从 Network Namespace 了解 Pod 是如何访问外网的

已于 2022-03-20 20:38:31 修改
阅读量2.7k 收藏 5
点赞数
CC 4.0 BY-SA版权
分类专栏: kubernetes 文章标签: 网络 linux docker 运维 kubernetes
于 2022-03-13 16:26:36 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/buppt/article/details/123469837
本文通过创建和配置Network Namespace,演示了Pod如何借助Linux网络空间隔离技术访问外网的过程。涉及新建namespace、添加虚拟网卡、设置路由、开启ARP代答和源地址转换等关键步骤,揭示了Kubernetes Pod网络通信的原理。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

Network namespace 是实现 linux 网络空间隔离和网络虚拟化的基础,无论是docker还是其他虚拟化技术也都是通过 linux 的 network namespace 实现的网络隔离。之前的几篇文章从 kubernetes 部署后的结果展开分析了 pod、service 和 flannel 的原理。

kubernetes中Pod网络的创建原理

Kubernetes网络插件flannel原理简介

kubernetes service 从简介到原理一篇全搞定

本篇就通过 ip 命令实现新建一个 network namespace 与外网通信的过程。

新建 Network Namespace

当我们使用一个不认识的命令时,可以首先使用 help 命令查看使用帮助。

fffb2086f6a99c09f2b284015fa61dd6.png

我们使用 ip netns list 查看当前是没有 network ns 的。

使用下面的命令创建一个 ns。

ip netns add ns1

创建好新的 ns 之后,可以使用 exec 命令查看某个 ns 中的具体信息。

ip netns exec ns1 ip link show

最低0.47元/天 解锁文章

200万优质内容无限畅学
Docker 容器技术 — 容器网络
烟云的计算
10-02 8153
目录 文章目录目录容器网络容器网络类型bridge 模式host 模式Container 模式none 模式容器端口映射容器跨主机通信 容器网络 容器网络类型 Docker 提供几种类型的网络,它决定容器之间、容器与外界之前的通信方式。 查看网络: $ docker network ls NETWORK ID NAME DRIVER SCOPE 1cebe6628a06 bridge br
linux模拟POD并通过主机上外网
小张的专栏
08-03 497
在这篇文章我们将完成以下几件事情: 模拟一个POD 将这个POD和主机连接起来,在主机中能访问POD的网站 让这个POD能上外网 模拟一个POD POD是一个K8S的逻辑概念,POD里会有一个或多个容器,他们之间共享一个网络命名空间,可以用localhost相互访问,下面我们将脱离开K8S,直接用docker来模拟这种情况: docker run -itd --name=pause --net=none podinfo 这时候pause容器会新建一个网络命名空间,但不会加入docker0网
Kubernets(k8s) 网络原理二:Pod访问外网
王小懒的学习笔记
08-04 3020
本文介绍了宿主内的容器,如何访问外网,并用实验模拟过程。
Netruon 理解(12):使用 Linux bridge 将 Linux network namespace 连接外网
weixin_34362790的博客
08-15 299
学习 Neutron 系列文章: (1)Neutron 所实现的虚拟化网络 (2)Neutron OpenvSwitch + VLAN 虚拟网络 (3)Neutron OpenvSwitch + GRE/VxLAN 虚拟网络 (4)Neutron OVS OpenFlow 流表 和 L2 Population (5)Neutron DHCP Agent (6)Neutron L3 Ag...
linux模拟pod并配置上外网
Deepexi_Date的博客
12-09 558
作者:刘海峰,IT行业资深码农,从事.net/java/go语言开发十余年,长期关注springcloud/k8s/linux网络相关的技术,现为滴普科技容器产品首席架构师。 前言 在这篇文章我们将完成以下几件事情: 用docker模拟一个POD 将这个POD和主机连接起来,在主机中能访问POD的网站 让这个POD能上外网 模拟一个POD POD是一个K8S的逻辑概念,POD里会有一个或多个容器,他们之间共享一个网络命名空间,可以用localhost相互访问,下面我们将脱离开K8S,直接用docker
