中drop用法_强大的 iptables 在 K8s 中的应用剖析

最新推荐文章于 2024-05-17 01:34:07 发布
最新推荐文章于 2024-05-17 01:34:07 发布
阅读量1.2k 收藏
点赞数
文章标签: 中drop用法
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_30062621/article/details/112654938
版权

来源:https://www.cnblogs.com/charlieroro

910d36848d3c4bb7cb6ddebe442ec230.png

node 节点的 iptables 是由 kube-proxy 生成的,具体实现可以参见 kube-proxy 的代码(http://dwz.date/cqfm) kube-proxy 只修改了 filter 和 nat 表,它对 iptables 的链进行了扩充,自定义了KUBE-SERVICES,KUBE-NODEPORTS,KUBE-POSTROUTING,KUBE-MARK-MASQ 和 KUBE-MARK-DROP 五个链,并主要通过为 KUBE-SERVICES 链(附着在PREROUTING 和 OUTPUT)增加 rule 来配制 traffic routing 规则,官方定义如下: 
// the services chain
kubeServicesChain utiliptables.Chain = "KUBE-SERVICES"
 
// the external services chain
kubeExternalServicesChain utiliptables.Chain = "KUBE-EXTERNAL-SERVICES"
 
// the nodeports chain
kubeNodePortsChain utiliptables.Chain = "KUBE-NODEPORTS"
 
// the kubernetes postrouting chain
kubePostroutingChain utiliptables.Chain = "KUBE-POSTROUTING"
 
// the mark-for-masquerade chain
KubeMarkMasqChain utiliptables.Chain = "KUBE-MARK-MASQ"    /*对于未能匹配到跳转规则的traffic set mark 0x8000,有此标记的数据包会在filter表drop掉*/
 
// the mark-for-drop chain
KubeMarkDropChain utiliptables.Chain = "KUBE-MARK-DROP"    /*对于符合条件的包 set mark 0x4000, 有此标记的数据包会在KUBE-POSTROUTING chain中统一做MASQUERADE*/
 
