k8s集群网络(4)-service之iptable cluster ip实现原理

最新推荐文章于 2024-05-03 08:35:11 发布
最新推荐文章于 2024-05-03 08:35:11 发布
阅读量1.4k 收藏 3
点赞数 1
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_46073333/article/details/106402006
版权

上一篇文章中我们结合实际例子来查看了docker宿主环境中的容器网络,在这里我们主要介绍集群内的负载均衡。对于k8s集群中的服务是需要相互访问的,一般我们都会为之创建相应的service,对于集群内部的service类型我们一般设置成cluster ip。对于一个cluster ip后面会关联多个endpoints,也就是实际的pod。对于cluster ip的访问,也就是实现了对cluster ip关联的多个endpoints访问。关于cluster ip和endpoints的流量负载均衡,一般有iptable方式和ipvs方式,在以前文章里有所介绍。这里我们主要以实际例子来介绍iptable的实现方式。另外cluster ip是虚拟ip,言外之意就是这个ip没有和任何device绑定,所以当你对这个ip进行例如ping或者traceroute命令的时候是不会得到应答的。

查看以前文章中部署的nginx application的service我们可以看到:

  • 这个service为cluster ip类型

  • cluster ip为10.254.226.173

  • 这个cluster ip关联了2个endpoints:10.1.27.4:80和10.1.79.3:80

kubectl describe service service-nginx-app -n default

查看host network namespace iptable的nat表:

iptables -nvL -t nat

对于PREROUTING chain中,所有的流量都走到了KUBE-SERVICES这个target中。请注意PREROUTING chain是流量到达之后的第一个入口。试想我们在pod里运行命令curl http://10.254.226.173,根据以前文章里介绍的容器内部路由表,数据包应该是这样的流动:

  • 在pod中,根据路由表发现cluster ip(10.254.226)走默认路由,选择了默认网关。

  • 在pod中,默认网关的ip地址就是宿主netwok namespace的docker0的ip地址,并且默认网关为直连路由。

  • 在pod中,根据路由表,使用eth0 device发送数据,根据以前文章,eth0本质是veth pair在pod network namespace的一端,另一端attach在宿主netwok namespace的docker0 bridge上。

  • 根据以前文章介绍的veth pair,数据从pod network namespace的一端发出,进入到了attached到docker0 bridge上的另一端。

  • docker0 bridge收到数据之后,自然就来到了host network namesapce的PREROUTING chain。

查看KUBE-SERVICES target:

iptables -nvL -t nat | grep KUBE-SVC

在KUBE-SERVICES target中我们可以看到目标地址为cluster ip10.254.226.173的匹配target为KUBE-SVC-ETZVW7ENORYJBYB4。

查看KUBE-SVC-ETZVW7ENORYJBYB4 target:

iptables -nvL -t nat

在KUBE-SVC-ETZVW7ENORYJBYB4 target中我们可以看到:

  • 有2个target,分别是KUBE-SEP-L6A5J2X5SCQGCA7Z和KUBE-SEP-U7JQ3R4SRIDMQ4UH

  • 在KUBE-SEP-L6A5J2X5SCQGCA7Z中有statistic mode random probability 0.5

  • 对于statistic mode random probability 0.5是利用了iptable内核随机模块,随机比率为0.5,也就是50%。

  • 所以对于上面的意思是有一半的随机比率进入到KUBE-SEP-L6A5J2X5SCQGCA7Z target当中,那么自然另一个target的随机比率也是一半了。

  • 由此可见,是通过随机模块来均匀的实现负载均衡的。

查看KUBE-SEP-L6A5J2X5SCQGCA7Z和UBE-SEP-L6A5J2X5SCQGCA7Z target:

iptables -nvL -t nat

在这2个target中我们可以看到:

  • 分别做了MASQ操作,当然这个应该是出站engress流量(限定了source ip),不是我们的入站ingress流量。

  • 做了DNAT操作,把原来的cluster ip给DANT转换成了pod的ip 10.1.27.4和10.1.79.3。把原来的port转换成了80 port

  • 经过这个一系列iptable的target我们的原始请求10.254.226.173:80就变成了10.1.27.4:80或者10.1.79.3:80,而且两者转变的机率各是50%。

  • 根据iptable,经过PREROUTING chain发现DNAT之后的10.1.27.4或者10.1.79.3不是本地的ip(肯定不是,因为这两个ip是pod的ip,当然不会在host的network namespace里)。所以就走到了Forwarding chain中,根据host network namespace的路由表来决定下一跳地址。

所以综合上面的例子,对于ipable方式的k8s集群内cluster-ip类型的service总结为:

