kubernetes(2)service、ingress、网络通信及calico

最新推荐文章于 2024-05-06 21:45:00 发布
最新推荐文章于 2024-05-06 21:45:00 发布
阅读量1.3k 收藏 1
点赞数
分类专栏: K8s 文章标签: kubernetes 网络 java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44743132/article/details/122655599
版权
本文详细介绍了Kubernetes中Service的多种类型,包括ClusterIP、NodePort、Headless Service和ExternalName,重点讨论了kube-proxy的IPVS模式以及Service的网络通信。接着,讲解了Ingress服务,包括Ingress TLS配置和添加认证。此外,探讨了k8s网络通信,如Flannel的VXLAN模式和DR模式,以及Calico网络插件的特性。最后,展示了如何配置公有云k8s服务对外访问。
摘要由CSDN通过智能技术生成

一、service

Service可以看作是一组提供相同服务的Pod对外的访问接口。借助Service,应用可以方便地实现服务发现和负载均衡。Service 是由 kube-proxy 组件,加上 iptables 来共同实现的。kube-proxy 通过 iptables 处理 Service 的过程,需要在宿主机上设置相当多的 iptables 规则,如果宿主机有大量的Pod,不断刷新iptables规则,会消耗大量的CPU资源。

1.开启kube-proxy的ipvs模式

在 ipvs 模式下,kube-proxy 监视 Kubernetes 服务和端点,调用 netlink 接口相应地创建 IPVS 规则, 并定期将 IPVS 规则与 Kubernetes 服务和端点同步。 该控制循环可确保IPVS 状态与所需状态匹配。访问服务时,IPVS 将流量定向到后端Pod之一。

IPVS代理模式基于类似于 iptables 模式的 netfilter 挂钩函数, 但是使用哈希表作为基础数据结构,并且在内核空间中工作。 这意味着,与 iptables 模式下的 kube-proxy 相比,IPVS 模式下的 kube-proxy 重定向通信的延迟要短,并且在同步代理规则时具有更好的性能。 与其他代理模式相比,IPVS 模式还支持更高的网络流量吞吐量。

所有节点中  yum install -y ipvsadm

[root@server2 ~]# kubectl get pod
[root@server2 ~]# kubectl get pod -n kube-system 
[root@server2 ~]# kubectl get all
[root@server2 ~]# kubectl delete svc liveness-http 
[root@server2 ~]# kubectl get svc
[root@server2 ~]# yum install -y ipvsadm
[root@server2 ~]# ipvsadm -ln
[root@server2 ~]# kubectl -n kube-system get pod

将模式改为ipvs ,然后更新(就是删除之前的重新建立)


[root@server2 ~]# kubectl -n kube-system get svc
[root@server2 ~]# kubectl -n kube-system get cm
[root@server2 ~]# kubectl edit cm kube-proxy -n kube-system

 mode: "ipvs"

[root@server2 ~]# kubectl get pod -n kube-system |grep kube-proxy | awk '{system("kubectl delete pod "$1" -n kube-system")}'

 查看策略

[root@server2 ~]# ipvsadm -ln

 查看其他节点策略:

IPVS 提供了更多选项来平衡后端 Pod 的流量。 这些是:

rr:轮替(Round-Robin)
lc:最少链接(Least Connection),即打开链接数量最少者优先
dh:目标地址哈希(Destination Hashing)
sh:源地址哈希(Source Hashing)
sed:最短预期延迟(Shortest Expected Delay)
nq:从不排队(Never Queue)

[root@server2 ~]# kubectl get pod -n kube-system

[root@server2 ~]# kubectl get pod -n kube-system -o wide

 [root@server2 ~]# kubectl  -n kube-system describe svc kube-dns

IPVS模式下,kube-proxy会在service创建后,在宿主机上添加一个虚拟网卡:kube-ipvs0,并分配service IP。
[root@server2 ~]# ip addr

kube-proxy通过linux的IPVS模块,以rr轮询方式调度service中的Pod。
[root@server2 ~]# ipvsadm -ln

2.创建service:(ClusterIP方式)

