K8S网络原理

文章目录

  • 一、Kubernetes网络模型
    • `设计原则`
    • `IP-per-Pod模型`
  • 二、Kubernetes的网络实现
    • 容器到容器的通信
    • Pod之间的通信
    • 同一个Node内Pod之间的通信
    • 不同Node上Pod之间的通信
  • CNI网络模型
    • CNM模型
    • CNI模型
    • 在Kubernetes中使用网络插件
  • 开源的网络组件
    • Flannel
      • Flannel实现图
      • Flannel特点
    • Open vSwitch
      • 网络架构
      • 网络通信过程
      • Open vSwitch特点
    • 直接路由
      • 通过静态路由实现
      • 通过动态路由实现
    • Calico容器网络和网络策略实战
      • Calico简介
      • Calico系统架构
      • Calico主要组件


参考书籍:《k8s权威指南第4版》

一、Kubernetes网络模型

设计原则

  • 每个Pod都拥有一个独立的IP地址,且它们之间可以直接通过对方的IP地址进行访问(即使是在不同的Node中)
  • 每个Pod内部的所有容器共享一个网络命名空间(它们的IP地址、网络设备、配置等都是共享的),它们之间可以通过localhost来连接对方的端口

IP-per-Pod模型

基于上述设计原则实现的模型被称之为IP-per-Pod模型

  • 每个Pod可以被看作为一台独立的虚拟机或物理机
  • 所有容器都可以通过Pod IP进行通信
  • 所有节点都可以通过Pod IP与容器进行通信
  • 容器中通过ifconfig看到的IP地址就是容器所在Pod的IP地址

二、Kubernetes的网络实现

容器到容器的通信

图片

一个Pod中运行着两个容器,共享一个网络命名空间,它们就好像在一台机器上运行,可以直接通过localhost访问

Pod之间的通信

同一个Node内Pod之间的通信

图片

IP1、IP2、IP3均连接到docker0网桥上,网段相同,所以它们之间能直接通信

不同Node上Pod之间的通信

需满足两个条件:

1、在整个K8S集群中对Pod的IP分配进行规划,不能有冲突
2、找到一种办法,将Pod的IP和所在Node的IP关联起来,通过这个关联让Pod可以相互访问

图片

Pod1在访问Pod2时,首先要将数据从源Node的eth0发送出去,找到并到达Node2的eth0.

CNI网络模型

CNM模型

CNM(Container Network Model)模型由Docker公司提出的容器网络模型。主要通过Network Sandbox、Endpoint、Network这3个组件进行实现。
图片

CNI模型

在这里插入图片描述

CNI(Container Network Interface)模型是由CoreOS公司提出的另一种容器网络规范。
CNI定义的是容器运行环境与网络插件之间的简单接口规范,通过一个JSON Schema定义CNI插件提供的输入和输出参数。

在Kubernetes中使用网络插件

CNI插件:根据CNI规范实现其接口,以与插件提供者进行对接
kubenet插件:使用bridge和host-local CNI插件实现一个基本的cbr0

开源的网络组件

Flannel

Flannel之所以可以搭建Kubernetes依赖的底层网络,是因为它能实现以下两点:

1、能协助Kubernetes给每一个Node上的Docker容器分配互不冲突的IP地址
2、能在这些IP地址之间建立一个覆盖网络,通过这个覆盖网络,将数据包原封不动地传递到目标容器内

Flannel实现图

在这里插入图片描述

从图中可以看到,Flannel先创建一个名为flannel0的网桥(一端docker0网桥相连,另一端与flanneld的服务进程相连

flanneld进程上连etcd,利用etcd管理可分配的IP地址段资源,同时监控etcd中每个Pod的实际地址,并在内存中建立一个Pod节点路由表;下连docker0和物理网络,使用Pod节点路由表,将docker0发给它的数据包封装起来,利用物理网络将数据包投递到目标flanneld上,从而实现Pod到Pod之间的直接地址通信

flannel之间的底层通信协议包括UDP、VxLan、AWS VPC等多种方式。通过源flanneld封包、目标flanneld解包,最终docker0收到的就是原始的数据,对容器应用来说是透明的,感觉不到中间Flannel的存在

在Flannel分配好地址段后,后面的事情是由Docker完成的,Flannel通过修改Docker的启动参数将分配给它的地址段传递进去:

--bip=172.17.18.1/24

通过这些操作,Flannel就控制了每个Node上的docker0的网络地址,也就保障了所有Pod的IP地址在同一个水平网络中且不产生冲突

Flannel特点

优点:

1、能够感知Kubernetes的Service,动态维护自己的路由表
2、通过etcd来协助Docker对整个Kubernetes集群中的docker0的子网地址分配。

不足:

1、引入了多个网络组件,在网络通信时需要转到flannel0网络接口,再转到用户态的flanneld程序,到对端后还需要走这个过程的反过程,所以会引入一些网络的时延损耗
2、Flannel默认采用UDP作为底层传输协议,UDP本身是不可靠协议,虽然两端的TCP实现了可靠传输,但在大流量、高并发的应用场景下还需要反复测试,确保没有问题。

