第7关 calico网络流量剖析

最新推荐文章于 2024-05-18 09:12:06 发布
最新推荐文章于 2024-05-18 09:12:06 发布
阅读量944 收藏 5
点赞数 12
分类专栏: 2023年Kubernetes实战攻略 文章标签: kubernetes 容器 云原生 运维开发 k8s
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_46887489/article/details/134409665
版权

------> 课程视频同步分享在今日头条B站

大家好,我是博哥爱运维。

跨节点不同pod通信流程图
pod(nginx)                                           pod(busybox) 
    eth0                                                   eth0 
(172.20.139.94 fa:ed:2c:cc:c9:cd)                     (172.20.247.1 1e:a4:fa:76:7e:95)
         |                                                      |
         |                                                      |
    cali1342368ccea                                        cali12d4a061371
         |                                                      |
         |                                                      |
tunl0(172.20.139.64)                                       tunl0(172.20.247.0)
         |                                                      |
         |                                                      |
node ens32(10.0.1.203 00:16:3e:1e:ea:ea)      node ens32(10.0.1.202 00:16:3e:1e:fa:fb)
         |                       icmp(1)-ipip(4)                |
         |____________________________<<<_______________________|
查看相邻节点的信息
# calicoctl node status
Calico process is running.

IPv4 BGP status
+--------------+-------------------+-------+----------+-------------+
| PEER ADDRESS |     PEER TYPE     | STATE |  SINCE   |    INFO     |
+--------------+-------------------+-------+----------+-------------+
| 10.0.1.202   | node-to-node mesh | up    | 12:49:54 | Established |
| 10.0.1.203   | node-to-node mesh | up    | 12:49:54 | Established |
| 10.0.1.204   | node-to-node mesh | up    | 12:49:54 | Established |
+--------------+-------------------+-------+----------+-------------+

IPv6 BGP status
No IPv6 peers found.
实战抓包观察calico的流量
                ↑--- endpoints ---↓
ingress ---> service ----------- pods


service --- kube-proxy(ipvs)


# kubectl create deployment nginx --image=nginx:1.21.6
# kubectl expose deployment nginx --port=80 --target-port=80

# kubectl get pod -o wide
NAME                     READY   STATUS    RESTARTS   AGE   IP              NODE         NOMINATED NODE   READINESS GATES
nginx-6f648b8457-7ld9v   1/1     Running   0          10m     172.20.139.94   10.0.1.203   <none>           <none>


# kubectl get svc
NAME         TYPE        CLUSTER-IP    EXTERNAL-IP   PORT(S)   AGE
kubernetes   ClusterIP   10.68.0.1     <none>        443/TCP   21d
nginx        ClusterIP   10.68.6.226   <none>        80/TCP    10m

# ipvsadm -ln |grep -A1 10.68.6.226
TCP  10.68.6.226:80 rr
  -> 172.20.139.94:80             Masq    1      0          0



# ipvs会配置一个虚拟网卡kube-ipvs0,实际了类似于nginx upstream的功能,只要有新增svc,就会在k8s集群里面的每台node下的kube-ipvs0配置一段inet
# ip a|grep kube-ipvs0
4: kube-ipvs0: <BROADCAST,NOARP> mtu 1500 qdisc noop state DOWN group default
    inet 10.68.0.1/32 scope global kube-ipvs0
    inet 10.68.0.2/32 scope global kube-ipvs0
    inet 10.68.107.220/32 scope global kube-ipvs0
    inet 10.68.229.156/32 scope global kube-ipvs0
    inet 10.68.6.226/32 scope global kube-ipvs0



# 至此 service 到 pod这一段的旅程完成,然后开始重头戏,实际到pod的流量旅程
# 注:
在 Kubernetes 中,Service 是一个虚拟的抽象层,负责将请求转发到指定的 Pod 上。因此,Service 的流量实际上是通过 Kubernetes 集群内部的网络组件进行转发的,而不是直接流经宿主机。

如果您需要捕获 Kubernetes 中 Service 的流量,可以通过选择一个 Pod,在其中启动抓包工具的方式来实现。在启动抓包工具时,需要注意安全性和特权模式的问题



# calico默认采用ipip协议来在多节点间传输数据,在每台节点上面会生成一个虚拟网卡 tunl0,它用来在一个IP报文中封装新的IP头部,下面我们实际以跨节点的pod通信来解释这一切
# ip a|grep tunl0
12: tunl0@NONE: <NOARP,UP,LOWER_UP> mtu 1480 qdisc noqueue state UNKNOWN group default qlen 1000
    inet 172.20.84.128/32 scope global tunl0



