k8s的flannel和cilium的pod网络访问链路解析

2024-03-27 22:36

本文主要是介绍k8s的flannel和cilium的pod网络访问链路解析,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

k8s的flannel和cilium的pod网络访问链路解析

  • 1. k8s环境中基础模型
    • 1.1. Pod接入网络的具体实现
      • 1.1.1. 虚拟网桥
      • 1.1.2. 多路复用
      • 1.1.3. 硬件交换
    • 1.2. 实现思路
      • 1.2.1. 流程图
      • 1.2.2 常见插件
  • 2. flannel相关配置
    • 2.1. 集群节点的网络分配
    • 2.2 各节点flannel分配情况
    • 2.3 flannel运行方式
    • 2.4. Flannel模型分类
      • 2.4.1. vxlan模型
      • 2.4.2. host-gw模型
      • 2.4.3. 直连路由
      • 2.4.4. ipip
  • 3. 实际的ipip路由解析
    • 3.1 veth-pair解析
    • 3.2. node上的路由表
  • 4. 疑问和思考
  • 5. 参考文档

Kubernetes (K8s)的Pod网络访问要求可以根据应用程序的需要和安全策略而定,以下是一些常见的要求:

  • 内部通信:Pod之间需要能够相互通信,通常在同一个Kubernetes集群或命名空间中的Pod可以直接通过其网络地址进行通信。
  • 外部访问:Pod可能需要从集群外部的网络访问,这可以通过创建一个Service对象来实现。Service对象可以公开Pod的网络端口,使其能够从集群外部被访问。

本文经过简单分析和研究k8s环境下,pod访问之间的网络模型,并探讨各类网络模型下的协议和相关的优劣。

k8s的svc流量通过iptables和ipvs转发到pod的流程解析


1. k8s环境中基础模型

Kubernetes (K8s)的Pod网络访问要求可以根据应用程序的需要和安全策略而定,以下是一些常见的要求:

  • 内部通信:Pod之间需要能够相互通信,通常在同一个Kubernetes集群或命名空间中的Pod可以直接通过其网络地址进行通信。
  • 外部访问:Pod可能需要从集群外部的网络访问,这可以通过创建一个Service对象来实现。Service对象可以公开Pod的网络端口,使其能够从集群外部被访问。

因此常见的网络模型有如下几种

  • 虚拟网桥
  • 多路复用
  • 硬件交换

1.1. Pod接入网络的具体实现

1.1.1. 虚拟网桥

虚拟网桥:
brdige,用纯软件的方式实现一个虚拟网络,用一个虚拟网卡接入到我们虚拟网桥上去。这样就能保证每一个容器和每一个pod都能有一个专用的网络接口,从而实现每一主机组件有网络接口。每一对网卡一半留在pod之上一半留在宿主机之上并接入到网桥中。甚至能接入到真实的物理网桥上能顾实现物理桥接的方式。

在这里插入图片描述

1.1.2. 多路复用

MacVLAN,基于mac的方式去创建vlan,为每一个虚拟接口配置一个独有的mac地址,使得一个物理网卡能承载多个容器去使用。这样子他们就直接使用物理网卡并直接使用物理网卡中的MacVLAN机制进行跨节点之间进行通信了。需要借助于内核级的VLAN模块来实现。
在这里插入图片描述

1.1.3. 硬件交换

使用支持单根IOV(SR-IOV)的方式,一个网卡支持直接在物理机虚拟出多个接口来,所以我们称为单根的网络连接方式,现在市面上的很多网卡都已经支持"单根IOV的虚拟化"了。它是创建虚拟设备的一种很高性能的方式,一个网卡能够虚拟出在硬件级多个网卡来。然后让每个容器使用一个网卡

在这里插入图片描述

1.2. 实现思路

对于任何一种第三方解决方案来说,如果它要实现k8s集群内部多节点间的pod通信都要从三个方面来实现:

  • 构建一个网络
  • 将pod接入到这个网络中
  • 实时维护所有节点上的路由信息,实现隧道的通信

1.2.1. 流程图

在这里插入图片描述

  • 所有节点的内核都启用了VXLAN的功能模块,每个节点都有一个唯一的编号
    节点内部的pod的跨节点通信需要借助于VXLAN内部的路由机制或隧道转发机制实现通信
    每个cni0上维护了各个节点所在的隧道网段的路由列表
  • node上的pod发出请求到达cni0,根据内核的路由列表判断对端网段的节点在哪里
    然后经由 隧道设备 对数据包进行封装标识,接下来对端节点的隧道设备解封标识数据包,
    当前数据包一看当前节点的路由表发现有自身的ip地址,这直接交给本地的pod
  • 多个节点上的路由表信息维护,就是各种网络解决方案的工作位置

