kube-proxy 到 路由表 (flannel,calico)是怎么玩的,打通任督二脉的关键是理解iptables的工作层次

最新推荐文章于 2025-03-25 11:22:24 发布
最新推荐文章于 2025-03-25 11:22:24 发布
阅读量2k 收藏
点赞数
分类专栏: k8s 文章标签: iptables
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_36013896/article/details/120249104
版权 
 

iptables的知识回顾看这:https://blog.csdn.net/huakai_sun/article/details/88837105
 

 

 

kube-proxy 到 路由表 (flannel,calico)是怎么玩的
 

 

 

首先kube-proxy是产生iptables规则的工具,实际工作的是iptables的规则,然后iptables是工作在网络层,处理完数据后,要交给上层的传输层进行路由寻址
 

 

而k8s的iptables经过好几条链找到Pod IP
 

 

所有流量都交给KUBE-SERVICES,具体走向简略如下:(详细可以看https://www.jianshu.com/p/1be9b096a691)
[nat]->[PREROUTING]->[KUBE-SERVICES]

>[KUBE-SVC-7RUAH544RSSBQYKK]

>[KUBE-SEP-IWORYNCAYHBSQHXU

>[DNAT ]

 

DNAT    tcp -- 0.0.0.0/0      0.0.0.0/0      /* ms-test/flask-ui:http */ tcp to:172.16.225.112:80
 

 

到达dnat就找到了pod的ip,iptables也就结束了,继续往上到传输层就是flannel,calico生成的路由表起作用了,
 

[root@node8 ~]# route -n
 

Kernel IP routing table
 

Destination   Gateway     Genmask     Flags Metric Ref  Use Iface
 

0.0.0.0     192.168.11.1  0.0.0.0     UG  100  0    0 ens33
 

172.16.3.64   192.168.11.54  255.255.255.192 UG  0   0    0 tunl0
 

172.16.104.0  192.168.11.52  255.255.255.192 UG  0   0    0 tunl0
 

172.16.135.0  192.168.11.53  255.255.255.192 UG  0   0    0 tunl0
 

172.16.166.128 192.168.11.51  255.255.255.192 UG  0   0    0 tunl0
 

172.16.225.64  0.0.0.0     255.255.255.192 U   0   0    0 *
 

...
 

172.16.225.112 0.0.0.0     255.255.255.255 UH  0   0    0 cali71ca141a178
 

...
 

172.17.0.0   0.0.0.0     255.255.0.0   U   0   0    0 docker0
 

192.168.11.0  0.0.0.0     255.255.255.0  U   100  0    0 ens33
 

 

从上图可以看出,路由表会将报文交给cali71ca141a178 这种虚拟的网络接口,这种是pod在本机的情况,如果在另一台机器上,比如192.168.11.54,则会走tunl0到达目的地,这也看出来是使用了calico的ipip 模式
 

 

 

cali71ca141a178 其实这个虚拟设备就是veth pair的一端
 

 

tunl0 这个就是为IPIP报文解封包的 设备

                

        

    

  



    


                



	

		

			

				
					
kubernetes(2)service、ingress、网络通信及calico

				
			

			

				

					weixin_44743132的博客
				

				

					01-23
					
					1401
					
				

			

		

		

			
				
一、service

Service可以看作是一组提供相同服务的Pod对外的访问接口。借助Service,应用可以方便地实现服务发现和负载均衡。Service 是由 kube-proxy 组件,加上 iptables 来共同实现的。kube-proxy 通过 iptables 处理 Service 的过程,需要在宿主机上设置相当多的 iptables 规则,如果宿主机有大量的Pod,不断刷新iptables规则,会消耗大量的CPU资源。

1.开启kube-proxy的ipvs模式

在 ipvs 模式下,

			
		

	



                

            
              



	

		

			

				
					
k8s-kubernetes--网络策略、flannel网络插件和calico网络插件

				
			

			

				

					Gong_yz的博客
				

				

					03-12
					
					7115
					
				

			

		

		

			
				
网络策略通过网络插件来实现。要使用网络策略,你必须使用支持 NetworkPolicy 的网络解决方案。 创建一个 NetworkPolicy 资源对象而没有控制器来使它生效的话,是没有任何作用的。(Flannel不支持 NetworkPolicy,所以使用Flannei网络插件是不会隔离pod的)

			
		

	



              


  
              

                


	

		

			

				
					
kube-proxyCalico区别?

