kubernetes工作原理(二)-iptables

最新推荐文章于 2025-10-23 16:00:52 发布
原创 最新推荐文章于 2025-10-23 16:00:52 发布 · 3.2k 阅读 · 3 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文深入解析iptables的基本概念,包括其chain、table和rule的工作原理,以及在数据包处理流程中的关键作用。阐述了filter、nat、mangle和raw表的功能特点,以及PREROUTING、INPUT、FORWARD、OUTPUT、POSTROUTING链的作用。同时,详细介绍了connectiontracking机制和数据包在iptables中的处理流程。

前言

虚拟化的网络可以自由的在本地进行基于单机的网络配置或者借助一些互联技术(underlay、overlay或者点对点技术)在虚拟网络内部空间实现跨节点和数据中心的网络互联,但是如果虚拟网络内部的服务要对外进行暴露,就不得不借助地址转换或者端口转换等数据包修改技术。而在现有的container管理框架中,iptables更是承担了服务暴露和服务后端负载均衡等功能,是诸如kubernetes、Openshift等平台上很重要的组成模块。

 

iptables基本概念

 

1)iptables的chain、table和rule

iptables基本概念包括五个链、四个表和若干规则。链由一些列规则组成、表则由一系列链组成。

五个链分别是PREROUTING、INPUT、FORWARD、OUTPUT、POSTROUTING

四个表分别是filter、nat、mangle、raw

4个表的优先级由高到低的顺序为:raw > mangle > nat > filter

 

2)四个表的功能特点

filter表:匹配数据包以进行过滤

nat表:修改数据包进行地址或者端口的转换

mangle表:用于修改数据包IP头信息中TOS、TTL、或者对数据包进行Mark以实现QoS或者特定路由策略

raw表:不经过iptables的状态跟踪功能而进行快速处理(iptables是一个有状态的系统,会在raw表之后mangle表之前,对数据包进行connection tracking,而由于raw表是优先级最高的表,数据包如果满足raw表的内容匹配之后,便不会再经过后续connection tracking和地址端口转换等操作,可以提高特定类型包的处理效率)

 

3)五个链的功能特点

PREROUTING,作用在数据包进入内核网络模块之后,获得路由之前

INPUT,作用在数据包被决定路由到本机之后

FORWARD,作用在数据包被决定路由到其他主机之后

OUTPUT,作用在离开本机的数据包进入内核网络模块之后

POSTROUTING,作用在对于离开本机或者FORWARD的数据包,当数据包被发送到网络之后

 

4)链、表、路由和连接跟踪的组合关系

关于connection tracking

很多iptables的功能需要借助connection tracking实现,所以当数据包经过iptables在raw表处理之后mangle表处理之前,会进行connection tracking处理,从iptables的connection tracking机制可以得知当前数据包所对应的连接的状态:

  • NEW,该包请求一个新连接,现在没有对应该数据包的连接
  • ESTABLISHED,数据包已经属于某个连接
  • RELATED,数据包已经属于某个连接,但是又请求一个新连接
  • INVALID,数据包不属于任何连接

 

/proc/net/ip_conntrack里面保存了所有被跟踪的连接,单个纪录如下:

tcp 4 202713 ESTABLISHED src=192.168.166.103 dst=192.168.166.101 sport=3377 dport=11232 packets=22 bytes=17720 src=192.168.166.101 dst=192.168.166.103 sport=11232 dport=22 packets=92 bytes=4490 [ASSURED] mark=0 secmark=0 use=1

 

可以通过ip_conntrack_max和ip_conntrack timeout来调整系统connection tracking的能力:

net.ipv4.ip_conntrack_max =

net.ipv4.netfilter.ip_conntrack_max =

net.ipv4.netfilter.ip_conntrack_tcp_timeout_established =

net.ipv4.netfilter.ip_conntrack_tcp_timeout_time_wait =

net.ipv4.netfilter.ip_conntrack_tcp_timeout_close_wait =

net.ipv4.netfilter.ip_conntrack_tcp_timeout_fin_wait =

可以在raw表里面设置-j NOTRACK跳过其它表和connection tracking处理,比如:

iptables -t raw -A PREROUTING -d A.B.C.D -p tcp --dport 80 -j NOTRACK

 