  • 流量从pod network namespace中走到host netwok namespace的docker0中。

  • 在host netwok namespace的PREROUTING chain中会经过一系列target。

  • 在这些target里根据iptable内核随机模块来实现匹配endpoint target,随机比率为均匀分配,实现均匀的负载均衡。

  • 在endpoint target里实现了DNAT,也就是将目标地址cluster ip转化为实际的pod的ip。

  • cluster ip是虚拟ip,不会和任何device绑定。

  • 负载均衡为内核实现,使用均匀负载均衡,不可以有自定义的负载均衡算法。

  • 需要host开启路由转发功能(net.ipv4.ip_forward = 1)。

  • 数据包在host netwok namespace中经过转换以及DNAT之后,由host network namespace的路由表来决定下一跳地址。

目前先写到这里,下一篇文章里我们继续介绍k8s集群网络中node port的实现方式。

weixin_46073333
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
ClusterIP 工作原理和请求链路 (@K8S原创 轻深度剖析)
soshow2011的博客
06-04 5242
Cluster IP 基础 S基础可参考以下URL了解一下,本文只讲深入原理不作过多基础篇幅。 https://kubernetes.io/zh/docs/concepts/services-networking/service/#proxy-mode-ipvs
centos7 iptable service服务安装包
07-26
Centos7默认使用的是firewalld 服务,但是兼容一系列 iptables 命令,对于习惯使用 service 控制服务的人来说确实不习惯,安装此包可以使用service命令
K8sClusterIP实现原理分析
laojin77的博客
04-21 1166
k8s集群中,每个pod有自己独立的podIP及服务端口,但为了保证pod重启后(重启后IP发生变化,这不同于传统的物理机或虚拟环境)对客户端保持透明,k8s引入了clusterIP的概念,clusterIP用于集群间服务调用,对于外部是不可访问的,这个IP同时是个不存在的IPk8s通过iptables实现了clusterIP的负载均衡及重启透明。到了这里算是柳暗花明了吧,我们测试环境中的三个podIP终于在这里出现了。到这里,读者大概看到通过iptables是如何实现clusterIP的了吧?
k8s clusterip 方式service负载均衡实现三种方式及原理
ljran0612的专栏
10-26 4399
kube-proxy当前实现了三种代理模式: userspace代理模式:v1.0及之前版本的默认模式,来回在用户空间和内核空间切换,存在严重的性能问题,不推荐。 iptables代理模式:从v1.1版本中开始增加了iptables mode,在v1.2版本中正式替代userspace模式成为默认模式。将k8s整个集群service和endpoints路由都写到iptables中,当service数量较大时,同样存在严重的性能问题,且负载均衡能力比较简单,不推荐。 IPVS代理模式:v1.9之后引入,通
Kubernetes Cluster IP,Node IP,Pod IP间通信原理解析
最新发布
专注于数据库技术分享,包含但不限于Oracle,MySQL,PostgreSQL,ElasticSearch及国产数据库等
05-03 1578
当 Pod 分布在不同节点上时,它们之间的通信同样通过 Pod IP,但需要 CNI 插件确保网络平面的一致性,例如通过隧道技术(如 IPSec、VXLAN)封装 Pod 间的流量,或使用路由规则直接路由到目标节点上的 Pod。:如果两个 Pod 部署在同一节点上,它们可以直接通过各自的 Pod IP 进行通信,这是由容器网络接口(CNI)插件(如 Flannel、Calico 等)负责配置的容器网络实现的。的 Pod 的 9376 端口,提供对外的高可用服务。的 Pod 的 9376 端口。
深入理解K8S网络原理
Pastthewind的博客
10-12 620
K8s四层网络 抽象成四层网络 Node节点网络 底层基础设施支持节点主机之间网络的互通 Pod网络 能够相互做IP寻址、相互通讯 同一节点上的Pod网络 大多数场景下一个pod下面有1个容器也有一些场景下一个pod下有多个容器 这些容器共享pod中的网络栈 eth0 是主机上的网卡也是流量出入的设备也支持k8s集群节点之间做网络寻址和互通的设备 docker0 是一个虚拟网桥简单理解为是一个虚拟交换机 支持节点上面或节点之间进行I...
iptables教程-linux-iptable防火墙-基本认识.docx
11-29
iptables教程-linux-iptable防火墙-基本认识.docx
模拟超时、低带宽测试神器之Iptable
07-05
模拟超时、低带宽测试神器之Iptable Iptable 是一种强大的网络工具,可以模拟超时、低带宽测试,帮助开发者和测试者更好地模拟真实的业务场景,提高测试效率和质量。本文将详细介绍 Iptable 的使用方法和原理,并...
K8S安装详细教程,步骤1,2,3
10-23
