kube-proxy conntracker设置

最新推荐文章于 2023-06-22 09:27:04 发布
最新推荐文章于 2023-06-22 09:27:04 发布
阅读量2.1k 收藏 1
点赞数 1
分类专栏: kubernetes实践 文章标签: kube-proxy k8s nf_conntrack
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39961559/article/details/81637023
版权

1. conntracker是什么

conntracker跟踪并且记录连接状态。Linux为每一个经过网络堆栈的数据包,生成一个新的连接记录项 (Connection entry)。此后,所有属于此连接的数据包都被唯一地分配给这个连接,并标识连接的状态。连接跟踪是防火墙模块的状态检测的基础,同时也是地址转换中实 现SNAT和DNAT的前提。
那么Netfilter又是如何生成连接记录项的呢?每一个数据,都有“来源”与“目的”主机,发起连接的主机称为“来源”,响应“来源”的请求的主机即 为目的,所谓生成记录项,就是对每一个这样的连接的产生、传输及终止进行跟踪记录。由所有记录项产生的表,即称为连接跟踪表。
由于本文主要是介绍kube-proxy是怎么设置conntracker参数的,关于conntracker这里推荐看以下3篇文章:

  1. iptables 的 conntrack 连接跟踪模块
  2. Linux中kernel 的nf_conntrack参数调整详解
  3. iptables的nf_conntrack相关参数引起两个问题

2. kube-proxy的conntracker参数设置

在使用k8s集群做压测时,发现很多连接关闭,查看/var/log/messages发现有很多的nf_conntrack: table full, dropping packet。查看了/proc/sys/net/netfilter/nf_conntrack_max,发现里面的值被更改了,查看/var/log/messages发现了kube-proxy的重启操作。经过排除,最后将问题锁定在kube-proxy上,然后直接查找源码看它是怎么更改的。
首先查看源码中关于conntracker的参数设置
options
具体的设置代码
conntracker
从代码中看到,首先是调用getConntrackMax函数获取max的值,然后设置max,getConntrackMax函数如下
getConntrackMax
如果我们在kube-proxy的启动参数中没有设置–conntrack-max参数,则对比–conntrack-min和–conntrack-max-per-core的值与cpu核数的大小取其大者返回max值。最后调用SetMax设置conntrack-max的值
SetMax
继续跟踪SetSysctl函数会得到设置的完整路径为/proc/sys/net/netfilter/nf_conntrack_max。–conntrack-tcp-timeout-established与–conntrack-tcp-timeout-close-wait参数的设置同理,最后对应的文件路径分别为/proc/sys/net/netfilter/nf_conntrack_tcp_timeout_established和/proc/sys/net/netfilter/nf_conntrack_tcp_timeout_close_wait。

3. 总结

kube-proxy对conntracker的系统设置体现在上述代码中,这解释了我们初始配置的conntracker参数被kube-proxy给修改了,如果要保持conntracker的参数不变,主要是nf_conntrack_max、nf_conntrack_tcp_timeout_established、nf_conntrack_tcp_timeout_close_wait,这3个参数可以在kube-proxy的启动参数中和我们想要设置的参数一致。这里有必要提醒下nf_conntrack_max的设置,在源码中,关于conntrack-max参数是这样提示的“This feature will be removed in a later release.”,所以为了保守点,我们可以不设置这个参数,改为设置–conntrack-min或–conntrack-max-per-core,可以通过两种方式设置max的值
1. 设置–conntrack-min为我们期望的conntrack_max的值(推荐);
2. 设置–conntrack-max-per-core为我们期望的conntrack_max的值除以cpu核数。

