kube-proxy踩坑日记(三)

最新推荐文章于 2023-07-25 08:35:39 发布
最新推荐文章于 2023-07-25 08:35:39 发布
阅读量2.7k 收藏
点赞数
分类专栏: kubernetes golang 文章标签: kubernetes
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u013812710/article/details/111055379
版权

kube-proxy踩坑日志(三)

根据某同事反馈,在某环境中,创建容器化的kafka集群的时候,发现调度到节点上的kafka的容器起不来,通过查看kafka容器的日志,发现日志中报错,端口xxxx已经被使用,通过 ss -lptn  | grep xxxx发现对应的进程居然是kube-proxy。(环境中kube-proxy使用的是iptables模式)

关于kube-proxy为什么要监听除他自己本身意外的端口?

通过仔细阅读对应的iptables proxy代码,kube-proxy 除了syncService,syncEndpoint,syncEndpointSlice,更新iptables规则外,还会对特殊的NodePort的service做HeathCheck,我们环境中用的service类型是Loadbalancer, 每次创建一个Loadbalancer的service后,对应会给每个servicePort都回写一个NodePort。

上面说到kube-proxy会对特殊的NodePort的service做健康检查,在做健康检查的时候,会通过内部goroutine 启动一个httpserver去监听对的service的NodePort,大家都知道,启动一个httpserver就相当于本地启动一个服务,会占用对应的端口(service port的NodePort)的。此外kube-proxy不是对所有的有NodePort的service进行健康检查,而是对特殊的service才会进行健康检查,特殊之处在于要满足做健康检查的service需要满足三个条件,只有同时满足三个条件时才会做健康检查。这就是这个service的特殊之处。

1、service port中有nodePort

2、service.spec.externalTrafficPolicy: Local

3、service类型是LoadBalancer

下面结合下实际代码来看看

// This is where all of the iptables-save/restore calls happen.
// The only other iptables rules are those that are setup in iptablesInit()
// This assumes proxier.mu is NOT held
func (proxier *Proxier) syncProxyRules() {
    ......................................
	serviceUpdateResult := proxy.UpdateServiceMap(proxier.serviceMap, proxier.serviceChanges)
    ......................................

    if err := proxier.serviceHealthServer.SyncServices(serviceUpdateResult.HCServiceNodePorts); err != nil {
		klog.Errorf("Error syncing healthcheck services: %v", err)
	}
    
    ......................................
}



-------------------------------------------------------------------


func UpdateServiceMap(serviceMap ServiceMap, changes *ServiceChangeTracker) (result UpdateServiceMapResult) {
	result.UDPStaleClusterIP = sets.NewString()
	serviceMap.apply(changes, result.UDPStaleClusterIP)
	result.HCServiceNodePorts = make(map[types.NamespacedName]uint16)
	for svcPortName, info := range serviceMap {
		if info.HealthCheckNodePort() != 0 { // 核心是这个HealthCheckNodePort方法
			result.HCServiceNodePorts[svcPortName.NamespacedName] = uint16(info.HealthCheckNodePort())
		}
	}

	return result
}

-------------------------------------------------------------------

// HealthCheckNodePort is part of ServicePort interface.
func (info *BaseServiceInfo) HealthCheckNodePort() int {
	return info.healthCheckNodePort
}
-------------------------------------------------------------------

func (sct *ServiceChangeTracker) newBaseServiceInfo(port *v1.ServicePort, service *v1.Service) *BaseServiceInfo {
    ....................................

    // 最核心的一个地方,就是这个代码块的逻辑判断,确定了是否需要给service添加heathCheck
	if apiservice.NeedsHealthCheck(service) { 
		p := service.Spec.HealthCheckNodePort
		if p == 0 {
			klog.Errorf("Service %s/%s has no healthcheck nodeport", service.Namespace, service.Name)
		} else {
			info.healthCheckNodePort = int(p)
		}
	}

	return info
}
-------------------------------------------------------------------

// RequestsOnlyLocalTraffic checks if service requests OnlyLocal traffic.
func RequestsOnlyLocalTraffic(service *v1.Service) bool {
	if service.Spec.Type != v1.ServiceTypeLoadBalancer &&
		service.Spec.Type != v1.ServiceTypeNodePort {
		return false
	}
	return service.Spec.ExternalTrafficPolicy == v1.ServiceExternalTrafficPolicyTypeLocal
}

