Linux(企业级)——kubernetes(service配置与网络策略)

最新推荐文章于 2023-10-11 17:07:12 发布
最新推荐文章于 2023-10-11 17:07:12 发布
阅读量219 收藏
点赞数
分类专栏: Linux 文章标签: kubernetes 运维 linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45699877/article/details/119177327
版权

service使用与网络原理

1. Service

- ipvs负载均衡

Service 的负载均衡是由 kube-proxy 加上 iptables 来共同实现的.
kube-proxy 通过 iptables 处理 Service 的过程,需要在宿主机上设置相当多的 iptables 规则,如果宿主机有大量的Pod,不断刷新iptables规则,会消耗大量的CPU资源。
IPVS模式的service,可以使K8s集群支持更多量级的Pod。

yum install -y ipvsadm 
kubectl edit cm kube-proxy -n kube-system #修改为ipvs模式

mode: "ipvs"

kubectl get pod -n kube-system |grep kube-proxy | awk '{system("kubectl delete pod "$1" -n kube-system")}'		//更新kube-proxy pod

在这里插入图片描述
在这里插入图片描述
IPVS模式下,kube-proxy会在service创建后,在宿主机上添加一个虚拟网卡:kube-ipvs0,并分配service IP.kube-proxy通过linux的IPVS模块,以rr轮询方式调度service中的Pod。
在这里插入图片描述
在这里插入图片描述

- 创建service(ClusterIP模式)

此模式下,service会被分配一个ClusterIP,此IP默认会通过RR策略轮询后端POD。效果参考POD管理文中的暴露端口后。

vim service-example.yaml

apiVersion: v1
kind: Service
metadata:
  name: web-service
spec:
  ports:
    - name: http
      port: 80
      targetPort: 80
  selector:
      app: myapp
  type: ClusterIP

- 创建service (NodePort方式)

此方式会将节点主机的端口绑定至Service,通过节点主机的指定端口可以访问pod,提供负载均衡策略。

vim svc.yaml

apiVersion: v1
kind: Service
metadata:
  name: mysvc
spec:
  ports:
    - name: http
      port: 80
      targetPort: 80
  selector:
      app: nginx
  type: NodePort

在这里插入图片描述访问节点指定端口时可以负载均衡
在这里插入图片描述

- 创建service (LoadBalance方式)

从外部访问 Service 的第二种方式,适用于公有云上的 Kubernetes 服务。
导入metallb镜像,在私有仓库创建metallb

 docker load -i metallb-v0.10.2.tar
 docker push reg.westos.org/metallb/controller:v0.10.2
 docker push reg.westos.org/metallb/speaker:v0.10.2

修改proxy策略

kubectl edit cm kube-proxy -n kube-system

strictARP: true
mode: "ipvs"

部署应用metallb.yaml,内容见官网:

 kubectl apply -f metallb.yaml

在这里插入图片描述在这里插入图片描述编辑IP池配置文件

vim configmap.yaml

apiVersion: v1
kind: ConfigMap
metadata:
  namespace: metallb-system
  name: config
data:
  config: |
    address-pools:
    - name: default
      protocol: layer2
      addresses:
      - 172.25.52.100-172.25.52.200

应用配置文件:

 kubectl apply -f configmap.yaml

在这里插入图片描述编辑svc文件选中后端pod标签app: myapp ,应用svc文件

vim lb-svc.yaml
kubectl apply -f lb-svc.yaml

apiVersion: v1
kind: Service
metadata:
  name: lb-svc
spec:
  ports:
  - name: http
    protocol: TCP
    port: 80
    targetPort: 80
  selector: 
    app: myapp
  type: LoadBalancer

已经分配到IP
在这里插入图片描述在其他主机访问分配的外部端口
在这里插入图片描述

- 创建service (External)

  • ExternalName
    可以为svc设定地址名称,并且可以在svc上变动。检验时无需为svc分配pod资源。
vim ex-svc.yaml
kubectl apply -f ex-svc.yaml

apiVersion: v1
kind: Service
metadata:
  name: my-service
spec:
  type:  ExternalName
  externalName: www.westos.org

在这里插入图片描述

 dig -t A my-service.default.svc.cluster.local. @10.244.2.59

在这里插入图片描述

  • ExternalIP
    service允许为其分配一个公有IP
vim ex-svc.yaml
kubectl apply -f ex-svc.yaml

apiVersion: v1
kind: Service
metadata:
  name: my-service
spec:
  selector:
    app: myapp
  ports:
  - name: http
    protocol: TCP
    port: 80
    targetPort: 80
  externalIPs:
  - 172.25.52.123

