Kubernetes 网络实现——Service网络

最新推荐文章于 2024-07-17 22:50:14 发布
原创 最新推荐文章于 2024-07-17 22:50:14 发布 · 1k 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#k8s #docker #分布式 #etcd #容器

引言

本文介绍 Kubernetes 网络中 Service 网路部分的实现方案。更多相关文章和其他文章均收录于贝贝猫的文章目录

Service 网络

service network 比较特殊,每个新创建的 service 会被分配一个 service IP,它实际上只是一个存在于 iptables 中的路由规则,并没有对应的虚拟网卡。还记得我们在试玩环节创建的 kubia service 吗?我们只要在集群中的任意机器查看 iptables 就能发现端倪,这里需要声明的是我当时在创建 Kubernetes 集群时指定的 PodSubnet 为 192.168.128.0/18,serviceSubnet 为 192.168.192.0/18

我们知道,linux 系统中有 route,用来和其他网络连接。如果没有它,linux 就无法和外部通信了。

iptables 是一系列的规则,用来对内核中的数据进行处理。没有它,linux 可以正常工作,有了它,linux 可以对网络中的数据的操作更加多样化,可见 iptables 是一个辅助角色,可以让 linux 的网络系统更强大。

iptables 其实不是真正的防火墙,我们可以把它理解成一个客户端代理,用户通过 iptables 这个代理,将用户的安全设定执行到对应的"安全框架"中,这个"安全框架"才是真正的防火墙,这个框架的名字叫 netfilter。

netfilter 才是防火墙真正的安全框架(framework),netfilter位于内核空间。

iptables 其实是一个命令行工具,位于用户空间,我们用这个工具操作真正的框架。

Netfilter是Linux操作系统核心层内部的一个数据包处理模块,它具有如下功能:

  • 网络地址转换(Network Address Translate)
  • 数据包内容修改
  • 数据包过滤的防火墙功能

在 iptables 中 有两个概念:链和表,iptables 中定义有5条链,说白了就是5个钩子函数,它们是在数据包经过内核的过程中有五处关键地方,分别是 PREROUTING、INPUT、OUTPUT、FORWARD、POSTROUTING,因为每个钩子函数中可以定义多条规则,每当数据包到达一个钩子函数时,iptables 就会从钩子函数中第一条规则开始检查,看该数据包是否满足规则所定义的条件。如果满足,系统就会根据该条规则所定义的方法处理该数据包;否则 iptables 将继续检查下一条规则,如果该数据包不符合钩子函数中任一条规则,iptables 就会根据该函数预先定义的默认策略来处理数据包。iptables 中还有一个表的概念,每个表(tables)对应了一个特定的功能,有filter表(实现包过滤)、nat表(实现网络地址转换)、mangle表(实现包修改)、raw表(实现数据跟踪),不同的表中包含了不同的钩子函数,不同表的同一钩子函数具有一定的优先级:raw–>mangle–>nat–>filter。一条链上可定义不同功能的规则,检查数据包时将根据上面的优先级顺序检查。
table-and-chain.png
总结一下,数据包先经过 PREOUTING,由该链确定数据包的走向:

  1. 目的地址是本地,则发送到 INPUT,让INPUT决定是否接收下来送到用户空间,流程为①—>②;
  2. 若满足 PREROUTING 的 nat 表上的转发规则,则发送给 FORWARD,然后再经过 POSTROUTING 发送出去,流程为: ①—>③—>④—>⑥
  3. 主机发送数据包时,流程则是⑤—>⑥

iptables-summary
此处列出一些 iptables 常用的动作,在后面分析 iptables 时您将看到 Kubernetes 对各种动作的使用:

  • ACCEPT:允许数据包通过。
  • DROP:直接丢弃数据包,不给任何回应信息,这时候客户端会感觉自己的请求泥牛入海了,过了超时时间才会有反应。
  • REJECT:拒绝数据包通过,必要时会给数据发送端一个响应的信息,客户端刚请求就会收到拒绝的信息。
  • SNAT:源地址转换,解决内网用户用同一个公网地址上网的问题。
  • MASQUERADE:是SNAT的一种特殊形式,适用于动态的、临时会变的ip上。
  • DNAT:目标地址转换。
  • REDIRECT:在本机做端口映射。
  • MARK:打标记。

