  all  --  0.0.0.0/0            0.0.0.0/0            ADDRTYPE match dst-type LOCAL
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0            match-set KUBE-CLUSTER-IP dst,dst

ClusterIP service 的访问流量会匹配KUBE-MARK-MASQ,其匹配规则是match-set KUBE-CLUSTER-IP dst,dst 并且源地址不是pod的CIDR地址段,所有流量jump 到KUBE-MARK-MASQ链

Chain KUBE-MARK-MASQ (3 references)
target     prot opt source               destination
MARK       all  --  0.0.0.0/0            0.0.0.0/0            MARK or 0x4000

为所有的流封包打上0x4000的标记, 后续交给IPVS处理

3.3 NodePort

流程如下:

+-----+     +------------------+     +--------------------+     +----------------+     +----------------+     +------+
| pod | --> | PREROUTINH CHAIN | --> | KUBE-SERVICES RULE | --> | KUBE-NODE-PORT | --> | KUBE-MARK-MASQ | --> | IPVS |
+-----+     +------------------+     +--------------------+     +----------------+     +----------------+     +------+

对于访问 NodePort service 来说,其流量第一步依然是经由PREROUTING chain,而后跳转到KUBE-SERVICES chain。在这里封包会jump到KUBE-NODE-PORT target chain,其匹配条件是ADDRTYPE match dst-type LOCAL,即目标地址类型是 Node 配置的地址(eth0),这符合 NodePort 的定义。

KUBE-NODE-PORT 的规则如下

Chain KUBE-NODE-PORT (1 references)
target     prot opt source               destination
KUBE-MARK-MASQ  tcp  --  0.0.0.0/0            0.0.0.0/0            /* Kubernetes nodeport TCP port for masquerade purpose */ match-set KUBE-NODE-PORT-TCP dst

对于匹配到KUBE-NODE-PORT的封包jump到KUBE-MARK-MASQ打上0x4000标记

KUBE-NODE-PORT-TCP ipset 规则如下:

$ ipset  -L KUBE-NODE-PORT-TCP 
Name: KUBE-NODE-PORT-TCP
Type: bitmap:port
Revision: 1
Header: range 0-65535
Size in memory: 524432
References: 1
Members:
32106

ipvs的配置如下

$ ipvsadm -L -n
IP Virtual Server version 1.2.1 (size=4096)
Prot LocalAddress:Port Scheduler Flags
  -> RemoteAddress:Port           Forward Weight ActiveConn InActConn
TCP  10.40.61.116:32106 rr
TCP  10.243.104.0:32106 rr
TCP  10.243.104.1:32106 rr

4.summary

kube-proxy IPVS 模式依然会使用 iptables 来做封包 MASQUERADE,但是其使用 ipset match 的方式保持了 iptables 规则数量恒定(几条),随着 service 的数量增多,不会出现 iptables 规则过多以及线性匹配的性能瓶颈。 这里使用 iptables 与否不是关键,iptalbes 与 IPVS 理论上都是内核 netfilter 模块的客户端,IPVS 这里只是借用 iptables 方便地设置 netfilter 转发。

流程如下:

+--------+     +---------+     +------+     +-----+
| CLIENT | --> | SERVICE | --> | IPVS | --> | POD |
+--------+     +---------+     +------+     +-----+

架构如下:

+--------+     +------+     +-------+
| CLIENT | --> |      | --> | POD01 |
+--------+     |      |     +-------+
               |      |     +-------+
               | NODE | --> | POD02 |
               |      |     +-------+
               |      |     +-------+
               |      | --> | POD03 |
               +------+     +-------+
  1. 集群中的每台NODE都是Director, 因为所有的iptables和ipvs规则会配置在集群中的每个node上
  2. Service上的CLusterIP为VIP

