docker flannel 工作原理/模型 SNAT规则优化 3

最新推荐文章于 2024-04-30 18:20:32 发布
最新推荐文章于 2024-04-30 18:20:32 发布
阅读量433 收藏 1
点赞数
分类专栏: kubernetes
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wdsfdff/article/details/111553601
版权

flannel 工作原理
[root@k8s3 ~]# route -n
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
0.0.0.0         10.4.7.2        0.0.0.0         UG    100    0        0 ens33
10.4.7.0        0.0.0.0         255.255.255.0   U     100    0        0 ens33
172.7.21.0      0.0.0.0         255.255.255.0   U     0      0        0 docker0
172.7.22.0      10.4.7.22       255.255.255.0   UG    0      0        0 ens33
192.168.122.0   0.0.0.0         255.255.255.0   U     0      0        0 virbr0

1.flannel的host-gw模型  (host-gw模型就是在宿主机添加静态路由)

宿主机必须在同一个网关下才能使用host-gw模型 (效率最高,占用资源最少)

 

2.flannel的vxlan模型(在两台宿主机虚拟出两个flannel虚拟网卡,并且会打通fannel网络隧道,请求会先到fannel网络隧道进行封装然后在去转发)

flannel的vxlan模型效率较低

flannel vxlan 模型实验
操作etcd 增加flannel vxlan

需要删除之前的host-gw模型
./etcdctl get /coreos.com/network/config
./etcdctl rm /coreos.com/network/config
cd /opt/etcd
./etcdctl set /coreos.com/network/config '{"Network": "172.7.0.0/16", "Backend": {"Type": "vxlan"}}'
重启flanneld:
# supervisorctl restart flanneld-7-21
可以发现多了一块网卡,这块网卡就是vxlan用于隧道通信的虚拟网卡:

3.配置vxlan跟host-gw混合模型:

./etcdctl set /coreos.com/network/config  '{"Network": "172.7.0.0/16", "Backend": {"Type": "vxlan","Directrouting": true}}'  #在同一个网关下走host-gw模式,如果在不同网段则走vxlan

 

4.flannel SNAT 规则优化

k8s 容器内部必须看到的是pod真实ip而不是宿主机ip,不要去做SNAT转化
查看
[root@k8s4 ~]# iptables-save |grep -i postrouting
-A POSTROUTING -s 172.7.22.0/24 ! -o docker0 -j MASQUERADE
来源地址172.7.22.0/24 伪装宿主机访问,但是没有目标地址
这里需要修改iptables优化SNAT规则,否则在访问时,其他节点记录的是node节点的ip 10.4.7.21,而不是pod集群内部的172.7.21.x,红色部分按需修改

安装iptables 21/22上
yum install iptables-services -y
systemctl start iptables
systemctl enable iptables
优化规则
先删除规则   iptables -t nat -D  POSTROUTING -s 172.7.21.0/24 ! -o docker0 -j MASQUERADE
在插入规则        iptables -t nat -I  POSTROUTING -s 172.7.21.0/24 ! -d 172.7.0.0/16 ! -o docker0 -j MASQUERADE   #不是从原地址172.7.21.0 不是docker0网络和172.7.0.0/16 大地址出来的才去做MASQUERADE转换
保存规则    iptables-save > /etc/sysconfig/iptables

删除reject
[root@k8s4 ~]# iptables-save |grep -i reject
-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -j REJECT --reject-with icmp-host-prohibited
[root@k8s4 ~]# iptables -t filter -D INPUT -j REJECT --reject-with icmp-host-prohibited
[root@k8s4 ~]# iptables -t filter -D FORWARD -j REJECT --reject-with icmp-host-prohibited
[root@k8s4 ~]# iptables-save > /etc/sysconfig/iptables
 