// NeedsHealthCheck checks if service needs health check.
func NeedsHealthCheck(service *v1.Service) bool {
	if service.Spec.Type != v1.ServiceTypeLoadBalancer {
		return false
	}
	return RequestsOnlyLocalTraffic(service)
}

-------------------------------------------------------------------

// 最后是heathCheck的代码,会创建一个httpserver进行监听
func (hcs *server) SyncServices(newServices map[types.NamespacedName]uint16) error {
	hcs.lock.Lock()
	defer hcs.lock.Unlock()

	// Remove any that are not needed any more.
	for nsn, svc := range hcs.services {
		if port, found := newServices[nsn]; !found || port != svc.port {
			klog.V(2).Infof("Closing healthcheck %q on port %d", nsn.String(), svc.port)
			if err := svc.listener.Close(); err != nil {
				klog.Errorf("Close(%v): %v", svc.listener.Addr(), err)
			}
			delete(hcs.services, nsn)
		}
	}

	// Add any that are needed.
	for nsn, port := range newServices {
		if hcs.services[nsn] != nil {
			klog.V(3).Infof("Existing healthcheck %q on port %d", nsn.String(), port)
			continue
		}

		klog.V(2).Infof("Opening healthcheck %q on port %d", nsn.String(), port)
		svc := &hcInstance{port: port}
		addr := fmt.Sprintf(":%d", port)
		svc.server = hcs.httpFactory.New(addr, hcHandler{name: nsn, hcs: hcs})
		var err error
		svc.listener, err = hcs.listener.Listen(addr)
		if err != nil {
			msg := fmt.Sprintf("node %s failed to start healthcheck %q on port %d: %v", hcs.hostname, nsn.String(), port, err)

			if hcs.recorder != nil {
				hcs.recorder.Eventf(
					&v1.ObjectReference{
						Kind:      "Service",
						Namespace: nsn.Namespace,
						Name:      nsn.Name,
						UID:       types.UID(nsn.String()),
					}, api.EventTypeWarning, "FailedToStartServiceHealthcheck", msg)
			}
			klog.Error(msg)
			continue
		}
		hcs.services[nsn] = svc

		go func(nsn types.NamespacedName, svc *hcInstance) {
			// Serve() will exit when the listener is closed.
			klog.V(3).Infof("Starting goroutine for healthcheck %q on port %d", nsn.String(), svc.port)
			if err := svc.server.Serve(svc.listener); err != nil {
				klog.V(3).Infof("Healthcheck %q closed: %v", nsn.String(), err)
				return
			}
			klog.V(3).Infof("Healthcheck %q closed", nsn.String())
		}(nsn, svc)
	}
	return nil
}
-------------------------------------------------------------------

在我们生产环境中,通过operator创建出来的kafka集群的service,恰好都满足这三个条件,豌豆滚屁股,遇缘了,巧了又巧,我们kafka集群使用的是hostnetwork模式,kafka容器的conatinerPort.hostport使用的端口xxxx,恰好在创建kafka的lb的service的时候给servicePort设置的nodePort就恰好是的kafka容器的conatinerPort.hostport,导致端口被占用,kafka容器一直起就报错端口被占用。

 

聊聊externalTrafficPolicy

一般没用到LB类型的svc没太关注这个属性,这个属性主要是用来对lb service和nodePort service做route 规则的,只有两种类型的policy

1、Local   local的意思是通过service请求,直接就到svc关联的pod的节点上,由于没有经过其他节点的转发,所以保留了client端的源ip,但是这种类型有个缺点,是没有负载均衡,直接链接

client
       ^ /   \
      / /     \
     / v       X
   node 1     node 2
    ^ |
    | |
    | v
 endpoint

2、Cluster Cluster的意思是可以可以通过链接到其他的非Pod所在的node上,通过其他的node进行转发在到pod所在的node,从而到达pod,这种就相当于给一个pod多个负载均衡器,通过各国node都能访问到pod,缺点是由于转发,改变了client的源ip为转发的节点的ip,对于需要保留源ip的服务来说不太合适

client
             \ ^
              \ \
               v \
   node 1 <--- node 2
    | ^   SNAT
    | |   --->
    v |
 endpoint

 

思考?

