零入门kubernetes网络实战-30->基于bridge+veth pair+DNAT技术来实现外网可以访问内网的方案

最新推荐文章于 2024-11-02 22:42:44 发布
最新推荐文章于 2024-11-02 22:42:44 发布
阅读量733 收藏
点赞数
文章标签: kubernetes 网络 容器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u011582922/article/details/130479820
版权

《零入门kubernetes网络实战》视频专栏地址

https://www.ixigua.com/7193641905282875942

本篇文章视频地址(稍后上传)

通过DNAT技术可以将brige虚拟网桥管理的内网中的服务暴露出来,以供外网访问。

1、测试环境介绍

两台centos虚拟机

# 查看操作系统版本
cat /etc/centos-release
# 内核版本
uname -a
uname -r 
# 查看网卡信息
ip a s eth0

在这里插入图片描述

2、网络拓扑

在这里插入图片描述

从Slave节点的用户空间里的curl应用发起请求。

3、操作实战

3.1、第1步:在master上执行下面的命令

brctl addbr br0
ip link set br0 up
ip addr add 10.244.1.3/24 dev br0

ip netns add ns1

ip link add veth1a type veth peer name veth1b

ip link set veth1a netns ns1
ip netns exec ns1 ip addr add 10.244.1.2/24 dev veth1a
ip netns exec ns1 ip link set veth1a up

ip link set veth1b up

brctl addif br0 veth1b

ip netns exec ns1 route add default gw 10.244.1.3
iptables -t nat -A PREROUTING -d 10.211.55.122 -p tcp --dport 8090 -i eth0 -j DNAT --to 10.244.1.2:9090

echo 1 > /proc/sys/net/ipv4/ip_forward

在这里插入图片描述

3.2、第2步:被测试服务

3.2.1、被测试服务代码

package main

import (
	"encoding/json"
	"fmt"
	"net/http"
)

type Stu struct {
	Age int
	Msg string
}

const ip = "0.0.0.0"

func sayHello(w http.ResponseWriter, r *http.Request) {
	stu := Stu{Age: 12, Msg: "hello world! this is DNAT+bridge+Veth pair Test!"}
	stuJson, e := json.Marshal(&stu)
	if e != nil {
		panic(e)
	}

	w.Write(stuJson)

	fmt.Printf("Reply MSG:%v\tlen(Msg):%d\n", string(stuJson), len(stuJson))
}

func main() {
	http.HandleFunc("/", sayHello)
	fmt.Printf(fmt.Sprintf("App URL: http://%s:%d\n", ip, 9090))

	err := http.ListenAndServe(fmt.Sprintf("%s:%d", ip, 9090), nil)
	if err != nil {
		fmt.Printf("http server failed, err:%v\n", err)
		return
	}
}

不用关心测试代码的具体逻辑,主要是关心请求后,是否有正常打印输出即可。

3.2.2、本地编译,上传到Master节点

Makefile

build:
	CGO_ENABLED=0 GOOS=linux GOARCH=amd64 go build -o http-web main.go

scp:
	scp http-web root@10.211.55.122:/root

all:
	make build && make scp

大家可以根据自己的实际情况进行修改。

直接执行

make all

3.3、第3步:在master节点上,ns1命名空间里启动http-web服务

ip netns exec ns1 ./http-web

在这里插入图片描述

3.4、第4步:slave节点上发起curl请求

curl 10.211.55.122:8090

在这里插入图片描述

4、从iptables链的角度,对整个过程进行分析

为了分析整个传输过程,我们添加一些日志埋点,来验证我们的猜测。

如果你已经根据前面的文章安装过了rsyslog服务,就不需要重复操作了

4.1、安装

4.1.1、安装rsyslog服务

yum -y install rsyslog

4.1.2、更新配置文件

echo "kern.*     /var/log/iptables.log" >> /etc/rsyslog.conf

在这里插入图片描述

.*,表示所有等级的消息都添加到iptables.log文件里

信息等级的指定方式

  • .XXX,表示 大于XXX级别的信息
  • .=XXX,表示等于XXX级别的信息
    • 如,kern.=notice /var/log/iptables.log, 将notice以上的信息添加到iptables.log里
  • .!XXX, 表示在XXX之外的等级信息

