【kubernetes/k8s概念】kube-ovn-controller 源码分析之二

最新推荐文章于 2022-11-28 01:37:22 发布
最新推荐文章于 2022-11-28 01:37:22 发布
阅读量7.7k 收藏 1
点赞数 1
分类专栏: # kubernetes CNI 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhonglinzhang/article/details/119572522
版权

    kube-ovn-controller 逻辑职责是翻译 kubernetes 网络概念到 OVN,可以理解为 kube-ovn 的控制面功能,通过 kube-apiserver watch 所有网络相关事件,包括 Pod creation/deletion, Service/Endpoint modification, Networkpolicy changes 等等。然后翻译转为 OVN 逻辑网络的修改。也 watch kube-ovn 添加的 CRD,比如 VPC Subnet Vlan IP 等

    本文分析 network 策略,service,endpoint 三个控制器的源码实现

 1. network pllicy 网络策略处理

    包括 runUpdateNpWorker 和 runDeleteNpWorker 两种处理

apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: test-network-policy
  namespace: default
spec:
  podSelector:
    matchLabels:
      role: db
  policyTypes:
  - Ingress
  - Egress
  ingress:
  - from:
    - ipBlock:
        cidr: 172.17.0.0/16
        except:
        - 172.17.1.0/24
    - namespaceSelector:
        matchLabels:
          project: myproject
    - podSelector:
        matchLabels:
          role: frontend
    ports:
    - protocol: TCP
      port: 6379
  egress:
  - to:
    - ipBlock:
        cidr: 10.0.0.0/24
    ports:
    - protocol: TCP
      port: 5978

   1.1 handleUpdateNp

    ovnClient.DeletePortGroup 调用命令 ovn-nbctl get port_group node.node1 _uuid 查询是否存在,存在则调用 ovn-nbctl pg-del ${name},删除存在的 port group 来更新 acl 规则,acl 用来设置访问控制列表,并且只能应用在逻辑交换机或者port group上,不能应用在逻辑路由器上。 参数包括优先级,方向,匹配域和动作。注意: 只在 acl table 添加规则是没用的,还需要将其应用到逻辑交换机或者 port group。

    ovnClient.CreatePortGroup 调用命令 ovn-nbctl --data=bare --no-heading --columns=_uuid find port_group name=allow.all.ingress.default 查询,调用命令 ovn-nbctl pg-add ${name} -- set port_group ${name} external_ids:np=${namespace}/${networkpolicy_name} 创建 port_group

    fetchSelectedPorts 根据设置的 podSelector 选择器选择所有标签匹配的 pod 列表

    SetPortsToPortGroup 调用命令 ovn-nbctl clear port_group ${name} ports pg-set-ports ${name} ${port列表}

_uuid               : dca911e3-23bd-4d18-93b2-38f3be02beab
acls                : [2ef5eeb0-0298-4d73-9ec5-89f53fed3019, 45af5469-7e51-4163-8c5a-120f5b9c21f3, 784e4419-a112-4fa9-96bd-4f2ffc8a7655, 83cc0b42-27a5-4274-959d-452757c6869a, 88a129e6-8a45-4577-a394-3b1c6bc1a9e8, 8bee9705-304b-4b4b-aec8-022cb99456be]
external_ids        : {np="default/test-network-policy"}
name                : test.network.policy.default
ports               : []

    1.1.1 如果存在 ingress 规则

    a. 先处理 ipBlock 这模块,如果 ingress 的 from 未设置则允许设置 0.0.0.0/0,包含 from 则取出允许和拒绝的网段

    ovnClient.CreateAddressSet 调用命令 ovn-nbctl --data=bare --no-heading --columns=_uuid find address_set name=allow.all.ingress.default.ingress.allow.IPv4.0 查询。调用命令创建 ovn-nbctl create address_set name=${name} external_ids:np=${namespace}/${networkpolicy名字}/方向