// the kubernetes forward chain
kubeForwardChain utiliptables.Chain = "KUBE-FORWARD"
KUBE-MARK-MASQ 和 KUBE-MARK-DROP
 这两个规则主要用来对经过的报文打标签,打上标签的报文可能会做相应处理,打标签处理如下:
(注:iptables set mark 的用法可以参见 https://unix.stackexchange.com/questions/282993/how-to-add-marks-together-in-iptables-targets-mark-and-connmark
http://ipset.netfilter.org/iptables-extensions.man.html ) 
-A KUBE-MARK-DROP -j MARK --set-xmark 0x8000/0x8000
-A KUBE-MARK-MASQ -j MARK --set-xmark 0x4000/0x4000
KUBE-MARK-DROP 和 KUBE-MARK-MASQ 本质上就是使用了 iptables 的 MARK命令 
Chain KUBE-MARK-DROP (6 references)
 pkts bytes target prot opt in     out     source               destination
    0     0 MARK all -- * * 0.0.0.0/0 0.0.0.0/0 MARK or 0x8000
Chain KUBE-MARK-MASQ (89 references)
 pkts bytes target prot opt in     out     source               destination
   88  5280 MARK all -- * * 0.0.0.0/0 0.0.0.0/0 MARK or 0x4000
对于 KUBE-MARK-MASQ 链中所有规则设置了 kubernetes 独有 MARK 标记,在KUBE-POSTROUTING 链中对 NODE 节点上匹配 kubernetes 独有 MARK 标记的数据包,当报文离开 node 节点时进行 SNAT,MASQUERADE 源 IP 
-A KUBE-POSTROUTING -m comment --comment "kubernetes service traffic requiring SNAT" -m mark --mark 0x4000/0x4000 -j MASQUERADE
而对于 KUBE-MARK-DROP 设置标记的报文则会在 KUBE_FIREWALL 中全部丢弃   
-A KUBE-FIREWALL -m comment --comment "kubernetes firewall for dropping marked packets" -m mark --mark 0x8000/0x8000 -j DROP
KUBE_SVC 和 KUBE-SEP Kube-proxy 接着对每个服务创建 “KUBE-SVC-” 链,并在 nat 表中将 KUBE-SERVICES 链中每个目标地址是 service 的数据包导入这个 “KUBE-SVC-” 链,如果endpoint 尚未创建,KUBE-SVC- 链中没有规则,任何 incomming packets 在规则匹配失败后会被 KUBE-MARK-DROP。在 iptables 的 filter 中有如下处理,如果KUBE-SVC 处理失败会通过 KUBE_FIREWALL 丢弃 
Chain INPUT (policy ACCEPT 209 packets, 378K bytes)
 pkts bytes target prot opt in out source destination
 540K 1370M KUBE-SERVICES all -- * * 0.0.0.0/0            0.0.0.0/0            /* kubernetes service portals */
 540K 1370M KUBE-FIREWALL all -- * * 0.0.0.0/0            0.0.0.0/0
KUBE_FIREWALL 内容如下,就是直接丢弃所有报文: 
Chain KUBE-FIREWALL (2 references)
 pkts bytes target prot opt in out source               destination
    0     0 DROP all  -- * * 0.0.0.0/0            0.0.0.0/0            /* kubernetes firewall for dropping marked packets */ mark match 0x8000/0x8000
下面是对 nexus 的 service 的处理,可以看到该规对目的 IP 为172.21.12.49(Cluster IP) 且目的端口为 8080 的报文作了特殊处理:KUBE-SVC-HVYO5BWEF5HC7MD7 
-A KUBE-SERVICES -d 172.21.12.49/32 -p tcp -m comment --comment "default/sonatype-nexus: cluster IP" -m tcp --dport 8080 -j KUBE-SVC-HVYO5BWEF5HC7MD7
KUBE-SEP 表示的是 KUBE-SVC 对应的 endpoint,当接收到的 serviceInfo 中包含endpoint 信息时,为 endpoint 创建跳转规则,如上述的KUBE-SVC-HVYO5BWEF5HC7MD7 有 endpoint,其 iptables 规则如下: 
-A KUBE-SVC-HVYO5BWEF5HC7MD7 -m comment --comment "oqton-backoffice/sonatype-nexus:" -j KUBE-SEP-ESZGVIJJ5GN2KKU
KUBE-SEP-ESZGVIJJ5GN2KKU中的处理为将经过该链的所有 tcp 报文,DNAT 为container 内部暴露的访问方式172.20.5.141:8080。结合对KUBE-SVC 的处理可可知,这种访问方式就是 cluster IP 的访问方式,即将目的 IP 是 cluster IP 且目的端口是 service 暴露的端口的报文 DNAT 为目的 IP 是 container 且目的端口是container 暴露的端口的报文, 
-A KUBE-SEP-ESZGVIJJ5GN2KKUR -p tcp -m comment --comment "oqton-backoffice/sonatype-nexus:" -m tcp -j DNAT --to-destination 172.20.5.141:8080
