31-k8s集群svc的代理模式-iptables修改为ipvs

已于 2024-03-24 20:18:20 修改
阅读量1.6k 收藏 24
点赞数 21
CC 4.0 BY-SA版权
分类专栏: kubernetes系列全栈教程 文章标签: kubernetes 容器 云原生
于 2024-02-27 05:51:50 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2302_79199605/article/details/136312103
本文讲述了在Kubernetes集群中,为什么选择将kube-proxy的代理模式从iptables切换到更高效的ipvs,以及如何查看和修改kube-proxy的工作模式,包括检查配置、修改cm资源、验证代理模式成功切换的方法。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

 一、概述

        学到这里,我们都知道,k8s集群的外部网络分发,借助kube-proxy组件来完成;

问题:我们为什么要将代理模式修改为ipvs而不继续使用iptables呐?

因为:

        1,iptables底层使用四表五链完成网络代理,效率比较低,而ipvs是采用了iphash的方式实现代理的,效率比较高,因此才会采用ipvs作为生产环境中的网络代理;

        2,iptables不太适合【读】,可读性太低,很乱;

二、查看k8s中的kube-proxy的代理模式

1,查看kube-proxy

[root@k8s231 ingress]# kubectl get pods -n kube-system -o wide

2,查看kube-proxy的日志

        通过查看kube-proxy的日志,我们就知道了我们正在使用iptables还是ipvs为代理模式了;

[root@k8s231 ingress]# kubectl logs -n kube-system kube-proxy-nbt6h

3,【拓展】使用iptables查看svc资源

· 查看现有svc

[root@k8s231 ingress]# kubectl get svc

· 使用iptables查看其中一个svc

[root@k8s231 ingress]# iptables-save | grep 10.200.11.39

· 查看iptables查询出来的规则(往下查一层路由)

[root@k8s231 ingress]# iptables-save | grep KUBE-SVC-CL34MMSZRUFQFSPM

· 再往下查一层

[root@k8s231 ingress]# iptables-save | grep KUBE-SEP-YLLYZD7DXDNDFOFC

· 总结:

        通过一层一层的路由查询,我们就知道了目标地址的终点ip是什么;

三、查看kube-proxy工作模式

        从k8s的1.11版本之后,支持iptables和ipvs两种模式,如果ipvs没有开启,则自动降级为iptables。

1,yaml格式查看kube-proxy

[root@k8s231 ingress]# kubectl -n kube-system get pods kube-proxy-nbt6h -o yaml

可以看到有一个cm资源

查看这个cm资源

[root@k8s231 ingress]# kubectl describe cm -n kube-system kube-proxy

发现“”里面什么都没写,就代表是默认的iptables

四、开始修改代理模式为ipvs

1,k8s集群所有节点加载ipvs模块

yum -y install conntrack-tools ipvsadm.x86_64

cat > /etc/sysconfig/modules/ipvs.modules <<EOF
#!/bin/bash

modprobe -- ip_vs
modprobe -- ip_vs_rr
modprobe -- ip_vs_wrr
modprobe -- ip_vs_sh
modprobe -- nf_conntrack_ipv4
EOF

chmod 755 /etc/sysconfig/modules/ipvs.modules && bash /etc/sysconfig/modules/ipvs.modules && lsmod | grep -e ip_vs -e nf_conntrack_ipv4

2,修改k8s集群的工作模式为ipvs

修改cm资源(kube-proxy)

[root@k8s231 ~]# kubectl -n kube-system  edit cm kube-proxy

切记,【i/a】修改后,要保存退出【:wq】

3,删除原有的kube-proxy的pod

        删除后会重新拉起,然后就修改成功了

[root@k8s231 ~]# kubectl get pods -n kube-system | grep kube-proxy | awk '{print $1}' | xargs kubectl -n kube-system delete pods

        等待重新拉起pod

4,查看是否修改成功

[root@k8s231 ~]# kubectl logs -n kube-system kube-proxy--4hjgr

5,拓展:使用ipvs查看svc路由

[root@k8s231 ~]# ipvsadm -ln | grep 10.200.0.1 -A 5

至此,咱们iptable升级ipvs的代理模式修改就学习完毕了;