使用ip addr show会发现存在kube-ipvs0的虚拟网卡,IP地址cluster的IP

帅大大的架构之路
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
安装k8s 1.24.0
08-19
在安装 k8s 1.24.0 之前,需要配置服务器支持开启 ipvs 的前置条件,包括: * 加载 overlay 和 br_netfilter 内核模块 * 配置 /etc/sysctl.d/99-kubernetes-cri.conf 文件 通过遵循以上步骤,可以成功安装 k8s ...
超级kubeadm 高可用k8s-master用
08-14
目前kubernetes高可用需要要么依赖外部负载均衡器,自己搭建时就需要做keepalived haproxy等,比较麻烦,在某些云上可能keepalived还无法...sealyun定制超级版kubeadm通过ipvs代理多个master,优雅解决k8s高可用问题。
lvs的八种调度算法!
07-27 323
1. 轮叫调度 rr 这种算法是最简单的,就是按依次循环的方式将请求调度到不同的服务器上,该算法最大的特点就是简单。轮询算法假设所有的服务器处理请求的能力都是一样的,调度器会将所有的请求平均分配给每个真实服务器,不管后端 RS 配置和处理能力,非常均衡地分发下去。 2. 加权轮叫 wrr 这种算法比 rr 的算法多了一个权重的概念,可以给 RS 设置权重,权重越高,那么分发的请求数越多,权重的取值...
(六)k8s-----ipvsiptables调度算法,DNS服务(kube-dns,coredns)
weixin_45697293的博客
07-08 967
文章目录1. 修改iptables为ipvs及调度算法2. 设置token登录会话保持时间3. session保持DNS服务:1. 部署kube-dns2. 部署coredns3. 域名解析测试 1. 修改iptables为ipvs及调度算法 https://github.com/kubernetes/kubernetes/tree/master/pkg/proxy/ipvs IPVS模式在Kubernetes v1.8引入alpha版本,在v1.9处于beta版本,在v1.11处于GA(也就是rel
( —基础— ) k8s----介绍,概念,组件(ipvsiptables(1)
最新发布
m0_60452134的博客
04-21 800
除了简历做到位,面试题也必不可少,整理了些题目,前面有117道汇总的面试到的题目,后面包括了HTML、CSS、JS、ES6、vue、微信小程序、项目类问题、笔试编程类题等专题。网上学习资料一大堆,但如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。需要这份系统化的资料的朋友,可以添加V获取:vip1024c (备注前端)一个人可以走的很快,但一群人才能走的更远!
Kubernetes启用IPVS模式
小楼一夜听春雨,深巷明朝卖杏花
11-17 4951
kubernetes自1.8版本开始强推ipvs,之前版本默认使用iptables,这个iptables大家应该比较熟悉的,Linux默认防火墙嘛,它是比较古老的一种网络模式。kubernetes在版本v1.6已经支持5000个节点,但使用iptables 的 kube-proxy 实际上是将集群扩展到5000个节点的瓶颈。在5000节点集群使用 NodePort 服务,如果有2000个服务并且每个服务有10个 pod,这将在每个工作节点上至少产生20000个iptable 记录,
k8s】Service代理模式之IPVS模式、无头服务、发布service五种类型、Fannel原理及Flannel vxlan类型
神棍之路
08-25 1922
同一个pod内的多个容器间的通信,通过lo回环网络接口即可实现;同一节点的pod之间通过cni网桥转发数据包。不同节点的pod之间的通信需要网络插件支持。通过iptables或ipvs实现通信,ipvs取代不了iptables,因为ipvs只能做负载均衡,而做不了nat转换。iptables的MASQUERADE。**Service与集群外部客户端的通信:**ingress、nodeport、loadbalancer。
K8Siptables和ipvs区别
热门推荐
qq_36807862的博客
05-12 2万+
