11.k8s之service和kube-proxy

最新推荐文章于 2024-08-13 23:36:48 发布
最新推荐文章于 2024-08-13 23:36:48 发布
阅读量595 收藏 4
点赞数
分类专栏: K8S 文章标签: kubernetes
原文链接:https://draveness.me/kubernetes-service/
版权

文章目录

转载
https://zhuanlan.zhihu.com/p/94418251
https://sq.163yun.com/blog/article/174981072898940928
https://draveness.me/kubernetes-service/

1.为什么需要kube-proxy和service

容器的特点就是快速创建、快速销毁。为了能够访问这些pod,需要引入负载均衡和VIP实现后端真实服务的自动转发和故障漂移。
这个负载均衡就是service,VIP就是service IP,service就是一个四层负载均衡。
k8s为了实现在集群所有的节点都能访问service,Kube-proxy默认会在所有的节点创建这个VIP,实现负载均衡

2.service

创建service需要ServiceControllerEndpointControllerkube-proxy,三大模块同时协作

2.1.ServiceController

当一个service对象状态发生变化的时候,Informer都会通知ServiceController,创建对应的服务

2.2.EndpointController

EndpointController会同时订阅Service和Pod的增删事件。其功能如下

负责生成和维护所有endpoint对象的控制器

负责监听service和对应pod的变化

监听到service被删除,则删除和该service同名的endpoint对象

监听到新的service被创建,则根据新建service信息获取相关pod列表,然后创建对应endpoint对象

监听到service被更新,则根据更新后的service信息获取相关pod列表,然后更新对应endpoint对象

监听到pod事件,则更新对应的service的endpoint对象,将podIp记录到endpoint中

3.kube-proxy

kube-proxy 负责service实现,实现了k8s内部service和外部node port到service的访问。
kube-proxy采用iptables的方式配置负载均衡,基于iptables的kube-proxy的主要职责包括两大块:一块是侦听service更新事件,并更新service相关的iptables规则,一块是侦听endpoint更新事件,更新endpoint相关的iptables规则(如 KUBE-SVC-链中的规则),然后将包请求转入endpoint对应的Pod。
在这里插入图片描述

3.1.kube-proxy之iptables实现原理

# kubectl get svc -o wide
NAME                     TYPE        CLUSTER-IP      EXTERNAL-IP   PORT(S)    AGE
kubernetes-bootcamp-v1   ClusterIP   10.106.224.41   <none>        8080/TCP   163m

其中ClusterIP为10.106.224.41,我们可以验证这个IP在本地是不存在的,所以不要尝试去ping ClusterIP,它不可能通的

root@ip-192-168-193-172:~# ping -c 2 -w 2 10.106.224.41
PING 10.106.224.41 (10.106.224.41) 56(84) bytes of data.

--- 10.106.224.41 ping statistics ---
2 packets transmitted, 0 received, 100% packet loss, time 1025ms

此时在Node节点192.168.193.172上访问该Service服务,首先流量到达的是OUTPUT链,这里我们只关心nat表的OUTPUT链:

# iptables-save -t nat | grep -- '-A OUTPUT'
-A OUTPUT -m comment --comment "kubernetes service portals" -j KUBE-SERVICES

该链跳转到KUBE-SERVICES子链中:

# iptables-save -t nat | grep -- '-A KUBE-SERVICES'
...
-A KUBE-SERVICES ! -s 10.244.0.0/16 -d 10.106.224.41/32 -p tcp -m comment --comment "default/kubernetes-bootcamp-v1: cluster IP" -m tcp --dport 8080 -j KUBE-MARK-MASQ
-A KUBE-SERVICES -d 10.106.224.41/32 -p tcp -m comment --comment "default/kubernetes-bootcamp-v1: cluster IP" -m tcp --dport 8080 -j KUBE-SVC-RPP7DHNHMGOIIFDC

我们发现与之相关的两条规则:

  • 第一条:负责打标记MARK0x4000/0x4000,后面会用到这个标记
  • 第二条:负责跳到KUBE-SVC-RPP7DHNHMGOIIFDC子链

其中KUBE-SVC-RPP7DHNHMGOIIFDC子链规则如下:

# iptables-save -t nat | grep -- '-A KUBE-SVC-RPP7DHNHMGOIIFDC'
-A KUBE-SVC-RPP7DHNHMGOIIFDC -m statistic --mode random --probability 0.33332999982 -j KUBE-SEP-FTIQ6MSD3LWO5HZX
-A KUBE-SVC-RPP7DHNHMGOIIFDC -m statistic --mode random --probability 0.50000000000 -j KUBE-SEP-SQBK6CVV7ZCKBTVI
-A KUBE-SVC-RPP7DHNHMGOIIFDC -j KUBE-SEP-IAZPHGLZVO2SWOVD

查看KUBE-SEP-FTIQ6MSD3LWO5HZX子链规则:

# iptables-save -t nat | grep -- '-A KUBE-SEP-FTIQ6MSD3LWO5HZX'
-A KUBE-SEP-FTIQ6MSD3LWO5HZX -p tcp -m tcp -j DNAT --to-destination 10.244.1.2:8080

