kubernetes 控制平台和节点之间的通信

最新推荐文章于 2024-06-14 10:19:39 发布
最新推荐文章于 2024-06-14 10:19:39 发布
阅读量866 收藏 1
点赞数 1
分类专栏: kubernetes 文章标签: kubernetes control plane node communication
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yy_diego/article/details/108184388
版权

这篇文章也是翻译的官网:Control Plane-Node Communication

这篇文章主要罗列(catelogs)控制平台(更确切的说是apiserver)和工作节点(nodes)之间的通信路径。目的是允许用户根据场景需求修改网络配置,以便在不受信任的网络上(比如:云提供商的完全公共IP上)运行集群。

通信只有两个方向:从节点到控制平台 和 从控制平台到节点。

从节点到控制平台(Node to Control Plane)

这个方向上通信都是始于 node 或者 node 上运行的 pod,终于 apiserver。控制平台上的 apiserver 被配置启用安全的 HTTPS 端口(默认443端口)监听远程连接,因为是 HTTPS,所以该监听端口还应该启动一种或多种方式的客户端身份认证功能,尤其是当匿名请求(anonymous requests)或者 服务账户令牌(service account token)被启动时。(总结就是:node 向 apiserver 发送信息时,需要验证身份)

应该给 nodes 配置集群的公共根证书(public root certificate)以便 node 通过使用有效的客户端证书安全地连接到 apiserver。

Kubernetes 在创建 pod 时会自动将公共根证书 和 有效的 bearer token 注入(inject)pod,因此,pod 可以通过 服务账户 (service account)安全的连接到 apiserver。所有命名空间的 service 都配有虚拟 IP地址,该地址(通过 kube-proxy )被重定向到 apiserver 的 HTTPS 端点。

控制平台内的其他组件也都通过这个安全端口和apiserver通信。

所以,从 node 到 apiserver 的通信方式是默认安全的,集群可以运行在公网或者不受信任的网络中。

从控制平台到节点(Control Plane to node)

这个方向上的通信有两条路径,第一条是:从 apiserver 到 kubelet (集群中的每个 node 上都有一个 kubelet);第二条是:apiserver 通过它的代理功能(proxy functionality)直接和 node、pod、service通信。

apiserver to kubelet

这条通信路径的主要作用是:

  • apiserver 获取 pods 的日志。
  • apiserver 通过 kubelet 可以 attaching 到正在运行的 pods。
  • 提供 kubelet 的端口转发(port-forwarding)功能。

这些连接,起于apiserver,终于 kubelet 的 HTTPS 端点。默认情况下,apiserver 不会校验 kubelet 的服务证书(serving certificate),这将使得连接可能受到中间人攻击(man-in-Middle attacks),并且在不可信或者公共网络上运行也不安全。

要验证此连接,使用 --kubelet-certificate-authority 命令选项,可以让 apiserver 校验 kubelet 的服务证书。如果前面的命令选项不可行,当下又要求不能在公网或不信任网络中连接,可以使用 SSH隧道。

最后,应该启用kubelet 身份验证和授权,以便保护 kubelet API。

apiserver to nodes, pods, and services

从 apiserver 到 node、pod 或者 service 的连接默认使用 HTTP 连接,因此该连接既不需要认证(authenticated) 也不需要加密(encrypetd)。所以该连接如果运行在不受信任或者公网上是不安全的。

SSH 隧道(SSH tunnels)

Kubernetes 支持用 ssh隧道来保护控制平台和节点之前的通信路径。 在这种配置下,apiserver 创建一个ssh隧道连接集群中的每个 node,并且将目的地是 kubelet、node、pod、service的所有流量都通过这个隧道发送。这个隧道确保流量不会被集群外的设备访问到。