Open vSwitch

在这里插入图片描述

Open vSwitch是一个开源的虚拟交换机软件,有点像Linux中的bridge。
Open vSwitch的网桥可以直接建立多种通信通道(隧道),例如Open vSwitch with GRE/VxLAN。
在K8S、Docker场景下,主要是建立L3到L3的隧道

网络架构

网络通信过程

当容器内的应用访问另一个容器的地址时,数据包会通过容器内的默认路由发送给docker0网桥。
ovs的网桥作为docker0网桥的端口,会将数据发送给ovs网桥;
ovs网络已经通过配置建立了和其他ovs网桥的GRE/VxLAN隧道,自然能将数据送达对端的Node,并送往docker0及Pod

Open vSwitch特点

优势:

作为开源虚拟交换机,它相对成熟和稳定,而且支持各类网络隧道协议

不足:

1、有很多工作需要手工完成(如创建GRE隧道),当集群较大时,比较麻烦
2、无论是OVS还是Flannel,通过覆盖网络提供Pod到Pod的通信,都会引入一些额外的通信开销

直接路由

通过静态路由实现

缺乏灵活性、配置量大

通过动态路由实现

在运行动态路由发现协议代理的Node时,会将本机LOCAL路由表的IP地址通过组播协议发布出去,同时监听其他Node的组播包。
通常使用Quagga、Zebra等动态路由协议来实现

Calico容器网络和网络策略实战

Calico简介

  • Calico是一个基于BGP的纯三层网络方案;

  • Calico在每个计算节点都利用Linux Kernel实现了一个高效的vRouter来负责数据转发。每个vRouter都通过BGP协议把本节点上运行的容器的路由信息向整个Calico网络广播,并自动设置到达其他节点的路由转发规则;

  • Calico节点组网时可以直接利用数据中心的网络结构,不需要额外的NAT、隧道或者Overlay Network,没有额外的封包解包,能够节约CPU运算,提高网络效率

  • Calico在小规模集群中可以直接互联,在大规模集群中可以通过额外的BGP route reflector来完成

  • Calico基于iptables还提供了丰富的网络策略, 实现了Kubernetes的Network Policy策略, 提供容器间网络可达性限制的功能

Calico系统架构

在这里插入图片描述

Calico主要组件

  • Felix: Calico Agent, 运行在每个Node上, 负责为容器设置网络资源(IP地址、 路由规则、 iptables规则等) ,保证跨主机容器网络互通。
  • etcd: Calico使用的后端存储。
  • BGP Client: 负责把Felix在各Node上设置的路由信息通过BGP协议广播到Calico网络。
  • Route Reflector: 通过一个或者多个BGP Route Reflector来完成大规模集群的分级路由分发。
  • CalicoCtl: Calico命令行管理工具。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.rhkb.cn/news/148672.html

如若内容造成侵权/违法违规/事实不符,请联系长河编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

Mysql技术文档--慢mysql的优化--工作流--按步排查

这里是用来发现慢sql的一个好方法 --by.阿丹 Prometheus-监控Mysql进阶用法(1)(安装配置)_一单成的博客-CSDN博客 阿丹: 知道了慢sql的语句那么就开始按照优化步骤对sql进行排查和优化。 1、阅读sql逻辑 首先观察sql语句的书写&#xff0…

什么是 MyBatis?与 Hibernate 的区别

引言 在现代的应用程序开发中,与数据库的交互是至关重要的。为了简化数据库访问,许多开发者选择使用ORM(对象-关系映射)框架。MyBatis和Hibernate都是流行的ORM框架,它们可以帮助开发者更轻松地将Java对象映射到数据库…

OOTD | 美式复古穿搭耳机,复古轻便的头戴式耳机推荐

复古耳机更能带来年代感的复古数码产品,头戴式耳机就好似是时光滤镜的时髦配饰,不说功能实用性,在造型上添加就很酷。 随着时代的发展,时尚有了新的定义。对如今的消费者来说,时尚不仅是美学与个性的展现,…

【Spring篇】简述IoC入门案例,DI入门案例

🎊专栏【Spring】 🍔喜欢的诗句:天行健,君子以自强不息。 🎆音乐分享【如愿】 🎄欢迎并且感谢大家指出小吉的问题🥰 文章目录 🎄Spring Framework系统架构🎆Spring核心概…

这可能是最全的反爬虫及应对方案,再也不怕爬不到数据了

一、什么是反爬虫 网络爬虫,是一个自动提取网页的程序,它为搜索引擎从万维网上下载网页,是搜索引擎的重要组成。但是当网络爬虫被滥用后,互联网上就出现太多同质的东西,原创得不到保护。于是,很多网站开始…

asp.net core mvc Razor +dapper 增删改查,分页(保姆教程)

说明:本demo使用sqlserver数据库,dapper orm框架 完成一张学生信息表的增删改查,前端部分使用的是Razor视图, Linq分页 HtmlHelper。(代码随便写的,具体可以自己优化) //实现效果如下&#xff0…