k8s kube-proxy ipvs
fengcai_ke的博客
07-12 2104
k8s kube-proxy ipvs分析
k8ssvc流量通过iptablesipvs转发到pod的流程解析
李姓门徒
02-23 3261
在常用的k8s环境中,通常会通过iptables将流量进行负载均衡、snat、dnat等操作,从而流量转发到pod或者外部的服务。本文重点介绍iptables是如何进行流量转发的以及相关转发的iptables解析。
k8s iptablesipvs模式
ふりこ细工の心
02-02 2090
检查是否有ipvs 所需模块 ip_vs ip_vs_rr ip_vs_wrr ip_vs_sh nf_conntrack_ipv4 查看是否被加载 [root@k8s-master1 ~]# ls /usr/lib/modules/3.10.0-514.el7.x86_64/kernel/net/netfilter/ipvs/ |grep -e ip_vs ip_vs_dh.ko ip_vs_ftp.ko ip_vs.ko ip_vs_lblc.ko ip_vs_lblcr.ko ip_vs_lc.
修改k8s kube-proxy转发为ipvs
qq_50247813的博客
04-26 1426
kube-proxy Pod是由DaemonSet 控制器管理。所以会在每个节点上都部署一个 kube-proxy Pod,重新发布 DaemonSet 会将所有节点的 kube-proxy Pod更新。b. 通过查看kube-proxy 的ConfigMap查看。a. 通过查看kube-proxy Pod日志来确定。查看现在kube-proxy Pod使用的转发模式。查看kube-proxy目前使用的转发模式。修改kube-proxy转发模式为。2.2、修改kube-proxy 的。
iptables详解与Kubernetes集群网络安全加固指南
喝醉酒的小白
07-16 891
Kubernetes采用了一种独特的网络模型,旨在为集群中的所有Pod提供统一的网络视图。每个Pod都有一个唯一的IP地址:Kubernetes集群中的每个Pod都应该能够直接与其他Pod通信,而无需NAT转换Pod之间可以直接通过IP地址进行通信:无论这些Pod运行在同一节点还是不同节点上服务抽象层:通过Service资源为一组Pod提供统一的访问入口,实现负载均衡和服务发现kube-proxy:负责实现Service到Pod的负载均衡和网络代理。
k8s学习笔记——将iptables模式转为ipvs
潮落拾贝
06-23 712
K8Siptablesipvs区别 https://blog.csdn.net/qq_36807862/article/details/106068871 kubectl edit cm kube-proxy -n kube-system //修改 kind: KubeProxyConfiguration metricsBindAddress: 127.0.0.1:10249 mode: "ipvs" //重启kube-proxy kubectl get pod -n kube-system .
k8s ipvsiptables
Emerson的博客
08-13 467
Kubernetesk8s)是用于自动部署、扩展和管理容器化应用程序的开源系统。在Kubernetes中,服务(Service)是一个抽象层,它定义了一种访问 Pod 的方法。有几种方式可以实现服务的抽象,包括iptablesIPVS
kubernetes集群svc代理模式-iptables修改ipvs
weixin_39941298的博客
05-14 1156
我们都知道,k8s集群的外部网络分发,借助kube-proxy组件来完成;我们为什么要将代理模式修改ipvs而不继续使用iptables呐?1,iptables底层使用四表五链完成网络代理,效率比较低,而ipvs是采用了iphash的方式实现代理的,效率比较高,因此才会采用ipvs作为生产环境中的网络代理;2,iptables不太适合【读】,可读性太低,很乱;通过一层一层的路由查询,我们就知道了目标地址的终点ip是什么;
企业运维实战--k8s学习笔记3.Service之IPVS模式、外部访问Service
Rabbit_hyl的博客
07-27 616
企业运维实战--k8s学习笔记3.IPVS+Service实现支持更多量级的Pod一、Service简介二、IPVS模式的Service实现 一、Service简介 Service可以看作Pod的对外访问接口。借助service可以方便的实现服务发现和负载均衡。 Service 是由 kube-proxy 组件,加上 iptables 来共同实现的。当我们集群中有大量Pod时,会不断刷新iptables规则,消耗大量的内存。 Ipvs模式的service可以使k8s集群支持更多量级的Pod。 二、IPVS
云原生Kubernetes系列项目实战-k8s集群+高可用负载均衡层+防火墙
m0_75067030的博客
06-12 1736
再次查看node节点状态: 2.修改模板文件: 4.查看创建的两个pod,被调度到了不同的node节点: 2.配置nginx的官方在线yum源: 5.修改keepalived配置文件:
k8s中的ipvs
ss810540895的博客
10-11 1884
当我们部署kube-prox时都会存在一个选择, 是选择ipvs模式还是iptables哪个好呢?也还存在其它的疑问外部流量访问到svc,然后svc跳转pod访问应用.svc怎么跳转访问pod的呢?kube-proxy实现svc到pod的访问和负载均衡. 让我们带着问题阅读下面的文章。
k8s iptable升级到ipvs
工具人的博客
12-27 829
k8s官方推荐生产环境使用ipvs,将现有集群iptables升级到ipvs # 保证加载以下模块 [root@node1 ~]# lsmod|grep ip_vs ip_vs_sh 16384 0 ip_vs_wrr 16384 0 ip_vs_rr 16384 80 ip_vs 159744 86 ip_vs_rr,ip_vs_sh,ip_vs_wrr nf_conntrack
kube-proxy开启ipvs代替iptables
热门推荐
Reboot的博客
09-10 1万+