SSH 隧道在 Kubernetes 1.18版本以后就被 Konnectivity service 给取代了。

Konnectivity service

官网介绍:Konnectivity service

总结

  1. 控制平台与节点之间的通信实际上是 控制平台中的 apiserver组件与 节点之间的通信。该通信有两个方向:apiserver 到 node 和 node 到 apiserver。
  2. node 到 apiserver:通过 HTTPS 端口执行通信,所以通信的发起方需要身份验证。
  3. apiserver 到 node:主要有两个路径,(1)apiserver 到 kubelet;(2)apiserver 到 nodes, pods, and services。
  4. apiserver 到 kubelet 路径也是通过 HTTPS端口执行的,默认apiserver 不校验 kubelet 的服务证书,但为了安全起见,还是校验吧。这个路径通信有三个作用:(1)获取 pods 日志;(2)通过 kubelet 可以 attaching 到正在运行的 pod;(3)为kubelet 提供端口转发功能。
  5. apiserver 到 nodes, pods, and services 路径是通过 apiserver 的 代理功能表实现的,采用 HTTP 方式通信,不需要认证也没有加密,所以不安全。为了提高该方式的安全性,可以采用 --kubelet-certificate-authority 命令选项;也可以使用 ssh隧道,不过在 kubernetes 1.18 以后,ssh 隧道就被 Konnectivity service 给代替了。
骑着蜗牛向前跑
关注
专栏目录
一篇文章带你了解kubernetes各组件间的通信机制
Fire_For_Code
09-12 4378
【本文专栏于[头条号]、[知乎]同步发布,可关注同名账号订阅相关文章,每周固定更新】 【本篇文章共计6129字,阅读约需17分钟,其中涉及概念较多,建议先收藏再看。】 在之前的《一篇文章带你了解Kubernetes》一文中,我们对kubernetes有了一定的认识,本文我们将继续深入的对kubernetes在系统层面上进行讨论,一起看看kubernetes的各个基本组件...
kubernetes入门之节点控制之间通信
蛐蛐的博客
07-25 158
作为SSH隧道的替代方案,Konnectivity服务提供TCP层的代理,支持从控制面到集群的通信。从API服务器到节点、Pod或服务的连接默认为纯HTTP方式,因此既没有认证,也没有加密。建立一个到集群中各节点的SSH隧道并通过隧道传输到kubelet节点、Pod或服务的请求。其它控制面组件都不可暴露远程服务。这样从集群节点节点上运行的Pod到控制面的连接的缺省操作模式即是安全的。第二种是从API服务器通过它的代理功能连接到任何节点、Pod或者服务。.........
深入讲解Kubernetes架构-节点控制之间通信
所寫即所思|一个阿里质量人对测试的所感所悟。
02-19 610
在这种配置下, API 服务器建立一个到集群中各节点的 SSH 隧道(连接到在 22 端口监听的 SSH 服务器) 并通过这个隧道传输所有到 kubelet节点、Pod 或服务的请求。目的是为了让用户能够自定义他们的安装,以实现对网络配置的加固, 使得集群能够在不可信的网络上(或者在一个云服务商完全公开的 IP 上)运行。想要连接到 API 服务器的 Pod 可以使用服务账号安全地进行连接。这样,从集群节点节点上运行的 Pod 到控制面的连接的缺省操作模式即是安全的, 能够在不可信的网络或公网上运行。
k8s通信
小树苗
07-09 653
Kubernetes环境中,容器间如何进行网络通信 提到容器就不得不提起容器的核心底层技术Namespace-隔离机制。 列出docker中7种命名空间 Mount Namespace(装载命名空间) 文件系统隔离 UTS Namespace 主机名隔离 IPC Namespace 进程间通信隔离 PID Namespace 进程号隔离 Network Namespace...
深入理解K8S节点内容器通信
myIddddd的博客
04-15 156
nginx-1 容器的 eth0 网卡将包发往docker0网桥上,docker0根据数据包的mac地址,在它的CAM表中查到对应的端口后把数据包发向这个端口。在默认情况下,被限制在 Network Namespace 里的容器进程,实际上是通过 Veth Pair 设备 + 宿主机网桥的方式,实现了跟同其他容器的数据交换。3,同样连接在 docker0 上的 nginx-2 容器的网络协议栈就会收到这个 ARP 请求,从而将 172.17.0.3 所对应的 MAC 地 址回复给 nginx-1 容器。