# kubectl exec -it nginx-6f648b8457-7ld9v -- bash
root@nginx-6f648b8457-7ld9v:/# cat /sys/class/net/eth0/iflink
9

# 安装route
# apt install net-tools

# 确保测试pod调度在和nginx不同的node上面
# kubectl run busybox --rm -it --image=registry.cn-shanghai.aliyuncs.com/acs/busybox:v1.29.2 -- sh
If you don't see a command prompt, try pressing enter.
/ # ping 172.20.139.94
PING 172.20.139.94 (172.20.139.94): 56 data bytes
64 bytes from 172.20.139.94: seq=0 ttl=62 time=2.243 ms


# 在运行 nginx的node上抓包
# tcpdump -n -s0 -i ens32 ip host 10.0.1.202 -w 1.pcap

# kubectl get pod -o wide
NAME                     READY   STATUS    RESTARTS   AGE   IP              NODE         NOMINATED NODE   READINESS GATES
busybox                  1/1     Running   0          5m58s   172.20.247.1    10.0.1.202   <none>           <none>
nginx-6f648b8457-7ld9v   1/1     Running   0          10m     172.20.139.94   10.0.1.203   <none>           <none>


# 用 Wireshark 分析 1.pcap, 设置过滤条件 ip.addr == 172.20.139.94
# 然后点开最下面的 Internet Protocol Version 4, Src: 10.0.1.201, Dst: 10.0.1.202
# 可以看到节点间通信采用的协议:  Protocol: IPIP (4)

"Protocol: IPIP (4)" 表示使用的协议是 IPIP(IP封装)协议,并且指定了协议版本为 4

IPIP 是一种网络封装协议,它允许在一个IP数据包中封装另一个IP数据包。它在网络中创建了一个隧道,通过在外层IP数据包中封装内层IP数据包来传递数据。这种封装允许在不同的网络中传输IP数据包,并且可以在不同的网络层之间进行路由。

在您提供的数据包信息中,“Protocol: IPIP (4)” 表示该数据包使用了 IPIP 协议,并且指定了协议版本为 4。这意味着数据包的源IP地址和目的IP地址是通过 IPIP 封装传输的,而封装后的数据包使用的是 IPv4 协议。

通过使用 IPIP 封装,可以实现不同网络之间的传输和连接,同时保持原始IP数据包的完整性。然而,需要注意的是,IPIP 封装会增加一定的开销和网络负载,因此在使用时需要权衡其性能影响和实际需求。

calico支持bgp和ipip两种协议,bgp只能运行在l2层,ipip支持l2+l3层,通常我们所用的云平台vpc网络,都是l3层,只知道对端的ip,不知道其mac信息。

calico生产实战排错案例
1、谷歌云google cloud自建K8S集群节点间通信问题
谷歌云创建虚拟机自建K8S(如果CNI组件用的calico,协议是IPIP的话),需要在防火墙中放开IPIP协议

# 问题现象
service以及跨节点的POD  IP无法通信,tcpdump抓包对应的IP地址什么包都没收到


# 解决步骤

在 Google Cloud 上,要开放 IPIP(IP in IP)协议以允许在虚拟机之间进行通信,你需要创建一个自定义防火墙规则。请遵循以下步骤创建此规则:

登录到 Google Cloud Console ↗。

在左侧导航菜单中,选择 "VPC 网络" > "防火墙"。

单击 "创建防火墙规则" 按钮。

为防火墙规则提供一个描述性名称,例如 "allow-ipip"。

在 "网络" 下拉菜单中,选择你要应用此规则的 VPC 网络。

在 "优先级" 字段中,输入一个数字(例如 1000),以表示此规则的优先级。较低的数字表示较高的优先级。

在 "方向" 下拉菜单中,选择 "入站"。

在 "动作" 下拉菜单中,选择 "允许"。

在 "来源过滤器" 下拉菜单中,选择 "IP 地址范围"。在 "来源 IP 地址范围" 字段中,输入允许 IPIP 通信的 IP 地址范围,例如 "10.128.0.0/9"(用于允许来自 Google Cloud 内部所有 VM 的 IPIP 通信)。

在 "协议和端口" 部分,选择 "指定协议和端口"。在协议字段中输入 "4"(IPIP 协议的 IP 协议号),并将端口字段留空。

单击 "创建" 按钮,完成防火墙规则的创建。

现在,你已经创建了一个防火墙规则,允许 Google Cloud 虚拟机之间的 IPIP 协议通信。
2、calico-node无法正常运行
calico-node无法正常运行,报错如下:
calico/node is not ready: BIRD is not ready: BGP not established with x.x.x.x,y.y.y.y...