此IP不纳入Kubectl管理,无法通过外部节点访问,若需访问则要将其设置在节点的真实网卡上。

2. 网络原理

- fannel

在这里插入图片描述

在这里插入图片描述在这里插入图片描述

flannel支持多种后端:
Vxlan:
		vxlan		//报文封装,默认
		Directrouting	   //直接路由,跨网段使用vxlan,同网段使用host-gw模式。
host-gw:	//主机网关,性能好,不支持跨网络,节点多时容易形成广播风暴
UDP:			//性能差,不推荐

默认为vxlan模式,路由表中存在fannel设备接口。
在这里插入图片描述修改fannnel配置文件

 kubectl -n kube-system edit cm kube-flannel-cfg

  net-conf.json: |
    {
      "Network": "10.244.0.0/16",
      "Backend": {
        "Type": "vxlan",
        "Directrouting": true #vxlan模式2 途中为直连网关模式
      }
    }

在这里插入图片描述重启后应用更改

kubectl get pod -n kube-system |grep kube-flannel | awk '{system("kubectl delete pod "$1" -n kube-system")}'

路由表中fannel消失,直接转发至节点的主机eth0网卡
在这里插入图片描述

- calico

原理

  • flannel实现的是网络通信,calico的特性是在pod之间的隔离。
  • 通过BGP路由,但大规模端点的拓扑计算和收敛往往需要一定的时间和计算资源。
  • 纯三层的转发,中间没有任何的NAT和overlay,转发效率最好。Calico 仅依赖三层路由可达。
    提供两种工作模式:
    在这里插入图片描述

部署

删除原有的fannel网络插件
在这里插入图片描述下载导入镜像至本地私有仓库:

docker load -i calico-v3.19.1.tar

下载配置文件:

curl https://docs.projectcalico.org/manifests/calico.yaml -o calico.yaml #导入
docker images | grep calico | awk '{system("docker push "$1":"$2"")}' #上传至仓库

修改安装calico的yml文件,将镜像地址改为本地仓库,并且关闭IPIP隧道:

            - name: CALICO_IPV4POOL_IPIP
              value: "off"

在这里插入图片描述

在这里插入图片描述
应用配置文件,拉取calico

kubectl apply -f calico.yaml

在这里插入图片描述
在这里插入图片描述
查看calico pod在这里插入图片描述

策略

NetworkPolicy策略模型:控制某个namespace下的pod的网络出入站规则
官网:https://kubernetes.io/zh/docs/concepts/services-networking/network-policies/
案例:限制访问指定标签pod

vim deny-nginx.yaml

apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: deny-nginx
spec:
  podSelector:
    matchLabels:
      app: myapp

应用策略

kubectl apply -f deny-nginx.yaml

在这里插入图片描述测试,无论在pod内还是宿主机都无法访问pod中的内容
在这里插入图片描述
在这里插入图片描述
案例:禁止访问指定namespace

apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: default-deny
  namespace: default
spec:
  podSelector: {}

来自default与test ns的pod均无法访问服务
在这里插入图片描述
案例:只允许指定namespace访问服务

kind: NetworkPolicy
apiVersion: networking.k8s.io/v1
metadata:
  name: access-namespace
spec:
  podSelector:
    matchLabels:
      app: myapp
  ingress:
  - from:
    - namespaceSelector:
        matchLabels:
          role: prod

只允许role=prod 的ns中pod 访问 app=myapp的pod
在这里插入图片描述在这里插入图片描述
其余标签的ns无法访问myapp
在这里插入图片描述
在这里插入图片描述
示例:

#允许指定pod访问服务:
kind: NetworkPolicy
apiVersion: networking.k8s.io/v1
metadata:
  name: access-nginx
spec:
  podSelector:
    matchLabels:
      app: nginx
  ingress:
  - from:
      - podSelector:
          matchLabels:
            app: demo

#禁止其他 namespace 访问服务
kind: NetworkPolicy
apiVersion: networking.k8s.io/v1
metadata:
  name: deny-namespace
spec:
  podSelector:
    matchLabels:
  ingress:
  - from:
    - podSelector: {}