如果 service 类型为 nodePort,(从 LB 转发至 node 的数据包均属此类)那么将KUBE-NODEPORTS 链中每个目的地址是 NODE 节点端口的数据包导入这个 “KUBE-SVC-”链;KUBE-NODEPORTS 必须位于 KUBE-SERVICE 链的最后一个,可以看到iptables 在处理报文时会优先处理目的 IP 为 cluster IP 的报文,匹配失败之后再去使用 NodePort 方式。如下规则表明,NodePort 方式下会将目的 ip 为 node 节点且端口为 node 节点暴露的端口的报文进行 KUBE-SVC-HVYO5BWEF5HC7MD7 处理,KUBE-SVC-HVYO5BWEF5HC7MD7 中会对报文进行 DNAT 转换。因此 Custer IP 和 NodePort 方式的唯一不同点就是 KUBE-SERVICE 中是根据 cluster IP 还是根据 node port 进行匹配 "-m addrtype --dst-type LOCAL"表示对目的地址是本机地址的报文执行 KUBE-NODEPORTS 链的操作 
-A KUBE-SERVICES -m comment --comment "kubernetes service nodeports; NOTE: this must be the last rule in this chain" -m addrtype --dst-type LOCAL -j KUBE-NODEPORTS
-A KUBE-NODEPORTS -p tcp -m comment --comment "oqton-backoffice/sonatype-nexus:" -m tcp --dport 32257 -j KUBE-MARK-MASQ
-A KUBE-NODEPORTS -p tcp -m comment --comment "oqton-backoffice/sonatype-nexus:" -m tcp --dport 32257 -j KUBE-SVC-HVYO5BWEF5HC7MD7
如果服务用到了 loadblance,此时报文是从 LB inbound 的,报文的 outbound 处理则是通过 KUBE-FW 实现 outbound 报文的负载均衡。如下对目的 IP 是50.1.1.1(LB公网IP)且目的端口是443(一般是https)的报文作了 KUBE-FW-J4ENLV444DNEMLR3 处理。 (参考 kubernetes ingress 到 pod 的数据流: http://dwz.date/cqfK ) 
-A KUBE-SERVICES -d 50.1.1.1/32 -p tcp -m comment --comment "kube-system/nginx-ingress-lb:https loadbalancer IP" -m tcp --dport 443 -j KUBE-FW-J4ENLV444DNEMLR3
如下在 KUBE-FW-J4ENLV444DNEMLR3 中显示的是 LB 的3个 endpoint(该  endpoint 可能是 service),使用比率对报文进行了负载均衡控制 
Chain KUBE-SVC-J4ENLV444DNEMLR3 (3 references)
    10   600 KUBE-SEP-ZVUNFBS77WHMPNFT all  -- * * 0.0.0.0/0            0.0.0.0/0            /* kube-system/nginx-ingress-lb:https */ statistic mode random probability 0.33332999982
    18  1080 KUBE-SEP-Y47C2UBHCAA5SP4C all  -- * * 0.0.0.0/0            0.0.0.0/0            /* kube-system/nginx-ingress-lb:https */ statistic mode random probability 0.50000000000
    16   960 KUBE-SEP-QGNNICTBV4CXTTZM all  -- * * 0.0.0.0/0            0.0.0.0/0            /* kube-system/nginx-ingress-lb:https */
而上述3条链对应的处理如下,可以看到上述的每条链都作了 DNAT,将目的 IP 由 LB公网 IP 转换为 LB 的 container IP 
-A KUBE-SEP-ZVUNFBS77WHMPNFT -s 172.20.1.231/32 -m comment --comment "kube-system/nginx-ingress-lb:https" -j KUBE-MARK-MASQ
-A KUBE-SEP-ZVUNFBS77WHMPNFT -p tcp -m comment --comment "kube-system/nginx-ingress-lb:https" -m tcp -j DNAT --to-destination 172.20.1.231:443
-A KUBE-SEP-Y47C2UBHCAA5SP4C -s 172.20.2.191/32 -m comment --comment "kube-system/nginx-ingress-lb:https" -j KUBE-MARK-MASQ
-A KUBE-SEP-Y47C2UBHCAA5SP4C -p tcp -m comment --comment "kube-system/nginx-ingress-lb:https" -m tcp -j DNAT --to-destination 172.20.2.191:443
-A KUBE-SEP-QGNNICTBV4CXTTZM -s 172.20.2.3/32 -m comment --comment "kube-system/nginx-ingress-lb:https" -j KUBE-MARK-MASQ
-A KUBE-SEP-QGNNICTBV4CXTTZM -p tcp -m comment --comment "kube-system/nginx-ingress-lb:https" -m tcp -j DNAT --to-destination 172.20.2.3:443
从上面可以看出,node 节点上的 iptables 中有到达所有 service 的规则,service  的 cluster IP 并不是一个实际的 IP,它的存在只是为了找出实际的 endpoint 地址,对达到 cluster IP 的报文都要进行 DNAT 为 Pod IP(+port),不同 node 上的报文实际上是通过 POD IP 传输的,cluster IP 只是本 node 节点的一个概念,用于查找并 DNAT,即目的地址为 clutter IP 的报文只是本 node 发送的,其他节点不会发送(也没有路由支持),即默认下 cluster ip 仅支持本 node 节点的 service 访问,如果需要跨 node 节点访问,可以使用插件实现,如 flannel,它将 pod  ip 进行了封装