polarwu
关注
专栏目录
Conntracker:防火墙嗅探器。 实时,低开销地分析所有iptables(netfilter / xtables)或nf_tables现有流,并以可消耗的方式进行通知。-C/C++开发
05-27
Conntracker:防火墙嗅探器。 实时,低开销地分析所有iptables(netfilter / xtables)或nf_tables现有流,并以可消耗的方式进行通知。 连接跟踪器/防火墙规则指示器解决日志TCP,UDP和ICMP IPv4 / IPv6流的问题。 了解主机(或防火墙)中的网络流量; 创建适当的iptables(或nf_tables)规则; 怪罪防火墙行为(接受/拒绝); 优化防火墙规则; 编译为了进行编译,您需要安装以下Ubuntu软件包:pkg-config libglib2.0-dev libmnl-dev libnetfilter-conntrack-dev libelf-dev clang-10(或clang-11)llvm-10(或llvm- 11)在
kubernetes 使用cilium 网络插件 替换kube-proxy
02-10
2. 使用Helm安装Cilium,指定配置参数如关闭Hubble监测、Hubble Relay、Prometheus和Hubble UI,启用kubeProxyReplacement以完全替换kube-proxy,并设置pod CIDR等。 Cilium的安装完成后,它会接管Kubernetes集群的...
如何配置tracker
yw_2022的博客
01-28 2797
如何配置tracker
conntracker监控
vbaspdelphi的专栏
12-23 513
/proc/sys/net/nf_conntrack_max/proc/sys/net/core/somaxconn上面两个文件啥区别来
性能提升40%:腾讯TKE用eBPF绕过conntrack优化Kubernetes Service
Docker的专栏
06-29 2221
Kubernetes Service[1]用于实现集群中业务之间的互相调用和负载均衡,目前社区的实现主要有userspace,iptables和IPVS三种模式。IPVS模式的性能最好...
Kubernetes」- 日志 @20210315
k4nz
03-15 206
内容简介 本部分将介绍与Kubernetes日志有关内容,包括日志种类、收集方法等等。 关于日志 #1 多种多样的日志 应用程序具有日志,用于排查问题。集群具有日志,用于排查问题。容器环境具有日志机制,容器化应用应将日志写入标准输出与标准错误。 #2 但这些日志机制存在问题 但是由容器引擎提供的日志功能远远不够:容器崩溃,驱逐POD实例,节点崩溃,在这些情况下我们依旧希望访问日志。因此日志需要独立存储,并且生命周期与节点、容器等等无关。 该概念被称为“集群日志”。 #3 集群日志 “集群.
kube-proxy-temp-1.16.8.yaml
10-09
aws-kube-proxy1.16.8版本示例文件
k8s.gcr.io/kube-proxy:v1.17.3镜像包
03-06
kubernetes的k8s.gcr.io/kube-proxy:v1.17.3镜像包,版本为v1.17.3。文件是kube-proxy_v_1_17.3.tar
kube-proxy:kube-proxy组件配置
05-15
提供用于配置kube-proxy的版本化API。 兼容性 此仓库的HEAD将与k8s.io/apiserverk8s.io/apimachinery和k8s.io/client-go的HEAD匹配。 它从何而来? 从同步kube-proxy 。 在该位置进行代码更改,合并到k8s.io/...
gcr.io/kubebuilder/kube-rbac-proxy:v0.13.0 镜像
10-16
gcr.io/kubebuilder/kube-rbac-proxy:v0.13.0 镜像
conntracker:连接跟踪器防火墙规则指示器
02-17
连接跟踪器/防火墙规则指示器 问题 因此,您当前正在考虑创建一组防火墙规则,也许将REJECT设置为链上的默认策略,但是您对当前的流量尚不了解。 如果您阻止太多,您可能最终会抱怨过去曾经无法使用的服务。 如果没有足够的阻止,您最终将拥有不安全的环境。 解决方案 您可以通过多种方式来了解通过防火墙的流量。 立即弹出我们头的最常见方法之一是匹配防火墙中的某些流,并将它们定向到LOG目标插件。 它将特性或匹配的数据包转储到系统日志中,您可以对其进行进一步分析。 另一种方法是使用更好的目标,例如NFLOG ...,并使用ulogd2 userland守护程序获得更多的灵活性。 就像LOG目标一样,您可以将匹配数据包的特征放入NFLOG内核后端,并将其传递给ulogd2 userland守护程序。 使用ulogd2,您甚至可以将这些日志写入数据库,或以libpcap转储格式捕获它。 当然...
nf_conntrack_msn
04-09 753