尽管 Kubernetes 在版本 v1.6 中已经支持 ... 在 5000 节点集群中使用 NodePort 服务,如果有 2000 个服务并且每个服务有 10 个 pod,这将在每个 工作节点上至少产生 20000 个 iptable 记录,这可能使内核非常繁忙。
k8s iptables_study.docx
02-14
关于k8s iptables的学习,分析了k8s是如何使用iptables的,以及iptable里面的规则。用于了解外部访问k8siptables所发挥的作用,便于知道数据流的走向。
深入理解K8S网络原理
meser88的博客
06-13 2771
早期的k8s是穿kube-proxy的 考虑单点问题和性能损耗 新的版本不穿kube-proxy了。是主机上的网卡 也是流量出入的设备 也支持k8s集群节点之间做网络寻址和互通的设备。ribbon是以libary库的形式嵌入在客户端应用中的 对客户端应用是有侵入性的。1、k8s将pod集群中的pod信息自动注册到service registry。3、在Servcie发布的时候 K8s会为Service分配ClusterIP。运行的时候 K8s会把Pod集群中的Pod信息(ip和端口)注册到DNS上去。
k8s集群网络-serviceipvs cluster ip实现原理
changyanmanman的专栏
09-07 2128
在之前文章中我们介绍了基于iptable方式实现的k8s集群cluster ip类型和node port类型service的负载均衡。其本质上是当网络数据包从pod的network namespace中通过linux veth pair设备进入到host宿主中的network namespace时,经过iptable一系列的NAT转换,把servicecluster ip和端口DNAT成pod的ip和端口。同时leverage linux iptable的random模块,实现了对pod的负载均衡,然后
k8s 详解 SVC(service) clusterIp,headliness,nodePort,loadBanlance,externalName
面朝大海,春暖花开
03-20 5652
k8s 详解 SVC(service) clusterIp,headliness,nodePort,loadBanlance,externalName
修改SQL Server Cluster 节点 IP地址
Kevin's Blog SQL讨论群21426959 Dynamics AX 438084988
12-24 2884
如何修改SQL Server集群虚拟地址的文章,微软已经有专门的KB介绍,这里测试修改集群节点的IP地址。以A/P集群举例:   1.      在Passive的Node上网络适配器修改IP地址。修改完成后会看到Cluster Event里面有无法连接到Node的错误。   2.      在集群管理器中刷新Network资源,发现Passive Node上修改的IP地址已经成功显示
k8sServices:创建nodeport clusterip services
yuxiang1014的专栏
12-15 1万+
1.创建Services的方法: 1).kubectl expoese命令,会给我们的pod创建一个service,供外部访问 2).通过定义一个yml文件定义一个service类型的资源. 2).service主要有三种类型:一种叫clusterIP,一种叫nodePort,一种叫外部的LoadBalancer l  ClusterIP: 仅仅使用一个集群内部的IP地址 - 这是默认值。...
k8s-集群里的三种IP(NodeIP、PodIPClusterIP
热门推荐
新林的博客
09-25 12万+
初学k8s,对集群里面的IP真的不是很理解,一会是PodIP,一会是ClusterIP,总结一下这些IP。 Kubernetes集群里有三种IP地址,分别如下: Node IP:Node节点的IP地址,即物理网卡的IP地址。 Pod IP:Pod的IP地址,即docker容器的IP地址,此为虚拟IP地址。 Cluster IPServiceIP地址,此为虚拟IP地址。 Node IP 可以...
Kubernetes ServiceClusterIP
tinysakura的博客
12-13 1万+
转载自麦兜搞ip的博客Kubernetes ServiceClusterIP Kubernetes Service ClusterIP Kubernetes的service有三种类型:ClusterIP,NodePort,LoadBalancer,今天我们来看看ClusterIP。 创建Deployment 首先我们先创建一个Deployment,这个Deployment是一个Python实现的...
-bash: iptable: command not found
10-18
这个错误提示是因为你在使用 iptables 命令时,系统找不到该命令。可能是因为你的系统没有安装 iptables 或者你没有使用 root 用户权限执行该命令。你可以尝试使用以下命令来安装 iptables: ``` sudo apt-get update sudo apt-get install iptables ``` 如果你已经安装了 iptables,可以尝试使用以下命令来查看是否有权限执行该命令: ``` sudo iptables -L ``` 如果你还是无法执行该命令,可能需要检查你的系统是否有其他安全软件或防火墙阻止了该命令的执行。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值