死磕k8s之calico-nodeport

最新推荐文章于 2024-05-06 21:45:00 发布
最新推荐文章于 2024-05-06 21:45:00 发布
阅读量1.4k 收藏 4
点赞数 3
分类专栏: k8s calico nodeport 文章标签: k8s iptables 网络 docker 云计算
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u010927340/article/details/109630096
版权
本文详细剖析了k8s使用Calico作为网络插件时,NodePort服务的工作原理,通过iptables四表五链展示了请求从外部到达Pod的完整路径,包括DNAT、SNAT操作及标签设置,揭示了网络流量在不同节点间的转发逻辑,有助于理解k8s网络架构。
摘要由CSDN通过智能技术生成

死磕k8s之calico-nodeport

序言:

本篇文章将要聚焦于k8s在使用calico作为网络插件的时候,当pod以nodeport的形式暴露出来,我们以集群节点的ip加端口的形式访问的时候,流量如何转发到具体的pod,流量经过了哪些路由和哪些iptables链。如集群还没准备好,请参考[死磕k8s之calico-环境准备]

我的环境

在这里插入图片描述

nginx pod信息

NAME                     READY   STATUS    RESTARTS   AGE     IP               NODE              NOMINATED NODE   READINESS GATES
nginx-6799fc88d8-wfztd   1/1     Running   0          3h32m   192.168.231.70   shen-k8s-node-1   <none>           <none>

nodeport信息

NAME    TYPE       CLUSTER-IP    EXTERNAL-IP   PORT(S)          AGE    SELECTOR
nginx   NodePort   10.101.14.7   <none>        8080:32220/TCP   2d1h   app=nginx

注意

接下来的分析主要基于该表的路径
在这里插入图片描述

开始发请求到nodeport

我目前nginx的pod在work节点1上面,为了减少分析过程,我在和k8s同网段的其他机器10.0.0.53上面请求work节点1的ip加端口

curl 10.0.0.51:32220

到达work节点1

1.首先会到达raw的PREROUTING,包的流向如下

在这里插入图片描述

raw的PRESOUTING相对比较简单,在这里没有匹配到任何的规则

2.然后到达mangle的PREROUTING,包的流向如下

在这里插入图片描述

对新来的包来说也没有匹配到任何规则,但是第二条规则会对以后的包做一个放行,效率更高

3.然后到了重要表nat的PREROUTING,在PREROUTING一般对包做DNAT操作,包的流量如下:

在这里插入图片描述

此表的规则路径稍微复杂一些了,第三条规则匹配到了我们的请求的目标端口32220,注意下第4条规则,会给包打上0x4000/0x4000标签。最后到了第7条做了一个比较重要的dnat操作,此时请求的包的源地址还是10.0.0.53,但是包的目的地址会变成192.168.231.70,并且目标端口也会换成我们暴露的容器端口80。192.168.231.70正是pod nginx-6799fc88d8-wfztd 的地址。因为我们这里只有一个pod,所以只会匹配到这一条dnat规则,如果我们有多个pod的话,会按照该规则上的概率随机匹配到一条dnat规则。大家由此就会联想到service的负载均衡策略也可以这么做。