4.1.3、重启rsyslog服务

systemctl restart rsyslog

systemctl status  rsyslog

在这里插入图片描述

4.2、日志埋点

4.3、在master节点上,进行日志埋点

将当前的日志统计清零

iptables -t nat -Z
iptables -t filter -Z

插入日志埋点前,先查看一下,当前的现状

iptables -t nat -nvL PREROUTING --line-number
iptables -t nat -nvL INPUT --line-number
iptables -t filter -nvL FORWARD --line-number
iptables -t nat -nvL POSTROUTING --line-number

插入日志埋点

iptables -t nat -I PREROUTING -d 10.211.55.0/24 -p tcp --dport 8090 -j LOG --log-prefix "Test-nat-PREROUTING-2-"
iptables -t filter -A FORWARD -d 10.244.1.0/24 -p tcp -j LOG --log-prefix "Test-filter-FORWARD-1-"
iptables -t nat -I POSTROUTING -p tcp -d 10.244.1.0/24 -j LOG --log-prefix "Test-nat-POSTROUTING-2-"

iptables -t filter -A FORWARD -d 10.211.55.0/24 -p tcp --sport 9090 -j LOG --log-prefix "Test-filter-FORWARD-333-"

在这里插入图片描述

也可以查看一下,ns1命名空间的iptables规则链情况

ip netns exec ns1 iptables -t nat -nvL

查看日志文件

tail -f /var/log/iptables.log

在这里插入图片描述

4.3.1、在slave节点上,进行日志埋点

将当前的日志统计清零

iptables -t nat -Z
iptables -t filter -Z

插入日志埋点前,先查看一下,当前的现状

iptables -t nat -nvL OUTPUT --line-number
iptables -t filter -nvL OUTPUT --line-number
iptables -t nat -nvL POSTROUTING --line-number
iptables -t nat -nvL PREROUTING --line-number
iptables -t filter -nvL INPUT --line-number

插入日志埋点


iptables -t nat -I OUTPUT -d 10.211.55.0/24 -p tcp --dport 8090 -j LOG --log-prefix "Test-nat-OUTPUT-1-"
iptables -t filter -I OUTPUT -d 10.211.55.0/24 -p tcp --dport 8090 -j LOG --log-prefix "Test-filter-OUTPUT-1-"
iptables -t nat -I POSTROUTING -d 10.211.55.0/24 -p tcp --dport 8090 -j LOG --log-prefix "Test-nat-POSTROUTING-1-"

iptables -t filter -I INPUT -d 10.211.55.0/24 -p tcp --sport 8090 -j LOG --log-prefix "Test-nat-INPUT-1-"

在这里插入图片描述

查看日志文件

tail -f /var/log/iptables.log

在这里插入图片描述

4.4、测试

4.4.1、在slave节点,发起请求

curl 10.211.55.122:8090

在这里插入图片描述

4.4.2、查看一下,master上日志

tail -f /var/log/iptables.log

在这里插入图片描述

4.4.3、查看一下,slave上日志

在这里插入图片描述

4.5、整个传输过程,数据包经过了哪些iptables链呢?

下图是 从slave节点通过curl发起请求的路线
在这里插入图片描述

这个图,主要是要明白一点,外部数据包进入到eth0网卡后,经过了哪些链才能到达br0

需要经过PRETOUTING链,FORWARD链,POSTROUTING链,才能到达虚拟网桥br0

下图是 master节点上的http-web服务接收到请求后的,反馈路线
在这里插入图片描述

备注:
反馈路线,仅供参考。
我个人是有疑问的。
比方说,Master节点上,eth0接收到反馈数据包后,没有走nat表中的PREROUTING链,当然,走了raw,mangle表中的PREROUTING链。

5、传输过程中,数据包是否被修改过?

5.1、针对master节点上的eth0进行抓包

tcpdump -nn -i eth0 -p tcp and dst port 8090
tcpdump -nn -i eth0 -p tcp and dst port 8090 -w icmp-eth0.pcap

在这里插入图片描述

5.2、针对master节点上的br0网桥进行抓包

tcpdump -nn -i br0  -w icmp-br0.pcap

在这里插入图片描述

5.3、传输过程中数据包的报文内容变化

在这里插入图片描述

即,经过DNAT操作后数据包的变化,如下

在这里插入图片描述

6、总结

  • 通过DNAT操作,可以将内网的服务暴露到外面,以供外网访问。端口映射
  • 通过SNAT或者MASQUERADE操作,可以允许内网去访问外网的服务。
  • DNAT和SNAT刚好相反,
  • 因此,在实际中,要明白到底用哪个?还是一起使用。
  • 比方说,kube-proxy里都使用了DNAT、MASQUERADE操作。
  • 即,通过DNAT将POD里的服务暴露出来,通过MASQUERADE允许POD内部的服务去访问外网服务。