[root@server2 ~]# mkdir service
[root@server2 ~]# cd service/
[root@server2 service]# vim clusterip.yml
apiVersion: v1
kind: Service
metadata:
  name: web-service
spec:
  ports:
    - name: http
      port: 80
      targetPort: 80
  selector:
      app: myapp
  type: ClusterIP
[root@server2 service]# kubectl apply -f clusterip.yml 
service/web-service created
[root@server2 service]# kubectl get svc
[root@server2 service]# ip addr
[root@server2 service]# ipvsadm -ln

  创建副本:

[root@server2 ~]# cd pod/
[root@server2 pod]# ls
cronjob.yml  daemonset.yaml  deploy.yaml  job.yml  pod1.yml  pod.yml
[root@server2 pod]# cat deploy.yaml 
apiVersion: apps/v1
kind: Deployment
metadata:
  name: myapp-deployment
  labels:
    app: myapp
spec:
  replicas: 3
  selector:
    matchLabels:
      app: myapp
  template:
    metadata:
      labels:
        app: myapp
    spec:
      containers:
      - name: myapp
        image: myapp:v1
[root@server2 pod]# kubectl apply -f deploy.yaml 
deployment.apps/myapp-deployment created
[root@server2 pod]# kubectl get pod

[root@server2 service]# kubectl get pod --show-labels
[root@server2 service]# kubectl describe svc web-service

 curl IP

[root@server2 service]# kubectl get pod -n kube-system
[root@server2 service]# kubectl get svc -n kube-system