我们先回顾一下 kubia service 的端口和 service ip, 可以看到它的 service endpoint 是 192.168.199.234:8080,因为采用了 NodePort 类型的 service,所以我们也可以通过所有 pod 所处宿主机的 32681 端口访问该服务。

kubectl get service -o wide
#NAME         TYPE        CLUSTER-IP        EXTERNAL-IP   PORT(S)          AGE   SELECTOR
#kubia        NodePort    192.168.199.234   <none>        8080:32681/TCP   17h   app=kubia

然后我们先看一下 iptables 的 nat 表内容,因为它控制了网络地址转换


                

                
                
        

    

    
  


        

            

                      
                        最低0.47元/天 解锁文章
                        

                          
200万优质内容无限畅学

                          
                        

                      
            

        


    



                



	

		

			

				
					
kubernetes基础篇 —— Service

				
			

			

				

					dsd的博客
				

				

					07-06
					
					343
					
				

			

		

		

			
				
1. Service


Service可以看作是一组提供相同服务的Pod对外的访问接口。借助Service,应用可以方便地实现服务发现和负载均衡


service默认只支持4层负载均衡能力,没有7层功能。(可以通过Ingress实现)


service的类型:

ClusterIP:默认值,k8s系统给service自动分配的虚拟IP,只能在集群内部访问
NodePort:将Service通过指定的Node上的端口暴露给外部,访问任意一个
NodeIP:nodePort都将路由到ClusterIP
L

			
		

	



                

            
              



	

		

			

				
					
Kubernetes——Service详解

				
			

			

				

					wzpny的博客
				

				

					05-17
					
					1475
					
				

			

		

		

			
				
kubernetes中,pod是应用程序的载体,我们可以通过pod的ip来访问应用程序,但是pod的ip地址不是固定的,这也就意味着不方便直接采用pod的ip对服务进行访问。为了解决这个问题,kubernetes提供了Service资源,Service会对提供同一个服务的多个pod进行聚合,并且提供一个统一的入口地址。通过访问Service的入口地址就能访问到后面的pod服务。Service在很多情况下只是一个概念,真正起作用的其实是。

			
		

	



              


  
              

                


	

		

			

				
					
初识K8SK8S安装

				
			

			

				

					weixin_46686835的博客
				

				

					03-16
					
					387
					
				

			

		

		

			
				
初识K8SK8S安装

需要注意的是如果没有特殊说明,各个节点都需要步骤操作

环境准备
1.配置主机名
hostnamectl set-hostname master  # master节点
hostnamectl set-hostname node1  # node1节点
hostnamectl set-hostname node2  # node2节点

2.配置hosts文件

每个节点配置相同

vim /etc/hosts
10.0.0.138 master m
10.0.0.143 node

			
		

	





	

		

			

				
					
service network start Failed

				
			

			

				

					招财进宝
				

				

					12-18
					
					665
					
				

			

		

		

			
				
service network start Failed.
sudo service NetworkManager restart
sudo sudo service network start



			
		

	



		

			
		



	

		

			

				
					
Kubernetes Service

				
			

			

				

					qq_43164571的博客
				

				

					02-01
					
					470
					
				

			

		

		

			
				
Kubernetes Service介绍Service概念SVC工作原理Service能够提供负载均衡的能力,但是在使用上有以下限制:Service 的类型VIP 和 Service 代理代理模式userspace 代理模式iptables 代理模式ipvs 代理模式ClusterIP
Service概念

Kubernetes Service定义了这样一种抽象:一个Pod的逻辑分组,一种可以访问它们的策略 —— 通常称为微服务。这一组Pod能够被Service访问到,通常是通过Label Selector

			
		

	





	

		

			

				
					
Kubernetes之服务发现Service

				
			

			

				

					cloudUncle的博客
				

				

					10-04
					
					5869
					
				

			

		

		

			
				
一、service的概念
在Kubernetes中,Pod是有生命周期的,当Pod的生命周期结束之后,Pod会被重新分配IP。这样就会导致一个问题:在Kubernetes集群中,如果一组Pod(称为backend)为其他Pod(称为frontend)提供服务,那么那些frontend该如何发现并连接到作为backend的Pod呢?
Kubernetesservice是一组提供相同功能的Pods的...