问题原因是calico node名称冲突

扩容工具扩容调用API扩容机器,会给扩容的机器以AWS-na-k8s-temp[1-9]来命名,集群上存在之前扩容的一台机器名称为aws-na-k8s-temp1,昨晚扩容了三台机器,名称为aws-na-k8s-temp1、aws-na-k8s-temp2、aws-na-k8s-temp3

然后就是这两台同样主机名(aws-na-k8s-temp1)的机器,在calico里面注册节点名称时就会产生冲突 ,导致冲突节点只能有一个注册进来


## 解决问题时相关命令记录
# 删除冲突的已注册calico节点
calicoctl delete node aws-na-k8s-temp1

# 给冲突机器重命名下hostname
hostnamectl set-hostname ip-172-31-7-227

# 将新名称写入calico的节点名称配置里面(注意不能有\n换行符)
echo -n ip-172-31-7-227 > /var/lib/calico/nodename

# 然后删除问题的calico-node使其重启
kubectl -n kube-system delete pod calico-node-xf99f

# 观察是否正常
# calicoctl get node
NAME               
aws-na-k8s-temp2   
aws-na-k8s-temp3   
ip-172-31-1-50     
ip-172-31-2-247    
ip-172-31-7-227

# calicoctl node status
Calico process is running.

IPv4 BGP status
+--------------+-------------------+-------+----------+-------------+
| PEER ADDRESS |     PEER TYPE     | STATE |  SINCE   |    INFO     |
+--------------+-------------------+-------+----------+-------------+
| 172.31.8.108 | node-to-node mesh | up    | 13:00:30 | Established |
| 172.31.3.33  | node-to-node mesh | up    | 13:08:09 | Established |
| 172.31.2.247 | node-to-node mesh | up    | 02:40:43 | Established |
| 172.31.7.227 | node-to-node mesh | up    | 02:40:49 | Established |
+--------------+-------------------+-------+----------+-------------+

IPv6 BGP status
No IPv6 peers found.