wdsfdff
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
数据库基于规则优化(RBO)和基于代价优化(CBO)
djm82755的博客
06-21 1780
RBO和CBO是两种数据库引擎在执行sql语句时的优化策略。 什么是基于规则优化(Rule Based Optimizer)? 这是一种比较老的技术,简单说基于规则优化就是当数据库执行一条query语句的时候必须遵循预先定义好的一系列规则(比如oracle的15条规则,排名越靠前的执行引擎认为效率越高https://docs.oracle.com/cd/B10501_01/...
Docker 网络工作原理详解
01-10
Docker 网络工作原理Docker server也就是docker daemon启动时,会自动创建一个名字是docker0的bridge,每当docker创建一个Container时,会在主机上面创建一个名字是veth*的ethernet 端口,并把这个eth*加入到...
Flannel for Docker 原理
xiaomin1991222的专栏
12-10 107
【编者的话】Flannel是 CoreOS 团队针对 Kubernetes 设计的一个覆盖网络(Overlay Network)工具,其目的在于帮助每一个使用 Kuberentes 的 CoreOS 主机拥有一个完整的子网。这次的分享内容将从Flannel的介绍、工作原理及安装和配置三方面来介绍这个工具的使用方法。 第一部分:Flannel介绍 Flannel是CoreOS团队针对Kube...
Docker 容器网络访问原理,SNAT和DNAT
2401_84150187的博客
04-30 934
《一线大厂Java面试题解析+核心总结学习笔记+最新讲解视频+实战项目源码》,点击传送门,即可获取!容器访问外部实现外部访问容器实现容器网络访问原理图=========首先我们会有这个 宿主机命名空间 eth0(我们的公网 IP或内网 IP),然后 我们的容器 container 通过 veth (他的作用 就相当于管道,这头进 另一头出),来分配的 容器的网络命名空间。我们查看一下:[root@izbp1izjo7pl5ccghnbdiuz ~]# ifconfigbr-642af1c223ad: fla
【K8S运维知识汇总】第3天5:Flannel之SNAT规划优化
就叫一片白纸的博客
07-03 1036
flannel之SNAT规则优化的目的是由于在K8S中的容器内,访问不同宿主机中的容器的资源的时候,日志文件会记录为宿主机的IP地址,而不是记录为容器本身自己的IP地址,建议在不同的宿主机上的容器互访的时候,在日志文件中查询到的IP地址均为容器的真实的IP地址。如下图所示,是为宿主机或进入宿主机的容器中进行curl访问另外node节点的容器,都会被记录成宿主机的IP地址,这样就会导致不同宿主机的容器互访,会经过一次SNAT转换,而实际上,不同宿主机容器之间的访问,应该会被记录为容器的实际IP地址而非宿主机的
浅析flanneldocker结合的机制和原理
weixin_30411819的博客
07-22 271
flannel flannel可以为容器提供网络服务。 其模型为全部的容器使用一个network,然后在每个host上从network中划分一个子网subnet。 为host上的容器创建网络时,从subnet中划分一个ip给容器。 其采用目前比较流行的no server的方式,即不存在所谓的控制节点,而是每个host上的flanneld从一个etcd中获取相关数据,然后声明自己的子网网段,并记录在...
Flannel 工作原理
summer_fish的专栏
06-18 858
Flannel是CoreOS团队针对Kubernetes设计的一个网络规划服务,简单来说,它的功能是让集群中的不同节点主机创建的Docker容器都具有全集群唯一的虚拟IP地址(让每个docker0分配的网段不一样,container的IP自然不一样)。而且它还能在这些IP地址之间建立一个覆盖网络(Overlay Network:也就是将TCP数据包装在另一种网络包里面进行路由转发和通信),通过这个覆盖网络,将数据包原封不动地传递到目标容器内。Flannel的支持多种网络模式,常用用都是vxlan、UDP、h
镜像flannel/flannel:v0.24.0
12-23
k8s搭建过程中需要的插件flannel镜像
docker /var/lib/docker/aufs/mnt 目录清理方法
09-29
在本篇文章里小编给各位整理的是关于docker /var/lib/docker/aufs/mnt 目录清理方法,有需要的朋友们可以参考下。
精通docker容器技术/compose/swarm/harbor
07-01
Docker 是一个开源的应用容器引擎,基于 Go 语言 并遵从 Apache2.0 协议开源。 Docker 可以让开发者打包他们的应用以及依赖包到一个轻量级、可移植的容器中,然后发布到任何流行的 Linux 机器上,也可以实现虚拟化。...
flannel原理简析及安装
菲宇运维
07-18 2060