 

数据包流程

1)进入的数据包

在数据包由网卡进入协议栈之后,会依次经由raw、connectiong tracking、mangle、nat三个表的PREROUTING链进行处理,并进行路由选择。路由结果如果是给本机的,则经由mangle、filter两个表的INPUT链处理之后发给上层应用程序;如果是要转发给其它主机的,则会经过mangle、filter两个表的FORWAR链处理之后,再经由mangel、nat表的POSTROUTING链处理之后由网卡对外发送

 

2)出去的数据包

数据包由上层应用程序进入协议栈之后现进行路由选择,然后经由raw、connectiong tracking、mangle、nat、filter表的OUTPUT链的处理,再经由mangel、nat表的POSTROUTING链处理之后由网卡对外发

 

iptables包处理流程参考:

https://en.wikipedia.org/wiki/File:Netfilter-packet-flow.svg

 

Kubernetes kube-proxy的iptables与ipvs模式
✨ 欢迎来到【Seal ^_^ 的优快云博客】!✨
07-28 6279
kube-proxy支持多种不同的代理模式,其中iptables和ipvs是最常用的两种。
12、Kubernetes中KubeProxy实现之iptables和ipvs_ipvs和iptables
2401_89172767的博客
12-13 915
iptables和ipvs其实都是依赖的一个共同的Linux内核模块:Netfilter。Netfilter是Linux 2.4.x引入的一个子系统,它作为一个通用的、抽象的框架,提供一整套的hook函数的管理机制,使得诸如数据包过滤、网络地址转换(NAT)和基于协议类型的连接跟踪成为了可能。Netfilter的架构就是在整个网络流程的若干位置放置了一些检测点(HOOK),而在每个检测点上登记了一些处理函数进行处理。
不要盲目增加ip_conntrack_max-理解Linux内核内存
系统运维
12-27 1029
1.由ip_conntrack引出的Linux内存映射有很多文章在讨论关于ip_conntrack表爆满之后丢弃数据包的问题,对此研究深入一些的知道Linux有个内核参数ip_conntrack_max,在拥有较大内存的机器中默认65536,于是疯狂的增加这个参数,比如设置成10000…00,只要不报设置方面的错误,就一定要设置成最大值。这种方式实在是将软件看成大神了,殊不知软件的技术含量还不如锅...
linux ip_conntrack_max,ip_conntrack_max满导致无法建立链接
weixin_31363913的博客
05-06 1087
一台访问量较高的服务器出现严重的丢包和无法建立链接的情况,已经确认数据中心网络没有问题,怀疑服务器自身出现问题。进入服务器发现网卡并没有error,内部运行的web服务均正常,但是仍然会出现断流和丢包现象,初步怀疑是在系统方面。一、执行demsg发现大量“VE0: nf_conntrack: table full, dropping packet.”的错误提示,确定是ip_conntrack跟踪连...
Linux iptables:四表五链 + 实用配置
最新发布
2402_83576389的博客
10-23 833
本文介绍了Linux系统中iptables防火墙的安装、配置和使用方法。主要内容包括:1) iptables的安装与启动;2) 四表五链的关系及功能说明;3) 基本语法和常用选项详解;4) 规则查看方法;5) 五个实用配置实例,包括拒绝特定IP访问、ICMP控制、多地址/端口设置、SNAT/DNAT转换和规则持久化保存。通过具体命令示例,展示了如何实现常见的防火墙功能,如端口控制、地址转换和规则永久保存等。文章提供了详细的参数说明和操作演示,适合系统管理员参考使用iptables进行网络安全管理。
iptables 全面解析:在 Kubernetes 中的应用与实例
小诸葛的博客
04-17 415
iptables是 Linux 系统中用户空间的命令行工具,用于配置内核中 Netfilter 框架的防火墙规则。包过滤(Packet Filtering)网络地址转换(NAT)端口转发流量限制包记录(日志)iptables表名用途filter默认表,用于控制包是否被允许nat用于网络地址转换,如 DNAT、SNATmangle用于修改数据包raw用于配置不走连接跟踪的规则功能iptables 在 K8s 中作用服务转发将 Service IP 映射到 Pod IP端口映射。
K8S kube-proxy iptables 原理分析
shufanhao.top Blog
01-29 5280
