Kubernetes网络的可视化指南

云计算 网络
Kubernetes网络旨在确保Kubernetes中的不同实体类型可以通信。Kubernetes基础设施的布局在设计上有很多分离。命名空间、容器和Pod旨在保持组件彼此不同,因此高度结构化的通信计划非常重要。

Kubernetes内部的网络与物理世界中的网络没有太大区别。有了网络基础知识,你就可以轻松实现容器Pod和服务之间的通信。

从使用交换机、路由器和以太网电缆的物理网络转移到使用软件定义网络(SDN)和虚拟接口的虚拟网络需要一段轻微的学习曲线。当然,原则保持不变,但有不同的规范和最佳实践。Kubernetes有自己的一套规则,如果你处理的是容器和云,这有助于了解Kubernetes网络是如何工作的。

Kubernetes网络模型有一些需要记住的一般规则:

  • 每个pod都有自己的IP地址:不需要在Pod之间创建链接,也不需要将容器端口映射到主机端口。
  • 不需要NAT:节点上的Pod应该能够与没有NAT的所有节点上的所有Pod通信。
  • 代理获得所有访问权限:节点(系统守护进程、Kubelet)上的代理可以与该节点中的所有Pod通信。
  • 共享命名空间:Pod中的容器共享网络命名空间(IP和MAC地址),因此它们可以使用环回地址相互通信。

Kubernetes网络解决了什么问题

Kubernetes网络旨在确保Kubernetes中的不同实体类型可以通信。Kubernetes基础设施的布局在设计上有很多分离。命名空间、容器和Pod旨在保持组件彼此不同,因此高度结构化的通信计划非常重要。

容器到容器的网络

容器到容器的网络通过Pod网络命名空间进行。网络命名空间允许你拥有独立的网络接口和路由表,这些接口和路由表与系统的其余部分隔离并独立运行。每个Pod都有自己的网络命名空间,其中的容器共享相同的IP地址和端口。这些容器之间的所有通信都是通过localhost进行的,因为它们都是同一命名空间的一部分。(由图中的绿线表示。)

Pod到Pod的网络

对于Kubernetes,每个节点都有一个指定的用于Pod的CIDR IP范围。这确保每个Pod都能收到集群中其他Pod可以看到的唯一IP地址。创建新Pod时,IP地址从不重叠。与容器到容器的网络不同,Pod到Pod的通信使用真实的IP进行,无论你是将Pod部署在同一节点上还是集群中的不同节点上。

上图显示,为了使Pod相互通信,流量必须在Pod网络命名空间和根网络命名空间之间流动。这是通过虚拟以太网设备或veth对(图中veth0到Pod命名空间1,veth1到Pod命名空间2)连接Pod命名空间和根命名空间来实现的。虚拟网桥连接这些虚拟接口,允许通信使用地址解析协议(ARP)在它们之间流动。

当数据从Pod 1发送到Pod 2时,事件流为:

  • Pod 1流量通过eth0流向根网络命名空间的虚拟接口veth0。
  • 然后,流量通过veth0到达连接到veth1的虚拟网桥。
  • 流量通过虚拟网桥到达veth1。
  • 最后,流量通过veth1到达Pod 2的eth0接口。

Pod到服务的网络

Pod很动态。它们可能需要根据需求扩大或缩小规模。在应用程序崩溃或节点故障的情况下,可以再次创建它们。这些事件会导致Pod的IP地址发生变化,这将给联网带来挑战。

Kubernetes通过使用Service功能来解决此问题,该功能执行以下操作:

  • 在前端分配静态虚拟IP地址,以连接与服务关联的任何后端吊舱。
  • 负载将寻址到此虚拟IP的所有流量平衡到后端Pod集。
  • 跟踪Pod的IP地址,这样即使Pod IP地址更改,客户端也不会有任何问题,因为它们只直接连接到服务本身的静态虚拟IP地址。

集群内负载均衡有两种方式:

  • IPTABLES:在这种模式下,kube-proxy监视API服务器中的更改。对于每个新服务,它都会安装iptables规则,这些规则将流量捕获到Service的clusterIP和端口,然后将流量重定向到服务的后端Pod。Pod是随机选择的。此模式可靠,系统开销较低,因为Linux Netfilter处理流量时不需要在用户空间和内核空间之间切换。
  • IPV:IPV构建在Netfilter之上,并实现传输层负载均衡。IPVS使用Netfilter钩子函数,使用哈希表作为底层数据结构,并在内核空间中工作。这意味着IPVS模式下的kube代理比iptables模式下的kube代理具有更低的延迟、更高的吞吐量和更好的性能来重定向流量。