_uuid               : d32700a9-49c8-43e2-819f-fde4f13ad632
addresses           : ["172.17.0.0/16"]
external_ids        : {np="default/test-network-policy/ingress"}
name                : test.network.policy.default.ingress.allow.IPv4.0

   同样,设置拒绝的的 address_set

   b. 如果设置了 from 中的允许和拒绝的内容,则调用 ovnClient.CreateIngressACL 使用命令 acl-add 添加 acl 规则

_uuid               : 88a129e6-8a45-4577-a394-3b1c6bc1a9e8
action              : drop
direction           : from-lport
external_ids        : {}
log                 : true
match               : "ip4.src == $test.network.policy.default_ip4"
meter               : []
name                : "default/test-network-policy"
priority            : 2000
severity            : warning

    c. 如果未设置 ingress,创建 address_set 和 ingress acl 规则

_uuid               : 12a2caa5-00f0-447f-87af-690f845e6d77
addresses           : []
external_ids        : {np="default/allow-all-ingress/ingress"}
name                : allow.all.ingress.default.ingress.allow.IPv4.all

_uuid               : d853e287-dd01-4fc2-b4dd-edc6fb0a58bf
action              : drop
direction           : to-lport
external_ids        : {}
log                 : true
match               : "ip4.dst == $allow.all.ingress.default_ip4"
meter               : []
name                : "default/allow-all-ingress"
priority            : 2000
severity            : warning

    d. 如果未设置 ingress 内容,则删除所有相关的 acl 方向出口,以及所有其相关的 address_set

    1.1.2 如果存在 egress 规则

    这里就不详解了,跟 ingress 处理类似

    1.1.3 创建网关 ACL 规则

    创建 subnet 网关的 ACL 规则,包括 ingress 和 egress 两个方向

_uuid               : 3808acb1-b9b1-43f6-ac1a-4f4240879e82
action              : allow-related
direction           : from-lport
external_ids        : {}
log                 : false
match               : "ip4.dst == 10.16.0.1"
meter               : []
name                : []
priority            : 2001
severity            : []

_uuid               : d48d27e3-fdb8-439c-99d9-e29c75fae8f0
action              : allow-related
direction           : to-lport
external_ids        : {}
log                 : false
match               : "ip4.src == 10.16.0.1"
meter               : []
name                : []
priority            : 2001
severity            : []

2. Service 处理

   包括 runUpdateServiceWorker 和 runDeleteServiceWorker

   2.1 runUpdateServiceWorker 

    这边不处理 Spec.ClusterIP 为空或者 service 类型为 None 的,service 的注解如果未设置 ovn.kubernetes.io/vpc 则使用默认 vpc,如果 SessionAffinity 设置未 ClientIP,会话保持,则使用会话的负载均衡

tcpLb, udpLb := vpc.Status.TcpLoadBalancer, vpc.Status.UdpLoadBalancer
oTcpLb, oUdpLb := vpc.Status.TcpSessionLoadBalancer, vpc.Status.UdpSessionLoadBalancer
if svc.Spec.SessionAffinity == v1.ServiceAffinityClientIP {
	tcpLb, udpLb = vpc.Status.TcpSessionLoadBalancer, vpc.Status.UdpSessionLoadBalancer
	oTcpLb, oUdpLb = vpc.Status.TcpLoadBalancer, vpc.Status.UdpLoadBalancer
}

status:
  default: false
  defaultLogicalSwitch: net1
  router: test-vpc-1
  standby: true
  subnets:
  - net1
  tcpLoadBalancer: vpc-test-vpc-1-tcp-load
  tcpSessionLoadBalancer: vpc-test-vpc-1-tcp-sess-load
  udpLoadBalancer: vpc-test-vpc-1-udp-load
  udpSessionLoadBalancer: vpc-test-vpc-1-udp-sess-load

    ovnClient.FindLoadbalancer 调用命令 ovn-nbctl --data=bare --no-heading --columns=_uuid find load_balancer name=vpc-test-vpc-1-tcp-load 查出该 vpc 的 tcp 负载均衡的 uuid,ovnClient.GetLoadBalancerVips 调用命令 ovn-nbctl --data=bare --no-heading get load_balancer vpc-test-vpc-1-tcp-load vips 获得该下的 vip