服装服饰小程序商城的作用是什么

服装绝对算是市场重要的组成部分,零售批发都有大量从业者,随着线下流量匮乏、经营困难重重,很多厂家商家选择线上经营,主要方式是直播、入驻第三方平台等,同时私域节奏加快及线上平台限制等,不少商家也是通…

appscan的两种手动探索扫描方式

文章目录 一、使用火狐FoxyProxy浏览器代理探索二、使用appscan内置浏览器探索 一、使用火狐FoxyProxy浏览器代理探索 首先火狐浏览器需安装FoxyProxy 先在扩展和主题里搜FoxyProxy 选FoxyProxy Standard,然后添加到浏览器就行 添加后浏览器右上角会有这个插件 打开apps…

Linux系统下xxx is not in the sudoers file解决方法

文章目录 遇到问题解决方法参考 遇到问题 服务器上新建用户,名为lishizheng,现在想给该用户添加sudo权限。 $ sudo lsof -i tcp:7890 [sudo] password for lishizheng: lishizheng is not in the sudoers file. This incident will be reported.解决…

Go 语言内置类型全解析:从布尔到字符串的全维度探究

目录 一、布尔类型定义基础用法声明与初始化逻辑运算 进阶用法条件语句循环结构函数返回值 常见错误与陷阱 二、整数类型定义基础用法声明与初始化运算符位运算 进阶用法数据溢出类型转换类型推断 特殊整数类型runebyte 常见问题和陷阱 三、浮点数类型定义基础用法声明与初始化…

Junit的常用操作

注:本篇文章讲解的是junit5 目录 Juint是什么 Juint需要导入的依赖 Juint常用注解 Junit执行顺序 参数化 断言 测试套件 Juint是什么 Juint 是 Java 的一个单元测试框架. 也是回归测试框架. 使用 Junit 能让我们快速的完成单元测试。 注意:Junit 测试也是程序…

联合概率和条件概率的区别和联系

联合概率P(A∩B) 两个事件一起(或依次)发生的概率。 例如:掷硬币的概率是 ⁄₂ 50%,翻转 2 个公平硬币的概率是 ⁄₂ ⁄₂ ⁄₄ 25%(这也可以理解为 50% 的 50%) 对于 2 个硬币,样本空间将…

8章:scrapy框架

文章目录 scrapy框架如何学习框架?什么是scarpy?scrapy的使用步骤1.先转到想创建工程的目录下:cd ...2.创建一个工程3.创建之后要转到工程目录下4.在spiders子目录中创建一个爬虫文件5.执行工程setting文件中的参数 scrapy数据解析scrapy持久…

超市便利店批发零售小程序商城的作用是什么

超市便利店甚至是商场,所售卖的产品广而多,其线上线下商家数量也非常庞大,对传统超市便利店来说,往往会优先发力线下经营,然而随着互联网电商冲击,传统线下经营也面临:拓客引流难、产品销售难、…

子监督学习的知识点总结

监督学习 机器学习中最常见的方法是监督学习。在监督学习中,我们得到一组标记数据(X,Y),即(特征,标签),我们的任务是学习它们之间的关系。但是这种方法并不总是易于处理&…

Vue中如何进行拖拽与排序功能实现

在Vue中实现拖拽与排序功能 在Web应用程序中,实现拖拽和排序功能是非常常见的需求,特别是在管理界面、任务列表和图形用户界面等方面。Vue.js作为一个流行的JavaScript框架,提供了许多工具和库来简化拖拽和排序功能的实现。本文将介绍如何使…

算法:最近公共祖先(LCA)

有根树中,每一个点都有好几个祖先(在往根节点走的过程中遇到的都是它的祖先),一般化,把本身也称为它的祖先 对于两个点,离它们最近的一个公共祖先被称为最近公共祖先 法一:向上标记法&#xf…

Android Studio实现简易计算器(带横竖屏,深色浅色模式,更该按钮颜色,selector,style的使用)

目录 前言 运行结果: 运行截屏(p50e) apk文件 源码文件 项目结构 总览 MainActivity.java drawable 更改图标的方法: blackbutton.xml bluebuttons.xml greybutton.xml orangebuttons.xml whitebutton.xml layout 布…

Lagrange插值法实验:求拉格朗日插值多项式和对应x的近似值matlab实现(内附代码)

一、实验要求 已知函数表: 求出Lagrange 插值多项式,并计算x1.2处的y的近似值。 二、MATLAB代码 求解多项式: X input(请输入横坐标向量X:\nX); % 获取用户输入的横坐标向量 Y input(请输入纵坐标向量Y:\nY); % 获取用户输入的纵坐标…

简单走近ChatGPT

目录 一、ChatGPT整体背景认知 (一)ChatGPT引起关注的原因 (二)与其他公司的竞争情况 二、NLP学习范式的发展 (一)规则和机器学习时期 (二)基于神经网络的监督学习时期 &…