注意:
这些解决方案,可以完成所有的步骤,也可以完成部分的功能,借助于其他方案实现完整的方案
但是需要注意的是: 不要同时部署多个插件来做同一件事情,因为对于CNI来说,只会有一个生效。

1.2.2 常见插件

根据我们刚才对pod通信的回顾,多节点内的pod通信,k8s是通过CNI接口来实现网络通信的。CNI基本思想:创建容器时,先创建好网络名称空间,然后调用CNI插件配置这个网络,而后启动容器内的进程

CNI插件类别:main、meta、ipam

  • main,实现某种特定的网络功能,如loopback、bridge、macvlan、ipvlan
  • meta,自身不提供任何网络实现,而是调用其他插件,如flanne
  • ipam,仅用于分配IP地址,不提供网络实现

常见的CNI解决方案有:

  • Flannel
    提供叠加网络,基于linux TUN/TAP,使用UDP封装IP报文来创建叠加网络,并借助etcd维护网络分配情况
  • Calico
    基于BGP的三层网络,支持网络策略实现网络的访问控制。在每台机器上运行一个vRouter,利用内核转发数据包,并借助iptables实现防火墙等功能
  • Canal
    由Flannel和Calico联合发布的一个统一网络插件,支持网络策略
  • Weave Net
    多主机容器的网络方案,支持去中心化的控制平面,数据平面上,通过UDP封装实现L2 Overlay
  • Contiv
    思科方案,直接提供多租户网络,支持L2(VLAN)、L3(BGP)、Overlay(VXLAN)
  • kube-router
    K8s网络一体化解决方案,可取代kube-proxy实现基于ipvs的Service,支持网络策略、完美兼容BGP的高级特性

2. flannel相关配置

2.1. 集群节点的网络分配

# 插件配置文件
apiVersion: v1
data:cni-conf.json: |{"name": "cbr0","cniVersion": "0.3.1","plugins": [{"type": "flannel","delegate": {"hairpinMode": true,"isDefaultGateway": true}},{"type": "portmap","capabilities": {"portMappings": true}}]}net-conf.json: |{"Network": "10.244.0.0/16", # flannel网段"Backend": {"Type": "vxlan"  # 使用vxlan模式}}
flannel启动程序的命令containers:- args:- --ip-masq          # 使用IP伪装- --kube-subnet-mgr  # 使用kube-apiServer管理子网

注意:
每增加一个新的节点,子网中切分一个新的子网网段分配给对应的节点上。
这些相关的网络状态属性信息,会经过 kube-apiserver 存储到etcd中。

2.2 各节点flannel分配情况

master1 ~]# ifconfig 
cni0: flags=4099<UP,BROADCAST,MULTICAST>  mtu 1500inet 10.244.0.1  netmask 255.255.255.0  broadcast 10.244.0.255
flannel.1: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1450inet 10.244.0.0  netmask 255.255.255.255  broadcast 0.0.0.0master2 ~]# ifconfig 
cni0: flags=4099<UP,BROADCAST,MULTICAST>  mtu 1500inet 10.244.1.1  netmask 255.255.255.0  broadcast 10.244.1.255
flannel.1: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1450inet 10.244.1.0  netmask 255.255.255.255  broadcast 0.0.0.0master3 ~]# ifconfig 
cni0: flags=4099<UP,BROADCAST,MULTICAST>  mtu 1500inet 10.244.2.1  netmask 255.255.255.0  broadcast 10.244.2.255
flannel.1: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1450inet 10.244.2.0  netmask 255.255.255.255  broadcast 0.0.0.0node1 ~]# ifconfig 
cni0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1450inet 10.244.3.1  netmask 255.255.255.0  broadcast 10.244.3.255
flannel.1: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1450inet 10.244.3.0  netmask 255.255.255.255  broadcast 0.0.0.0node2 ~]# ifconfig 
cni0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1450inet 10.244.4.1  netmask 255.255.255.0  broadcast 10.244.4.255
flannel.1: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1450inet 10.244.4.0  netmask 255.255.255.255  broadcast 0.0.0.0

