管理pod的nat策略

最新推荐文章于 2024-05-28 16:26:58 发布
最新推荐文章于 2024-05-28 16:26:58 发布
阅读量640 收藏 1
点赞数
分类专栏: k8s 文章标签: k8s network
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yevvzi/article/details/79619553
版权

关闭docker及flannel的snat策略

关闭dockersnat

docker默认开启masq,可以通过 --ip-masq=false参数关闭masq

关闭flannel snat策略

flannel默认通过参数注入的方式开启masq:

  • 使用daemonset方式启动可以通过删除–ip-masq参数实现
  • 在系统直接部署的可以修改/usr/libexec/flannel/mk-docker-opts.sh设置ipmasq=false

通过ip-masq-agent实现

介绍

ip-masq-agent 配置iptables规则为MASQUERADE(除link-local外),
并且可以附加任意IP地址范围

它会创建一个iptables名为IP-MASQ-AGENT的链,包含link local(169.254.0.0/16)
和用户指定的IP地址段对应的规则,
它还创建了一条规则POSTROUTING,以保证任何未绑定到LOCAL目的地的流量会跳转到这条链上。

匹配到IP-MASQ-AGENT中对应规则的IP(最后一条规则除外),
通过IP-MASQ-AGENT将不受MASQUERADE管理(他们提前从链上返回),
ip-masq-agent链最后一条规则将伪装任何非本地流量。

安装

此仓库包含一个示例yaml文件,
可用于启动ip-masq-agent作为Kubernetes集群中的DaemonSet。

kubectl create -f ip-masq-agent.yaml

ip-masq-agent.yaml中的规则指定kube-system为对应DaemonSet Pods 运行的名称空间。

配置代理

提示:您不应尝试在Kubelet也配置有非伪装CIDR的集群中运行此代理。
您可以传递–non-masquerade-cidr=0.0.0.0/0给Kubelet以取消其规则,
这将防止Kubelet干扰此代理。

默认情况下,代理配置为将RFC 1918指定的三个私有IP范围视为非伪装CIDR。
这些范围是10.0.0.0/8,172.16.0.0/12和192.168.0.0/16。
该代理默认将link-local(169.254.0.0/16)视为非伪装CIDR。

默认情况下,代理配置为每60秒从其容器中的/etc/config/ip-masq-agent文件重新加载其配置,

代理配置文件应该以yaml或json语法编写,并且可能包含三个可选项:

  • nonMasqueradeCIDRs []string:CIDR表示法中的列表字符串,用于指定非伪装范围。
  • masqLinkLocal bool:是否伪装流量169.254.0.0/16。默认为False。
  • resyncInterval string:代理尝试从磁盘重新加载配置的时间间隔。语法是Go的time.ParseDuration函数接受的任何格式。

该代理将在其容器中查找配置文件/etc/config/ip-masq-agent。这个文件可以通过一个configmap提供,通过一个ConfigMap管道进入容器ConfigMapVolumeSource。
因此,该客户端可以通过创建或编辑ConfigMap实现实时群集中重新配置代理程序。

这个仓库包括一个ConfigMap,可以用来配置代理(agent-config目录)的目录表示。
使用此目录在急群众创建ConfigMap:

kubectl create configmap ip-masq-agent --from-file=agent-config --namespace=kube-system

请注意,我们在与DaemonSet Pods相同的命名空间中创建了configmap,
并切该ConfigMap的名称与ip-masq-agent.yaml中的配置一致。
这对于让ConfigMap对于出现在Pods的文件系统中是必需的。

理论基础

该代理解决了为集群中的非伪装配置CIDR范围的问题(通过iptables规则)。
现在这以功能是通过–non-masquerade-cidr向Kubelet 传递一个标志来实现的,
该标志只允许一个CIDR被配置为非伪装。RFC 1918定义了三个范围(10/8,172.16/12,192.168/16为私有IP地址空间)。

有些用户会希望在不伪装这些范围之间进行通信-例如,
如果企业现有的网络使用10/8范围,
他们可能希望运行群集以及PodS 在 192.168/16以避免IP冲突。
他们也希望这些Pods能够有效地(不伪装)与他人和他们现有的网络资源进行沟通10/8。
这要求集群中的每个节点都跳过两个范围的伪装。

我们正在尝试从Kubelet中删除网络代码,
因此,而不是将Kubelet扩展为接受多个CIDR,
ip-masq-agent允许您运行一个将CIDR列表配置为非伪装的DaemonSet。