			
		

	





	

		

			

				
					
service network restart 报错

				
			

			

				

					云华100的专栏
				

				

					08-30
					
					1650
					
				

			

		

		

			
				
今天在,说运行service network restart时报错,错误提示如下:
hutting down loopback interface:                          [  OK  ]
Bringing up loopback interface:                            [  OK  ]
fgrep: ifcfg-ifcfg-e

			
		

	





	

		

			

				
					
Kubernetes 网络实现——外网通讯

				
			

			

				

					贝克街的流浪猫
				

				

					04-01
					
					595
					
				

			

		

		

			
				
引言
本文介绍 Kubernetes 网络中外网通讯、LoadBalance 以及 Ingress 部分的实现方案。

与外网通讯
到目前为止,我们已经清楚了 Kubernetes 集群内部的网络通讯原理,但是我们还没有讲清楚外部世界的网络怎么和我们的 Kubernetes service 交互。这包含两个部分,集群内的数据包怎么发送到外部网络,以及外部网络的数据包怎么流入 pod。
以我现在使用的内部云服务为例,我的 Kubernetes 集群实际上运行在一个虚拟机上,这些虚拟机都被指定了一个内部 ip,

			
		

	





	

		

			

				
					
Kubernetes 运维思考 —— 筑梦之路

				
			

			

				

					筑梦之路
				

				

					07-17
					
					984
					
				

			

		

		

			
				
比如,对于一个内存密集型的应用,如果资源请求设置为 512MB 内存,但实际运行时需要 1GB 内存,就可能出现内存不足导致的崩溃。通过深入理解其核心技术,掌握最佳实践,我们能够构建出高效、稳定、安全的容器化应用平台,为企业的数字化转型提供坚实的支撑。选择合适的监控工具,如 Prometheus、Grafana 等,采集 Kubernetes 集群和应用的各种指标,如资源使用情况、Pod 状态、服务性能等。利用动态存储供应机制,可以根据应用的需求自动创建和分配存储资源,提高存储管理的灵活性和效率。

			
		

	





	

		

			

				
					
k8s service网络

				
			

			

				

					weixin_30511107的博客
				

				

					04-19
					
					627
					
				

			

		

		

			
				
资源
从整体来看,Kubernetes集群是由很多由JSON或者YAML定义的‘资源’组成,我个人比较推崇使用YAML写配置,因为它读写都很容易,同时还支持注释。
在Kubernetes中启动一个应用需要了解的几个基本‘资源’类型,如:Pod、Deployment(复制控制器)、Service与Namespace。
1. Deployment是Kubernetes集群的管理引擎,它负责管理集...

			
		

	





	

		

			

				
					
Linux service network服务重启失败及ping不通外网解决办法

				
			

			

				

					St0n233的博客
				

				

					04-16
					
					1570
					
				

			

		

		

			
				
service无法重启
centos7输入service network restart后出现下图错误

输入systemctl status network.service后如下图所示

根据网上方法尝试关闭NetworkManager后依然无法解决问题

解决办法:
将network-scripts下多余的网卡删除(我使用的是ens33,因此删除eth0和lo)


删除后重启service network服务成功
ping 不通外网
ping 百度时出现下图错误

打开本机网络适配器选项

修改VMn

			
		

	





	

		

			

				
					
centOS 7下无法启动网络service network start)错误解决办法

				
			

			

				

					qq_39244882的博客
				

				

					09-01
					
					6937
					
				

			

		

		

			
				
内容为转载:本人使用坐着的第二种方法解决了问题添加HEADDR属性。文章底部有转载链接

今天在centOS 7下更改完静态ip后发现network服务重启不了,翻遍了网络,尝试了各种方法,终于解决了。

  现把各种解决方法归纳整理,希望能让后面的同学少走点歪路。。。

首先看问题:执行service network restart命令后出现下面的错误:


Restarting network (via systemctl):  Job for network.service failed bec...

			
		

	





	

		

			

				
					
CENTOS  下service network restart失败最全解决方案

					
热门推荐

				
			

			

				

					yiyijianxian的博客
				

				

					06-30
					
					1万+
					
				

			

		

		

			
				
经常会有人在centOS 7下更改完静态ip后发现network服务重启不了,翻遍了网络,尝试了各种方法,终于解决了。
现把各种解决方法归纳整理,希望能让大家少走点歪路。

首先看问题:

执行service network restart命令后出现下面的错误:

 Restarting network (via systemctl): Job for network.service fai...