可见这条规则的目的是做了一次DNAT,DNAT目标为其中一个Endpoint,即Pod服务

由此可见子链KUBE-SVC-RPP7DHNHMGOIIFDC的功能就是按照概率均等的原则DNAT到其中一个Endpoint IP,即Pod IP,假设为10.244.1.2.此时相当于

192.168.193.172:xxxx -> 10.106.224.41:8080
                      |
                      |  DNAT
                      V
192.168.193.172:xxxX -> 10.244.1.2:8080

接着来到POSTROUTING链:

# iptables-save -t nat | grep -- '-A POSTROUTING'
-A POSTROUTING -m comment --comment "kubernetes postrouting rules" -j KUBE-POSTROUTING
# iptables-save -t nat | grep -- '-A KUBE-POSTROUTING'
-A KUBE-POSTROUTING -m comment --comment "kubernetes service traffic requiring SNAT" -m mark --mark 0x4000/0x4000 -j MASQUERADE

这两条规则只做了一件事只要标记为0x4000/0x4000包,一律做SANT,由于10.244.1.2默认是从flannel.1转发出去的,因此会把源IP改为flannel.1的IP10.244.0.0

192.168.193.172:xxxx -> 10.106.224.41:8080
                      |
                      |  DNAT
                      V
192.168.193.172:xxxx -> 10.244.1.2:8080
                      |
                      |  SNAT
                      V
10.244.0.0:xxxx -> 10.244.1.2:8080
尼古拉斯丶六六
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
k8s笔记(5)-- ServiceKube-Porxy
xl_2016的博客
12-03 354
什么是service k8s中的服务发现和负载均衡。通俗的说就是映射一个虚拟IP(VIP)到指定的端口,通过代理客户端发来的请求会转发到后端一组Pods中的一台(也就是endpoint)上。为什么不直接访问pod端口呢?之前了解到,pod一般不单独存在,通过deployment管理pod生命周期,在pod销毁重建后ip和hostname都会改变,所以一般不直接访问pod服务,通过service v...
K8S-kube-proxy部署
jzyue
11-01 1495
一、签发证书 在172.16.1.55证书服务器上签发证书,kube-proxy使用的用户是kube-proxy,不能使用client证书,必须要重新签发自己的证书 [root@hdss1-55 certs]# pwd /opt/certs [root@hdss1-55 certs]# cfssl gencert -ca=ca.pem -ca-key=ca-key.pem -config=ca-config.json -profile=client kube-proxy-csr.json |cfssl-j
Kubernetesk8skube-proxyService详解
匠人精神,持之以恒!
09-25 3249
文章目录一、kube-proxy简介二、Service 简介三、Service 类型1)ClusterIp(集群内部使用)2)NodePort(对外暴露应用)3)LoadBalancer(对外暴露应用,适用于公有云)4)ExternalName四、Service 工作流程五、Service, Endpoints与Pod的关系六、kubernetes服务发现1)环境变量2) DNS五、Service代理模式1)userspace模式2)iptables模式(默认模式)3)ipvs模型4)kube-proxy
Kubernetesk8s)的Service - 代理模式详细介绍
南宫乘风-Linux运维-虚拟化容器-Python编程 ownit.top
02-06 1591
VIP 和 Service 代理 在 Kubernetes 集群中,每个 Node 运行一个 kube-proxy 进程。 kube-proxy 负责为 Service 实现了一种 VIP(虚拟 IP)的形式,而不是 ExternalName 的形式。 在 Kubernetes v1.0 版本,代理完全在 userspace。在 Kubernetes v1.1 版本,新增了 iptabl...
解决阿里云ESC启动kube-proxy服务时出现错误 亲测有效
长风的博客
10-21 1149
解决阿里云 ecs 搭建 k8s 二进制的方式的时候 解决 kube proxy 启动报错的问题
K8S学习笔记之Servicekube-proxy
AlgebraFly的博客
07-25 1012
K8S学习笔记之ServiceKuber-proxy
Kubernetesk8sServicekube-proxy 运行关系分析
叮当猫的喵i
09-26 1460
参考 详解 Kubernetes Service 的实现原理 Service Jimmysong Service 官方文档 kubernetes实践之四十八:Service Controller与Endpoint Controller k8s基础学习—endpoint,服务与pod之间的中介 容器化技术(十四):Kubernetes中Headless Service K8s 普通Service和Headless Service的区别 预置知识 Service 门口的侍客,
kube-install-for-k8s1.21-v0.7.0-beta.tgz
10-25