k8s的1.8版本开始,kube-proxy引入了IPVS模式,IPVS模式与iptables同样基于Netfilter,但是ipvs采用的hash表,iptables采用一条条的规则列表。iptables又是为了防火墙设计的,集群数量越多iptables规则就越多,而iptables规则是从上到下匹配,所以效率就越是低下。因此当service数量达到一定规模时,hash查表的速度优势就会显现出来,从而提高service的服务性能 每个节点的kube-proxy负责监听API serverservic
k8s+k8s+pod介绍与网络通讯+配合博文
03-30
本文将深入探讨k8s的Pod、控制器、网络架构以及Flannel网络解决方案,同时阐述不同层次的网络通信机制。 1、k8s的Pod介绍 Pod是k8s的基本调度单元,它代表了运行在一个或多个容器的应用程序实例。Pod封装了一个...
k8s3主1从-1.15.1-高可用搭建-ipvs模式
06-28
在本主题,我们将深入探讨如何使用 Kubernetes (k8s) 1.15.1 版本构建一个高可用的集群,特别是采用 IPVS 模式。IPVS(Internet Protocol Virtual Server)是一种高效的负载均衡解决方案,适用于 Kubernetes 集群...
IPVS(LVS)负载均衡简介及实验测试
qq_42409495的博客
12-13 3148
1 LVS 简介 LVS是Linux Virtual Server的简称,也就是Linux虚拟服务器, 是一个由章文嵩博士发起的自由软件项目,现在已经是 Linux标准内核的一部分。LVS是一种叫基于TCP/IP的负载均衡技术,转发效率极高,具有处理百万计并发连接请求的能力。 LVSIP负载均衡技术是通过IPVS模块实现的。IPVS模块是LVS集群的核心软件模块,它安装在LVS集群作为负载均衡的主节点上,虚拟出一个IP地址和端口对外提供服务。用户通过访问这个虚拟服务(VS),然后访问请求由负载均衡器(
K8S kube-proxy ipvs 原理分析
shufanhao.top Blog
02-24 7848
1 在k8s 设置ipvs模式1.1 Perquisites1.2 修改kube-proxy 启动参数2 ipvs kube-proxy原理分析2.1 集群内部通过cluster ip访问到Pod2.2 集群外部通过node ip 访问到Pod2.3 总结Refer 1 在k8s 设置ipvs模式 因为iptables的效率比较低,在k8s v1.11已经release 了ipvs。本文将描述...
运维高级学习--Kubernetes(K8s 1.28.x)部署
c1429163893的博客
08-26 4009
至此,Kubernetes(K8s 1.28.x)部署完成。在仓库新建项目:google_containers。接下来这一步只用在一个主机上操作。网络环境(在master主机上)定制软件源(所有主机操作)master节点初始化。
查看k8s集群使用的防火墙模式
CN_Eden
03-01 1079
查看k8s集群使用的防火墙模式: [root@K8s-node ~]# curl 127.0.0.1:10249/proxyMode iptables[root@K8s-node ~]# 从以上代码,可看出使用的是iptables模式
Linux - IPVS
个人纪录、总结!
03-06 1458
Linux - 目录 Linux - IPVS一、IPVS 简介 前置知识点 防火墙简介: 能够确保信息安全的一种设备,设备上有一些特定的规则,允许或拒绝数据包通过。通过防火墙可以隔离风险区域与安全区域的连接,同时不会妨碍风险区域的访问。当然需要注意的是世界上没有绝对的安全,防火墙也只是启到一定的安全防护。大多数的安全风险还是在内网当! 防火墙分类: 软件防火墙:软件防火墙需要运行在特定的计算机上,而且需要计算机的操作系统的支持。 硬件防火墙:硬件防火墙其实就是一个普通 pc 机的架构,然后上.
kubernetes1.16.3、1.17.4高可用集群安装
03-18
本套课程会带领大家学习kubernetes1.16.3,kubernetes1.17.4高可用集群的安装,通过keepalive+lvs实现master节点apiserver的高可用,同时会安装dashboard和metrics等附加组件
lvs三种模式
世间万事,风云变幻,苍黄翻覆,纵使波橘云诡,但制心一处,便无事不成。天定胜人,人定兮胜天。