			
		

	





	

		

			

				
					
k8sService代理模式之IPVS模式、无头服务、发布service五种类型、Fannel原理及Flannel vxlan类型

				
			

			

				

					神棍之路
				

				

					08-25
					
					2174
					
				

			

		

		

			
				
同一个pod内的多个容器间的通信,通过lo回环网络接口即可实现;同一节点的pod之间通过cni网桥转发数据包。不同节点的pod之间的通信需要网络插件支持。通过iptables或ipvs实现通信,ipvs取代不了iptables,因为ipvs只能做负载均衡,而做不了nat转换。iptables的MASQUERADE。**Service与集群外部客户端的通信:**ingress、nodeport、loadbalancer。

			
		

	





	

		

			

				
					
k8s网络详解

				
			

			

				

					weixin_43539320的博客
				

				

					04-10
					
					5807
					
				

			

		

		

			
				
cni0:他同docker网络模式不同的是,docker默认会创建一个名为docker0的网桥,而flannel会通过一个cni0来替换docker0。overlay:(覆盖网络),在现有的三层网络之下,“覆盖一层”虚拟的,由内核VXLAN模块负责维护的二层网络,使得在连接在这个VXLAN二层网络的pod之间,可以像在同一个局域网里一样,自由通讯。VXLAN:(虚拟可扩展局域网),是linux内核本身就支持的一种网络虚拟化技术。VXLAN完全就可以在内核实现封装和解封装的行为。架构图。

			
		

	





	

		

			

				
					
Kubernetes学习-K8S安装篇-集群安装网段划分

				
			

			

				

					苦难带不走梦想
				

				

					01-12
					
					4656
					
				

			

		

		

			
				
Kubernetes学习-K8S安装篇-集群安装网段划分1. 集群安装网段划分2. 网段IP常用设置3. 集群安装网段划分注意事项
1. 集群安装网段划分
集群安装时会涉及到三个网段:

宿主机网段:就是安装k8s的服务器
Pod网段:k8s Pod的网段,相当于容器的IP
Service网段:k8s service网段,service用于集群容器通信。

2. 网段IP常用设置

一般service网段会设置为10.96.0.0/12
Pod网段会设置成10.244.0.0/12或者172.16.0.1/

			
		

	





	

		

			

				
					
kubeadm部署K8S

				
			

			

				

					songci3756的博客
				

				

					09-13
					
					207
					
				

			

		

		

			
				
K8S重启失败的容器,替换容器,杀死不响应用户自定义的运行状况检查容器,并且在准备好服务之前部将其通告给客户端,在创建POD的时候,只有当设置在pod中的探针全部探测正常后才会将pod连接到集群内网络中对外进行服务,否则将通过监控告警给运维人员,同样的对于k8s中的容器会受到kubelet和apiserver的双重管理,kubelet上报容器的运行状态,api向etcd中请求期望状态,比较后让其达到期望的状态,从而保证其功能/服务容器永久保持在线。

			
		

	





	

		

			

				
					
Kubernetes Service控制器详解以及切换为ipvs代理模式

				
			

			

				

					qq_44930876的博客
				

				

					12-06
					
					1683
					
				

			

		

		

			
				
Kubernetes Service控制器详解以及切换为ipvs代理模式

			
		

	





	

		

			

				
					
kubeadm安装单master单node节点k8s集群

				
			

			

				

					weixin_47980221的博客
				

				

					06-16
					
					399
					
				

			

		

		

			
				
操作系统:centos7.6
podSubnet(pod 网段) 10.244.0.0/16
serviceSubnet(service 网段): 10.10.0.0/16



集群角色
IP
主机名
安装组件


控制节点
192.168.53.100
k8s-jy-master1
apiserver、controller-manager、scheduler、etcd、kube-proxy、...

			
		

	





	

		

			

				
					
Kubernetes 网络通信

					
最新发布

				
			

			

				

					01-15
				

			

		

		

			
				
例如Istio就是一个典型代表,它不仅能够增强现有容器编排平台的功能特性——特别是像Kubernetes这样的环境——而且提供了额外的安全保障措施、可观测性支持等功能[^2]。  具体来说,Istio利用Envoy作为边车(sidecar)...

			
		

	



              




          




        



    





    



      

      

        
      

      





	

		评论	
	

  
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  





	
打赏作者

	

		

		
			
		
		

		

			
贝克街的流浪猫

			
你的鼓励是我创作的最大动力

		

	

	

			

	

	

    ¥1
    ¥2
    ¥4
    ¥6
    ¥10
    ¥20
	

	

		

			

				

					扫码支付:¥1
				

				

					

					
					获取中
					

				

				

					
					
					扫码支付
				

			

		

		

			
您的余额不足,请更换扫码支付或充值

			
打赏作者

		

	



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值