注意:
我们在创建k8s集群的时候,当我们创建好集群主节点后,然后就开始安装flannel服务了,否则多个节点间无法正常通信,每个节点都会处于 NotReady 状态。每个节点cni0与flannel.1接口的IP地址网段必须一致,否则也是NotReady

2.3 flannel运行方式

# k8s节点上所有节点都运行了flannel容器
]# kubectl get pod -n kube-system -o wide| grep -i flannel
kube-flannel-ds-82rw8             1/1     Running   0               15d   192.168.10.26   master1   <none>           <none>
kube-flannel-ds-pdlnk             1/1     Running   0               15d   192.168.10.30   node2     <none>           <none>
kube-flannel-ds-w294q             1/1     Running   0               15d   192.168.10.27   master2   <none>           <none>
kube-flannel-ds-x6clp             1/1     Running   0               15d   192.168.10.28   master3   <none>           <none>
kube-flannel-ds-z4bgg             1/1     Running   1 (2d19h ago)   15d   192.168.10.29   node1     <none>           <none>

注意:
由于flannel是以pod的样式存在,控制器:DaemonSet,flannel 启动后就相当于在当前节点上启动了一个守护进程。该守护进程:
- 该进程会负责当前节点上的 所有报文封装解封等动作。
- 通过 kube-apiserver 组件从集群的etcd服务中,获取每个节点的网络信息,并生成本地路由表信息。
- 启动要给本地的flannel.1网卡,配置相关的ip地址。
- 每个节点上都生成了一个网卡 flannel.1。
- flannel.1 后面的.1 就是 vxlan的网络标识。便于隧道正常通信。

kube-apiserver为了更方便后续 flannel与etcd 直接的交流,单独分配一个url用于flannel和etcd的交流 – 在二进制部署集群中可以看到效果。

2.4. Flannel模型分类

模型解析
vxlanVXLAN使用UDP封装虚拟网络数据包,并在数据包中添加一个VXLAN头部。pod与Pod经由隧道封装后通信,各节点彼此间能通信就行,不要求在同一个二层网络vxlan
ipipIPIP是一种隧道技术,用于在IP网络中封装IP数据包,它允许将IP数据包传输到另一个IP网络。pod与Pod经由隧道封装后通信,各节点彼此间能通信就行,不要求在同一个二层网络vxlan
直连路由位于同一个二层网络上的、但不同节点上的Pod间通信,无须隧道封装;但非同一个二层网络上的节点上的Pod间通信,仍须隧道封装
host-gwod与Pod不经隧道封装而直接通信,要求各节点位于同一个二层网络

2.4.1. vxlan模型

x

  • 节点上的pod通过虚拟网卡,连接到cni0的虚拟网络交换机上,当有外部网络通信的时候,借助于 flannel.1网卡向外发出数据包
  • 经过 flannel.1 网卡的数据包,借助于flanneld实现数据包的封装和解封最后送给宿主机的物理接口,发送出去
  • 对于pod来说,它以为是通过 flannel.x -> vxlan tunnel -> flannel.x 实现数据通信
    因为它们的隧道标识都是".1",所以认为是一个vxlan,直接路由过去了,没有意识到底层的通信机制。

由于这种方式,是对数据报文进行了多次的封装,降低了当个数据包的有效载荷,所以效率降低了

2.4.2. host-gw模型

根据我们当前的实践来说,所有集群中的主机节点处于同一个可以直接通信的二层网络,本来就可以直接连通,那么还做二层的数据包封装,pod通信效率会非常差,所以flannel就出现了host-gw的通信模式。

在这里插入图片描述

  • 节点上的pod通过虚拟网卡,连接到cni0的虚拟网络交换机上。
  • pod向外通信的时候,到达CNI0的时候,不再直接交给flannel.1由flanneld来进行打包处理了。
  • cni0直接借助于内核中的路由表,通过宿主机的网卡交给同网段的其他主机节点
  • 对端节点查看内核中的路由表,发现目标就是当前节点,所以交给对应的cni0,进而找到对应的pod。