通过动态路由实现网络

ospf

  • 关闭 docker及flannel的snat

  • 路由需要配置开启ospf划分区域

  • 安装quagga


    yum install quagga -y

  • 配置zebra 及ospfd的账号密码等信息

这样就直接和网络打通,acl可以在路由上设置,从而实现外部网络直接访问pod

bgp

原理同上

总结

在生产环境中,打通pod与集群外外部服务的网络很有必要,使用nat策略,当多个相同pod在一个node上,
一旦出现错误对应服务无法获取哪个pod在连接该服务,取消nat策略可直接拿到pod IP,方便debug。

欢迎加入QQ群:k8s开发与实践(482956822)一起交流k8s技术

rocsdu
关注
专栏目录
Kubernetes(7)-管理Pod对象
Blog of Stevenux
04-05 716
Pod 是 Kubernetes 系统的基础单元,是资源对象中可由用户创建或者部署的最小组件,也是 在 Kubernetes 系统上运行容器化应用的资源对象。其他的大多数资源对象都是用于支撑和 扩展 Pod 对象的功能的,例如,用于管控 Pod 运行的 StatefulSet 和 Deployment 等控制 器对象,用于暴露 Pod 应用的 Service 和 Ingress 对象,为 Pod ...
k8s集群部署——Pod管理和资源清单
m0_49265034的博客
10-29 980
文章目录一、Pod管理二、资源清单三、Pod生命周期四、今日报错 一、Pod管理 Pod是可以创建和管理Kubernetes计算的最小可部署单元,一个Pod代表着集群中运行的一个进程,每个pod都有一个唯一的ip。 一个pod类似一个豌豆荚,包含一个或多个容器(通常是docker),多个容器间共享IPC、Network和UTC namespace。 kubectl命令 kubectl run '镜像' --image=‘image name’ kubectl get pod #查看POD内容 kubec
【云原生】Kubernetes----POD调度策略
最新发布
hy199707的博客
05-28 1463
在Kubernetes集群中,Pod是最小的可部署单元,它封装了应用程序及其依赖的运行环境。然而,Pod并不会自行选择在哪个节点上运行,而是由Kubernetes的调度器(kube-scheduler)来负责。本文将深入探讨Kubernetes中的Pod调度机制,包括其工作原理、调度决策的因素以及如何定义Pod的调度策略
pod的调度策略、定向调度、亲和性调度、污点、容忍污点
MssGuo的博客
04-07 1947
前言 环境:centos7.9 docker-ce-20.10.9 kubernetes-version v1.22.6 pod的4种调度策略 默认情况下,一个pod被调度到哪个node节点是由scheduler组件采用相应的算法计算出来的,这个过程是不受人工控制的,但是在实际使用中,这并不能满足所以要求,很多时候我们想控制某些pod到达某些节点,所以kubernetes就为我们提供了4种pod的调度策略来解决该问题。 自由调度:pod运行在哪个节点完全由scheduler经过一系列算法计算得出 定向调度:
(2):Pod的基本操作及策略
Jason的博客
07-23 1191
一、Pod镜像拉取策略 这里的imagePullPolicy就代表了镜像的拉取策略: 1.Always:每次创建pod都会重新拉取一次镜像; 2.IfNotPresent:默认值,镜像不在宿主机上时才进行拉取; 3.Never:Pod永远不会主动拉取这个镜像。 二、Pod资源限制 调度时用于计算所有pod请求的资源,不能超过node提供的总资源,request代表容器的最小资源: spec.containers[].resources.requests.cpu spec.containers[].re
ip-masq-agent:管理节点上的IP伪装
05-01
ip-masq-agent ip-masq-agent将iptables规则配置为在链接本地(可选,默认情况下启用)和其他任意IP范围之外的MASQUERADE通信。 它创建了一个称为IP-MASQ-AGENT的iptables链,其中包含本地链接( 169.254.0.0/16 )和每个用户指定IP范围的匹配规则。 它还在POSTROUTING中创建一条规则,该规则跳至未绑定到LOCAL目标的任何流量的此链。 匹配IP-MASQ-AGENT中的规则(最终规则除外)的IP-MASQ-AGENT不会通过IP-MASQ-AGENT链(它们从链的早期RETURN )受到MASQUERADE约束。 IP-MASQ-AGENT链中的最终规则将对任何非LOCAL流量进行MASQUERADE 。 IP-MASQ-AGENT RETURN在调用链POSTROUTING的下一个规则处恢复规则处理。