文章目录Precondition什么是 Kube ProxyKube Proxy 原理搭建一个GuestBook 例子分析iptables1. 创建iptables实现外方通过nodePort访问2. 分析k8s的 iptables2.1 集群内部通过cluster ip 访问到Pod2.2 集群外部通过node ip 访问到PodRefer Precondition 要理解这篇文章之前,需要先对...
12、Kubernetes中KubeProxy实现之iptables和ipvs
weixiaohuai的博客
09-30 1737
iptables和ipvs其实都是依赖的一个共同的Linux内核模块:Netfilter。Netfilter是Linux 2.4.x引入的一个子系统,它作为一个通用的、抽象的框架,提供一整套的hook函数的管理机制,使得诸如数据包过滤、网络地址转换(NAT)和基于协议类型的连接跟踪成为了可能。Netfilter的架构就是在整个网络流程的若干位置放置了一些检测点(HOOK),而在每个检测点上登记了一些处理函数进行处理。
Kubernetes网络插件详解 - Calico篇 - 概述
m0_72650596的博客
08-05 1093
Kubernetes容器网络比较复杂,需要与底层基础设施及上层业务来确定容器网络方案,同时很多网络插件又支持多种模式,需要大量的网络的基础知识支撑才能了解清楚。选择合适的CNI插件,需要综合考虑底层网络网络拓扑,结合应用需要的网络功能,以及网络路由协议的需求。Calico是比较成熟的容器网络插件,功能上比较丰富,性能上也在不断优化。...
Kubernetes中的Kube-proxy:服务发现与负载均衡的基石
liuxin33445566的博客
08-25 1411
Kube-proxy 是 Kubernetes 集群中负责服务发现和负载均衡的关键组件。它通过维护集群内部的网络规则,确保网络流量能够正确地从服务访问点分发到后端的 Pod 上。本文将详细探讨 Kube-proxy 的工作原理、配置和使用,以及如何通过编程方式与之交互。Kube-proxy 是 Kubernetes 网络模型的一部分,它在每个节点上运行,负责维护网络规则,处理进入和离开节点的网络流量。
kubernetes--kube-proxy实现L4负载均衡
xianmingsu的博客
11-28 1451
要了解kube-proxy如何实现负载均衡,要先了解Linux网络收包机制,kube-proxy利用Linux的内核实现的负载均衡。在TCP/IP网络分层模型里,整个协议栈被分成了物理层、链路层、网络层,传输层和应用层。物理层对应的是网卡和网线,应用层对应的是我们常见的Nginx,FTP等等各种应用。Linux实现的是链路层、网络层和传输层这三层。。我们用Linux的视角来看到的TCP/IP网络分层模型是下面这个样子的。
Kubernetes 1.15 环境搭建实战(iptables篇)
engchina的专栏
06-20 3814
使用 kubeadm 搭建Kubernetes 1.15单节点集群实战(基于Oracle Linux 7.6) 前提: a,安装Oracle VirtualBox,创建Oracle Linux 7.6虚机。 Oracle VirtualBox下载地址:https://www.virtualbox.org/wiki/Downloads Oracle Linux 7.6下载地址:https:/...
Kubernetes中的 iptables 规则介绍
虽非技冠群英首,愿与同道共长歌; 大鹏一日同风起,扶摇直上九万里;
03-07 1500
Kubernetes 中,每个 Pod 都被分配了一个独立的 IP 地址,并且这些 Pod 可以直接相互通信,而不需要进行 NAT 转换。为了支持这一模型,Kubernetes 使用了多种网络插件(如 Calico、Flannel 等)来管理网络,同时利用 iptables 来实现服务发现和服务负载均衡。iptablesKubernetes 中扮演着至关重要的角色,它不仅实现了基本的服务发现功能,还支持复杂的网络策略控制。
Kubernetes网络权威指南》读书笔记 | iptables
COCO_gsta的博客
10-15 602
书籍来源:《Kubernetes网络权威指南:基础、原理与实践》iptables在Docker和Kubernetes网络中应用甚广。例如,Docker容器和宿主机的端口映射、Kubernetes Service的默认模式、CNI的portmap插件、Kubernetes网络策略等都是通过iptables实现的。
Kubernetes--iptables与netfilte
GaoChuang_的博客
11-09 420