4.然后就开始第一次的路由选择了

在这里插入图片描述

最低0.47元/天 解锁文章
zhangshen023
关注
专栏目录
k8s故障处理篇】calico-node启动失败“Felix is not live: Get “http://localhost:9099/liveness” 解决办法(V1.30.3版本)
jks212454的博客
08-06 294
k8s故障处理篇】calico-node启动失败“Felix is not live: Get “http://localhost:9099/liveness” 解决办法(V1.30.3版本)
k8s 查看pod流量_k8s使用kube-router网络插件并监控流量状态
weixin_42203796的博客
12-24 1865
简介kube-router是一个新的k8s网络插件,使用lvs做服务的代理及负载均衡,使用iptables来做网络的隔离策略。部署简单,只需要在每个节点部署一个daemonset即可,高性能,易维护。支持pod间通信,以及服务的代理。安装#本次实验重新创建了集群,使用之前测试其他网络插件的集群环境没有成功#可能是由于环境干扰,实验时需要注意#创建kube-router目录下载相关文件mkd...
k8s pod restartcount 改0_《蹲坑学Kubernetes》之17-3:Pod
weixin_39525617的博客
11-21 233
Pod是一组紧密关联的容器集合,它们共享 IPC、Network和UTS namespace,是Kubernetes 调度的基本单位。Pod的设计理念是支持多个容器在一个 Pod 中共享网络和文件系统,可以通过进程间通信和文件共享这种简单高效的方式组合完成服务。图1:Pod一、了解Pod1、Pod的架构Pod是Kubernetes集群中能够被创建和管理的最小部署单元。要由容器、容器中有2个钩...
k8s使用calico网络插件时,Nodeport 仅在指定节点暴露端口+防火墙策略配置方法
最新发布
weixin_44670774的博客
05-06 837
我们使用k8s网络插件是calico时,可以通过calico的扩展功能来完成 Nodeport 仅在指定节点暴露端口以及针对整个k8s集群内节点的防火墙设置。
k8s 查看pod流量_如何配置Kubernetes加密节点和Pod之间的流量?
weixin_35998980的博客
01-14 232
In preparation for HIPAA compliance, we are transitioning our Kubernetes cluster to use secure endpoints across the fleet (between all pods). Since the cluster is composed of about 8-10 services curr...
k8s 查看pod流量_K8s中对pod进行流量限制
weixin_39669701的博客
12-24 2900
最近接到一个需求,对日志上传的pod进行流量限制。# 前期准备k8s一份calico装好# k8s配置由于默认情况下calico并没有启用流量限制的功能,所以需要在calico的配置文件里面启用一下。在每个节点的/etc/cni/net.d/10-calico.conflist 文件中加入bandwidth的支持。这一步最好在安装calico的时候做了,就不用每个节点都配置一遍。期待calico把...
k8scalico-环境准备
热门推荐
shen的博客
11-11 1万+
序言: 本篇文章要是列出了calico系列文章解析的环境以及准备工作。 环境 k8s: v1.19.3 iptables: v1.4.21 route: 2.10-alpha calico: v3.16.4 tcpdump calico使用的是ipip模式,calico默认是ipip模式 k8s没有高可用安装,1个master节点,2个work节点 k8s没有使用ipvs 工具安装 calicoctl安装 calicoctl是calico社区提供一个全局查看calico网络的工具,类似kube
k8s集群calico-node CrashLoopBackOff
saffronsdas的博客
10-10 1554
k8s集群calico-node CrashLoopBackOff
sealos离线安装k8s资源包-calico-3.24.1.tar
08-15
sealos离线安装k8s资源包-calico-3.24.1.tar
k8s 查看pod流量_使用K8S检查Istio Service流量健康讲析
weixin_42128537的博客
02-01 1283
使用K8S检查Istio Service流量健康讲析发布时间:2020-04-30 14:11:04来源:亿速云阅读:231作者:三月栏目:云计算本文要给大家介绍使用K8S检查Istio Service流量健康讲析,文章内容都是笔者用心摘选和编辑的,使用K8S检查Istio Service流量健康讲析具有一定的针对性,对大家的参考意义还是比较大的,下面跟笔者一起了解下题内容吧。Istio利用k...
K8S水平伸缩器 - 自动伸缩微服务实例数量
dotNET跨平台
02-07 718
作者:justmine头条号:大数据达摩院微信公众号:大数据处理系统创作不易,在满足创作共用版权协议的基础上可以转载,但请以超链接形式注明出处。为了方便大家阅读,可以关注头条号或微信公众...
k8s 查看pod流量_Kubernetes K8S之Pod生命周期与探针检测
weixin_39726044的博客
01-27 580
K8S中Pod的生命周期与ExecAction、TCPSocketAction和HTTPGetAction探针检测机配置规划Pod容器生命周期Pause容器说明每个Pod里运行着一个特殊的被称之为Pause的容器,其他容器则为业务容器,这些业务容器共享Pause容器的网络栈和Volume挂载卷,因此他们之间通信和数据交换更为高效。在设计时可以充分利用这一特性,将一组密切相关的服务进程放入同一个P...
使用mizu,查看Pod之间的API访问流量
yjk13703623757的博客
10-17 537
介绍 一个简单但功能强大的 Kubernetes中的 API 流量查看器,可以用来查看pod之间的所有 API 通信,以帮助调试和排除故障。可以理解为TCPDump 和 Chrome Dev Tools 的结合。 使用 安装 Mac # curl -Lo mizu https://github.com/up9inc/mizu/releases/latest/download/mizu_darwin_amd64 # chmod 755 mizu linux # curl -Lo mizu htt
查看Pod中的网络流量
lindaxiao1989的博客
12-01 1090
查看K8S Pod中的网络流量
【博客532】k8s没有snat带来的三角流量问题
qq_43684922的博客
11-06 311
A通过B访问C,C直接回复了A,形成了三角形状的流量:
k8s外部访问pod内部容器的端口-NodePort
生有涯,知无涯
03-20 5173
k8s外部访问pod内部容器的端口-NodePort
K8sNodePort
weixin_45693432的博客
07-12 316
将我们的service端口映射到node节点上的一个端口,让后我们就可以通过 node节点ip:node节点端口访问接口。1.通过工作节点的端口 访问到service端口。2.在通过service端口路由转发到pod端口。
记录一次K8S的容器压测监控
运维打怪晋级之路
10-17 1847
记录一次K8S的容器压测 基本情况 服务名称 POD数量 POD规格 压测并发数 压测时间 用户中心登录服务 1个POD 1C2G 30个用户登录 2h GC情况 YGC次数 YGC/毫秒 FGC次数 FGCT/毫秒 GCT/毫秒 6849 209.355 12 3.190 212.545 总结:FGC次数在2小时中只进行了12次,耗时3.190毫秒;YGC总共6849次,耗时209.355毫秒; 监控POD内存使用情况 PromQL: topk(5,round(.
calico-node Init:CrashLoopBackOff
07-27
您好!对于 'calico-node Init:CrashLoopBackOff' 错误,这通常表示 Calico 节点的初始化遇到了问题,并进入了 CrashLoopBackOff 状态。 CrashLoopBackOff 状态意味着容器在启动后立即崩溃并重启,然后再次崩溃,周而复始。这可能是由于配置问题、依赖关系问题或其他错误引起的。 您可以尝试以下几个步骤来解决该问题: 1. 检查日志:使用以下命令查看容器的日志输出,以了解具体的错误信息: ``` kubectl logs <calico-node-pod-name> ``` 将 `<calico-node-pod-name>` 替换为您的 Calico 节点 Pod 的名称。 2. 检查配置:确保您的 Calico 配置正确,并且没有任何错误或缺失的配置项。您可以检查相关的配置文件或命令行参数。 3. 检查依赖关系:Calico 需要其他一些组件来正常运行,例如 etcd。确保这些组件已经正确安装和配置,并且正在运行。 4. 重新部署:如果问题仍然存在,您可以尝试删除并重新部署 Calico 节点。可以使用以下命令删除 Pod: ``` kubectl delete pod <calico-node-pod-name> ``` 然后 Kubernetes 将自动重新创建一个新的 Pod。 如果以上步骤都没有解决问题,建议您查看 Calico 社区的文档或寻求他们的支持,以获取更详细的故障排除指南和帮助。
评论 6
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

zhangshen023

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值