Service on Jerry Wang https://solaim.github.io/tags/service/ Recent content in Service on Jerry Wang Jerry Wang https://solaim.github.io/img/favicon.webp https://solaim.github.io/img/favicon.webp Hugo -- 0.158.0 en-us Sun, 06 Jun 2021 11:17:45 +0800 说说k8s网络 https://solaim.github.io/posts/%E8%AF%B4%E8%AF%B4k8s%E7%BD%91%E7%BB%9C/ Sun, 06 Jun 2021 11:17:45 +0800 https://solaim.github.io/posts/%E8%AF%B4%E8%AF%B4k8s%E7%BD%91%E7%BB%9C/ <h2 id="1k8s组件">1、k8s组件</h2> <p><img alt="组件" loading="lazy" src="https://solaim.github.io/img/components-of-kubernetes.svg"></p> <p>k8s的组件分为两大部分:控制平面组件和节点组件。</p> <p>控制平面组件包括:</p> <ol> <li>kube-apiserver:API server,可以水平扩展。</li> <li>etcd:后端存储。</li> <li>kube-scheduler:决策新创建的Pod在哪个Node上运行。</li> <li>kube-controller-manager:controller进程,观测Object的状态,current state -&gt; desired state。</li> </ol> <p>节点组件包括:</p> <ol> <li>kubelet:运行Pod。</li> <li>kube-proxy:网络代理, k8s中Service的部分实现,负责维护节点上的网络规则。</li> <li>Container runtime:Docker、containerd、CRI-O。</li> </ol> <h2 id="2k8s网络需要解决的问题">2、k8s网络需要解决的问题</h2> <p>k8s对任何CNI实现有如下规定:</p> <ol> <li>Pod与Pod之间的通信无须使用NAT</li> <li>节点与Pod之间的通信无须使用NAT</li> <li>Pod与其他Pod看到自身的IP相同</li> </ol> <p>k8s中的Service负责对内、对外暴露网络访问,想让应用能够在集群内外正常访问,需要解决下面的几个问题:</p> <ol> <li>容器与容器的通信</li> <li>Pod与Pod的通信</li> <li>Pod与Service的通信</li> <li>Internet与Service的通信</li> </ol> <h2 id="3容器与容器的通信">3、容器与容器的通信</h2> <p>在Linux中,使用Namespace机制实现内核级别资源的隔离,目前提供六种Namespace:</p> <ul> <li><code>Mount</code>: 隔离文件系统挂载点</li> <li><code>UTS</code>: 隔离主机名和域名信息</li> <li><code>IPC</code>: 隔离进程间通信</li> <li><code>PID</code>: 隔离进程的ID</li> <li><code>Network</code>: 隔离网络资源</li> <li><code>User</code>: 隔离用户和用户组的ID</li> </ul> <p>网络命名空间netns存在一个root network namespace,默认情况下,Linux将每个进程的netns设置为root,以提供网络访问。</p> <p>对于Docker,Pod使用同一个网络命名空间,Pod之间通过Namespace隔离,Pod内的容器共享网络命名空间,Docker负责创建网络命名空间,应用容器使用-network加入该网络命名空间,容器之间通过localhost通信。</p> <h2 id="4pod与pod的通信">4、Pod与Pod的通信</h2> <p>k8s中,每个Pod拥有一个真实的IP,Pod之间通过IP通信。</p> <p>(本节图片来源:Kevin Sookocheff Blog)</p> <p><img alt="虚拟网桥" loading="lazy" src="https://sookocheff.com/post/kubernetes/understanding-kubernetes-networking-model/pods-connected-by-bridge.png"></p> <p><img alt="同节点Pod通信" loading="lazy" src="https://sookocheff.com/post/kubernetes/understanding-kubernetes-networking-model/pod-to-pod-same-node.gif"></p> <p><img alt="跨节点Pod通信" loading="lazy" src="https://sookocheff.com/post/kubernetes/understanding-kubernetes-networking-model/pod-to-pod-different-nodes.gif"></p> <h2 id="5pod与service的通信">5、Pod与Service的通信</h2> <p>Pod随着时间,可能消失、重启,那么直接使用Pod IP进行访问,在动态变化的环境中会存在网络问题。k8s中使用Service解决这个问题。(本节图片来源:Kevin Sookocheff Blog)</p> <p>创建一个新的Service Object,实际上是创建了一个虚拟IP和一系列网络规则。</p> <p>kube-proxy负责维护、更新、删除、添加网络规则,其支持的代理模式有:</p> <ol> <li>userspace</li> <li>iptables(默认)</li> <li>ipvs</li> <li>kernelspace (windows)</li> </ol> <p><img alt="Pod到Service通信" loading="lazy" src="https://sookocheff.com/post/kubernetes/understanding-kubernetes-networking-model/pod-to-service.gif"></p> <p><img alt="Service到Pod通信" loading="lazy" src="https://sookocheff.com/post/kubernetes/understanding-kubernetes-networking-model/service-to-pod.gif"></p>