2.4.3. 直连路由

在这里插入图片描述

  • pod向外通信的时候,到达CNI0的时候,不再直接交给flannel.1由flanneld来进行打包处理了。
  • 如果两个pod不是处于同一网段,那么还是通过源始的方式进行正常的隧道封装通信。
  • 如果两个pod是处于同一网段内。
    cni0直接借助于内核中的路由表,通过宿主机的网卡交给同网段的其他主机节点
    对端节点查看内核中的路由表,发现目标就是当前节点,所以交给对应的cni0,进而找到对应的pod

注意:
直连路由就大大提高了同网段间的跨节点的pod数据传输效率,所以,我们可以知道,flannel机制,不要求所有的节点都处于同一个二层网络中。

2.4.4. ipip

如果 Kubernetes 集群的节点不在同一个子网里,没法通过二层网络把 IP 包发送到下一跳地址,这种情景下就可以使用 IPIP 模式。
在这里插入图片描述
我们理一下网络数据包如何从节点 1 上的 Pod A(IP 172.25.0.130)到达节点 2 上的 Pod B(IP 172.25.0.195)中:

  • 首先看一下 Pod A 的网络栈:
$ nsenter -n -t ${PID}
$ ip addr
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00inet 127.0.0.1/8 scope host lovalid_lft forever preferred_lft forever
2: tunl0@NONE: <NOARP> mtu 1480 qdisc noop state DOWN group default qlen 1000link/ipip 0.0.0.0 brd 0.0.0.0
4: eth0@if11: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1440 qdisc noqueue state UP group defaultlink/ether 92:6b:a2:6b:c8:c4 brd ff:ff:ff:ff:ff:ff link-netnsid 0inet 172.25.0.130/32 scope global eth0valid_lft forever preferred_lft forever
$ ip route
default via 169.254.1.1 dev eth0
169.254.1.1 dev eth0 scope link

在 Pod A 中访问 Pod B 中的服务,目的 IP 为 172.25.0.195,数据包根据默认路由来到容器的 eth0 网卡上,即 Veth Pair 在容器内的一端。169.254.1.1 这个 IP 地址写死在 Calico 项目的代码中,使用 Calico 网络插件的 Kubernetes 集群中所有容器的路由表都一样。

  • 切换到宿主机视角:
$ ip route
default via 10.211.55.1 dev eth0 proto dhcp metric 100
10.211.55.0/24 dev eth0 proto kernel scope link src 10.211.55.101 metric 100
172.17.0.0/16 dev docker0 proto kernel scope link src 172.17.0.1
blackhole 172.25.0.128/26 proto bird
172.25.0.129 dev calib17705e4170 scope link
172.25.0.130 dev calibfd619d4ca3 scope link
172.25.0.131 dev cali35a4ac9a8fc scope link
172.25.0.192/26 via 10.211.55.116 dev tunl0 proto bird onlink

当目的 IP 为 172.25.0.195 的数据包来到 Veth Pair 在宿主机的一端,将命中最后一条路由 172.25.0.192/26 via 10.211.55.116 dev tunl0 proto bird onlink(毫无疑问是 Calico 网络插件创建出来的),下一跳 IP 地址是 10.211.55.116,也就是 Pod B 所在的节点 2,发送数据包的设备叫 tunl0,这是一个 IP 隧道。

  • ipip
    数据包到达 IP 隧道设备后,Linux 内核将它封装进一个宿主机网络的 IP 包中,并通过宿主机的 eth0 网卡发送出去。IPIP 数据包到达节点 2 的 eth0 网卡后,内核将拆开 IPIP 封包,拿到原始的数据包。
    $ ip route
    default via 10.211.55.1 dev eth0 proto dhcp metric 100
    10.211.55.0/24 dev eth0 proto kernel scope link src 10.211.55.116 metric 100
    172.17.0.0/16 dev docker0 proto kernel scope link src 172.17.0.1
    172.25.0.128/26 via 10.211.55.101 dev tunl0 proto bird onlink
    blackhole 172.25.0.192/26 proto bird
    172.25.0.193 dev calif94e20e3327 scope link
    172.25.0.194 dev cali96e8aac71b5 scope link
    172.25.0.195 dev calid74ab5d8f78 scope link
    

