管理pod的nat策略

最新推荐文章于 2024-05-28 16:26:58 发布
最新推荐文章于 2024-05-28 16:26:58 发布
阅读量642 收藏 1
点赞数
分类专栏: k8s 文章标签: k8s network
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yevvzi/article/details/79619553
版权

关闭docker及flannel的snat策略

关闭dockersnat

docker默认开启masq,可以通过 --ip-masq=false参数关闭masq

关闭flannel snat策略

flannel默认通过参数注入的方式开启masq:

  • 使用daemonset方式启动可以通过删除–ip-masq参数实现
  • 在系统直接部署的可以修改/usr/libexec/flannel/mk-docker-opts.sh设置ipmasq=false

通过ip-masq-agent实现

介绍

ip-masq-agent 配置iptables规则为MASQUERADE(除link-local外),
并且可以附加任意IP地址范围

它会创建一个iptables名为IP-MASQ-AGENT的链,包含link local(169.254.0.0/16)
和用户指定的IP地址段对应的规则,
它还创建了一条规则POSTROUTING,以保证任何未绑定到LOCAL目的地的流量会跳转到这条链上。

匹配到IP-MASQ-AGENT中对应规则的IP(最后一条规则除外),
通过IP-MASQ-AGENT将不受MASQUERADE管理(他们提前从链上返回),
ip-masq-agent链最后一条规则将伪装任何非本地流量。

安装

此仓库包含一个示例yaml文件,
可用于启动ip-masq-agent作为Kubernetes集群中的DaemonSet。

kubectl create -f ip-masq-agent.yaml

ip-masq-agent.yaml中的规则指定kube-system为对应DaemonSet Pods 运行的名称空间。

配置代理

提示:您不应尝试在Kubelet也配置有非伪装CIDR的集群中运行此代理。
您可以传递–non-masquerade-cidr=0.0.0.0/0给Kubelet以取消其规则,
这将防止Kubelet干扰此代理。

默认情况下,代理配置为将RFC 1918指定的三个私有IP范围视为非伪装CIDR。
这些范围是10.0.0.0/8,172.16.0.0/12和192.168.0.0/16。
该代理默认将link-local(169.254.0.0/16)视为非伪装CIDR。

默认情况下,代理配置为每60秒从其容器中的/etc/config/ip-masq-agent文件重新加载其配置,

代理配置文件应该以yaml或json语法编写,并且可能包含三个可选项:

  • nonMasqueradeCIDRs []string:CIDR表示法中的列表字符串,用于指定非伪装范围。
  • masqLinkLocal bool:是否伪装流量169.254.0.0/16。默认为False。
  • resyncInterval string:代理尝试从磁盘重新加载配置的时间间隔。语法是Go的time.ParseDuration函数接受的任何格式。

该代理将在其容器中查找配置文件/etc/config/ip-masq-agent。这个文件可以通过一个configmap提供,通过一个ConfigMap管道进入容器ConfigMapVolumeSource。
因此,该客户端可以通过创建或编辑ConfigMap实现实时群集中重新配置代理程序。

这个仓库包括一个ConfigMap,可以用来配置代理(agent-config目录)的目录表示。
使用此目录在急群众创建ConfigMap:

kubectl create configmap ip-masq-agent --from-file=agent-config --namespace=kube-system

请注意,我们在与DaemonSet Pods相同的命名空间中创建了configmap,
并切该ConfigMap的名称与ip-masq-agent.yaml中的配置一致。
这对于让ConfigMap对于出现在Pods的文件系统中是必需的。

理论基础

该代理解决了为集群中的非伪装配置CIDR范围的问题(通过iptables规则)。
现在这以功能是通过–non-masquerade-cidr向Kubelet 传递一个标志来实现的,
该标志只允许一个CIDR被配置为非伪装。RFC 1918定义了三个范围(10/8,172.16/12,192.168/16为私有IP地址空间)。

有些用户会希望在不伪装这些范围之间进行通信-例如,
如果企业现有的网络使用10/8范围,
他们可能希望运行群集以及PodS 在 192.168/16以避免IP冲突。
他们也希望这些Pods能够有效地(不伪装)与他人和他们现有的网络资源进行沟通10/8。
这要求集群中的每个节点都跳过两个范围的伪装。