#允许外网访问服务
kind: NetworkPolicy
apiVersion: networking.k8s.io/v1
metadata:
  name: web-allow-external
spec:
  podSelector:
    matchLabels:
      app: web
  ingress:
  - ports:
    - port: 80
    from: []
不问青黄
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Kubernetes部署教程
2301_79036309的博客
10-21 333
编辑 /etc/selinux/config 文件,修改SELINUX的值为disable。# 2、编辑/etc/yum.repos.d/kubernetes.repo,添加下面的配置。# 此镜像kubernetes的仓库中,由于网络原因,无法连接,下面提供了一种替换方案。# 1、由于kubernetes的镜像在国外,速度比较慢,这里切换成国内的镜像源。# 主机名成解析 编辑三台服务器的/etc/hosts文件,添加下面内容。#编辑/etc/sysconfig/kubelet, 添加下面的配置
21.Kubernetes(三)-----集群部署(service
qq_44060147的博客
07-29 248
service一、简介二、开启kube-proxy的ipvs模式:三、创建service:(NodePort方式)四、指定一个 LoadBalancer 类型的 Service1.下载镜像2.上传镜像3.实现负载均衡五、service允许为其分配一个公有IP六、k8s网络通信,配置flannel模式修改为host-gw 一、简介 Service 是由 kube-proxy 组件,加上 iptables 来共同实现的. • kube-proxy 通过 iptables 处理 Service 的过程,需要在宿
Kubernetes_核心组件_kubelet_kubelet服务全解析
毛毛的专栏
05-28 2801
kubelet所有知识点查看kubelet当前运行systemctl status kubelet -l 搞懂所有属性 (journalctl -u kubelet.service)kubelet配置文件 cat /var/lib/kubelet/config.yamlkubelet启动参数文件 10-kubeadm.confkubelet启动全过程 (自定义启动参数文件)kubelet和pause镜像的关系就是Pod内容器间通信。
K8S-Service
迷雾总会解
08-26 2356
kube-proxy每个node都有一个,负责Pod网络代理,负责为Service提供cluster内部的服务发现和负载均衡。它是K8s集群内部的负载均衡器,也是一个分布式代理服务器。监控pod,通过 pod的标签( lables)去判断这个断点信息是否写入到 Endpoints里,pod如果发生了变化,及时修改映射关系,修改映射关系的同时,修改路由规则,以便在负载均衡时可以选择到新的pod;监控service,定时从etcd服务获取到service信息来做相应的策略,维护网络规则和四层负载均衡工作;...
Docker - 部署 Kubernetes
最新发布
yueerba126的博客
10-11 551
现在,您已经成功部署和访问了 Kubernetes Dashboard,并可以使用该界面来管理和监视您的 Kubernetes 集群。现在,您已经成功在 Docker Desktop 上启用了 Kubernetes,并可以开始使用 Kubernetes 集群进行本地开发和测试。请注意,如果您使用的是单节点集群(例如使用 kubeadm 部署的),默认情况下,主节点不会运行 pod。是 Kubernetes 管理和操作的重要工具,您可以根据需要使用不同的命令来管理 Kubernetes 集群。
Rancher企业级Kubernetes管理平台-其他
06-12
Rancher是一个开源的企业级Kubernetes管理平台,实现了Kubernetes集群在混合云+本地数据中心的集中部署与管理。 Rancher API Server:基于Kubernetes API Server扩展构建,通过K8s标准的自定义资源对象扩展和各种...
强化学习与自动驾驶——Carla环境配置与benchmark解读
01-26
Carla目前的稳定版为0.8.2 即可下载,linux解压后命令行执行
不再雾里看花——Linux企业级应用扫描.pdf
09-07
《不再雾里看花——Linux企业级应用扫描》这篇文档主要探讨了Linux企业级应用中的重要性和发展趋势。Linux操作系统作为自由软件,其开源特性、低成本、高性能和高稳定性使其在信息技术领域中扮演了不可或缺的角色...
关于Kuberneteskubelet的一些笔记
山河已无恙
07-15 1901
今天和小伙伴们分享K8s中Kubelet组件相关笔记内容涉及kubelet运行机制解析包括节点Kubelet服务管理kubeletPod管理Pod的健康检查理解不足小伙伴帮忙指正夜深难眠,不经问自己,是遗憾浪费了昨天,还是不想面对今天,还是希望时间停留在这些时刻,等一等迷茫的自己-----山河已无恙kubelet运行机制解析在Kubernetes集群中,在每个Node(又称Minion)上都会启动一个kubelet服务进程。该进程用于,管理Pod及Pod中的容器。可以把。......
kubernetes系列五之service管理
qq_42819092的博客
05-16 721