10-14 249
lvs三种模式 LVS简介 LVS,是Linux Virtual Server的简称,也就是Linux虚拟服务器, 是一个由章文嵩博士发起的自由软件项目。LVS由用户空间的ipvsadm和内核空间的IPVS组成,ipvsadm用来定义规则,IPVS利用ipvsadm定义的规则工作。现在LVS已经是 Linux标准内核的一部分,在Linux2.4内核以前,使用LVS时必须要重新编译内核以支持LVS功能模块,但是从Linux2.4内核以后,已经完全内置了LVS的各个功能模块,无需给内核打任何补丁,可以直接使用L
k8sipvsiptables的区别
06-28
### 回答1: K8sIPVSiptables的区别在于它们是不同的负载均衡技术。IPVS是一种基于内核的负载均衡技术,它可以在内核层面进行负载均衡,提高了负载均衡的效率和性能。而iptables是一种基于用户空间的负载均衡技术,它需要在用户空间进行处理,因此效率和性能相对较低。在K8sIPVS通常用于服务的负载均衡,而iptables则用于网络策略的实现。 ### 回答2: Kubernetes(简称为k8s)是一种通用的开源平台,用于自动部署、扩展和管理容器化应用程序。在KubernetesIPVSiptables是两种不同的网络代理,它们之间有很多区别。 首先,IPVS是基于四层网络代理,而iptables是基于五层网络代理。IPVS通过监听网络流量并进行路由,可以对L4层上的传输控制协议(TCP)、用户数据报协议(UDP)和其他协议进行路由和负载均衡。这意味着IPVS可以实现精细的四层网络代理,并更好地处理垂直扩展负载均衡和在k8s集群上运行的数据库等服务。 另一方面,iptables可以处理传输控制协议(TCP)和用户数据报协议(UDP)之外的网络层上的协议(例如,Internet控制报文协议ICMP)。因此,在k8s使用iptables来代理网络不仅可以实现简单的TCP或UDP流量路由,还可以进行更细粒度的路由(如IP地址或网络端口)。 其次,IPVSiptables的工作方式也有所不同。IPVS使用IP地址和端口号将流量重定向到不同的后端Pod,而iptables使用更细粒度的规则,它通常会检查包的一些字段(如源和目的地址、端口和协议),并使用这些字段来匹配规则的条件。当数据包满足匹配条件时,iptables可以更容易地将流量重定向到特定的后端Pod,从而实现负载均衡。 因此,从功能和执行方式上来看,IPVSiptables都有其优劣。在使用k8s网络代理时,应根据特定的使用场景和需求以及负载均衡策略权衡二者之间的区别,选择最适合的选项。需要注意的是,在不同时期,k8s网络代理观念也会有所变化,甚至会出现新的选项。因此,在选择k8s网络代理时,应及时了解k8s的最新情况和趋势,以便为集群带来更好的网络性能和扩展性。 ### 回答3: k8sipvsiptables是两种不同的负载均衡技术,它们的作用都是将请求平均地分配到不同的后端服务,以提高系统的可用性。它们之间的区别包括以下几个方面: 1. 实现原理:ipvs是基于网络层实现的负载均衡技术,它使用Linux内核提供的网络层IP Virtual Server机制,通过虚拟IP地址实现负载均衡,将来自客户端的请求转发到不同的后端服务。而iptables是基于应用层实现的负载均衡技术,它使用Linux内核提供的iptables规则,针对特定的应用端口对请求进行过滤和转发。 2. 性能:由于ipvs是基于网络层实现的,所以它的性能比iptables更高。ipvs的转发速度比iptables快,同时ipvs可以使用网卡的多队列技术,支持多核CPU,可以更好地利用服务器的硬件资源。 3. 功能:ipvsiptables在功能上也有较大的区别。ipvs不仅可以实现负载均衡,还可以实现网络地址转换(NAT)、流量控制、反向代理等功能。而iptables则更适合实现网络安全相关的功能,如防火墙、入侵检测等。 4. 稳定性:ipvs作为Linux内核的一部分,稳定性更高。而iptables则可能会受到用户规则的影响,导致系统出现异常。 综上所述,ipvsiptables各有优缺点,在k8s的应用也会因情况而异。如果对性能有较高要求,需要进行流量控制或反向代理,则可以选择ipvs。如果需求更偏向于网络安全,则可以选择iptables。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值