				
			

			

				

					u013092227的博客
				

				

					08-27
					
					614
					
				

			

		

		

			
				
它会根据服务的定义自动生成网络规则,确保来自外部或集群内部的流量能够正确地路由到相应的服务副本。Calico 具有高度可配置性和可扩展性,支持多种网络模式(如BGP、VXLAN),并且可以与外部的网络基础设施集成(如支持多云或混合云环境)。kube-proxy 实际上不处理数据包的具体传输或路由,而是为服务提供一种虚拟IP的抽象,负责将服务请求转发到正确的Pod。Calico 则是一个CNI插件,提供了更广泛的网络功能,包括高效的Pod网络路由、网络安全策略、和可扩展性支持。

			
		

	





	

		

			

				
					
需求导向的K8S网络原理分析:Kube-proxyFlannelCalico的地位和作用

					
最新发布

				
			

			

				

					weixin_43466027的博客
				

				

					03-25
					
					1256
					
				

			

		

		

			
				
一文讲清K8S网络原理

			
		

	



		

			
		



	

		

			

				
					
介绍Calico eBPF数据平面:Linux内核网络、安全性和跟踪(Kubernetes、kube-proxy

				
			

			

				

					RToax
				

				

					10-10
					
					2708
					
				

			

		

		

			
				
如果您还不熟悉eBPF的概念,那么它允许您编写可以附加到Linux内核中各种低级挂钩的微型程序,以用于多种用途,包括网络,安全性和跟踪。您会看到许多利用eBPF的非网络项目,但是对于Calico,我们的重点显然是网络,尤其是将最新Linux内核的网络功能推向极限,同时保持Calico在简单性,可靠性和可伸缩性方面的声誉。

			
		

	





	

		

			

				
					
kubernetes和calico集成

				
			

			

				

					weixin_30446613的博客
				

				

					02-02
					
					301
					
				

			

		

		

			
				
硬件环境:
三台虚拟机:
192.168.99.129 master(kube-apiserver、kube-controller-manager、kube-proxykube-scheduler、kubelet、etcd、calico、docker)
192.168.99.130 slave1(kube-proxykubelet、etcd proxycalico、docke...

			
		

	





	

		

			

				
					
Kubernetes(k8s)Service 与 kube-proxy 运行关系分析

				
			

			

				

					叮当猫的喵i
				

				

					09-26
					
					1874
					
				

			

		

		

			
				
参考


详解 Kubernetes Service 的实现原理


Service Jimmysong


Service 官方文档


kubernetes实践之四十八:Service Controller与Endpoint Controller


k8s基础学习—endpoint,服务与pod之间的中介


容器化技术(十四)Kubernetes中Headless Service


K8s 普通Service和Headless Service的区别


预置知识

Service

门口的侍客,

			
		

	





	

		

			

				
					
【k8s】Service代理模式之IPVS模式、无头服务、发布service五种类型、Fannel原理及Flannel vxlan类型

				
			

			

				

					sl963216757的博客
				

				

					07-08
					
					1637
					
				

			

		

		

			
				
一、k8s网络通信

k8s通过CNI接口接入其他插件来实现网络通讯。目前比较流行的插件有flannelcalico等。 CNI插件存放位置:# cat /etc/cni/net.d/10-flannel.conflist

插件使用的解决方案如下:

虚拟网桥,虚拟网卡,多个容器共用一个虚拟网卡进行通信。
多路复用:MacVLAN,多个容器共用一个物理网卡进行通信。
硬件交换:SR-LOV,一个物理网卡可以虚拟出多个接口,这个性能最好。

容器间通信:同一个pod内的多个容器间的通信,通过lo回环网络接

			
		

	





	

		

			

				
					
kubernetes】进制部署k8s集群之cni网络插件flannelcalico工作原理(中)

				
			

			

				

					liu_xueyin的博客
				

				

					02-22
					
					2263
					
				

			

		

		

			
				
/在 master01 节点上操作#上传 calico.yaml 文件到 /opt/k8s 目录中,部署 CNI 网络#修改里面定义Pod网络(CALICO_IPV4POOL_CIDR),与前面kube-controller-manager配置文件指定的cluster-cidr网段一样#等 Calico Pod 都 Running,节点也会准备就绪---------- node02 节点部署 ----------//在 node01 节点上操作cd /opt/

			
		

	





	

		

			

				
					
Kubernetes:(十八)flannel网络

				
			

			

				

					ver_mouth__的博客
				

				

					08-15
					
					4115
					
				

			

		

		

			
				
覆盖网络,在基础网络上叠加的一种虚拟网络技术模式,该网络中的主机通过虚拟链路连接起来类似VPN隧道,原理为在物理网络上实现的逻辑网络将源数据包封装到UDP中,并使用基础网络的IP/MAC作为外层包头进行封装,然后在以太网上传输,到达目的地后由隧道断电解封并将数据发给目标地址是Overlay网络的一种,也是将源数据包封装在另一种网络包中进行路由转发和通信,目前已支持UDP、VXLAN、AWS VPN和GCE路由等数据转发方式特点hostgw这种方式就是直接路由vxlan。...

			
		

	





	

		

			

				
					
企业项目实战k8s篇(六)k8s网络通信(flannelcalico

				
			

			

				

					qq_42003848的博客
				

				

					07-28
					
					1061
					
				

			

		

		

			
				
三.vxlan模式
k8s通过CNI接口接入其他插件来实现网络通讯。目前比较流行的插件有flannelcalico等。
CNI插件存放位置:# cat  /etc/cni/net.d/10-flannel.conflist
插件使用的解决方案如下:

虚拟网桥,虚拟网卡,多个容器共用一个虚拟网卡进行通信。
多路复用:MacVLAN,多个容器共用一个物理网卡进行通信。
硬件交换:SR-LOV,一个物理网卡可以虚拟出多个接口,这个性能最好。

容器间通信:同一个pod内的多个容器间的通信,通过lo即可实现;


			
		

	





	

		

			

				
					
K8s集群组件、flannel网络插件、Pod详解

				
			

			

				

					m0_73770890的博客
				

				

					01-07
					
					1011
					
				

			

		

		

			
				
K8S详解

			
		

	





	

		

			

				
					
Centos7进制部署k8s-v1.20.2 ipvs版本(kube-proxycalico)

				
			

			

				

					人走茶良的博客
				

				

					09-08
					
					989
					
				

			

		

		

			
				
一、部署kube-proxy

获取最新更新以及文章用到的软件包,请移步点击:查看更新

1、创建csr请求文件


cat > kube-proxy-csr.json << EOF 
{
  "CN": "system:kube-proxy",
  "key": {
    "algo": "rsa",
    "size": 2048
  },
  "names": [
    {
      "C": "CN",
      "ST": "Sichuan",
      "L": "

			
		

	





	

		

			

				
					
云原生技术 --- k8s节点组件之kube-proxy的学习与理解

				
			

			

				

					编码爱好者
				

				

					09-29
					
					2496
					
				

			

		

		

			
				
k8s 网络代理(`kube-proxy`)在每个节点上运行。网络代理反映了每个节点上 Kubernetes API 中定义的服务,并且可以执行简单的 TCP、UDP 和 SCTP 流转发,或者在一组后端进行 循环 TCP、UDP 和 SCTP 转发。但是,必须要有一个插件,才可以实现相应的通信功能,它的作用是使发往 Service 的流量(通过ClusterIP和端口)负载均衡到正确的后端Pod。