_uuid               : 18fb75e2-d609-402c-8966-e0b9b7035ba5
external_ids        : {}
health_check        : []
ip_port_mappings    : {}
name                : vpc-test-vpc-1-tcp-load
options             : {}
protocol            : tcp
selection_fields    : []
vips                : {"10.233.14.99:80"="10.0.1.2:80,10.0.1.3:80"} 

     新添加的 vip 不再已存在中,则 updateEndpointQueue.Add,向 Endpoint 队列添加,根据 service 标签选择器过滤出所有 pod,

3. Endpoint 处理

    这里也是不处理,clusterIP 未空或者 service 类型为 none, 遍历所有 pod,如果 pod 注解为空也不处理,根据 endpoint 中的 subnet 结合 pod 的注解 找出 vpc

subsets:
- addresses:
  - ip: 10.0.1.2
    nodeName: node1
    targetRef:
      kind: Pod
      name: nginx-57dd86f5cc-mgwj5
      namespace: ns1
      resourceVersion: "368323"
      uid: 2283bc51-667b-4f0d-bedf-aa458c5e8245
  - ip: 10.0.1.3
    nodeName: node1
    targetRef:
      kind: Pod
      name: nginx-57dd86f5cc-s7tk9
      namespace: ns1
      resourceVersion: "368317"
      uid: 6cfc9daf-4637-40a9-85f7-3abdb836169a
  ports:
  - port: 80
    protocol: TCP

    则根据 service 的注解 ovn.kubernetes.io/vpc: test-vpc-1,否则设置默认 vpc,ovn-cluster

    根据 service 的 ports 字段内容进行处理,遍历所有 service 的 ports,getServicePortBackends 获取后端,调用 ovnClient.CreateLoadBalancerRule 调用命令 ovn-nbctl lb-add ${lb} ${vip} ${ips} ${protocol}

总结:

  service 中 clientIP 对应北向数据库中的表 load_balancer

  endpoint 对应北向数据库中的表 load_balancer 的 vip

  networkpolicy 对应北向数据库中的表 ACL,涉及 port_group

  

