K8s 网络新手教程(Kubernetes Networking Guide for Beginners)

本文主要是介绍K8s 网络新手教程(Kubernetes Networking Guide for Beginners),希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

K8s 网络新手教程(Kubernetes Networking Guide for Beginners)

原文链接: Kubernetes Networking Guide for Beginners

译者注: 建议对照阅读 The Layers of the OSI Model Illustrated. (有机会翻译下这篇, 挖坑不填 )

译者注:

  • Node: Pod 运行的环境。根据实际情况, 可以是虚拟机或物理机。
  • Pod: Kubernetes 创建和管理计算资源的最小可部署单元, 类似于虚拟机/物理机的"逻辑主机"。
  • Container: 进程及其相关依赖构成的标准化的集合。
  • Service: 对运行在多个 Pod 中的单个应用程序的一种抽象。

由于没有预先了解过相关的网络知识,我在初学 Kubernetes 时, 经常会迷失在各种高深的行话和晦涩的图表中。

为了避免后来人遇到和我一样的情况, 我在这里总结了一份为新手学习 Kubernetes 需要预先了解的网络知识。

学习 Kubernetes 网络, 需要理解以下五个基本的知识点:

  • 同一个 Pod 中的各个 Containers 之间的通信
  • 同一个 Node 中的各个 Pod 之间的通信
  • 不同 Node 的 Pod 之间的通信
  • Pod 和 Service 之间的通信
  • DNS 如何工作?如何发现 IP 地址?
    在这里插入图片描述

同一个 Pod 中的各个 Containers 之间的通信

假设有两个运行在同一个 Pod 的 Container, 它们之间如何通信呢?

答案是: 类似于在同一个主机通信的进程, 他们通过 localhost 和端口号。

这是因为同一个 Pod 的容器共享相同的 network namespace —— 这使得它们可以共享网络资源。

什么是网络名称空间(network namespace)?

网络名称空间是网卡(Network Interface)和路由表的集合。

名称空间可以减少同一个虚拟机中的碰撞和冲突。
(在同一个网络名称空间下监听同一个端口号会发生冲突)

每个 Pod 中都有一个 pause container, 负责维护 Pod 的网络名称空间。

译者注:
更多关于 pause container: The Almighty Pause Container

每个 Pod 拥有独立的网络名称空间,在同一个 Pod 的 Container 因此享有相同的网络名称空间。这就是为什么同一个 Pod 下的容器之间可以通过 localhost 通信的原因。同时, 这也是为什么同一个 Pod 的不同 Container 的 port 会冲突的原因。

在这里插入图片描述

同一个 Node 的不同 Pod 之间的通信

每个 Pod 有自己的网络名称空间和自己的 IP 地址。

Pod 认为自己有一个普通的网络以太网设备 eth0 来处理网络请求,这是 Kubernetes 创建的虚拟的以太网设备。

这个 虚拟以太网设备 是连接 Pod 和 Node 网络的一个通道,它的一端是 Pod 的 eth0,一端是 Node 的 vethX

Pod 发送请求到其他 Node 时, 请求会通过 eth0 转发到它所在 Node 对应的 vethX 接口。

那么, 这个请求又是怎么到达其他 Pod 的呢?

答案是通过 网桥(Network Bridge)

什么是网桥?

网桥是连接独立子网的网络设备。当请求达到网桥, 它会询问所有连接它的网络设备是否是该请求的目的 IP 指定的设备。然后, 它会将请求转发到对应的设备。

(每个 Pod 有自己的 IP 地址, 并且它知道自己的 IP 地址是什么)

在 Kubernetes 中, 这个网桥叫做 cbr0。每个 Node 的 cbr0 保存了它的所有 Pod 的转发信息, 以此将同一 Node 下的所有 Pod 连接起来。

在这里插入图片描述

不同 Node 的 Pod 之间的通信

注: 这部分不同的云厂商/网络插件实现可能会有所不通过。

那么不同 Node 的 Pode 之间如何进行通信呢?