k8s网络通信
LinuxOs of Internet
02-26 689
k8s网络通信 (一)k8s通过CNI接口接入其他插件来实现网络通讯。目前比较流行的插件有flannel,calico等 CNI插件存放位置:# cat /etc/cni/net.d/10-flannel.conflist (二)插件使用的解决方案如下: 虚拟网桥,虚拟网卡,多个容器共用一个虚拟网卡进行通信。 多路复用:MacVLAN,多个容器共用一个物理网卡进行通信。 硬件交换:SR-LOV,一个物理网卡可以虚拟出多个接口,这个性能最好。 (三)各个节点网络通信 1.容器间通信:同一个pod内的多个容器
解析Kubernetes中工作节点组件和集群通信原理
Q54665642ljf的博客
08-06 305
本文会分析Node节点的两个组件(kube-proxy和kubelet)同集群如何建立通信的过程。前两部分我们会简单的科普一下SSL的过程和Kubernetes中通过RBAC进行认证的内容,因为这两部分内容属于看懂后续两部分的基础,如果对这两部分内容比较熟悉的同学可以跳过。为了增加阅读体验,我把有过多代码的放到另一个文件里面,文章中相应的部分通过链接的方式。......
深入浅出Kubernetes网络:跨节点网络通信之Flannel
woqutechteam的博客
04-10 1217
曾记得有一位哲人说过:“在云计算当中,计算最基础,存储最重要,网络最复杂”,而PaaS云平台Kubernetes的出现也使得网络的应用场景变得更加复杂多变。本文试图从Kubernetes当中容器跨节点网络通信方案Flannel的实际应用场景出发,带领读者梳理Kubernetes当中容器跨节点网络通信的实现过程以及背后的实现原理。 |Kubernetes网络模型 通过上一篇文章《深入浅出K...
Kubernetes面试整理-Master节点和Worker节点的作用
最新发布
不务正业的猿
06-14 258
每个 Worker 节点上的 kubelet 负责监控 Pods 的状态,并与 Master 节点通信,确保应用正常运行。Master 节点确保集群的状态符合用户定义的期望状态,处理集群的所有管理任务,如调度 Pods、监控节点和应用的状态、管理存储卷等。每类节点都有其特定的作用和职责。Master 节点Kubernetes 集群的控制平面,负责管理集群的状态和控制整个集群的操作。状态监控:Worker 节点上的 kubelet 监控 Pods 的状态并向 Master 节点报告。
k8s-ssh-tunnel-service:SSH隧道作为Kubernetes服务
05-13
SSH隧道作为Kubernetes服务 创建一个Kubernetes服务/部署/ ConfigMap,以将SSH隧道作为Kubernetes服务。 用于带有Kubernetes的开发环境。 例子: 跑步: $ ssh-client.py 3306:internal-mysql.example.com:3306 admin@bastion-host.example.com ~/.ssh/id_rsa ssh-tunnel-service-mysql $ kubectl apply -f ssh-tunnel-service-mysql.yaml 下一步,您的Kubernetes集群应该有一个侦听端口3306的主机ssh-tunnel-service-mysql.svc.cluster.local 。 执照 麻省理工学院
K8S知识点记录—网络通信
qq_40494873的博客
04-09 3697
前言 对于刚接触K8s的新人来说,K8S的网络通信太复杂了,每个点都可以深入很多很多,这篇文章记录自己网络通信的一个整体认识,帮助快速上手。 一、K8S的网络通信汇总 根据自己的梳理画了一个图(从用户到pod的一个网络通信图,目的是快速打通网络流) 图中的概念介绍: K8S中三类IP,NodeIP,PodIP,ClusterIP Node IP:Node节点的IP地址,即物理网卡的IP地址 Pod IP:Pod的IP地址,即docker容器的IP地址,此为虚拟IP地址 Cluster IP:Ser
Kubernetes--集群功能模块之间通信
GaoChuang_的博客
11-06 657