在本压缩包“kube-install-for-k8s1.21-v0.7.0-beta.tgz”中,主要包含的是针对Kubernetes (简称k8s) 版本1.21的一键安装部署工具和Board的部署资源。Kubernetes是一个开源的容器编排系统,用于自动化容器化应用的...
kube-router:Kube-router,Kubernetes网络的交钥匙解决方案
02-02
kube-router使用Linux内核的LVS / IPVS功能来实现其K8s服务代理。 Kube-router充分利用关闭LVS / IPVS的电源来提供丰富的和独特的功能,例如DSR(直接服务器返回),具有ECMP的L3负载平衡,以用于对高吞吐量,最小...
kube-flannel
01-25
**Kube-flannel**是 Kubernetes (k8s) 集群中的一个关键网络插件,用于实现跨节点的Pod间通信。它的工作原理是为每个节点分配一个网络子网,并确保Pod之间的通信不受节点限制。在Kubernetes环境中,网络解决方案至关...
k8s-v.1.14.2搭建和操作(安装-web-监控-完成)-kuberneteskubeadmin高可用包和详细文档笔记
05-27
3. **配置Worker节点**:在工作节点上安装`kubelet`和`kube-proxy`,并将它们加入到主节点的控制之下。 4. **网络插件**:Kubernetes需要网络插件来实现Pod之间的通信,如Flannel、Calico或Cilium等。根据需求选择...
k8s-dashboard-metrics-yaml_k8s
09-25
Kubernetes(简称k8s)是Google开源的一种容器编排系统,用于自动化容器化应用的部署、扩展和管理。本主题将深入探讨如何使用yaml文件创建Kubernetes Dashboard并集成metrics服务,以便更好地监控和管理集群。 在...
基于SOA架构---ServiceProxy定义
weixin_33716154的博客
02-11 257
定义如下四种基本功能:   (1)服务之间的消息路由; “路由器”:根据信息内容,在不同应用和服务之间进行信息传输和路由;   (2)请求者和服务之间的传输协议转换; “转换器”:进行应用之间的通信协议转换;   (3)请求者和服务之问的消息...
kubernetes 简介:kube-proxyservice
Null的博客
11-19 6911
简介 在 kubernetes 集群中,网络是非常基础也非常重要的一部分。对于大规模的节点和容器来说,要保证网络的连通性、网络转发的高效,同时能做的 ip 和 port 自动化分配和管理,并让用户用直观简单的方式来访问需要的应用,这是需要复杂且细致设计的。 kubernetes 在这方面下了很大的功夫,它通过 service 、 dns 、 ingress 等概念,解决了服务发现、负载均衡的问...
k8s-------kube-proxyservice
weixin_60552163的博客
07-06 228
endpoint是k8s集群中的一个资源对象,存储在etcd中,用来记录一个service对应的所有pod的访问地址。service配置selector,endpoint controller才会自动创建对应的endpoint对象;否则,不会生成endpoint对象。【例如】k8s集群中创建一个名为hello的service,就会生成一个同名的endpoint对象,ENDPOINTS就是service关联的pod的ip地址和端口。
Kubernetes】最佳实践1:kube-proxy与服务发现
热门推荐
《云计算架构技术与实践》
06-02 1万+
作者:彭靖田 Kubernetes的node节点主要有kubelet、kube-proxy、flannel、dockerd四个组件组成,本文主要分析kube-proxy组件的功能和原理。Pod是Kubernetes中资源分配的最小单位,也是执行任务的最小实体。 每个Pod都拥有flannel overlay network上的独立IP。node节点内pod通信由docker0网桥实现;
通俗理解k8s中的servicekube-proxy
qq_33525062的博客
05-22 142
简单来说,Service就是大楼的入口,为应用程序提供了一个访问的方式,而kube-proxy就是帮助你找到并连接这些应用程序的导航员。而kube-proxy就像是大楼里的一个导航员,他帮助你找到房间的位置并指引你去访问它们。他会注意房间的变化,比如新房间的加入或者房间的变动,然后告诉你如何到达这些房间。Service就像是这栋大楼的大门,它为这些房间提供了一个入口。无论你在大楼里的哪个地方,只要知道大门的位置,就可以方便地进入任何一个房间。每个应用程序就像一个房间,有自己的功能和特点。
[rospy]Service类和ServiceProxy
xuan196的博客
09-02 7829
rospy函数学习一、Service类(1)用法(2)主要函数二、ServiceProxy类(1)用法(2)主要函数 一、Service类 (1)用法 s=rospy.Service('add_two_ints',AddTwoInts,add_two_ints1) s是对象 第一个参数:add_two_ints,创建的服务名。 第二个参数:AddTwoInts,服务类型,svr。 (可以为String 类型) 第三个参数:add_two_ints1,回调函数。 (2)主要函数 shutdown() 关闭服
Rocky系统部署k8s1.28.2单节点集群(Containerd)+Kuboard
最新发布
Lzcsfg的博客
08-13 993
kubernetesk8s)是2014年由Google公司基于Go语言编写的一款开源的容器集群编排系统,用于自动化容器的部署、扩缩容和管理;kubernetesk8s)是基于Google内部的Borg系统的特征开发的一个版本,集成了Borg系统大部分优势;官方地址:Kubernetes代码托管平台:https://github.com/Kubernetes k8s集群需要建⽴在多个节点上,将多个节点组建成一个集群,然后进⾏统⼀管理,但是在k8s集群内部,这些节点⼜被划分成了两类⻆⾊:
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值