I am trying to write a conntrack/NAT helper for MSN Messenger filetransfers, and I am unable to solve two problems at the moment.Problem 1. Summary: Can I call ip_conntrack_change_expectation()
conntrack链接 tcp
tycoon的专栏
11-06 722
一、连接跟踪的预备知识 连接跟踪的概念及作用,这里都不做介绍了。下面先说一下连接跟踪在Netfilter中起效的hook点以及对应的hook函数。
kubernetes_核心组件_KubeProxy_KubeProxy三种模式和参数解析
毛毛的专栏
06-22 2927
kubeProxy
kube-proxy 部署
小楼一夜听春雨,深巷明朝卖杏花
04-07 3856
kube-proxy还是由我们统一颁发一个证书。 1. 创建配置文件 cat > /opt/kubernetes/cfg/kube-proxy.conf << EOF KUBE_PROXY_OPTS="--logtostderr=false \\ --v=2 \\ --log-dir=/opt/kubernetes/logs \\ --config=/opt/kubernetes/cfg/kube-proxy-config.yml" EOF 2. 配置参数文件 cat &gt
kubernetes 故障排查之contrack
柳清风的专栏
08-16 6480
kube-proxy日志里面有很多报错 E0813 10:47:18.983433 454071 proxier.go:722] conntrack return with error: error looking for path of conntrack: exec: "conntrack": executable file not found in $PATH E0813 10:4...
kube-proxy 详解
热门推荐
m0_57223716的博客
06-07 1万+
kubernets集群的每个节点上都运行着kube-proxy进程,负责实现Kubernetes中service组件的虚拟IP服务。目前kube-proxy有如下三种工作模式:User space模式在这种模式下,kube-proxy通过观察Kubernetes中service和endpoint对象的变化,当有新的service创建时,所有节点的kube-proxy在node节点上随机选择一个端口,在iptables中追加一条把访问service的请求重定向到这个端口的记录,并开始监听这个端口的连接请求。
云原生技术 --- k8s节点组件之kube-proxy的学习与理解
编码爱好者
09-29 2384
k8s 网络代理(`kube-proxy`)在每个节点上运行。网络代理反映了每个节点上 Kubernetes API 中定义的服务,并且可以执行简单的 TCP、UDP 和 SCTP 流转发,或者在一组后端进行 循环 TCP、UDP 和 SCTP 转发。但是,必须要有一个插件,才可以实现相应的通信功能,它的作用是使发往 Service 的流量(通过ClusterIP和端口)负载均衡到正确的后端Pod。
【云原生 · Kubernetes】部署 kube-proxy 组件
念舒C.ying
09-09 1155
因为云计算成为了监控工程师👨🏻‍💻kube-proxy 运行在所有 worker 节点上,它监听 apiserver 中 service 和 endpoint 的变化情况,创建路由规则以提供服务 IP 和负载均衡功能。讲解部署 ipvs 模式的 kube-proxy 过程。注意:如果没有特殊指明,所有操作,然后远程分发文件和执行命令。
kube-proxy
最新发布
09-12
kube-proxyKubernetes集群中负责实现服务负载均衡的组件。它主要有两种实现模式:iptables模式和IPVS模式。在iptables模式下,kube-proxy使用iptables规则来实现负载均衡;而在IPVS模式下,kube-proxy使用Linux内核的IPVS功能来实现负载均衡。 关于使用其他负载均衡后端的问题,根据引用的说法,由于kube-proxy是四层负载均衡,理论上可以使用haproxy、nginx等作为负载均衡后端。然而,需要注意的是,这些负载均衡后端并不是kube-proxy的官方支持的配置方式。因此,在实际使用中可能需要进行额外的配置和调整。 另外,引用提到,当kube-proxy启用IPVS模式时,它依赖一些内核模块,包括ip_vs、ip_vs_rr、ip_vs_wrr、ip_vs_sh和nf_conntrack。这些模块需要在操作系统中正确加载并启用,以确保kube-proxy正常工作。 总结来说,kube-proxyKubernetes集群中负责实现服务负载均衡的组件,它可以使用iptables模式或IPVS模式来实现负载均衡。虽然理论上可以使用其他负载均衡后端,但需要额外配置和调整。同时,在启用IPVS模式时,需要确保相关的内核模块正确加载并启用。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值