Kubernets API Server作为集群的核心,负责集群各功能模块之前的通信。集群内的各个功能模块通过API Server将信息存储到etcd中,当需要获取和操作这些数据时,则通过API Server提供的REST接口(用Get、LIST或Watch方法)来实现,从而实现各个模块之前的信息交互。 交互场景一 kubelet进程与API Server的交互。每个Node上的kubelet每隔一个时间周期就会调用一次API Server的REST接口报告自身状态,API Server在接...
Kubernetes 的证书认证
Kubernetes中文社区
09-20 9301
今天让我们聊聊 Kubernetes 的公私钥和证书认证。 本文内容会提及如何根据需要对 CA、公私钥进行组织并对集群进行设置。 Kubernetes 的组件中有很多不同的地方可以放置证书之类的东西。在进行集群安装的时候,我感觉有一百多亿个不同的命令参数是用来设置证书、密钥的,真不明白是怎么弄到一起工作的。 当然了,没有一百亿那么多的参数,不过的确很多的。比如 API Serve
深入理解kubelet认证和授权
fhzp123的博客
11-30 2432
在通过kubectl访问pod信息,例如执行kubectl logs,常常会遇到类似如下错误: Error from server (Forbidden): Forbidden (user=system:anonymous, verb=get, resource=nodes, subresource=proxy) ( pods/log tiller-deploy-6b5ffb6f-lg9jb)...
K8s进阶之网络:pod内不同容器、同节点不同pod通信、CNI插件、不同节点pod通信、Flannel容器网络、Serivce连接外部网络、服务发现、Nginx反向代理与域名、Ingress代理
Pistachiout的学习博客
09-21 4212
CNI如Calico、flannel等本身并不能提供网络服务,它只是定义了对容器网络进行操作和配置的规范。CNI仅关注在创建容器时分配网络资源,和在销毁容器时删除网络资源。常见的CNI插件包括Calico、flannel等。具体的流程如下图所示:在集群里面创建一个 Pod 的时候,首先会通过 apiserver 将 Pod 的配置写入。apiserver 的一些管控组件(比如 Scheduler)会调度到某个具体的节点上去。
Kubernetes核心原理(一)之API Server
热门推荐
胡伟煌的博客
07-21 1万+
1. API Server简介 k8s API Server提供了k8s各类资源对象(pod,RC,Service等)的增删改查及watch等HTTP Rest接口,是整个系统的数据总线和数据中心。 kubernetes API Server的功能: 提供了集群管理的REST API接口(包括认证授权、数据校验以及集群状态变更);提供其他模块之间的数据交互和通信的枢纽(其他模块通
K8S中的ApiServer通信原理
weixin_45813033的博客
03-02 3499
K8S中的ApiServer通信原理 ApiServer的主要功能是 对k8s集群的资源进行CRUD操作,所有的对k8s集群的操作必须通过ApiServerApiServer通过对外提供restful类型的接口向外发布服务;内部kubectl命令也是通过ApiServer执行。其实ApiServer是通过一个名为kube-apiServer的Service提供服务的,也就是说ApiServer本质上就是一个Service,这样就可以很好的解释了如果存在多个master节点ApiService提供服务的
kubernetes各组件通信路径与安全
山不转的博客
07-11 1035
本文将kubernetes master node与整个集群的通信路径分类,目的是使用户能够通过自定义安装强化网络配置,从而使集群运行在不受信任的网络之上,比如云供应商的全开放IP环境。通信路径分成两条:由master到集群、由集群到master。cluster->master所有从集群到master的通信路径终点都是apiserver,由kubernetes的安装部署可知道,其它控制面(m...
Kubernetes v1.15单节点部署教程:kubeadm快速入门
本教程详细介绍了如何通过kubeadm方式...这个教程提供了Kubernetes v1.15版本单控制集群的详细部署流程,从系统和硬件要求,到安装和配置各个组件,确保读者能够顺利地在自己的环境中搭建起一个云原生的容器管理系统。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值