使用ip-masq-agent灵活的控制容器服务Kubernetes集群的SNAT规则
weixin_34034261的博客
02-12 1041
使用ip-masq-agent灵活的控制容器服务Kubernetes集群的SNAT规则 在容器服务的集群中,默认情况下的flannel会对POD访问到非POD的网段做SNAT,以确保POD到集群外部的资源访问,但在某些情况下,比如在容器服务的VPC集群中,POD到集群外部的资源是直接可以访问的,这时我们就可以自己定义节点上的SNAT规则,而达到直接用容器...
kubernetes基础介绍及静态pod模式集群搭建
qfa_885的博客
08-14 614
云原生的形式与落地正在走进我们每一个IT人,此文将系统的将大家从K8S小白带入到初级阶段,让每个人都对kubernetes在一定程度上得到了解
k8s 中的 service 如何找到绑定的 Pod 以及如何实现 Pod 负载均衡
m0_56069948的博客
10-17 1489
Service 资源主要用于为 Pod 对象提供一个固定、统一的访问接口及负载均衡的能力。service 是一组具有相同 label pod 集合的抽象,集群内外的各个服务可以通过 service 进行互相通信。
Pod 网络无法访问排查处理
ss810540895的博客
03-04 2259
如果您无法在相关配置上定位到问题点,则需要确认数据包最终是否被路由到容器里,或者报文到达容器的内容和出容器的内容是否符合预期,并通过分析报文进一步缩小问题范围。若使用 BGP 协议,则会自动同步,通常不需要任何配置。检查 Pod 所在节点的安全组是否正确放通对端 VPC 网段(或者节点所在的 VPC 子网网段)和容器网段。检查 Pod 所在节点的安全组是否正确放通对端节点所在的 VPC 网段或 VPC 子网网段。检查节点安全组是否正确放通容器网段和对端节点所在的 VPC 网段或 VPC 子网网段。
完全开源免费路由器VyOS基础上网配置NAT-DHCP-路由.doc
12-22
完全开源免费路由器VyOS基础上网配置NAT-DHCP-路由.doc
Quagga 路由软件学习(by quqi99)
技术并艺术着
07-07 7954
Quagga 路由软件学习(by quqi99) 作者:张华  发表于:2013-07-07 版权声明:可以任意转载,转载时请务必以超链接形式标明文章原始出处和作者信息及本版权声明  http://blog.csdn.net/quqi99 ) <!-- @page {margin:0.79in} pre {font-family:"Liberation Serif"
Virtualbox虚拟网络环境下的quagga路由实验
草莓Cindy的博客
04-09 337
本实验计划利用ospf动态协议,借助 quagga(zebra)路由工具,实现简单的动态路由选择,并收集路由表信息。关于网络的基础知识和基本的实验操作,上面的链接里面博主讲的已经很清楚了,这里就不再赘述了。这里主要记录一下我个人实验的过程、中间踩过的坑、以及一些需要注意的细节。
Network Namespace 了解 Pod 是如何访问外网的
03-13 2593
Network namespace 是实现 linux 网络空间隔离和网络虚拟化的基础,无论是docker还是其他虚拟化技术也都是通过 linux 的 network namespace ...
kubernetes组件kubelet之源码分析 启动流程
纵横四海的博客
10-03 1220
1.kubelet简介kubelet是在每个节点上运行的主要“节点代理”。 kubelet的工作原理是PodSpec。 kubelet采用一组通过各种机制提供的PodSpecs(主要通过apiserver),并确保这些PodSpec中描述的容器运行正常。 kubelet不管理不是由Kubernetes创建的容器。 除了来自Apiserver的PodSpec之外,还有三种可以向Kubele
路由实验--quagga
热门推荐
NEWPLAN的专栏
05-13 1万+
配置路由实验 安装VMWare虚拟机 分别安装6台虚拟机,命名为:route_1, route_2, route_3, route_A, route_B, route_C 配置如图所示的拓扑 整体网络拓扑链接如下图所示 在以上的每一台机器,都需要添加网卡,配置静态IP,安装quagga路由程序,我们以route_A为例介绍其中的具体流程,其他的机器类似。 添加网卡 配置静态IP 修改配置文件:...
构建Centos7.0 Kubernetes集群:核心组件详解
通过模板或已有的Pod实例,它可以复制并管理Pod,利用LabelSelector来定位和操作具有特定标签的Pod。 3. **Services**:作为Kubernetes架构的外层,Services提供了一个虚拟的访问入口,通过一个固定的IP和端口,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值