当网桥询问了所有它所有连接的 Pod 后, 发现并没有找到目的 IP 对应的设备。

之后, 网桥会找到默认网关, 上升到集群级别查询该 IP 地址。

集群级别有一个不同 Node 的路由表, 登记 Node 内的 Pods 所在的子网。

举个例子, Kubernetes 为 Node 1 的 Pods 提供 IP 地址: 100.96.1.1, 100.96.1.2 等。Kubernetes 为 Node 1 的 Pods 提供 IP 地址: 100.96.2.1, 100.96.2.2 等。

查询该路由表, 会将发送到 100.96.1.xxx 的请求转发到 node1,将发送到 100.96.2.xxx 的请求转发到 node2。

在这里插入图片描述

Pod 和 Service 之间的通信

Kubernetes 的 Service 将一个 IP 地址绑定到多个 Pod。网络请求发送到一个终端(Endpoint, 域名/IP 地址), service 代理将请求转发到该 service 对应的 Pod。

Kubernetes 通过在每个 Node 运行的 kube-proxy 进程实现这个功能。

kube-proxy 将虚拟 IP 地址映射为一组实际的 Pod IP 地址。

一旦 kube-proxy 将 Service 的虚拟 IP 映射到了一个实际的 Pod IP, 剩下的操作就和和上面提到的流程一样了。

译者注:

  • 更多关于 kube-proxy: Virtual IPs and service proxies

DNS 是如何工作的?它是如何发现 IP 地址的?

Kubernetes 集群通过 DNS 解析将域名映射为对应的 IP 地址。

Kubernetes 集群会给每个服务分配一个像 my-service.my-namespace.svc.cluster.local 这样的域名。

同样地,Kubernetes 也会为 Pod 自动分配 DNS 域名。你也可以通过 YAML 文件的 hostnamesubdomain 字段指定 Pod 的域名。

这样,当通过域名访问 Service 时, DNS 服务就会将它解析为对应的 IP 地址。

然后 kube-proxy 会将 Service 的 IP 地址转化为 Pod 的 IP 地址。最后就可以根据该 Pod 是否在同一个 Node 按照上述流程将请求转发到对应的 Container。

译者注:

在这里插入图片描述

==================== 我是分割线 ====================
号外~ 号外~
字节跳动 2022 届校招提前批开始啦~

如何加入我们:
字节跳动校招内推码: UQAYUMY
投递链接: https://jobs.toutiao.com/s/eGx5Pv4
或直接发送简历到邮件:yangling.leo@bytedance.com

我们是谁:
字节跳动基础架构团队主要负责公司私有云建设,支撑着今日头条、抖音、西瓜视频等多款明星产品。
我们积极拥抱开源和创新的软硬件架构,构建一系列基础设施引导研发活动的最佳实践,为整个公司的发展保驾护航。

我们在找谁:
2022届获得本科及以上学历,计算机相关专业
热爱计算机科学和互联网技术
掌握扎实的计算机基础知识,深入理解数据结构、算法和操作系统知识

这篇关于K8s 网络新手教程(Kubernetes Networking Guide for Beginners)的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/355591

相关文章

Spring Security 从入门到进阶系列教程

Spring Security 入门系列 《保护 Web 应用的安全》 《Spring-Security-入门(一):登录与退出》 《Spring-Security-入门(二):基于数据库验证》 《Spring-Security-入门(三):密码加密》 《Spring-Security-入门(四):自定义-Filter》 《Spring-Security-入门(五):在 Sprin

Makefile简明使用教程

文章目录 规则makefile文件的基本语法:加在命令前的特殊符号:.PHONY伪目标: Makefilev1 直观写法v2 加上中间过程v3 伪目标v4 变量 make 选项-f-n-C Make 是一种流行的构建工具,常用于将源代码转换成可执行文件或者其他形式的输出文件(如库文件、文档等)。Make 可以自动化地执行编译、链接等一系列操作。 规则 makefile文件