张忠琳
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
k8s.gcr.io/kube-state-metrics/kube-state-metrics:v2.4.2镜像
05-22
docker load -i kube-state-metrics-v2.4.2.tar.gz docker images|grep k8s.gcr.io/kube-state-metrics/kube-state-metrics
kube-ovn:功能丰富且易于操作的企业级Kubernetes网络结构
02-02
Kube-OVN将基于OVN的网络虚拟化与Kubernetes集成在一起。 它为企业提供了功能最多,操作最简单的高级容器网络结构。 社区 Kube-OVN社区正在等待您的参与! 在关注我们 在与我们聊天 其他问题请发送电子邮件至 微信用户加liumengxinfly进入“ Kube-OVN开源交流群”,请注明Kube-OVN和个人信息 产品特点 命名空间子网:每个命名空间可以具有唯一的子网(由逻辑交换机支持)。 命名空间中的Pod将具有从子网分配的IP地址。 多个命名空间也可以共享一个子网。 子网隔离:可以配置子网以拒绝来自不在同一子网内的源IP地址的任何流量。 可以将特定的IP地址和IP范围列入白名单。 网络策略:通过高性能ovn ACL实施network.k8s.io/NetworkPolicy API。 用于工作负载的静态IP地址:为工作负载分配随机或静态IP地址。 DualStack IP支持:Pod可以在仅IPv4 /仅IPv6 / DualStack模式下运行。 Pod NAT和EIP :像传统VM一样管理Pod外部流量和外部ip。 多群集网络:将不同的群集连
kube-ovn项目详细介绍,物超所值
最新发布
11-07
kube-ovn项目详细介绍,物超所值
gcr.io/kubebuilder/kube-rbac-proxy:v0.13.0 镜像
10-16
gcr.io/kubebuilder/kube-rbac-proxy:v0.13.0 镜像
k8s.gcr.io/kube-state-metrics/kube-state-metrics:v2.3.0镜像
04-15
docker load -i kube-state-metrics-v2.3.0.tar.gz 上传
k8s 1.15.1 service 的 ClusterIP模式的sessionAffinity: ClientIP 模式负载测试实验
热门推荐
ChengRuoFei的博客
06-17 2万+
k8s 1.15.1 service 的 ClusterIP模式的sessionAffinity: ClientIP 模式负载测试实验
kubernetes/k8s概念OVN NorthBound DB 及 ovn-nbctl 命令
zhonglinzhang
07-28 8931
Northbound DB 是 OVN 和 CMS 之间的接口,Northbound DB 的数据几乎都是由 CMS 产生的,ovn-northd 监听这个数据库的内容,然后翻译并保存到 Southbound DB 里面。 Northbound DB 主要有如下表: Table Purpose NB_Global Northbound configuration for an OVN system. This table must haveexactly...
Kube-OVN-安装配置参数选项
任我行的博客
11-28 748
default10.16.0.1join100.64.0.1可设置。
灵雀云基于 OVNKubernetes 网络架构解析
Kason_iWiki
06-28 776
文章目录Kubernetes 网络的局限性OVS和OVN网络方案的能力Kubernetes 网络未来增强的方向 本文为3月26日灵雀云Kubernetes专家刘梦馨在Dockone社区的主题分享。他从Kubernetes网络的局限性、OVS和OVN网络方案的能力、OVNKubernetes的结合、Kubernetes网络增强的未来方向等方面分享了他本人的思考,以及灵雀云在此方面的产品进展。 作者:灵雀云刘梦馨 Kubernetes 网络的局限性 Kubernetes 提出了很多网络概念,很多开源项目都有
kubernetes/k8s概念kube-ovn文档基本概念解析
zhonglinzhang
08-10 9038
1. Vpc 从 v1.6.0 开始,用户可以创建自定义 VPC。 每个VPC都有独立的地址空间,用户可以设置重叠的CIDR、Subnet和Routes。 默认情况下,所有没有 VPC 选项的子网都属于默认 VPC。 对于不打算使用自定义 VPC 的用户,所有功能和用法保持不变。 kind: Vpc metadata: name: test-vpc-1 spec: namespaces: - ns1 --- kind: Vpc metadata: name: test...
OVN&OVS代码下载、编译安装以及运行步骤
vinson2080的博客
07-07 2138
1、代码下载 新建代码目录 /home/code 下载ovs代码:git clone -b branch-2.15https://github.com/openvswitch/ovs.git 下载ovn代码:git clone -b branch-21.03https://github.com/ovn-org/ovn.git 2、代码编译 2.1 ovs代码编译 安装依赖包: apt-getinstall-y apt-utils libelf-dev build-essential l...
OVN架构原理
虾米的博客
11-27 1万+
ovn-architecture OVN架构OVN(即Open Virtual Network)是一款支持虚拟网络抽象的软件系统。OVN在OVS现有功能的基础上原生支持虚拟网络抽象,例如虚拟L2,L3覆盖网络以及完全组。诸如DHCP,DNS的服务也是其关注的内容。就像OVS一样,OVN的设计目标是可以大规模运行的高质量生产级实施方案。OVN部署由以下几个组件组成
