kubernetes--kube-proxy实现L4负载均衡

已于 2024-06-13 09:08:48 修改
阅读量1k 收藏 19
点赞数 25
分类专栏: 云原生 文章标签: 负载均衡 kubernetes 云原生
于 2023-11-28 15:34:24 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xianmingsu/article/details/134593958
版权

一、Linux网络收包

要了解kube-proxy如何实现负载均衡,要先了解Linux网络收包机制,kube-proxy利用Linux的内核实现的负载均衡。

在TCP/IP网络分层模型里,整个协议栈被分成了物理层、链路层、网络层,传输层和应用层。物理层对应的是网卡和网线,应用层对应的是我们常见的Nginx,FTP等等各种应用。Linux实现的是链路层、网络层和传输层这三层。内核对更上层的应用层提供socket接口来供用户进程访问。我们用Linux的视角来看到的TCP/IP网络分层模型是下面这个样子的。
在这里插入图片描述

从硬件的视角看:

在这里插入图片描述
当网卡上收到数据以后,首先会以DMA的方式把网卡上收到的帧写到内存里。再向CPU发起一个中断,以通知CPU有数据到达。当CPU收到中断请求后,会去调用网络驱动注册的中断处理函数。 网卡的中断处理函数并不做过多工作,发出软中断请求,然后尽快释放CPU。ksoftirqd检测到有软中断请求到达,调用poll开始轮询收包,收到后交由各级协议栈处理。最后数据包会被放到用户socket的接收队列中。

二、Netfilter 框架

Netfilter 是 Linux 内核数据包处理框架。该框架在Linux处理数据包的关键流程中定义了一系列Hook钩子点(如PREROUTING、INPUT、FORWARD、OUTPUT、POSTROUTING),并在这些钩子点中注册一系列函数对数据包进行处理。换句话说,这些函数的处理结果决定了这些网络数据包的“命运”。
在这里插入图片描述

  1. PREROUTING:数据包进入路由表之前。
  2. INPUT:通过路由表后目的地为本机。
  3. FORWARD:通过路由表后,目的地不为本机。
  4. OUTPUT:由本机产生,向外发送。
  5. POSTROUTIONG:发送到网卡接口之前。

Netfilter在网络层上拦截和处理来自网络的数据包,根据配置的规则进行过滤和操作,然后将数据包交由上层协议栈进行进一步的处理和传递。

三、Iptables

Netfilter是Linux内核中的一个框架,而iptables是一个用户空间的工具,用于配置和操作Netfilter的规则。iptables利用Netfilter的hook函数,根据配置的规则来处理网络数据包。通过这种方式,Netfilter和iptables共同协作实现了Linux中的网络过滤和操作功能。
在这里插入图片描述

四、kube-proxy工作原理

在这里插入图片描述
kube-proxy部署在每一个节点上,kube-proxy监听着kube-apiserver,kube-proxy利用iptables命令在每个节点上生成一些规则,来达到dnat的作用。

4.1 iptables示例

在这里插入图片描述
在这里插入图片描述

定义了一个service和分别对应三个pod,并通过命令查看本机iptable配置规则:

iptables-save -t nat

在这里插入图片描述
配置的意思是:
有一条KUBE-SERVICES的规则,如果数据包的目标ip是10.105.164.239,那么转到KUBE-SVC-WWRFY3PZ7W3FGMQW规则。
KUBE-SVC-WWRFY3PZ7W3FGMQW以33%的概率转到192.168.166.164:80,以50%概率转到192.168.166.165:80,如果概率都没有命中,最后以100%的概率转到192.168.166.167:80.iptable规则是自上而下执行的。
那么KUBE-SERVICES规则又是加在哪里的呢
在这里插入图片描述
可以看到配到了PREROUTING和OUTPUT这两个hook点。也就是说所有进入和发出主机的数据包都要经过这个规则。
还有一个需要注意的是,service ip 10.105.164.239是一个虚ip,主机上并没有一个设备去响应,是ping不通的
但是,iptable有很明显的问题,一个是负载均衡的策略需要用很多的规则去堆叠起来,还有一个是按照概率去命中执行注定转发的效率不会很高,如果集群比较大,pod数量较多,这种问题就更明显了。

4.2 IPVS

在这里插入图片描述
需要注意的是,Netfilter的IPVS模式没有PREROUTING这个hook点,只有LOCAL_IN、LOCAL_OUT和FORWARD这三个hook点。
也就是说经过路由判决的时候,数据包的目的ip还是service ip,不像iptable那样,在经过PREROUTING的时候就把数据包的目标ip换成了pod的ip,所以service ip必须挂在主机的某个设备上,否则经过路由判决的时候会被认为是一个无效的地址。
在这里插入图片描述
kube-proxy会在主机上创建一个类似kube-ipvs0这样的设备,所有的service ip都绑在这个设备上,这个ip是能ping通的,这也是ipvs模式和iptable模式的一个区别。