Linux 网络编程 --- 应用层

一、自定义协议和序列化反序列化 代码: 序列化反序列化实现网络版本计算器 二、HTTP协议 1、谈两个简单的预备知识 https://www.baidu.com/ --- 域名 --- 域名解析 --- IP地址 http的端口号为80端口,https的端口号为443 url为统一资源定位符。CSDNhttps://mp.csdn.net/mp_blog/creation/editor

poj 1287 Networking(prim or kruscal最小生成树)

题意给你点与点间距离,求最小生成树。 注意点是,两点之间可能有不同的路,输入的时候选择最小的,和之前有道最短路WA的题目类似。 prim代码: #include<stdio.h>const int MaxN = 51;const int INF = 0x3f3f3f3f;int g[MaxN][MaxN];int P;int prim(){bool vis[MaxN];

Kubernetes PodSecurityPolicy:PSP能实现的5种主要安全策略

Kubernetes PodSecurityPolicy:PSP能实现的5种主要安全策略 1. 特权模式限制2. 宿主机资源隔离3. 用户和组管理4. 权限提升控制5. SELinux配置 💖The Begin💖点点关注,收藏不迷路💖 Kubernetes的PodSecurityPolicy(PSP)是一个关键的安全特性,它在Pod创建之前实施安全策略,确保P

ASIO网络调试助手之一:简介

多年前,写过几篇《Boost.Asio C++网络编程》的学习文章,一直没机会实践。最近项目中用到了Asio,于是抽空写了个网络调试助手。 开发环境: Win10 Qt5.12.6 + Asio(standalone) + spdlog 支持协议: UDP + TCP Client + TCP Server 独立的Asio(http://www.think-async.com)只包含了头文件,不依

90、k8s之secret+configMap

一、secret配置管理 配置管理: 加密配置:保存密码,token,其他敏感信息的k8s资源 应用配置:我们需要定制化的给应用进行配置,我们需要把定制好的配置文件同步到pod当中容器 1.1、加密配置: secret: [root@master01 ~]# kubectl get secrets ##查看加密配置[root@master01 ~]# kubectl get se

poj 3181 网络流,建图。

题意: 农夫约翰为他的牛准备了F种食物和D种饮料。 每头牛都有各自喜欢的食物和饮料,而每种食物和饮料都只能分配给一头牛。 问最多能有多少头牛可以同时得到喜欢的食物和饮料。 解析: 由于要同时得到喜欢的食物和饮料,所以网络流建图的时候要把牛拆点了。 如下建图: s -> 食物 -> 牛1 -> 牛2 -> 饮料 -> t 所以分配一下点: s  =  0, 牛1= 1~

SWAP作物生长模型安装教程、数据制备、敏感性分析、气候变化影响、R模型敏感性分析与贝叶斯优化、Fortran源代码分析、气候数据降尺度与变化影响分析

查看原文>>>全流程SWAP农业模型数据制备、敏感性分析及气候变化影响实践技术应用 SWAP模型是由荷兰瓦赫宁根大学开发的先进农作物模型,它综合考虑了土壤-水分-大气以及植被间的相互作用;是一种描述作物生长过程的一种机理性作物生长模型。它不但运用Richard方程,使其能够精确的模拟土壤中水分的运动,而且耦合了WOFOST作物模型使作物的生长描述更为科学。 本文让更多的科研人员和农业工作者

poj 3068 有流量限制的最小费用网络流

题意: m条有向边连接了n个仓库,每条边都有一定费用。 将两种危险品从0运到n-1,除了起点和终点外,危险品不能放在一起,也不能走相同的路径。 求最小的费用是多少。 解析: 抽象出一个源点s一个汇点t,源点与0相连,费用为0,容量为2。 汇点与n - 1相连,费用为0,容量为2。 每条边之间也相连,费用为每条边的费用,容量为1。 建图完毕之后,求一条流量为2的最小费用流就行了