目的 IP 为 172.25.0.195 数据包根据路由表前往名为 calid74ab5d8f78 的 Veth Pair 设备,并流向容器内的另一端。

以上参与全过程的网络设备和路由规则。

3. 实际的ipip路由解析

获取flannel的网络配置

kubectl -n kube-system get cm kube-flannel-cfg -oyaml 
apiVersion: v1
data:cni-conf.json: |{"name": "cbr0","plugins": [{"type": "flannel","delegate": {"hairpinMode": true,"isDefaultGateway": true}},{"type": "portmap","capabilities": {"portMappings": true}}]}net-conf.json: |{"Network": "192.168.0.0/16","Backend": {"Type": "ipip"}}
kind: ConfigMap
metadata:creationTimestamp: "2022-08-03T15:22:25Z"labels:app: flanneltier: nodename: kube-flannel-cfgnamespace: kube-systemresourceVersion: "11676"selfLink: /api/v1/namespaces/kube-system/configmaps/kube-flannel-cfguid: d71f425c-ce5c-4438-84ec-907a29e53a59
# 单台机器的网段配置
# cat /run/flannel/subnet.env 
FLANNEL_NETWORK=192.168.0.0/16
FLANNEL_SUBNET=192.168.2.1/24
FLANNEL_MTU=1480
FLANNEL_IPMASQ=true
[root@tcs-10.100.0.155 ~]# 

我们选择一台服务器的podip以及相关路由关系进行网络分析。

auth                 authn-6bb476f54c-ccsfk                                        1/1     Running                      0          31h     192.168.2.189    10.100.0.155   <none>           <none>
tcs-global-monitor   prometheus-kube-prometheus-stack-prometheus-0                     3/3     Running                      1          13d     192.168.2.176    10.100.0.155   <none>           <none>
tcs-system           localpv-csi-loopdevice-plugin-bbhf9                               5/5     Running                      0          13d     192.168.2.175    10.100.0.155   <none>           <none>
tke                  tke-gateway-w7m28                                                 1/1     Running                      0          13d     192.168.2.177    10.100.0.155   <none>           <none>

相关的路由情况如下

[root@tcs-10.100.0.155 ~]# route -n 
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
0.0.0.0         10.100.0.129     0.0.0.0         UG    0      0        0 bond1
10.0.0.0        10.100.0.129     255.0.0.0       UG    0      0        0 bond1
10.100.0.128     0.0.0.0         255.255.255.128 U     0      0        0 bond1
169.254.0.0     0.0.0.0         255.255.0.0     U     1004   0        0 bond1
192.168.0.0     10.100.0.159     255.255.255.0   UG    0      0        0 flannel.ipip
192.168.0.0     10.100.0.129     255.255.0.0     UG    0      0        0 bond1
192.168.1.0     10.100.0.152     255.255.255.0   UG    0      0        0 flannel.ipip
192.168.2.175   0.0.0.0         255.255.255.255 UH    0      0        0 v-he029917d6
192.168.2.176   0.0.0.0         255.255.255.255 UH    0      0        0 v-hf2692edc1
192.168.2.177   0.0.0.0         255.255.255.255 UH    0      0        0 v-hf709b40f4
192.168.2.189   0.0.0.0         255.255.255.255 UH    0      0        0 v-hafdc9b6c6
192.168.3.0     10.100.0.156     255.255.255.0   UG    0      0        0 flannel.ipip
192.168.4.0     10.100.0.31      255.255.255.0   UG    0      0        0 flannel.ipip
192.168.5.0     10.100.0.170     255.255.255.0   UG    0      0        0 flannel.ipip
192.168.6.0     10.100.0.27      255.255.255.0   UG    0      0        0 flannel.ipip
192.168.7.0     10.100.0.171     255.255.255.0   UG    0      0        0 flannel.ipip
192.168.16.0    10.100.0.29      255.255.255.0   UG    0      0        0 flannel.ipip
192.168.17.0    10.100.0.33      255.255.255.0   UG    0      0        0 flannel.ipip
192.168.18.0    10.100.0.161     255.255.255.0   UG    0      0        0 flannel.ipip
192.168.19.0    10.100.0.164     255.255.255.0   UG    0      0        0 flannel.ipip