我们正在尝试从Kubelet中删除网络代码,
因此,而不是将Kubelet扩展为接受多个CIDR,
ip-masq-agent允许您运行一个将CIDR列表配置为非伪装的DaemonSet。

通过动态路由实现网络

ospf

  • 关闭 docker及flannel的snat

  • 路由需要配置开启ospf划分区域

  • 安装quagga


    yum install quagga -y

  • 配置zebra 及ospfd的账号密码等信息

这样就直接和网络打通,acl可以在路由上设置,从而实现外部网络直接访问pod

bgp

原理同上

总结

在生产环境中,打通pod与集群外外部服务的网络很有必要,使用nat策略,当多个相同pod在一个node上,
一旦出现错误对应服务无法获取哪个pod在连接该服务,取消nat策略可直接拿到pod IP,方便debug。

欢迎加入QQ群:k8s开发与实践(482956822)一起交流k8s技术

rocsdu
关注
专栏目录
Kubernetes(7)-管理Pod对象
Blog of Stevenux
04-05 720
Pod 是 Kubernetes 系统的基础单元,是资源对象中可由用户创建或者部署的最小组件,也是 在 Kubernetes 系统上运行容器化应用的资源对象。其他的大多数资源对象都是用于支撑和 扩展 Pod 对象的功能的,例如,用于管控 Pod 运行的 StatefulSet 和 Deployment 等控制 器对象,用于暴露 Pod 应用的 Service 和 Ingress 对象,为 Pod ...
k8s集群部署——Pod管理和资源清单
m0_49265034的博客
10-29 989
文章目录一、Pod管理二、资源清单三、Pod生命周期四、今日报错 一、Pod管理 Pod是可以创建和管理Kubernetes计算的最小可部署单元,一个Pod代表着集群中运行的一个进程,每个pod都有一个唯一的ip。 一个pod类似一个豌豆荚,包含一个或多个容器(通常是docker),多个容器间共享IPC、Network和UTC namespace。 kubectl命令 kubectl run '镜像' --image=‘image name’ kubectl get pod #查看POD内容 kubec
【云原生】Kubernetes----POD调度策略
最新发布
hy199707的博客
05-28 1487
在Kubernetes集群中,Pod是最小的可部署单元,它封装了应用程序及其依赖的运行环境。然而,Pod并不会自行选择在哪个节点上运行,而是由Kubernetes的调度器(kube-scheduler)来负责。本文将深入探讨Kubernetes中的Pod调度机制,包括其工作原理、调度决策的因素以及如何定义Pod的调度策略
pod的调度策略、定向调度、亲和性调度、污点、容忍污点
MssGuo的博客
04-07 1952
前言 环境:centos7.9 docker-ce-20.10.9 kubernetes-version v1.22.6 pod的4种调度策略 默认情况下,一个pod被调度到哪个node节点是由scheduler组件采用相应的算法计算出来的,这个过程是不受人工控制的,但是在实际使用中,这并不能满足所以要求,很多时候我们想控制某些pod到达某些节点,所以kubernetes就为我们提供了4种pod的调度策略来解决该问题。 自由调度:pod运行在哪个节点完全由scheduler经过一系列算法计算得出 定向调度:
(2):Pod的基本操作及策略
Jason的博客
07-23 1192
一、Pod镜像拉取策略 这里的imagePullPolicy就代表了镜像的拉取策略: 1.Always:每次创建pod都会重新拉取一次镜像; 2.IfNotPresent:默认值,镜像不在宿主机上时才进行拉取; 3.Never:Pod永远不会主动拉取这个镜像。 二、Pod资源限制 调度时用于计算所有pod请求的资源,不能超过node提供的总资源,request代表容器的最小资源: spec.containers[].resources.requests.cpu spec.containers[].re
ip-masq-agent:管理节点上的IP伪装
05-01
ip-masq-agent ip-masq-agent将iptables规则配置为在链接本地(可选,默认情况下启用)和其他任意IP范围之外的MASQUERADE通信。 它创建了一个称为IP-MASQ-AGENT的iptables链,其中包含本地链接( 169.254.0.0/16 )和每个用户指定IP范围的匹配规则。 它还在POSTROUTING中创建一条规则,该规则跳至未绑定到LOCAL目标的任何流量的此链。 匹配IP-MASQ-AGENT中的规则(最终规则除外)的IP-MASQ-AGENT不会通过IP-MASQ-AGENT链(它们从链的早期RETURN )受到MASQUERADE约束。 IP-MASQ-AGENT链中的最终规则将对任何非LOCAL流量进行MASQUERADE 。 IP-MASQ-AGENT RETURN在调用链POSTROUTING的下一个规则处恢复规则处理。