<<零入门kubernetes网络实战>>技术专栏之文章目录

码二哥
关注
入门kubernetes网络实战-12-基于DNAT技术使得外网可以访问本宿主机上veth-pair链接的内部网络
码二哥的技术池
02-10 414
本篇文章测试如何让veth pair链接的内网网络可以被本局域网的其他宿主机访问到?
<<入门kubernetes网络实战之文章名称列表
码二哥的技术池
01-22 840
入门容器网络实战 的 文章目录列表 建议收藏此文章,可以快速查看目标文章
2.防火墙-SNAT和DNAT
夜海赤竹的博客
05-22 917
外网内网:从外网发来的数据包的目标IP由公网IP转换成私网IP,网关服务器在根据私网IP转发到内网服务器。由外网内网:从外网发到内网的数据包的目的IP由公网IP转换成私网IP。由内网外网:从内网发到外网的数据包的源IP由私网IP转换成公网IP。由内网外网内网服务器响应数据包的源IP内网IP转换为外网IP
入门kubernetes网络实战-33-基于nat+brigde+veth pair形成的跨主机的内网通信方案
码二哥的技术池
05-22 597
本文主要使用的技术nat技术+Linux虚拟网桥+虚拟网络设备veth pair实现跨主机网桥的通信
<<入门kubernetes网络实战技术专栏之文章目录
码二哥的技术池
01-24 2069
入门容器实战 技术 专栏 的文章目录列表; 通过此文章目录可以快速的观看文章
Kubernetes_容器网络_循序渐进地学习kubernetes网络
毛毛的专栏
06-04 1527
之前对kubernetes网络通信的认识都比较摸棱两可,本文从linux网络空间开始循序渐进地整理kubernetes网络的知识脉络,意在彻底理解其网络通信原理。文中所用的图片均来源于网络,由于比较分散,就没有将参考文档一一列举出来。
Docker网络原理
hxt的博客
03-19 4466
前言 Docker有4种网络通信模型,分别是:bridge、host、none、container,默认使用的网络模型是bridge,本文中用到的也是bridge网络模型 本文分享Docker网络原理,主要包含三部分内容: 容器之间通信 容器访问外网 外部访问容器 1、前置网络知识 1)、veth pair veth是虚拟以太网卡(Virtual Ethernet)的缩写。veth设备总是成对的,因此称之为veth pairveth pair一端发送的数据会在另外一端接收。根据这一特性,veth pa
Docker重学系列之高级网络
m0_53157173的博客
02-28 878
Docker重学系列之高级网络篇高级网络配置说明网络小结Docker 网络相关的命令列表容器访问控制容器访问外部网络容器之间访问访问所有端口访问指定端口映射容器端口到宿主主机的实现容器访问外部实现外部访问容器实现查看网络信息创建一个网桥删除一个网桥容器之前使用网络通信网络常用命令总结参考资料 高级网络配置 说明 当 Docker 启动时,会自动在主机上创建一个 docker0 虚拟网桥,实际上是 Linux 的一个 bridge,可以理解为一个软件交换机。它会在挂载到它的网口之间进行转发。 同时,Dock
详解虚拟化网络(一)--docker网络单机模型
wellqin的博客
02-21 628
详解虚拟化网络(一)--docker网络单机模型 本文内容较多,详细介绍docker网络单机模型在各个场景下的实现原理,结构如下:   1.Docker核心原理 Docker容器的的本质就是宿主机上的进程.只不过宿主机对它进行了Linux Namesapce隔离,让它看不到外面的世界,利用cgroups实现资源的限制,通过写时复制的机制完成高效的文件操作.同时利用系统调用pivot_r...
聊一聊网络地址转换 - NAT探珠
My urban life
07-22 717
概要 NAT的全称是 Network Address Translation, 其实看英文名,就知道它的大概意思:网络地址转换。 严格来说, 这个Address,包括了IP地址和端口。 而这个Translation,则包括来来源地址和目的地址,以及来源端口和目的端口这4者之间的转换 那么NAT规则其实定义的就是这4者的映射关系,告诉路由器应该怎么去转换(Translation) 那么什么时候会用到NAT技术呢,答案是,从一个网络到另外一个网络,有一些文章在写NAT的时候,常讲的是外网(互联网)到私网(私
OpenStack----Neutron网络服务基础理论(持续更新)
weixin_45726050的博客
03-15 1709
文章目录前言:一、Neutron基本概念1.1 Neutron概述1.2 Neutron基本功能1.2 SDN优点二、基础服务2.1 network 网络2.2 subnet 子网2.3 router 路由器2.4 port 端口2.5 plugin 插件2.6 agent 代理2.7 provider 网络提供者三、Neutron-server 架构3.1 分层模型3.2 架构分析3.2.1 ...