3.1 veth-pair解析

如下配置是相关的容器veth-pair

192.168.2.175   0.0.0.0         255.255.255.255 UH    0      0        0 v-he029917d6
192.168.2.176   0.0.0.0         255.255.255.255 UH    0      0        0 v-hf2692edc1
192.168.2.177   0.0.0.0         255.255.255.255 UH    0      0        0 v-hf709b40f4
192.168.2.189   0.0.0.0         255.255.255.255 UH    0      0        0 v-hafdc9b6c6
# ip link show
355: v-he029917d6@if354: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1480 qdisc noqueue state UP mode DEFAULT group default link/ether 16:fa:a5:51:b4:c0 brd ff:ff:ff:ff:ff:ff link-netnsid 0
357: v-hf2692edc1@if356: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1480 qdisc noqueue state UP mode DEFAULT group default link/ether da:26:39:ca:cb:c4 brd ff:ff:ff:ff:ff:ff link-netnsid 1
359: v-hf709b40f4@if358: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1480 qdisc noqueue state UP mode DEFAULT group default link/ether 0a:4f:52:48:37:ce brd ff:ff:ff:ff:ff:ff link-netnsid 2
383: v-hafdc9b6c6@if382: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1480 qdisc noqueue state UP mode DEFAULT group default link/ether d6:6c:fc:20:2d:a7 brd ff:ff:ff:ff:ff:ff link-netnsid 3

查看相关容器的网络配置

# kubectl -n tcs-system exec -it localpv-csi-loopdevice-plugin-bbhf9   -c plugin bash 
[root@localpv-csi-loopdevice-plugin-bbhf9 /]# cat /sys/class/net/eth0/iflink 
355
[root@localpv-csi-loopdevice-plugin-bbhf9 /]# 
[root@localpv-csi-loopdevice-plugin-bbhf9 /]# route -n 
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
0.0.0.0         169.254.1.1     0.0.0.0         UG    0      0        0 eth0
169.254.1.1     0.0.0.0         255.255.255.255 UH    0      0        0 eth0

355对应v-he029917d6@if354 网卡,结合容器中的的路由表,可以获知,在容器中发送的流量会通过eth0网卡发送出来,并通过v-he029917d6@if354发送到对应的node节点。

3.2. node上的路由表

[root@tcs-10.100.-0-155 ~]# route -n 
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
0.0.0.0         10.100..0.129     0.0.0.0         UG    0      0        0 bond1
10.0.0.0        10.100..0.129     255.0.0.0       UG    0      0        0 bond1
10.100..0.128     0.0.0.0         255.255.255.128 U     0      0        0 bond1
169.254.0.0     0.0.0.0         255.255.0.0     U     1004   0        0 bond1
192.168.0.0     10.100..0.159     255.255.255.0   UG    0      0        0 flannel.ipip
192.168.0.0     10.100..0.129     255.255.0.0     UG    0      0        0 bond1
192.168.1.0     10.100..0.152     255.255.255.0   UG    0      0        0 flannel.ipip
192.168.2.175   0.0.0.0         255.255.255.255 UH    0      0        0 v-he029917d6
192.168.2.176   0.0.0.0         255.255.255.255 UH    0      0        0 v-hf2692edc1
192.168.2.177   0.0.0.0         255.255.255.255 UH    0      0        0 v-hf709b40f4
192.168.2.189   0.0.0.0         255.255.255.255 UH    0      0        0 v-hafdc9b6c6
192.168.3.0     10.100..0.156     255.255.255.0   UG    0      0        0 flannel.ipip
192.168.4.0     10.100..0.31      255.255.255.0   UG    0      0        0 flannel.ipip
192.168.5.0     10.100..0.170     255.255.255.0   UG    0      0        0 flannel.ipip
192.168.6.0     10.100..0.27      255.255.255.0   UG    0      0        0 flannel.ipip
192.168.7.0     10.100..0.171     255.255.255.0   UG    0      0        0 flannel.ipip
192.168.16.0    10.100..0.29      255.255.255.0   UG    0      0        0 flannel.ipip
192.168.17.0    10.100..0.33      255.255.255.0   UG    0      0        0 flannel.ipip
192.168.18.0    10.100..0.161     255.255.255.0   UG    0      0        0 flannel.ipip
192.168.19.0    10.100..0.164     255.255.255.0   UG    0      0        0 flannel.ipip

通过该路由表可知

  • 如果是相同节点上的不同pod通信,会命中v-hafdc9b6c6相关路由表,在节点内部转发
  • 如果是不同节点之间的不同pod通信,会命中flannel.ipip相关路由表,通过flannel.ipip并进行ipip封包转发到其他的服务器,对端服务器接收到相关的流量包后,会进行ipip解包。
  • 如果是不同节点之间的pod/node通信,会命中bond1相关路由表,并通过bond1转发到对应的服务器