一、防火墙 防火墙用于实现linux下的访问控制的,分为软件和硬件两种防火墙,防火墙工作的地方一定是在网络边缘,我们需要定义的是防火墙到底如何工作,这就是防火墙的策略,规则,以达到它对出入网络IP、数据进行检测。目前市面上比较常见的有3、4层的防火墙,叫网络层的防火墙,还有7层的防火墙,其实是代理层的网关。 iptables netfilter/iptables(简称为iptables)组成Linux平台下的包过滤防火墙,与大多数linux软件一样,这个包过滤防火墙是免费的,完成封...
Kubernetes IPVS和IPTABLES
热门推荐
念舒C.ying
11-09 2万+
IPVS(IP Virtual Server,IP虚拟服务器)实现了传输层的负载平衡,通常称为4 LAN(四层局域网)交换,是Linux内核的一部分。IPVS在主机上运行,在真实服务器集群前面充当负载平衡器。IPVS可以将基于 TCP 和 UDP 的服务请求定向到真实服务器上。
kube & iptables
01-05 1121
虽然paas层用的openshift,实际上是封装kubernetes. For some parts of your applications you may wantto expose a Service onto an external IP address. Kubernetes supports two waysof doing this: NodePorts and LoadBala
K8S kube-proxy- iptable模式实现原理分析
阿磊的博客
11-30 1913
每台机器上都运行一个kube-proxy服务,它监听api-server 和endpoint变化情况,维护service和pod之间的一对多的关系,通过iptable或者ipvs为服务提供负载均衡的能力。通常kube-proxy作为deemonset运行在各种节点中。 kube-proxy 常支持以下种: 1)iptables:iptable模式是目前的默认模式,可以看成是userspace模式的升级版,它将请求的代理转发规则全部写入iptable中,砍掉了kube-proxy转发的部分。整...
[root@master ~]# kubeadm init \ > --kubernetes-version=v1.17.4 \ > --service-cidr=10.96.0.0/12 \ > --pod-network-cidr=10.244.0.0/16 \ > --apiserver-advertise-address=192.168.223.100 W0630 00:52:33.988085 11265 validation.go:28] Cannot validate kube-proxy config - no validator is available W0630 00:52:33.988127 11265 validation.go:28] Cannot validate kubelet config - no validator is available [init] Using Kubernetes version: v1.17.4 [preflight] Running pre-flight checks error execution phase preflight: [preflight] Some fatal errors occurred: [ERROR FileContent--proc-sys-net-bridge-bridge-nf-call-iptables]: /proc/sys/net/bridge/bridge-nf-call-iptables contents are not set to 1
07-01
<think>我们正在处理用户关于kubeadm初始化时遇到的错误:/proc/sys/net/bridge/bridge-nf-call-iptables内容未设置为1。根据引用[1]和引用[2]中的信息,解决这个错误的方法是设置/proc/sys/net/bridge/bridge-nf-call-iptables的值为1。引用[2]中明确给出了解决方案:运行命令 `echo1 >/proc/sys/net/bridge/bridge-nf-call-iptables`此外,引用[1]还提到可以通过修改sysctl配置文件来永久设置,但用户当前可能只需要临时解决以继续初始化。同时,我们注意到引用[2]中还提到了其他可能的问题,比如docker服务未启用、主机名问题等,但用户当前只询问了关于bridge-nf-call-iptables的错误。因此,我们将针对这个错误提供解决方案,并建议用户检查其他可能的问题。另外,引用[3]提到了一个关于keadm join的错误,但似乎与当前问题无关,因此我们暂时忽略。步骤:1.临时解决方法:直接写入/proc文件系统(重启后失效)2.永久解决方法:修改sysctl配置文件,然后重新加载sysctl设置根据引用[1]中提到的配置文件位置(/etc/sysctl.d/k8s.conf),我们可以指导用户创建或修改该配置文件。