使用ip-masq-agent灵活的控制容器服务Kubernetes集群的SNAT规则
weixin_34034261的博客
02-12 1041
使用ip-masq-agent灵活的控制容器服务Kubernetes集群的SNAT规则 在容器服务的集群中,默认情况下的flannel会对POD访问到非POD的网段做SNAT,以确保POD到集群外部的资源访问,但在某些情况下,比如在容器服务的VPC集群中,POD到集群外部的资源是直接可以访问的,这时我们就可以自己定义节点上的SNAT规则,而达到直接用容器...
kubernetes基础介绍及静态pod模式集群搭建
qfa_885的博客
08-14 616
云原生的形式与落地正在走进我们每一个IT人,此文将系统的将大家从K8S小白带入到初级阶段,让每个人都对kubernetes在一定程度上得到了解
k8s 中的 service 如何找到绑定的 Pod 以及如何实现 Pod 负载均衡
m0_56069948的博客
10-17 1493
Service 资源主要用于为 Pod 对象提供一个固定、统一的访问接口及负载均衡的能力。service 是一组具有相同 label pod 集合的抽象,集群内外的各个服务可以通过 service 进行互相通信。
Pod 网络无法访问排查处理
ss810540895的博客
03-04 2267
如果您无法在相关配置上定位到问题点,则需要确认数据包最终是否被路由到容器里,或者报文到达容器的内容和出容器的内容是否符合预期,并通过分析报文进一步缩小问题范围。若使用 BGP 协议,则会自动同步,通常不需要任何配置。检查 Pod 所在节点的安全组是否正确放通对端 VPC 网段(或者节点所在的 VPC 子网网段)和容器网段。检查 Pod 所在节点的安全组是否正确放通对端节点所在的 VPC 网段或 VPC 子网网段。检查节点安全组是否正确放通容器网段和对端节点所在的 VPC 网段或 VPC 子网网段。
Kubernetes 网络疑难杂症排查分享
Docker的专栏
08-20 1824
本文作者来自腾讯云容器服务(TKE)团队,经常帮助用户解决各种 Kubernetes 的疑难杂症,积累了比较丰富的经验,本文分享几个比较复杂的网络方面的问题排查和解决思路...
kubernetes组件kubelet之源码分析 启动流程
纵横四海的博客
10-03 1220
1.kubelet简介kubelet是在每个节点上运行的主要“节点代理”。 kubelet的工作原理是PodSpec。 kubelet采用一组通过各种机制提供的PodSpecs(主要通过apiserver),并确保这些PodSpec中描述的容器运行正常。 kubelet不管理不是由Kubernetes创建的容器。 除了来自Apiserver的PodSpec之外,还有三种可以向Kubele
pod调度策略,一篇就够
kismile
05-16 2635
文章目录调度策略预选策略--必须全部满足优选策略高级调度Toleration(容忍)Tain(污点)和label(标签)Affinity(亲和性) 调度策略 k8s的调度策略分为predicates(预选策略)和priorites(优选策略),整个调度过程分俩步 预选策略,predicates是强制性规则,遍历所有的node节点,安装具体的预选策略筛选出符合要求的node列表,如果没有nod...
【kubernetes/k8s概念】CNI详解
热门推荐
zhonglinzhang
09-14 3万+
1、为什么CNI CNI是Container Network Interface的是一个标准的,通用的接口。现在容器平台:docker,kubernetes,mesos,容器网络解决方案:flannel,calico,weave。只要提供一个标准的接口,就能为同样满足该协议的所有容器平台提供网络功能,而CNI正是这样的一个标准接口协议。 2、什么CNI CN...
ip地址 k8s 显示pod_如何修改pod ip地址段
weixin_36220492的博客
12-31 2996
说明本周在部署服务时,遇到了一个错误。因为不方便截图,这边只说明一下错误提示。我这里的网络为cannal,具体错误为:erroringettingresultfromAddNetworkList:failedtoallocateforrange0:noIPaddressesavailableinrangeset:192.168.1.33-192.168.1.6...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值