因此k8s通过这样的cni插件,将复杂的overlay-underlay网络模型,转化成简单的underlay网络模型,并通过underlay机器的路由表指引相关网络包的发送、接受。

4. 疑问和思考

暂无

5. 参考文档

暂无

这篇关于k8s的flannel和cilium的pod网络访问链路解析的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/853615

相关文章

使用Java解析JSON数据并提取特定字段的实现步骤(以提取mailNo为例)

《使用Java解析JSON数据并提取特定字段的实现步骤(以提取mailNo为例)》在现代软件开发中,处理JSON数据是一项非常常见的任务,无论是从API接口获取数据,还是将数据存储为JSON格式,解析... 目录1. 背景介绍1.1 jsON简介1.2 实际案例2. 准备工作2.1 环境搭建2.1.1 添加

Java实现任务管理器性能网络监控数据的方法详解

《Java实现任务管理器性能网络监控数据的方法详解》在现代操作系统中,任务管理器是一个非常重要的工具,用于监控和管理计算机的运行状态,包括CPU使用率、内存占用等,对于开发者和系统管理员来说,了解这些... 目录引言一、背景知识二、准备工作1. Maven依赖2. Gradle依赖三、代码实现四、代码详解五

centos7基于keepalived+nginx部署k8s1.26.0高可用集群

《centos7基于keepalived+nginx部署k8s1.26.0高可用集群》Kubernetes是一个开源的容器编排平台,用于自动化地部署、扩展和管理容器化应用程序,在生产环境中,为了确保集... 目录一、初始化(所有节点都执行)二、安装containerd(所有节点都执行)三、安装docker-

关于Java内存访问重排序的研究

《关于Java内存访问重排序的研究》文章主要介绍了重排序现象及其在多线程编程中的影响,包括内存可见性问题和Java内存模型中对重排序的规则... 目录什么是重排序重排序图解重排序实验as-if-serial语义内存访问重排序与内存可见性内存访问重排序与Java内存模型重排序示意表内存屏障内存屏障示意表Int

SpringBoot实现基于URL和IP的访问频率限制

《SpringBoot实现基于URL和IP的访问频率限制》在现代Web应用中,接口被恶意刷新或暴力请求是一种常见的攻击手段,为了保护系统资源,需要对接口的访问频率进行限制,下面我们就来看看如何使用... 目录1. 引言2. 项目依赖3. 配置 Redis4. 创建拦截器5. 注册拦截器6. 创建控制器8.

SpringBoot如何访问jsp页面

《SpringBoot如何访问jsp页面》本文介绍了如何在SpringBoot项目中进行Web开发,包括创建项目、配置文件、添加依赖、控制层修改、测试效果以及在IDEA中进行配置的详细步骤... 目录SpringBoot如何访问JSP页python面简介实现步骤1. 首先创建的项目一定要是web项目2. 在

在C#中合并和解析相对路径方式

《在C#中合并和解析相对路径方式》Path类提供了几个用于操作文件路径的静态方法,其中包括Combine方法和GetFullPath方法,Combine方法将两个路径合并在一起,但不会解析包含相对元素... 目录C#合并和解析相对路径System.IO.Path类幸运的是总结C#合并和解析相对路径对于 C

Linux限制ip访问的解决方案

《Linux限制ip访问的解决方案》为了修复安全扫描中发现的漏洞,我们需要对某些服务设置访问限制,具体来说,就是要确保只有指定的内部IP地址能够访问这些服务,所以本文给大家介绍了Linux限制ip访问... 目录背景:解决方案:使用Firewalld防火墙规则验证方法深度了解防火墙逻辑应用场景与扩展背景:

Java解析JSON的六种方案

《Java解析JSON的六种方案》这篇文章介绍了6种JSON解析方案,包括Jackson、Gson、FastJSON、JsonPath、、手动解析,分别阐述了它们的功能特点、代码示例、高级功能、优缺点... 目录前言1. 使用 Jackson:业界标配功能特点代码示例高级功能优缺点2. 使用 Gson:轻量

Java如何接收并解析HL7协议数据

《Java如何接收并解析HL7协议数据》文章主要介绍了HL7协议及其在医疗行业中的应用,详细描述了如何配置环境、接收和解析数据,以及与前端进行交互的实现方法,文章还分享了使用7Edit工具进行调试的经... 目录一、前言二、正文1、环境配置2、数据接收:HL7Monitor3、数据解析:HL7Busines