查看IPVS转发规则:
在这里插入图片描述
IPVS转发规则比较清晰简洁。所以,一般建议能使用IPVS尽量使用IPVS。

Sxm&
关注
  • 25
    点赞
  • 19
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
kube-proxy-temp-1.16.8.yaml
10-09
aws-kube-proxy1.16.8版本示例文件
kubernetes 使用cilium 网络插件 替换kube-proxy
02-10
Kubernetes环境中,传统的服务发现和网络代理方案是通过kube-proxy实现的,它提供了iptables、ipvs等不同的工作模式。然而,随着云原生应用的发展,对网络性能、安全性和可观测性的需求日益增强,这催生了Cilium...
Kubernetes service服务的发布 - kube-proxy(负载均衡器)-IPVS
lpfstudy的博客
07-09 1506
通常你使用 kubectl。
云原生】K8S--负载均衡详细介绍;什么是K8S的负载均衡
最新发布
很多时候犯错都是在不知情的情况下发生的
04-26 1312
Ingres是K8S对于nginx进行云原生模式的封装,使得nginx更适合云原生的结构,使用Ingres可以对Service进行负载均衡,因此Ingres工作在七层,属于七层负载均衡。Ingres通过http协议的方式实现Service的负载均衡:对于K8S来说,Ingres就是一个资源控制器,用来控制资源的访问策略,
k8s kube-proxy详解
魏志标的博客
06-13 5460
kube-proxykubernetes中网络核心组件,实现了服务暴露和转发等网络功能。kube-proxy支持userspace,ipvs和iptables三种代理模式。userspace性能问题较严重,基本不再使用,应用最多的是iptables和ipvs模式。kube-proxy 以daemonset的方式运行在每个Node计算节点上,负责Pod网络代理, 它会定时通过apiserver从etcd服务获取到service和endpoint资源的变化,维护网络规则和四层负载均衡工作。
八、详解Kubernetes负载均衡的技术原理
左安青的博客
04-18 836
Kubernetes是一种容器编排和管理平台,为了实现高可用和可伸缩性,Kubernetes提供了负载均衡的功能。在Kubernetes中,负载均衡器是一个重要的组件,它可以将流量分配到多个容器中,从而提高应用程序的性能和可用性。在本文中,我们将详细介绍Kubernetes负载均衡的技术原理。
Kubernetes中的服务发现与负载均衡
xiaomin1991222的专栏
04-20 855
Kubernetes在设计之初就充分考虑了针对容器的服务发现与负载均衡机制,提供了Service资源,并通过kube-proxy配合cloud provider来适应不同的应用场景。随着kubernetes用户的激增,用户场景的不断丰富,又产生了一些新的负载均衡机制。目前,kubernetes中的负载均衡大致可以分为以下几种机制,每种机制都有其特定的应用场景: Service:直接用...
kubernetes-server-linux-amd64.tar
01-17
在实际应用中,"kubernetes-server-linux-amd64.tar"的部署并不止于基本的安装,还包括配置自定义的存储解决方案(如持久卷)、服务发现、负载均衡、自动扩展、安全策略等。Kubernetes的生态系统丰富,包括Ingress、...
kubernetes-dashboard.yaml
08-11
namespace: kube-system type: Opaque --- # ------------------- Dashboard Service Account ------------------- # apiVersion: v1 kind: ServiceAccount metadata: labels: k8s-app: kubernetes-dashboard ...
kubernetes-server-linux-amd64.tar.gz 安装包
08-28
7. **kube-proxy**:网络代理,负责实现Kubernetes的服务发现和负载均衡功能。 在安装这个"**kubernetes-server-linux-amd64**"包时,通常包括以下步骤: 1. **准备环境**:确保系统满足硬件需求,安装必要的依赖...
k8s负载均衡方案简介
justlpf的专栏
05-23 1123
利用经典的Keepalived+HAProxy实现负载均衡,通过FlexLB API Server提供控制面API实现外部IP的分配和HAProxy代理的配置,通过FlexLB Kube Controller监控Service和EndpointSlice的增删改事件,调用FlexLB API操作LB实例。,每个Service的流量只能通过单个节点进入,再通过kubeproxy转发到PodIP,节点间通过memberlist选主,只是实现了高可用,没有做到。到80和443,在DNS上添加。
L4和L7负载均衡原理和常用负载均衡架构实现
AhhSong的博客
07-03 5787
L4和L7负载均衡原理四层负载均衡原理所谓四层负载均衡,也就是主要通过报文中的目标地址和端口,再加上负载均衡设备设置的服务器选择方式,决定最终选择的内部服务器。以常见的TCP为例,负载均衡设备在接收到第一个来自客户端的SYN请求时,即通过上述方式选择一个最佳的服务器,并对报文中目标IP地址进行修改(改为后端服务器IP),直接转发给该服务器.TCP的连接建立,即三次握手是客户端和服务器直接建立的,负...