ebdc9a39db0de4026e4d8cf5fb753808.png

  • 至此已经讲完了 kubernetes 的容器中 iptables 的基本访问方式,在分析一个应用的iptables 规则时,可以从 KUBE-SERVICE 入手,并结合该应用关联的服务(如 ingress LB 等)进行分析。

  • 查看 iptables 表项最好结合 iptables-save 以及如 iptables -t nat -nvL 的方式,前者给出了 iptables 的具体内容,但比较杂乱;后者给出了 iptables 的结构,可以方便地看出表中的内容,但是没有详细信息,二者结合起来才能比较好地分析。链接状态可以查看 /proc/net/nf_conntrack

b7bd5c360a9a996688c93f78706f2d17.png

TIPS:

openshift 下使用如下配置创建 nodeport 类型的 service。"nodeport" 表示通过nodeport 方式访问的端口;"port" 表示通过 service 方式访问的口;"targetPort" 表示后端服务"app" 暴露的 pod 端口。通过 nodeport 访问集群的流程为: {dstNodeIP:dstNodePort}-->(iptables)DNAT-->{dstPodIP:dstPodPort}。 创建 nodeport 类型的 service 时会在每个 node 上开启一个端口号为 {nodePort}的监听 socket(单独使用 docker run -p 启动 nodeport 进程为 docker-proxy),其中一个作用方便给应用通过 loopback 地址访问容器服务,删除该进程后将无法通过 host 的 loopback 接口访问容器服务,更多参见 docker-proxy(http://dwz.date/cqfZ)。 同时也可以通过:{service:servicePort}-->(iptables)DNAT-->{dstPodIP:dstPodPort} 的方式在集群内部访问后端服务。 
apiVersion: v1
kind: Service
metadata:
  annotations:
  name: app-test
  namespace: openshift-monitoring
spec:
  externalTrafficPolicy: Cluster
  ports:
  - name: cluster
    nodePort: 33333  
    port: 44444
    protocol: TCP
    targetPort: 55555
  selector:
    app: app
  sessionAffinity: None
  type: NodePort
主要参考:https://blog.csdn.net/ebay/article/details/52798074 kube-proxy 的转发规则查看:http://www.lijiaocn.com/%E9%A1%B9%E7%9B%AE/2017/03/27/Kubernetes-kube-proxy.html

- END -

 推荐阅读 从零认识 iptables

Python 调用 Kubernetes API 自动化管理资源

大型网站技术架构的演进之路

Ceph分布式存储日常运维管理

30个Python极简代码,10分钟get常用技巧!

部署一套完整的Kubernetes高可用集群(二进制)