注意:用户可能需要使用sudo权限执行命令。我们将按照以下结构回答:-解释错误原因-提供临时解决方案-提供永久解决方案-建议用户检查其他相关设置(如docker服务、主机名等,但仅作为提醒,因为用户当前只问了这个错误)同时,根据指令要求,我们需要生成相关问题。注意:所有行内数学表达式使用$...$,独立公式使用$$...$$(但本问题中可能没有数学公式,所以忽略),使用中文回答,并在引用末尾添加引用标识。</think>### Kubernetes 初始化错误解决方案:`bridge-nf-call-iptables`未设置 当执行 `kubeadm init` 时遇到错误 `/proc/sys/net/bridge/bridge-nf-call-iptables contents are not set to 1`,这是由于 Linux 内核的网络桥接过滤规则未正确配置导致的。以下是详细解决方法: #### 🔧 解决方案步骤 1. **临时生效方案(重启失效)** 执行命令立即生效: ```bash sudo echo 1 > /proc/sys/net/bridge/bridge-nf-call-iptables sudo echo 1 > /proc/sys/net/bridge/bridge-nf-call-ip6tables ``` *验证命令*:`cat /proc/sys/net/bridge/bridge-nf-call-iptables` 应返回 `1`[^2]。 2. **永久生效方案(推荐)** 修改系统配置文件: ```bash sudo tee /etc/sysctl.d/k8s.conf <<EOF net.bridge.bridge-nf-call-ip6tables = 1 net.bridge.bridge-nf-call-iptables = 1 EOF ``` 加载配置并验证: ```bash sudo sysctl --system # 加载所有配置文件 sudo sysctl -p /etc/sysctl.d/k8s.conf # 单独加载k8s配置 ``` #### ⚠️ 注意事项 1. **依赖模块检查** 确保 `br_netfilter` 模块已加载: ```bash sudo modprobe br_netfilter # 立即加载 echo "br_netfilter" | sudo tee /etc/modules-load.d/br_netfilter.conf # 开机自动加载 ``` 2. **常见关联错误处理** - **Docker 未启用**:运行 `sudo systemctl enable docker.service`[^2] - **主机名解析问题**:使用 `hostnamectl set-hostname <新主机名>` 修改[^2] - **CA 证书错误**:检查 API Server 地址是否正确(避免使用内部 IP)[^3] #### 💻 操作示例 ```bash # 完整修复流程示例 sudo modprobe br_netfilter sudo tee /etc/sysctl.d/k8s.conf <<EOF net.bridge.bridge-nf-call-ip6tables = 1 net.bridge.bridge-nf-call-iptables = 1 EOF sudo sysctl --system sudo systemctl enable docker.service hostnamectl set-hostname k8s-master # 替换实际主机名 ``` > **重要**:修复后需**重启节点**确保所有配置生效,再重新执行 `kubeadm init`。 --- ### 📚 相关问题 1. Kubernetes 初始化时如何解决 `[ERROR FileContent--proc-sys-net-ipv4-ip_forward]` 错误? 2. `kubeadm init` 失败后如何安全地重置集群环境? 3. 如何验证 Kubernetes 节点的网络配置是否符合要求? 4. 为什么 Kubernetes 需要启用 `br_netfilter` 模块?其工作原理是什么? [^1]: 错误提示明确要求设置 `/proc/sys/net/bridge/bridge-nf-call-iptables=1`,否则会阻断初始化流程 [^2]: 临时修改 `/proc` 文件可快速修复,但永久方案需通过 `sysctl` 配置,同时需处理 Docker 服务和主机名问题 [^3]: 网络配置错误可能导致衍生问题(如 CA 证书获取失败),需确保网络可达性
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值