			
		

	





	

		

			

				
					
Kubernetes kube-proxy工作原理

				
			

			

				

					小楼一夜听春雨,深巷明朝卖杏花
				

				

					08-10
					
					1662
					
				

			

		

		

			
				
比如一个数据包被网卡接收到了,链路层接收到数据包之后,如果它是本机的数据包,那么它会将这个包发送到netfilter框架,这个包回去被网络层处理,在处理的时候整个net filter会提供一个一个的hook点,就是一个一个的钩子,在这个钩子里面,这个数据包在处理的时候首先有个柔婷 descision,它会去看这个数据包的五元组,这个数据包里面存的是源IP,源端口,目标IP和端口,以及协议,代表协议的请求和流向。............

			
		

	





	

		

			

				
					
云原生|kubernetes|kubernetes的网络插件calicoflannel安装以及切换

				
			

			

				

					zsk_john的技术分享专用博客
				

				

					09-30
					
					5033
					
				

			

		

		

			
				
答案是有,而且问题会比较大,我这里这个是错误的哈(由于我的集群是测试性质,无所谓喽,爱谁谁,一般service不会太多的,生产上就不好说了),如果常和网络打交道,应该明白,10.0.0.0/24只有254个可用IP地址,那么也就是说,如果你的service超过了254个,抱歉,在创建service会报错的哦(报错为:Internal error occurred: failed to allocate a serviceIP: range is full)。

			
		

	





	

		

			

				
					
kubernetes(2)service、ingress、网络通信、calico

				
			

			

				

					Morganite的博客
				

				

					01-19
					
					2684
					
				

			

		

		

			
				
一、service

Service可以看作是一组提供相同服务的Pod对外的访问接口。借助Service,应用可以方便地实现服务发现和负载均衡。Service 是由 kube-proxy 组件,加上 iptables 来共同实现的。kube-proxy 通过 iptables 处理 Service 的过程,需要在宿主机上设置相当多的 iptables 规则,如果宿主机有大量的Pod,不断刷新iptables规则,会消耗大量的CPU资源。

开启kube-proxy的ipvs模式

在 ipvs 模式下,ku

			
		

	





	

		

			

				
					
再见 Kube-Proxy,是时候拥抱下一代 K8s 负载均衡 KPNG 了

				
			

			

				

					云原生实验室
				

				

					06-06
					
					712
					
				

			

		

		

			
				
Laf 公众号已接入了 GPT4,完全免费!欢迎前来调戏????<<< 左右滑动见更多 >>>❝原文链接:https://maao.cloud/2022/12/14/KPNG%EF%BC%9A%E4%B8%8B%E4%B8%80%E4%BB%A3Kube-Proxykpng 是社区新设计开发的下一代 Kube-Proxy,目前仍然在积极开发中。官方 repo:http...

			
		

	





	

		

			

				
					
k8s网络相关知识点

				
			

			

				

					09-21
				

			

		

		

			
				
### 回答1:
Kubernetes 的网络系统是由多个组件组成的, 它们协作为应用程序提供网络连接和通信. 

其中一些主要的组件包括: 

- kube-proxy: 运行在每个节点上, 负责为 Pod 和 Service 提供代理服务. 
- kube-dns: 为应用程序提供 DNS 服务. 
- 网络插件: 用于为 Pod 提供网络连接, 支持不同的网络模型, 如 Calico, Flannel, Cilium 等. 
- Service: 为应用程序提供负载均衡和服务发现. 

Kubernetes 的网络模型是基于 Pod 的, 每个 Pod 都有一个独立的 IP 地址, 使得容器间直接通信成为可能. Service 则提供了一种发现和负载均衡的机制, 让外部客户端可以访问 Pod.
  