Docker容器网络、虚拟化网络介绍
Gf19991225的博客
12-03 490
文章目录1、虚拟化网络2、单节点容器间通信3、不同节点容器间通信4、docker容器网络5、docker的4种网络模式5.1 host模式5.2 container模式5.3 none模式5.4 bridge模式 1、虚拟化网络 Network Namespace 是 Linux 内核提供的功能,是实现网络虚拟化的重要功能,它能创建多个隔离的网络空间,它们有独自网络栈信息。不管是虚拟机还是容器,运行的时候仿佛自己都在独立的网络中。而且不同Network Namespace的资源相互不可见,彼此之间无法通信。
network namespace与veth pair
热门推荐
tycoon的专栏
09-04 1万+
network namespace 创建network namespace # ip netns add blue # ip netns list blue   添加网口到namespace 先创建vethip link add veth0 type veth peer name veth1 在当前namespace可以看到veth0和veth1 # ip link
TensorRT-LLM的k8s弹性伸缩部署方案
最新发布
smartcat2010的博客
11-02 325
从Service的triton metrics端口(8002)那里拿到metrics指标(queue time, compute time),计算得到新指标(二者的比率);1. Deployment:跑起来N个pod;指定NVIDIA官方的triton&trt-llm的docker image,指定好model放在哪个volume里;4. HPA(Horizontal Pod Autoscaler,水平扩展):根据Prometheus的指标数值,和预先配置好的阈值,来自动新增pod或减少pod;
Kubernetes(K8s)相关漏洞介绍
weixin_45945976的博客
10-31 412
Kubernetes Image Builder通过Proxmox Provider构建的VM镜像中存在默认凭证漏洞(SSH账户builder/builder),由于这些默认凭证未在镜像构建完成后被修改或禁用,导致未授权攻击者可以利用它们通过SSH连接到使用受影响镜像的虚拟机,从而获得对目标节点的访问权限。这些只是一部分已知的Kubernetes安全漏洞,实际的安全风险可能更多,因此,定期更新和打补丁、遵循最佳实践进行安全管理是非常重要的。:集群内部的服务间通信如果没有充分加密,可能导致数据泄露。
Kubeadm搭建k8s
YCyjs的博客
10-29 1238
kubectl需经由API server认证及授权后方能执行相应的管理操作,kubeadm 部署的集群为其生成了一个具有管理员权限的认证配置文件 /etc/kubernetes/admin.conf,它可由 kubectl 通过默认的 “$HOME/.kube/config” 的路径进行加载。上传 harbor-offline-installer-v1.2.2.tgz 和 docker-compose 文件到 /opt 目录。所有节点上传flannel镜像 flannel.tar 到 /opt 目录,
国产服务器平台离线部署k8s和kubesphere(含离线部署新方式)
11-02 712
国产服务器平台离线部署k8s和kubesphere(含离线部署新方式)
kubeadm安装k8s
qq_26572567的博客
11-01 254
修改kubeadm配置。
Centos7搭建k8s集群
ct1027038527的专栏
10-29 996
然后在需要加入集群的节点中执行令牌,注意这里的命令是通过kubeadm token create --print-join-command命令返回的结果。sed -i 's/enforcing/disabled/' /etc/selinux/config # 永久。逻辑是: deployment ------>副本 -----> pod (运行容器的基本资源对象)# 在工作节点上执行以下命令即可加入集群。执行创建deployment。删除deployment。创建deployment。
Docker网络详解:Linux bridgeveth技术的应用与配置
本文将深入解析Docker网络原理,主要涉及Linux内核的bridgeveth虚拟网络技术,以及network namespace在Docker中的应用。首先,让我们了解什么是Docker网络的基础组件。 Docker利用Linux内核的特性,特别是桥接...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

码二哥

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值