10 分钟部署一个 Kubernetes 集群

从网管到架构师再到微创业,我这9年的成长感悟

1d8b6d390716cbf05127a4071bcf04bb.png

点亮,服务器三年不宕机a793e73ec6067fba216e6fc200c069ed.gif

卢新生
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
iptables MARK
weixin_43855786的博客
04-10 737
内核设置数据包nfmark值的流程分为两步:(1)首先,内核会先用mask预处理数据包原来的nfmark,处理方法是:如果mask的第N位(二进制)为1,那么将数据包的nfmark第的N位(二进制)设置为0 ,nfmark其他的位保持不变(2)接着,再用上面预处理后的nfmark和value做异或操作,得到数据包最后的nfmark值。,然后再与0做异或操作,而0与任何值做异或都是该值本身,所以nfmark的最终值就是经过invbits预处理之后的值,和。,很明显,实际的回复包与期望的回复包的源地址不一样。
iptables -j MARK --set-xmark 解析
云原生,DevOps,Kubernetes
04-16 3990
查看man和命令帮助,还有网上搜到的解释不是很清晰,所以验证了一下,并尽量将其解释的通俗易懂。 MARK的作用 MARK标记用于将特定的数据包打上标签,供Iptables配合TC做QOS流量限制或应用策略路由。 格式 --set-xmark value[/mask] 操作结果: ctmark = (ctmark AND NOT mask) XOR value 重点(解释) 就是先将 ctmark(原包)的那些 mask标志出来的位清零(mask值为1的位,当然这里是转换为二进制后的位),然后再与给.
关于IPTABLES 各种MARK 功能的用法
热门推荐
bytxl的专栏
04-03 2万+
1、 iptalbes 的有多个MARK 模块..用法各不相同..一直没有完全明白..希望高手解释一下各功能的使用及区别.... -m mark -m connmark -j MARK -j CONNMARK -j CONNSECMARK -j SECMARK 解释: 小写的是数据包匹配模块,大写的是数据包修改模块。 带 CONN 的是连接的标记,不带的是标记数据包的。 带
iptables命令简介
最新发布
2401_84973202的博客
05-17 414
自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。深知大多数网络安全工程师,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!因此收集整理了一份《2024年网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上网络安全知识点!真正的体系化!
iptables详解
zou8944的博客
07-19 5924
iptables经常被与netfilter一同提起。netfilter是一个工作在Linux内核层面的网络数据包处理框架,提供了包过滤、地址或端口转换、包修改等功能;具体来说,就是在数据包处理路径上的特定位置触发对应的hook,这就是我们常说的5个chain、4个table。iptables是一个工作在用户态的命令行工具,用于在上述chain和table上配置规则集,以自定义包过滤规则、地址转换规则等。常见的用途如实现防火墙。chain即五个hook位置,为什么叫做chain?PREROUTING。...
在Docker容器使用iptables时的最小权限的开启方法
09-30
主要介绍了在Docker容器使用iptables时的最小权限的开启方法的相关资料,需要的朋友可以参考下
k8s iptables_study.docx
02-14
关于k8s iptables的学习,分析了k8s是如何使用iptables的,以及iptable里面的规则。用于了解外部访问k8s是iptables所发挥的作用,便于知道数据流的走向。
浅谈Linux防火墙Netfilter_Iptables在网络安全应用.pdf
09-06
浅谈Linux防火墙Netfilter_Iptables在网络安全应用.pdf
LinuxNetfilter_iptables的研究与应用.pdf
09-06
LinuxNetfilter_iptables的研究与应用.pdf
Dockeriptables规则在iptables重启后丢失的完整过程
09-29
主要给大家介绍了关于Dockeriptables规则在iptables重启后丢失的相关资料,文通过示例代码介绍的非常详细,对大家学习或者使用Docker具有一定的参考学习价值,需要的朋友们下面来一起学习学习吧
iptables_drop_malice_ssh_ipaddr
02-16
iptables_drop_malice_ssh_ipaddr使用lastb方式过滤恶意登录SSH脚本,又一次输入密码错误就会被记录内部,所以需要填充白名单到neglect_ssh_list.txt文件内,格式如下: 8.8.8.8...相关crontab实现方式已经写入...
Linux系统下Iptables在网络安全应用.pdf
09-06
Linux系统下Iptables在网络安全应用.pdf
xt_dscp.rar_iptables dscp
09-24
在实际应用,使用iptables的DSCP模块可能涉及到以下步骤: 1. 安装和启用:首先,你需要确保你的Linux内核编译时启用了DSCP相关的配置选项,然后编译并加载xt_dscp模块到内核。 2. 编写iptables规则:使用`-m`标志...
Linux内核Netfilter_Iptables防火墙的技术分析.pdf
11-26
Linux内核Netfilter_Iptables防火墙的技术分析.pdf
基于Linux环境IPTABLES防火墙在小型企业应用.pdf
11-02
基于Linux环境IPTABLES防火墙在小型企业应用.pdf
云原生世界的数据包标记(packet mark)
u012516914的专栏
09-11 1216
本文翻译自 2020 年 Joe Stringer 在 Linux Plumbers Conference 的一篇分享: Packet Mark In a Cloud Native Wor...
K8s低版本SVC使用Iptables实现,svc IP不通解决办法
无敌码农
02-26 2325
K8s低版本SVC使用Iptables实现,svc IP不同解决办法 首先查看k8s集群的kubeproxy IPVS模式,命令如下: # kubectl get cm kube-proxy -n kube-system -o yaml 如果mode字段不是“ipvs”,可以通过编辑配置将其改成"ipvs",命令如下: # kubectl edit configmap -n kube-system 修改后保存! 之后将kubeproxy 删除重建 # kubectl get pods
k8s实践(10) -- Kubernetes集群运行原理详解
黄规速博客:学如逆水行舟,不进则退
06-30 1942
1、Kubernetes API Server原理分析 Kubernetes API Server的核心功能是提供了Kubernetes各类资源对象(如Pod、RC、Service等)的增、删、改、查及Watch等HTTP Rest接口,成为集群内各个功能模块之间数据交互和通信的心枢纽,是整个系统的数据总线和数据心。除此之外,它还有以下一些功能特性: 是集群管理的API入口。 是资源配额...
k8sipvs和iptables的区别
06-28
K8sIPVS和iptables的区别在于它们是不同的负载均衡技术。IPVS是一种基于内核的负载均衡技术,它可以在内核层面进行负载均衡,提高了负载均衡的效率和性能。而iptables是一种基于用户空间的负载均衡技术,它需要在...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值