### 回答2:
Kubernetes(K8s)是一个开源的容器编排平台,用于自动化部署、扩展和管理容器化应用程序。下面是一些与K8s网络相关的知识点。

1. 服务发现:K8s通过DNS(域名系统)服务提供内部服务发现机制。每个服务都会被分配一个唯一的域名,其他服务可以通过该域名访问该服务。

2. Pod网络:Pod是K8s中的最小调度单元,它可以包含一个或多个容器。每个Pod都有一个唯一的IP地址,容器可以通过本地回环地址访问其他Pod中的容器。

3. 容器网络接口(CNI):CNI是一个规范,用于定义容器网络的实现方式。K8s使用CNI插件来设置和管理Pod的网络。不同的CNI插件可以支持不同的网络方案,如VLAN、VXLAN、Calico等。

4. 服务代理:K8s使用服务代理来实现服务之间的通信。服务代理可以在集群各个节点上运行,并通过负载均衡来分发到后端Pod。

5. 网络策略:K8s允许用户通过网络策略来定义集群中的网络访问规则。网络策略可以限制哪些Pod可以与另一个Pod通信,以及允许的协议和端口。

6. Ingress控制器:Ingress控制器是K8s中用于管理入站网络流量的组件。它可以将外部流量路由到集群内部的服务,并提供负载均衡和SSL终止等功能。

7. 可插拔网络解决方案:K8s提供了一些可插拔的网络解决方案,如FlannelCalico等。这些解决方案可以根据具体需求选择,以提供不同的网络拓扑结构和性能。

总而言之,K8s网络相关的知识点包括服务发现、Pod网络、CNI、服务代理、网络策略、Ingress控制器和可插拔网络解决方案。这些知识点帮助我们理解和管理K8s集群中的网络配置和通信。  

### 回答3:
Kubernetes(简称k8s)是一种用于容器编排和管理的开源平台,它涉及到一些重要的网络概念和组件。

首先,k8s网络模型是基于虚拟网络的概念。每个k8s集群中的容器都会被分配一个独立的IP地址,并且可以通过这个IP地址跨节点进行通信。这是通过一个称为kube-proxy的组件实现的,它会在每个节点上监听API服务器上的变化,并使用iptables或者IPVS等工具在宿主机上进行流量转发。

其次,k8s通过Service和Endpoint来暴露和访问容器。Service是一个逻辑概念,用于封装一组具有相同功能的容器,在集群内部提供服务的访问入口。一个Service可以通过ClusterIP、NodePort或者LoadBalancer等不同的类型暴露。而Endpoint是实际运行容器的IP和端口的集合,用于告诉Service流量应该转发到哪里。

此外,k8s还支持Ingress资源,用于在集群外部暴露服务,实现外部访问。Ingress通过定义一个或多个规则,将外部流量转发到不同的Service上,从而实现域名或路径的复杂路由。

最后,网络插件是k8s网络中的重要组件。k8s提供了一些默认的网络插件,如FlannelCalico等,用于管理Pod之间的网络通信。网络插件负责创建网络的子网和路由表,并将Pod的IP地址与宿主机的虚拟网卡进行关联。

总结来说,k8s网络涉及到虚拟网络、kube-proxy、Service、Endpoint、Ingress等概念和组件,这些都是为了实现容器间的通信和外部访问的需求。不同的网络插件可以根据具体需求选择,以满足集群的网络需求。

			
		

	



              




          




        



    





    



      

      

        
      

      





	

		评论	
	

	
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  





	
打赏作者

	

		

		
			
		
		

		

			
weixin_36013896

			
你的鼓励将是我创作的最大动力

		

	

	

			

	

	

    ¥1
    ¥2
    ¥4
    ¥6
    ¥10
    ¥20
	

	

		

			

				

					扫码支付:¥1
				

				

					

					
					获取中
					

				

				

					
					
					扫码支付
				

			

		

		

			
您的余额不足,请更换扫码支付或充值

			
打赏作者

		

	



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值