为什么端口都被占用了,k8s的调度器却还要把pod网节点上调度呢? 看过k8s源码的调度的应该知道,因为调度器内部维持的nodeCache虽然也计算了节点使用的hostPort,但是它计算的是已经在该节点上,或者经过它调度到该节点上的那些的pod(pod的containerPort中的hostport不为空值)。除此之外的node上的其他服务占用的node port并没有进行计算,并缓存到调度器的nodeCache。个人感觉这个有点不合理,虽然节点上的hostport可能会随着节点上的服务服务不断的暂用hostport,释放port(主要是tcp的链接建立,释放),但是应该在调度的nodeCache中统计把hostPort的使用也考虑上,不然当hostnetwork的pod调度到节点上后,端口被占用了,却起不来

 

just-go
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
Kube-Proxy 浅析
小楼一夜听春雨,深巷明朝卖杏花
04-15 1453
监控集群中用户发布的服务,并完成负载均衡配置。 在建立好应用,服务要发布出去,那么proxy就要监控service对象完成负载均衡。 • 每个节点的Kube-Proxy都会配置相同的负载均衡策略,使得整个集群的服务发现建立在分布 式负载均衡器之上,服务调用无需经过额外的网络跳转(Network Hop)。 • 负载均衡配置基于不同插件实现: • userspace。 • 操作系统网络协议栈不同的 Hooks 点和插件: ...
kubernetes中port、target port、node port的对比分析,以及kube-proxy代理
热门推荐
xinghun_4的专栏
01-10 8万+
容器网络实例 服务中的3个端口设置 这几个port的概念很容易混淆,比如创建如下service: apiVersion: v1 kind: Service metadata: labels: name: app1 name: app1 namespace: default spec: type: NodePort ports: - port: 8080
Kubernetes基础(四)-Kube-proxy
sre救赎之路
05-29 1835
kube-proxy组件是用来实现service的请求转发,具体实现方式是kube-proxy运行在每个node上,通过watch监听API Server 中service资源的create,update,delete事件,以获取新的Pod 和 vip映射关系,然后通过更新 iptables 规则来实现请求数据的转发,构建并维护各节点路由信息。
Kubernetes.Service—使用源 IP
深圳市多克创新科技有限公司
07-25 639
Kubernetes.Service—使用源 IP
kube-proxy-temp-1.16.8.yaml
10-09
aws-kube-proxy1.16.8版本示例文件
kubernetes 使用cilium 网络插件 替换kube-proxy
02-10
在Kubernetes环境中,传统的服务发现和网络代理方案是通过kube-proxy来实现的,它提供了iptables、ipvs等不同的工作模式。然而,随着云原生应用的发展,对网络性能、安全性和可观测性的需求日益增强,这催生了Cilium...
kube-proxy.rar
01-09
kube-proxy.rarkube-proxy.rarkube-proxy.rarkube-proxy.rar
kube-proxy:kube-proxy组件配置
05-15
提供用于配置kube-proxy的版本化API。 兼容性 此仓库的HEAD将与k8s.io/apiserver、k8s.io/apimachinery和k8s.io/client-go的HEAD匹配。 它从何而来? 从同步kube-proxy 。 在该位置进行代码更改,合并到k8s.io/...
k8s.gcr.io/kube-proxy:v1.17.3镜像包
03-06
kubernetes的k8s.gcr.io/kube-proxy:v1.17.3镜像包,版本为v1.17.3。文件是kube-proxy_v_1_17.3.tar
云原生技术 --- k8s节点组件之kube-proxy的学习与理解
编码爱好者
09-29 2296
k8s 网络代理(`kube-proxy`)在每个节点上运行。网络代理反映了每个节点上 Kubernetes API 中定义的服务,并且可以执行简单的 TCP、UDP 和 SCTP 流转发,或者在一组后端进行 循环 TCP、UDP 和 SCTP 转发。但是,必须要有一个插件,才可以实现相应的通信功能,它的作用是使发往 Service 的流量(通过ClusterIP和端口)负载均衡到正确的后端Pod。
K8s暴露端口与代理方式
西北连天一片云,乌鸦落在凤凰群
12-25 1246
K8s暴露端口与代理方式 文章目录K8s暴露端口与代理方式kubernetes暴露端口的方式kubernetes代理方式代理模式:userspace代理模式:iptablesservice的类型实践操作 kubernetes暴露端口的方式 方式1:clusterIP 此类型会提供一个集群内部的虚拟IP(与pod不在同一网段),以供集群内部的pod之间通信使用。clusterIP也是kubernetes service的默认类型 主要需要以下几个组件的协同工作 apiservice:在创建service时,a