kubernetes1.8版本开始,新增了kube-proxy对ipvs的支持,并且在新版的kubernetes1.11版本中被纳入了GA。 iptables模式问题不好定位,规则多了性能会显著下降,甚至会出现规则丢失的情况;相比而言,ipvs就稳定的多。 这里使用的kubernetes版本为1.10.3,可以参考https://blog.csdn.net/shihao99/article/...
Kubernetes ---- Service更改工作模式为ipvs
K-free的博客
06-12 865
Service更改工作模式为ipvs 转载至:https://www.jianshu.com/p/d1ba8b910085 当我的集群搭建完成之后,service使用的默认工作模式为iptables,当我查看的时候,IPtables又不太方便查看,排版、内容看起来都比较复杂,所以我尝试使用ipvs,更改Service现在工作模式 而且IPvS有以下好处: IPVS为大型集群提供了更好的...
IPVSk8s中的使用
u010560161的博客
04-24 2709
一、IPVSk8s中的使用 二、IPVS的优点 1、底层hash算法,查找复杂度为O(1) 事先将所有路由存储到hash表,不像iptables底层O(0)的复杂度,需要一条条规则从上到下匹配,这样随着service的增多(nat规则增多),内核越来越忙,集群性能越来越差。 2、支持多种负载均衡策略 加权、最少连接、最小负载等 3、支持健康检查和重试(后端pod异常重试去访问另一个后端pod) ...
12、Kubernetes中KubeProxy实现之iptablesipvs
weixiaohuai的博客
09-30 1630
iptablesipvs其实都是依赖的一个共同的Linux内核模块:Netfilter。Netfilter是Linux 2.4.x引入的一个子系统,它作为一个通用的、抽象的框架,提供一整套的hook函数的管理机制,使得诸如数据包过滤、网络地址转换(NAT)和基于协议类型的连接跟踪成为了可能。Netfilter的架构就是在整个网络流程的若干位置放置了一些检测点(HOOK),而在每个检测点上登记了一些处理函数进行处理。
k8s中节点开启ipvs
jasnet_u的博客
12-26 1229
kubernetes的1.11版本后,默认使用ipvs,如果节点的内核不支持或没有开启ipvsk8s会自动降级为使用iptables规则 在所有的Kubernetes节点上执行以下脚本: 开启支持ipvs cat > /etc/sysconfig/modules/ipvs.modules <#!/bin/bash modprobe -- ip_vs modprobe -- ip...
K8Sipvs负载均衡原理
sdgdsczs的博客
03-06 2554
IPVS负载原理
查看k8siptables
最新发布
07-29
### 查看 Kubernetes 使用的 iptables 规则 Kubernetes 通过 `iptables` 实现服务路由和网络策略,主要由 `kube-proxy` 组件负责管理。`kube-proxy` 会根据 Service 和 Endpoints 的定义自动生成相应的 `iptables` 规则,以实现集群内部的服务发现与负载均衡。[^1] #### 查看 iptables 规则的方法 1. **查看 Kubernetes 服务相关的 NAT 规则** Kubernetes 的服务规则主要集中在 `nat` 表中,尤其是 `KUBE-SERVICES` 链。可以使用以下命令查看: ```bash iptables -t nat -L KUBE-SERVICES -n -v ``` 此命令将列出所有指向 Kubernetes 服务 ClusterIP 的规则,包括目标地址、协议类型和端口等信息。例如,可以观察到 DNS 服务和 Dashboard 的访问规则。[^3] 2. **查看完整的 nat 表规则** 如果需要更全面地了解 `nat` 表的结构,可以使用: ```bash iptables -t nat -L -n -v ``` 这会显示所有链的规则,包括 Kubernetes 自动创建的链(如 `KUBE-POSTROUTING`、`KUBE-SERVICES`、`KUBE-SVC-*` 和 `KUBE-SEP-*` 等)。[^1] 3. **查看特定链的详细规则** 例如,要查看某个具体服务对应的规则链(如 `KUBE-SVC-XXXXXXX`),可以执行: ```bash iptables -t nat -L KUBE-SVC-XXXXXXX -n -v ``` 其中 `XXXXXXX` 是服务的哈希标识符,可以在 `KUBE-SERVICES` 链中找到对应的服务链名。 4. **查看 filter 表中的规则** 如果启用了网络策略(NetworkPolicy),还需要查看 `filter` 表中的规则,以确认 Pod 之间的访问控制策略是否生效: ```bash iptables -t filter -L -n -v ``` 特别是 `KUBE-FORWARD` 和 `KUBE-NWPOLICY` 链,它们用于实现网络策略的过滤功能。 5. **持久化保存 iptables 规则** 为了防止节点重启后规则丢失,可以使用以下命令保存当前规则: ```bash iptables-save > /etc/iptables/rules.v4 ``` 在 Debian/Ubuntu 系统中,可以安装 `iptables-persistent` 包来管理持久化规则。 #### 查看 kube-proxy 使用的模式 Kubernetes 支持 `iptables` 和 `IPVS` 两种模式来实现服务的负载均衡。可以通过以下命令查看当前使用的模式: ```bash kubectl get configmap -n kube-system kube-proxy -o yaml ``` 在输出的 `mode` 字段中可以看到当前是 `iptables` 还是 `ipvs` 模式。如果使用的是 `ipvs`,则需要使用 `ipvsadm` 工具查看负载均衡规则: ```bash ipvsadm -Ln ``` 该命令会列出所有虚拟服务(VS)和实际服务(RS)的映射关系。[^4] --- ###
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

心机の之蛙

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值