上图显示了从Pod 1到Pod 3的包流通过Service到不同节点(以红色标记)。前往虚拟网桥的包必须使用默认路由(eth0),因为网桥上运行的ARP无法理解该服务。之后,包必须通过iptables进行过滤,iptables使用kube代理在节点中定义的规则。因此,该图显示了当前的路径。

Internet到服务的网络

到目前为止,已经讨论了如何在集群内路由流量。然而,Kubernetes网络还有另一面,那就是将应用程序暴露于外部网络。

你可以通过两种不同的方式将应用程序公开给外部网络。

  • 出口:当你想要将流量从Kubernetes服务路由到Internet时,请使用此选项。在这种情况下,iptables执行源NAT,因此流量似乎来自节点,而不是Pod。
  • 入口:这是从外部世界到服务的传入流量。入口还允许并阻止使用连接规则与服务进行的特定通信。通常,有两种入口解决方案在不同的网络堆栈区域上运行:服务负载均衡器和入口控制器。

发现服务

Kubernetes发现服务有两种方式:

  • 环境变量:在Pod运行的节点上运行的kubelet服务负责以{SVCNAME}\u service\u HOST和{SVCNAME}\u service\u PORT的格式为每个活动服务设置环境变量。你必须在客户端Pod出现之前创建服务。否则,这些客户端Pod将不会填充其环境变量。
  • DNS:DNS服务实现为Kubernetes服务,映射到一个或多个DNS服务器Pod,这些Pod与任何其他Pod一样进行调度。集群中的Pod配置为使用DNS服务,DNS搜索列表包括Pod自己的命名空间和集群的默认域。集群感知DNS服务器(如CoreDNS)监视Kubernetes API以获取新服务,并为每个服务创建一组DNS记录。如果在整个集群中启用了DNS,则所有Pod都可以根据其DNS名称自动解析服务。Kubernetes DNS服务器是访问ExternalName服务的唯一方式。

发布服务的ServiceTypes

Kubernetes服务提供了一种访问一组Pod的方法,通常通过使用标签选择器来定义。这可能是应用程序试图访问集群中的其他应用程序,也可能允许你将集群中运行的应用程序公开给外部世界。Kubernetes
ServiceTypes允许你指定所需的服务类型。

不同的ServiceTypes包括:

  • ClusterIP:这是默认的ServiceType。它使服务只能从集群内访问,并允许集群内的应用程序相互通信。没有外部访问。
  • LoadBalancer:此服务类型使用云提供商的负载均衡器对外公开服务。来自外部负载均衡器的流量被定向到后端POD。云提供商决定如何实现负载均衡。
  • NodePort:这允许外部通信通过在所有节点上打开特定端口来访问服务。然后,发送到此端口的任何流量都会转发到该服务。
  • ExternalName:这种类型的服务使用ExternalName字段的内容,通过返回CNAME记录及其值,将服务映射到DNS名称。未设置任何类型的代理。

网络软件

只要你了解所使用的技术,Kubernetes内部的网络与物理世界中的网络没有太大区别。好好学习,记住网络基础知识,就可以轻松实现容器、Pod和服务之间的通信。

责任编辑:赵宁宁 来源: IT168网站
相关推荐

2022-03-01 10:29:44

Kubernetes容器

2024-03-07 09:00:04

Rust数据可视化

2010-06-09 15:09:57

IP网络

2023-11-02 08:41:39

2020-03-11 14:39:26

数据可视化地图可视化地理信息

2022-08-26 09:15:58

Python可视化plotly

2020-10-22 08:52:52

Python数据集可视化

2017-10-14 13:54:26

数据可视化数据信息可视化

2009-04-21 14:26:41

可视化监控IT管理摩卡

2023-11-24 14:02:00

Python数据分析

2015-11-06 14:19:03

博科网络可视化

2023-12-08 09:00:00

2013-12-06 10:05:29

数据中心网络操作可视化

2016-07-29 13:22:09

2021-07-26 10:41:16

数据可视化设备大屏

2014-02-18 10:19:44

2016-05-06 20:55:19

2017-02-15 09:30:01

可视化网络布局

2018-04-03 14:42:46

Python神经网络深度学习

2015-08-20 10:06:36

可视化
点赞
收藏

51CTO技术栈公众号