# 后续扩容改进操作
扩容好的机器要记得把hostname改成唯一的名称(相关扩容脚本已更新),记得操作前先把节点驱逐打污点:
kubectl drain 172.31.3.33 --delete-local-data --ignore-daemonsets
博哥爱运维
关注
  • 12
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
k8s集群calico网络插件的.yaml
03-01
k8s集群calico网络插件的.yaml
calico网络原理分析
热门推荐
jiang_shikui的博客
01-05 3万+
最近在公司搭建k8s生产环境的时候,采用了calico作为网络插件。于是写篇博客记录一下。 一、Calico基本介绍 Calico是一个纯三层的协议,为OpenStack虚机和Docker容器提供多主机间通信。Calico不使用重叠网络比如flannel和libnetwork重叠网络驱动,它是一个纯三层的方法,使用虚拟路由代替虚拟交换,每一台虚拟路由通过BGP协议传播可达信息(路由)到剩余数据中心...
Kubernetes部署篇:calico两种网络模式》
东城绝神
12-06 5424
系列文章目录 提示:这里可以添加系列文章的所有文章的目录,目录需要自己手动添加 例如:第一章 Python 机器学习入门之pandas的使用 提示:写完文章后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录系列文章目录前言一、pandas是什么?二、使用步骤1.引入库2.读入数据总结 前言 提示:这里可以添加本文要记录的大概内容: 例如:随着人工智能的不断发展,机器学习这门技术也越来越重要,很多人都开启了学习机器学习,本文就介绍了机器学习的基础内容。 提示:以下是本篇文章正文内容,下面案例
CentOS 7 使用 Calico 网络插件部署Kubernetes 集群
03-17
CentOS 7 使用 Calico 网络插件部署Kubernetes 集群 包含详细操作文档
kubernetes calico网络qos设计
虾米的博客
04-07 3792
整体需求 实现pod网络流量的QoS,包括出口流量跟入口流量。 技术方案 底层技术方案使用linux内核iproute2包中tc(trafficcontrol)命令。Linux中的QoS分为入口(Ingress)部分和出口(Egress)部分,入口部分主要用于进行入口流量限速(policing),出口部分主要用于队列调度(queuingscheduling)。大多数排队规则(qdisc)都是
10 张图解 K8S CNI Calico 网络模型原理与功能实战
2201_75362610的博客
08-15 975
Calico` 是一个联网和网络策略供应商。Calico 支持一套灵活的网络选项,因此你可以[根据自己的情况选择最有效的选项,包括非覆盖和覆盖网络,带或不带 BGP。
calico 网络流量 过程 分析 apt-get install telnet
weixin_30498921的博客
10-29 164
1.calico node 容器kubernetes中以DaemonSet 的方式运行,容器网络模式为hostNetwor,与host共享网络栈,拥有相同的Ip和hostname 2.查看某个pod:[root@bserver40 ~]# kubectl get pods -o wide -n kube-system |grep -i tiller tiller-deploy-5df...
calico网络原理、组网方式和使用
Yonx
09-16 1万+
calico网络
容器网络Calico进阶实践 | 褚向阳
weixin_34179762的博客
01-10 640
各位晚上好,我是数人云的褚向阳,接下来要跟大家分享的主题是《容器网络Calico进阶实践》. 距离上次聊 Calico 已经过去快半年的时间了,数人云也一直在努力将容器网络方案应用到企业客户的环境中,Calico v2.0 也马上就要发布了,这次跟大家一起感受下新版. 需要说明下,本人跟 Calico 没有任何直接系,也只是个"吃瓜群众",做为使用者,...
东西向流量组件 Calico 的落地实践
Tommy Xiao
10-28 445
Kubernetes 网络并没有原生的方案,它从一开始就给我们送来了一个选择题。到底选哪种网络方案才是最佳的方案呢?网络问题一直让社区用户很困惑,以至于在早期,不同场景下的方案如雨后春笋般涌现出来。其中比较优秀的就是今天选择给大家介绍的网络组件 Calico。这里我们要强调的是,Calico 方案并不是唯一方案,我们在社区仍然能看到很多优秀的方案比如 Cilium、OvS、Contiv、Flann...
kubernetes1.25网络插件calico离线包
12-18
kubernetes1.25网络插件calico离线包,包含calico.yml文件,如果网络不通可以离线安装 1、calico~cni~v3.24.3.tar.gz 2、calico~kube~controllers~v3.24.3.tar.gz 3、calico~node~v3.24.3.tar.gz calico.yml命令:...
kubernetes网络插件-calico
01-12
calico网络插件
calico.yaml网络组件yaml file
07-05
apply即用
kubeadmin方式部署calico网络模式的k8s集群
02-27
解压压缩包后,阅读readme.md文件(部署方案) 环境准备闭swap分区和NetworkManager服务等, 配置时间同步服务,配置持久化日志...将node节点加入kubernetes集群,根据yaml文件启动calico服务, 节点已达ready状态。
云原生进阶之容器】第六章容器网络6.5.1--Calico网络方案综述
junbaozi的专栏
04-16 445
Calico是一个用于容器、虚拟机和基于本地主机的工作负载的开源网络网络安全解决方案。Calico支持广泛的平台,包括Kubernetes、OpenShift、Docker EE、OpenStack和bare metal服务。Calico将灵活的网络功能与随处运行的安全实施相结合,提供了一个具有本地Linux内核性能和真正的云本地可伸缩性的解决方案。
K8S系列】深入解析k8s网络插件—Calico
颜淡慕潇
07-20 2万+
Calico是一个强大的开源容器网络网络安全解决方案,广泛应用于Kubernetes集群和其他容器编排平台。 它通过利用BGP(Border Gateway Protocol)协议和Linux网络命名空间来实现高性能的容器间通信和网络策略控制。
kubernetes网络插件-calico
weixin_38320674的博客
07-06 6437
微信公众号搜索 DevOps和k8s全栈技术 ,即可注,也可扫描文章最后的二维码注公众号,每天会分享技术文章供大家参考阅读哈~calico的核心组件(1)Felix:Calico的客...
k8s常用语句
QQ563627436的博客
05-11 666
查连的是哪个数据库:kubectl logs -f --tail=500000 phoenix-trade-a1e3d-9c4f897c7-xb26g -n sit-jd20230721zh | grep dbId=看实时日志: kubectl logs -f --tail=500000 ${pod的名称} -n ${命名空间}(pod的名称就像这样的:cif-sit-gp20230519go-6bf7bd4c99-948pc)
记录一次失败的本地K8S集群安装记录
最新发布
常备不懈
05-18 806
在Ubuntu上从头开始搭建KubernetesK8s)集群需要进行几个步骤,包括安装必要的软件、配置集群节点、初始化主节点和添加工作节点。
Kubernetes Calico网络
04-06
Kubernetes Calico网络是一种开源的容器网络解决方案,它是一个基于BGP路由协议的网络解决方案,可以提供高度可扩展性和强大的安全性。Calico网络可以轻松地与Kubernetes集群集成,为容器提供高性能和高可用性的网络连接。 Calico网络使用标准的IP路由和BGP协议来实现容器之间的网络通信,它可以在任何基础设施上运行,包括云环境和物理设备。Calico网络还提供了一系列高级功能,如网络安全策略和流量控制,以保护容器的安全性。 Calico网络有许多优点,包括: 1. 高度可扩展:Calico网络支持大规模容器部署,并可以轻松地扩展到数千个节点。 2. 高性能:Calico网络使用标准IP路由协议,因此具有极低的延迟和高吞吐量。 3. 简单易用:Calico网络使用标准的Kubernetes API,因此可以轻松地与Kubernetes集成,并且具有简单的配置和管理。 4. 安全性强:Calico网络提供了强大的网络安全策略和流量控制功能,可以帮助防止网络攻击和数据泄露。 总之,Kubernetes Calico网络是一种高性能、高可用、高度可扩展和安全的容器网络解决方案,可以满足企业在容器化应用方面的需求。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值