k8s 二进制安装过程错误日志记录(持续更新)
离风的博客
11-25 2128
解决方案:修改docker,只需在/etc/docker/daemon.json中,添加"exec-opts": [“native.cgroupdriver=systemd”]即可,本文最初的docker配置可供参考。解决方案:apiserver中指定的etcd服务配置错误,检查配置修改即可。解决方案:kubectl config 配置错误,检查修改。解决方案:这是因为kube-apiserver的RBAC。解决方案:在kubelet中追加配置。controller日志。apiserver日志。
【k8s】查看coredns和kubelet 、kubeproxy日志
突围
08-24 1705
coredns添加日志 [root@k2c4g3m-master0 ~]# kubectl -n kube-system edit configmap coredns [root@k2c4g3m-master0 ~]# kubectl -n kube-system edit configmap coredns configmap/coredns edited [root@k2c4g3m-master0 ~]# kubelet服务有 systemctl status kubelet .
kubernetes_核心组件_KubeProxy_KubeProxy三种模式和参数解析
毛毛的专栏
06-22 2820
kubeProxy
kube-proxy 详解
m0_57223716的博客
06-07 1万+
在kubernets集群的每个节点上都运行着kube-proxy进程,负责实现Kubernetes中service组件的虚拟IP服务。目前kube-proxy有如下三种工作模式:User space模式在这种模式下,kube-proxy通过观察Kubernetes中service和endpoint对象的变化,当有新的service创建时,所有节点的kube-proxy在node节点上随机选择一个端口,在iptables中追加一条把访问service的请求重定向到这个端口的记录,并开始监听这个端口的连接请求。
Kubernetes网络三部曲之三 ~ NodePort vs LoadBalancer vs Ingress
meser88的博客
06-15 4705
在上一篇《Kubernetes网络三部曲~Service网络》中,波波讲解了K8s的4层网络栈中的第2层Service网路。有了Service网络,K8s集群内的应用可以通过服务名/ClusterIP进行统一寻址和访问,而不需要关心应用集群中到底有多少个Pods,Pod的IP是什么,会不会变化,以及如何以负载均衡方式去访问等问题。但是,K8s的Service网络只是一个集群内部网络,集群外部是无法直接访问的。而我们发布的应用,有些是需要暴露出去,要让外网甚至公网能够访问的,这样才能对外输出业务价值。
Kubernetes 【网络组件】kube-proxy使用详解
爱死亡机器人
04-01 1万+
文章目录1. 介绍2. kube-proxy 工作原理3. kube-proxy 不足4. 实现方式4.1 Iptables 示例4.2 ipvs 示例5. 启动 kube-proxy 示例 1. 介绍 Kube-proxy是一个简单的网络代理和负载均衡器,它的作用主要是负责Service的实现,具体来说,就是实现了内部从Pod到Service和外部的从NodePort向Service的访问,每台机器上都运行一个 kube-proxy 服务,它监听 API server 中 service 和 endpo
kube-proxy
最新发布
09-12
kube-proxy是Kubernetes集群中负责实现服务负载均衡的组件。它主要有两种实现模式:iptables模式和IPVS模式。在iptables模式下,kube-proxy使用iptables规则来实现负载均衡;而在IPVS模式下,kube-proxy使用Linux内核的IPVS功能来实现负载均衡。 关于使用其他负载均衡后端的问题,根据引用的说法,由于kube-proxy是四层负载均衡,理论上可以使用haproxy、nginx等作为负载均衡后端。然而,需要注意的是,这些负载均衡后端并不是kube-proxy的官方支持的配置方式。因此,在实际使用中可能需要进行额外的配置和调整。 另外,引用提到,当kube-proxy启用IPVS模式时,它依赖一些内核模块,包括ip_vs、ip_vs_rr、ip_vs_wrr、ip_vs_sh和nf_conntrack。这些模块需要在操作系统中正确加载并启用,以确保kube-proxy正常工作。 总结来说,kube-proxy是Kubernetes集群中负责实现服务负载均衡的组件,它可以使用iptables模式或IPVS模式来实现负载均衡。虽然理论上可以使用其他负载均衡后端,但需要额外配置和调整。同时,在启用IPVS模式时,需要确保相关的内核模块正确加载并启用。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值