[root@server2 service]# kubectl run -it demo --image=busyboxplus

kube-proxy通过linux的IPVS模块,以rr轮询方式调度service中的Pod 

3.无头服务

Headless Service不需要分配一个VIP,而是直接以DNS记录的方式解析出被代理Pod的IP地址。

[root@server2 service]# ls
clusterip.yml
[root@server2 service]# kubectl delete -f clusterip.yml 
service "web-service" deleted
[root@server2 service]# vim clusterip.yml 
apiVersion: v1
kind: Service
metadata:
  name: web-service
spec:
  p
最低0.47元/天 解锁文章
在远方*^_^*
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
K8s(六):网络插件之Calico安装与详解
✨ 欢迎来到【Seal ^_^ 的CSDN博客】!这里是我记录技术心得、分享经验的地方。✨
04-02 2万+
🔴 K8s(六):网络插件之Calico安装与详解
企业入门实战--k8s之vxlan 、calicoingress实现七层负载均衡
鱼子酱
07-29 928
企业入门实战--k8s之vxlan 、calicoingress实现七层负载均衡Flannel vxlanDR模式实现calico网络插件替换flannelcalico支持的网络策略-访问控制Ingress-nginx七层负载均衡实现安装Ingress Flannel vxlan DR模式实现 flannel支持多种后端,包括 vxlan默认报文封装模式,适用于跨网段通信 Directrouting直连路由模式,适用于同网段通信。表现为host-gw,主机网关,性能好,但只能在二层网络中,不支持跨网。
Kubernetes5——通信、flannel、calicoingress
qwejiaji的博客
07-30 1120
目录一、k8s通信二、flannel网络三、calico1、calico安装与部署2、calico网络策略四、ingress服务 一、k8s通信 k8s通过CNI接口接入其他插件来实现网络通讯。目前比较流行的插件有flannel,calico等 CNI插件存放位置:# cat /etc/cni/net.d/10-flannel.conflist 插件使用的解决方案: 虚拟网桥,虚拟网卡,多个容器共用一个虚拟网卡进行通信。 多路复用:MacVLAN,多个容器共用一个物理网卡进行通信。 硬件交换:SR-LOV
kubernetes(k8s)—calico网络插件、Ingress服务
xy_的博客
07-06 1350
1.calico网络插件 在做三层解决方案时,calico是行业界的大哥,flannel只负责网络通信,而不提供网络策略,而calico即支持网络通信,也支持网络策略。 calico里有一些镜像,为了方便节点下载,我们先提前下载这些镜像,并上传到私有仓库中。 vim calico.yaml ##编辑calico文件 这种方式和flannel的host-gw是类似的。 前面我们将ipip给关闭了,这里我们将其打开来测试一下。 vim calico.yaml
Kubernetes-网络通信、Flannel 网络calico网络插件、策略
qq_46490950的博客
07-29 748
目录一.k8s网络通信二、Flannel网络flannel组件1.vxlan模式2.host-gw模式三.calico网络插件1.calico简介:2.calico组件安装四.calico网络策略1.限制访问指定服务2.允许指定pod访问服务:3.禁止 namespace 中所有 Pod 之间的相互访问4.只允许指定namespace访问服务:5.允许外网访问: 一.k8s网络通信 k8s通过CNI接口接入其他插件来实现网络通讯。目前比较流行的插件有flannel,calico等。 CNI插件存放位置:#
kube-proxy 到 路由表 (flannel,calico)是怎么玩的,打通任督二脉的关键是理解iptables的工作层次
weixin_36013896的博客
09-12 1917
iptables的知识回顾看这:https://blog.csdn.net/huakai_sun/article/details/88837105 kube-proxy 到 路由表 (flannel,calico)是怎么玩的 首先kube-proxy是产生iptables规则的工具,实际工作的是iptables的规则,然后iptables是工作在网络层,处理完数据后,假如数据要出去,要交给上层的传输层进行路由寻址 而k8s的iptables经过好几条链找到Pod IP ...
K8s------(八)网络插件Calico
qq_41582883的博客
03-01 969
https://docs.projectcalico.org/getting-started/kubernetes/self-managed-onprem/onpremises calico是三层策略,点对点 1 安装calico (1)wget https://docs.projectcalico.org/manifests/calico.yaml (2)将安装插件需要的镜像上传至harbor仓库 禁止PIP工作模式:适用于互相访问的pod不在同一个网段中,跨网段访问的场景 默认使用BGP工作模
介绍Calico eBPF数据平面:Linux内核网络、安全性和跟踪(Kubernetes、kube-proxy)
RToax
10-10 2491
如果您还不熟悉eBPF的概念,那么它允许您编写可以附加到Linux内核中各种低级挂钩的微型程序,以用于多种用途,包括网络,安全性和跟踪。您会看到许多利用eBPF的非网络项目,但是对于Calico,我们的重点显然是网络,尤其是将最新Linux内核的网络功能推向极限,同时保持Calico在简单性,可靠性和可伸缩性方面的声誉。