k8s clusterip 方式service负载均衡实现三种方式及原理
很多时候犯错都是在不知情的情况下发生的
10-22 1377
namespaceA下的ExternalName服务b定义如下:
四层、七层负载均衡的区别
xpylq的博客
08-28 698
转自:链接:http://www.jianshu.com/p/fa937b8e6712 内容安排: 简介区别Nginx、LVS及HAProxy负载均衡软件的优缺点 一、简介 所谓四层就是基于IP+端口的负载均衡;七层就是基于URL等应用层信息的负载均衡;同理,还有基于MAC地址的二层负载均衡和基于IP地址的三层负载均衡。 换句换说,二层负载均衡会通过一个虚拟MAC地址接收
【博客375】k8s的kube-proxy负载均衡方式
qq_43684922的博客
09-16 2874
内容:记录k8s的kube-proxy的几种负载均衡方式 userspace 模式 该模式下kube-proxy会为每一个Service创建一个监听端口。发向Cluster IP的请求被Iptables 规则重定向到Kube-proxy监听的端口上,Kube-proxy根据LB算法选择一个提供服务的Pod并和其 建立链接,以将请求转发到Pod上。 该模式下,Kube-proxy充当了一个四层Load balancer的角色。由于kube-proxy运行在 userspace中,在进行转发处理时会增加两次内
转载和积累系列 - L4负载均衡的设计与实现
热门推荐
自娱自乐的代码人
08-11 3万+
目录 简介 一、LVS的局限性 1. 数据包转发性能问题 2.HA-主备结构的浪费 3.转发模式的优缺点 二、google maglev负载均衡 Maglev Consistent Hash Google下一步是什么? 三、facebook katran 第一代 L4LB 四、设计高性能负载均衡 附录: 简介 负载均衡分为L4负载均衡(例如LVS)、L7负载均衡(例如nginx),L4负载均衡工作在传输层其主要功能就是转发, 本文讲述的负载均衡L4。 传统上通过采购硬件的..
四层负载均衡和七层负载均衡
qq_35587649的博客
11-11 254
** 内容安排: ** 简介 区别 Nginx、LVS及HAProxy负载均衡软件的优缺点 一、简介 ** 所谓四层就是基于IP+端口的负载均衡;七层就是基于URL等应用层信息的负载均衡;**同理,还有基于MAC地址的二层负载均衡和基于IP地址的三层负载均衡。 换句换说,二层负载均衡会通过一个虚拟MAC地址接收请求,然后再分配到真实的MAC地址;三层负载均衡会通过一个虚拟IP地址接收请求,然后再分配到真实的IP地址;四层通过虚拟IP+端口接收请求,然后再分配到真实的服务器;七层通过虚拟的URL或主机名接收请
开源L4负载均衡器DPVS源码分析
Markchen7788的博客
12-03 1921
DPVS原理解析
error execution phase preflight: [preflight] Some fatal errors occurred: [ERROR FileAvailable--etc-kubernetes-manifests-kube-apiserver.yaml]: /etc/kubernetes/manifests/kube-apiserver.yaml already exists [ERROR FileAvailable--etc-kubernetes-manifests-kube-controller-manager.yaml]: /etc/kubernetes/manifests/kube-controller-manager.yaml already exists [ERROR FileAvailable--etc-kubernetes-manifests-kube-scheduler.yaml]: /etc/kubernetes/manifests/kube-scheduler.yaml already exists [ERROR FileAvailable--etc-kubernetes-manifests-etcd.yaml]: /etc/kubernetes/manifests/etcd.yaml already exists
06-01
这个错误是因为您尝试安装Kubernetes的某个组件时,该组件的配置文件已经存在于相应的目录中。这可能是由于之前的安装过程中出现了问题或者手动创建了这些文件导致的。 为了解决这个问题,您可以尝试删除这些文件或备份它们,然后重新运行安装命令。您可以使用以下命令备份这些文件: ``` sudo mv /etc/kubernetes/manifests/kube-apiserver.yaml /etc/kubernetes/manifests/kube-apiserver.yaml.bak sudo mv /etc/kubernetes/manifests/kube-controller-manager.yaml /etc/kubernetes/manifests/kube-controller-manager.yaml.bak sudo mv /etc/kubernetes/manifests/kube-scheduler.yaml /etc/kubernetes/manifests/kube-scheduler.yaml.bak sudo mv /etc/kubernetes/manifests/etcd.yaml /etc/kubernetes/manifests/etcd.yaml.bak ``` 然后再次运行安装命令,应该就可以成功安装了。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值