Service基本概念 定义 Kubernetes Service 定义了这样一种抽象:逻辑上的一组 Pod,一种可以访问它们的策略 —— 通常称为微服务。 这一组 Pod 能够被 Service 访问到,通常是通过 Label Selector实现的。 Pod的特征 1、Pod有自己独立的IP 2、Pod可以被创建,销毁 当扩缩容时,pod的数量会发生变更 当pod故障时,replicaset会创建新的pod 解决方案 Service的实现类型 ClusterIP:提供一个集群内部的虚拟I
kubernetes kubelet 配置
爱死亡机器人
08-15 1630
catalog: ~配置~
kubelet.service启动失败
热门推荐
Briwisdom的博客
03-25 2万+
配置好k8s集群后,一段时间发现两个节点变成NotReady状态,这个服务器经历过重启,systemctl status kubelet显示kubelet.service未启动报错log如下: 3月 25 11:35:52 westwell systemd[1]: kubelet.service: Unit entered failed state. 3月 25 11:35:52 westwel...
/usr/lib/systemd/system/kubelet.service.d/10-kubeadm.conf 初始信息配置
weixin_41831919的博客
08-08 2426
# Note: This dropin only works with kubeadm and kubelet v1.11+ [Service] Environment="KUBELET_KUBECONFIG_ARGS=--bootstrap-kubeconfig=/etc/kubernetes/bootstrap-kubelet.conf --kubeconfig=/etc/kubernetes/kubelet.conf" Environment="KUBELET_CONFIG_ARGS=--confi.
修改 K8s kubelet启动参数
yjk13703623757的博客
12-01 2万+
背景最近,我在虚拟机上通过rpm包安装了k8s集群。我想创建静态Pod,那么就需要更改kubelet的启动参数。相关环境信息如下: role OS IP module Master Centos7.2 10.1.2.182 kube-apiserver kube-controller-manager kube-scheduler Node1 Centos7.2
使用 kubeadm 是如何配置集群中的每个节点 kubelet服务的
rendongxingzhe的博客
05-08 961
一.概念 1.kubeadm和kubelet kubeadm CLI 工具的生命周期与 kubelet 解耦;kubelet 是一个守护程序,在 Kubernetes 集群中的每个节点上运行。 当 Kubernetes 初始化或升级时,kubeadm CLI 工具由用户执行,而 kubelet 始终在后台运行。 由于kubelet是守护程序,因此需要通过某种初始化系统或服务管理器进行维护。 当使用 DEB 或 RPM 安装kubelet 时,配置系统去管理 kubelet。 你可以改用其他服务管理器
K8S 之 kubelet 配置使用记录
依串烤肉
02-25 5916
1. 操作系统系统和kubelet版本信息查看 [root@master001 ~]# lsb_release -a LSB Version: :core-4.1-amd64:core-4.1-noarch:cxx-4.1-amd64:cxx-4.1-noarch:desktop-4.1-amd64:desktop-4.1-noarch:languages-4.1-amd64:languag...
Kubernetes系列02:Kubernetes配置及参数说明
TURING.DT
04-18 9943
2.1 kubernetes安装与配置 2.1.1安装kubernetes CPU和内存: Master至少1core和2G内存 Node至少1core和2G内存 Linix操作系统: 基于X86_64架构的各种Linux发行版本,Red Hat、CentOS、Fedora、Ubuntu等, Kernel版本要求在3.10及以上 推荐:CentOS7、Red Hat Lin
k8s service 配置详解
dengwenqi123的专栏
01-11 5078
1.yaml格式的Service定义文件的完整内容  apiVersion: v1 kind: Service matadata:   name: string   namespace: string   labels:   - name: string   annotations:   - name: string spec:   selector: []   type: string   ...
(转)Kubernetes探秘—kubelet配置参数
cainiao1412的博客
04-19 802
kubeletKubernetes中的核心组件,需要在每一个节点安装,也是kubernetes集群启动的第一个服务。kubelet的参数存放在多个目录,修改时如果不完整就会导致各种错误,下面我们kubelet的参数存放位置和配置方法一探究竟。 在Ubuntu18.04上kubelet是使用宿主机的systemd来启动的,目前kubernetes 1.12.3为止都还没有将其容器化。 kubele...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值