kubernetes(2)serviceingress网络通信calico
Morganite的博客
01-19 2604
一、service Service可以看作是一组提供相同服务的Pod对外的访问接口。借助Service,应用可以方便地实现服务发现和负载均衡。Service 是由 kube-proxy 组件,加上 iptables 来共同实现的。kube-proxy 通过 iptables 处理 Service 的过程,需要在宿主机上设置相当多的 iptables 规则,如果宿主机有大量的Pod,不断刷新iptables规则,会消耗大量的CPU资源。 开启kube-proxy的ipvs模式 在 ipvs 模式下,ku
k8s-05-ipvs ingress-nginx
sunnyliuqi的专栏
01-30 493
# ipvs-模块开启 kubectl edit cm kube-proxy -n kube-system # 修改 mode "ipvs" kubectl delete pod -l k8s-app=kube-proxy -n kube-system # 查看结果 ipvsadm -Ln # ingress-nginx安装 下载和修改配置 # 添加仓库 helm repo add ingress-nginx https://kubernetes.github.io/ingress-ng.
kubernetes calico网络不通的排查思路
热门推荐
纵横四海的博客
03-11 1万+
网络不通通俗一点就是报文不可达 在这里就不多说了 举个例子 容器A访问不了容器B,也就是容器A ping 不通容器B 排查思路: 正向 1 容器A的内容是否发送到容器A所在的node上 2 容器A所在的节点node是否发送出去 3 容器B所在的节点node是否接收到容器A所在的节点node发送的报文 4 容器B所在的节点node是否把报文发送到容器B中 反向 1 容器B的内容...
[问题已处理]-kubernetes1.18.2ping的通外网ip却无法解析域名
爷来辣的博客
04-20 940
导语:k8s不能解析外网域名 但是可以ping通外网ip k8s版本1.18.2 强制重启提示 重启服务器之后部署环境 发现pod无法正常启动了。 查看服务报错信息 发现是无法连上RDS ,telnet 3306 不通,进一步发现是无法解析域名 外网ip是通的 "@timestamp":"2021-04-16T09:59:25.563+08:00","@version":"1","message":"Application run failed","logger_name":"org.springfr
k8s(网络组件calico)pod到service域名解析错误解决
日积月累一点点
10-23 2241
问题:安装配置k8s calico网络后, pods之间网络互通,但在测试pod上通过nslookup 获取指定service的域名解析时异常 解决思路: 查看calico日志 calico报错Readiness probe failed: calico/node is not ready: BIRD is not ready: BGP not established 安装配置calicoctl...
[问题已处理]-ingress转发到前端nginx发布后端每次需要reload
爷来辣的博客
07-16 915
k8s svc
Kubernetes(k8s)之Service(服务)
Tuki来了
08-01 2507
Servicek8s中的ServiceService中涉及到的名词Service的实现演示环境IPVS以ClusterIP模式创建svc外部访问service的方式1、通过Node Port访问2、通过LoadBalance访问3、通过ExternalName访问kube-dnsHeadless Service(无头服务) k8s中的Service Service可以看作是一组提供相同服务的Pod对外的访问接口。借助Service,应用可以方便地实现服务发现和负载均衡。 service默认只支持4层负载均衡
死磕k8s之calico-nodeport
shen的博客
11-11 1459
死磕k8s之calico-nodeport序言:我的环境注意开始发请求到nodeport到达work节点11.首先会到达raw的PREROUTING,包的流向如下2.然后到达mangle的PREROUTING,包的流向如下3.然后到了重要表nat的PREROUTING,在PREROUTING一般对包做DNAT操作,包的流量如下:4.然后就开始第一次的路由选择了5.由于匹配到了路由信息,所以此时会走的链是mangle的FORWARD,但是该表没有对它作任何操作6.接下来看看filter表的FORWARD7.然
云原生技术 --- k8s节点组件之kube-proxy的学习与理解
编码爱好者
09-29 2370
k8s 网络代理(`kube-proxy`)在每个节点上运行。网络代理反映了每个节点上 Kubernetes API 中定义的服务,并且可以执行简单的 TCP、UDP 和 SCTP 流转发,或者在一组后端进行 循环 TCP、UDP 和 SCTP 转发。但是,必须要有一个插件,才可以实现相应的通信功能,它的作用是使发往 Service 的流量(通过ClusterIP和端口)负载均衡到正确的后端Pod。
k8s使用calico网络插件时,Nodeport 仅在指定节点暴露端口+防火墙策略配置方法
最新发布
weixin_44670774的博客
05-06 751
我们使用k8s的网络插件是calico时,可以通过calico的扩展功能来完成 Nodeport 仅在指定节点暴露端口以及针对整个k8s集群内节点的防火墙设置。
Kubernetes网络深入解析:分层方法
2. **网络插件和CNI(Container Network Interface)**:Kubernetes通过CNI标准来支持多种网络插件,如Calico、Flannel、Weave Net等。书中可能会详细解释这些插件的工作原理,以及如何选择和配置适合的网络解决方案...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值