OpenStack Neutron 对接OVN 使用 networking-ovn
Nicholas的专栏
01-08 7780
OVN是OVS的控制平面,它给 OVS 增加了对虚拟网络的原生支持,大大提高了 OVS 在实际应用环境中的性能和规模。 使用neutron 配置mechanism_drivers 为OVN时,会有以下优点: 一.OVN使得Neutron组件数量减少 OVN原生ML2 driver替换掉 OVS ML2 driver 和 Neutron的OVS agent; OVN原生支持L3和DHCP功...
kube-ovn代码系列(四)pod 安全组功能
zaojing5058的博客
02-20 578
kube-ovn代码系列(四)pod 安全组功能 链接 https://www.gogo-dev.com/index.php/2022/02/19/kube-ovn-securitygroup/ 内容 kube-ovn在1.8版本上引入了安全组,为了pod容器提供了类似openstack平台上neutron项目的安全组功能。个人猜测引入这个功能的开发者应该是使用容器平台的Pod来管理虚拟机(如kubevirt),自然就会同步对比openstack平台从而想要引入对应安全组功能。 目前kube-ovn的pod
OVN学习整理
weixin_30747253的博客
07-06 4783
部署OVN网络拓扑 OVN-安装软件包 /etc/yum.repos.d/CentOS-OpenStack-ocata.repo # yum list installed | grep openvswitch openvswitch.x86_64 1:2.9.0-3.el7 @centos-openstack-ocata o...
OVN学习(二)
dcldz5007的博客
10-14 329
部署OVN实验环境 同OVN学习(一) L3网络 创建逻辑交换机和路由 ### Central节点 ### 创建逻辑交换机和路由器 # ovn-nbctl ls-add inside # ovn-nbctl ls-add dmz # ovn-nbctl lr-add tenant1 创建路由端口 ### Central节点 ### 创建路由器端口用于连接dmz交换机 # ovn-nbc...
kube-ovn代码系列(五)vagrant统一编译和测试环境
zaojing5058的博客
02-20 473
kube-ovn代码系列(五)vagrant统一编译和测试环境 链接 https://www.gogo-dev.com/index.php/2022/02/20/kube-ovn-vagrant01/ 内容 面对很多不同的golang项目,我们很头疼的一件事情就是如何编译和测试对应的代码。我们往往需要知道编译需要依赖什么环境,测试运行又需要依赖什么环境,而这些都需要我们一一从项目源码或文档中去获取,对于入门者而言显得有点复杂。 在之前接触了cilium项目时,突然发现其项目中有个vagrant工具在为所有项
SDN控制器之OVN实验一:介绍和安装OVN
筋斗云计算
05-11 9153
本文是博主投稿SDNLAB的文章。原文链接:http://www.sdnlab.com/19157.html   OVN概览 OVN是由开发出OVS的那群出色的程序员们的另一个优秀的作品。这个网络虚拟化项目从2015初宣告启动,到不久前才发布第一个正式版本OVN 2.6 。在这篇文章中,我会配置一个简单示例:在三个主机之间配置一个layer-2 overlay网络。 首先讲一下OVN工作机...
OVN 架构分析
weixin_33878457的博客
06-30 1111
架构分析 Base flow L2/L3 forwarding OVN L2 gateway OVN 是 Open vSwitch 社区在 2015 年 1 月份才宣布的一个子项目,OVN 使用 Open vSwitch功能提供一个网络虚拟化方案, 不同于一般的SDN Controller,它主要专注于L2/L3和Security Group,利用轻量级控制平面提高当...
error execution phase preflight: [preflight] Some fatal errors occurred: [ERROR FileAvailable--etc-kubernetes-manifests-kube-apiserver.yaml]: /etc/kubernetes/manifests/kube-apiserver.yaml already exists [ERROR FileAvailable--etc-kubernetes-manifests-kube-controller-manager.yaml]: /etc/kubernetes/manifests/kube-controller-manager.yaml already exists [ERROR FileAvailable--etc-kubernetes-manifests-kube-scheduler.yaml]: /etc/kubernetes/manifests/kube-scheduler.yaml already exists [ERROR FileAvailable--etc-kubernetes-manifests-etcd.yaml]: /etc/kubernetes/manifests/etcd.yaml already exists
06-01
sudo mv /etc/kubernetes/manifests/kube-controller-manager.yaml /etc/kubernetes/manifests/kube-controller-manager.yaml.bak sudo mv /etc/kubernetes/manifests/kube-scheduler.yaml /etc/kubernetes/...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值