flannel是CoreOS提供用于解决Dokcer集群跨主机通讯的覆盖网络工具。它的主要思路是:预先留出一个网段,每个主机使用其中一部分,然后每个容器被分配不同的ip;让所有的容器认为大家在同一个直连的网络,底层通过UDP/VxLAN等进行报文的封装和转发。 flannel项目地址:https://github.com/coreos/flannel flannel架构介绍 flannel默...
【k8s】集群12-flannel SNAT优化
机智的埃努
08-05 358
对象:h134 1.安装iptables-services服务 yum install -y iptables-services 2.查看当前iptables规则 iptables-save | grep -i postrouting ##### :POSTROUTING ACCEPT [5467511:908632521] :POSTROUTING ACCEPT [64:3839] :KUBE-POSTROUTING - [0:0] -A POSTROUTING -m comment --co
特征工程与规则模型
fengdu78的博客
12-26 3052
特征工程&规则模型导语在诸多比赛中,常常都可以听说到一些高手避开了XGBoost、TensorFlow等高端机器学习模型,利用一些简单的数据处理就获得榜单的首位。这些简单...
【赵渝强】使用二进制包部署Kubernetes集群
赵强老师CSDN博客主页
02-13 724
在一些企业的私有环境中可能无法连接外部的网络。如果要在这样的环境中部署Kubernetes集群,可以采集Kubernetes离线安装的方式进行部署。即:使用二进制安装包部署Kubernetes集群,采用的版本是Kubernetes v1.18.20。 下面通过具体的步骤来演示如何使用二进制包部署三个节点的Kubernetes集群。 1. 部署ETCD (1)从GitHub上下载ETCD的二进制安装包“etcd-v3.3.27-linux-amd64.tar.gz”。 (2)从cfssl官方网站上下载所需.
Flannel网络原理(转载)
大大大大大碗面
04-17 5874
overlay网络简介 覆盖网络就是应用层网络,它是面向应用层的,不考虑或很少考虑网络层,物理层的问题。 详细说来,覆盖网络是指建立在另一个网络上的网络。该网络中的结点可以看作通过虚拟或逻辑链路而连接起来的。虽然在底层有很多条物理链路,但是这些虚拟或逻辑链路都与路径一一对应。例如:许多P2P网络就是覆盖网络,因为它运行在互连网的上层。覆盖网络允许对没有IP地址标识的目的主机路由信息,例如:Fr...
理解Kubernetes网络之Flannel网络
热门推荐
天际线;世界的尽头;天涯海角 !
01-17 1万+
第一次采用kube-up.sh脚本方式安装的Kubernetes cluster目前运行良好,master node上的组件状态也始终是“没毛病”: # kubectl get cs NAME STATUS MESSAGE ERROR controller-manager Healthy ok scheduler
Kubernetes学习4--容器之间通讯方式及Flannel工作原理
大剑豪
01-03 1万+
接着上一篇的创建完pod后,自然会考虑到容器之间的通讯方式,也整理总结下其通讯方式及详细介绍下Flannel工作原理。 一. 容器之间通讯方式 k8s里面容器是存在于pod里面的,所以容器之间通讯,一般分为三种类型: (1) pod 访问service服务 (2) pod内部容器之间 (3) pod 与 pod 容器之间 1. pod 访问service服务 此
docker跨主机集群之flannel
andrew_dear的博客
02-25 1787
0. 环境说明 CentOS7 etcd-v3.4.3-linux-amd64.tar.gz flannel-v0.11.0-linux-amd64.tar.gz 官方文档:https://github.com/coreos/flannel 下载地址:https://github.com/coreos/flannel/releases/download/v0.11.0/flannel-v0.11.0-linux-amd64.tar.gz 1. Docke...
docker 端口映射 及外部无法访问问题
jingghe的博客
04-15 3625
docker容器内提供服务并监听8888端口,要使外部能够访问,需要做端口映射。 docker run -it --rm -p 8888:8888 server:v1 此时出现问题,在虚机A上部署后,在A内能够访问8888端口服务,但是在B却不能访问。 这应该是由于请求被拦截。 一、查看firewall-cmd --state 如果输出的是“not running”则FirewallD...
docker cp mysql:/etc/mysql /docker/mysql8.0.20/
最新发布
07-02
在这个命令中,`mysql:/etc/mysql` 是源路径(在MySQL容器的/etc/mysql目录),`/docker/mysql8.0.20/` 是目标路径(在主机上指定的docker/mysql8.0.20目录)。 要使用这个命令,首先确保你已经登录到运行MySQL容器...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值