kubernetes pod无法通信外网
TttRark的博客
09-09 1399
今日在测试pod内部通信外部网络时发现无法ping通测试访问www.baidu.com发现还是ping不通, 排查coredns是否有问题发现cm配置正常,排查coredns日志显示找不到地址通信,而不是连接超时,这时候就想到可能是防火墙未放开,一检查果然如此。由于我是测试环境,偷懒直接把防火墙关闭。再次测试,连接恢复正常!!
k8s-使用Network Policies实现网络隔离
dsgdauigfs的博客
08-29 1506
本字段可以看作是一个开关,如果其中包含Ingress,则Ingress部分定义的规则生效,如果是Egress则Egress部分定义的规则生效,如果都包含则全部生效。实际应用中某些命名空间中的pod可能和其他命名空间中的pod有调用关系,还可能用到一些系统命名空间中的服务(如DNS服务),所以不能将某个命名空间完全和其他所有命名空间隔离,只需要将确定没有业务调用的命名空间隔离。策略描述:更新第5步sub2中创建的策略,使sub2中的pod除了不能和sub3中的pod通信外,和其他所有地址都可通信。
Kubernetes(k8s)集群部署七、k8s网络通信+service扩展ingress(TLS,认证,地址重写)calico网络插件(允许指定pod访问服务,禁止其他namespace访问服务)
ninimino的博客
03-03 1213
k8s网络通信k8s网络通信1.容器间通信2.pod之间的通信2.1同一节点的pod2.2不同节点的pod之间的通信flannel网络原理flannel支持多种后端:3.pod和service通信4.pod外网通信5.Service与集群外部客户端的通信ingress创建ingress服务:Ingress TLS 配置Ingress 认证配置(认证之前做好加密)Ingress地址重写calico网络插件:能够解决策略 k8s网络通信 k8s通过CNI接口接入其他插件来实现网络通讯。目前比较流行的插件有fl
vm能访问外网某个地址,而pod容器里面无法访问,原因是设置了只能使用vm的IP出去,而pods去请求时使用的是pods的ip,是会被挡下的
wangmiaoyan的博客
12-23 800
防火墙设置了某些ip才能出去,pod的IP不在此范围,只有其中一台VM可以出去,于是装个插件,做ip代理 官网链接:https://kubernetes.io/docs/tasks/administer-cluster/ip-masq-agent/ 装上,然后让需要访问外网的服务运行在能访问外网的那个节点上,成功。 ...
k8s pod之间的通讯方式
开心
12-13 1707
Kubernetes 中,不同命名空间(namespace)下的 Pod 之间是可以通信的,但需要遵循一些规则和方法。以下是常见的方式和注意事项:Kubernetes 中的网络是全局的,所有 Pod 默认处于同一个平坦的网络空间。也就是说,Pod 在不同命名空间中可以通过 Pod 的 IP 地址 直接通信,但这种方式并不推荐,因为 Pod 的 IP 地址可能会动态变化。为了让不同命名空间中的 Pod 更加方便地通信,通常通过 Kubernetes 的 Service 来完成。在 Kubernetes
k8s pod通过域名访问外网
yztezhl的专栏
06-16 2506
k8s pod通过域名访问外网
k8s中的pod如何通过域名访问外网
RivenDong
07-06 7915
下面是我的YAML文件的配置,需要pod通过域名访问外网,比较简单的解决方式是添加template.spec.dnsPolicy字段,将其设置为Default,从而使Pod继承所在宿主机的DNS设置。 apiVersion: apps/v1 kind: Deployment metadata: name: url-craw spec: selector: matchLabels: app: url replicas: 1 template: metadata:
K8S中Pod之间互相访问,外部访问如何访问Pod网络连接原理
热门推荐
xiphi_6的专栏
02-16 1万+
KubernetesPod之间互相访问,以及外部如何访问Pod中的业务的网络原理
Kubernetes_认证授权_静态Pod网关apiserver底层都是restful接口(UserAccount三种访问方式和打开外网)
毛毛的专栏
10-15 1271
静态Pod网关apiserver底层都是restful接口
k3s pod无法访问外部网络
bbccaaac的博客
05-04 1399
操作系统:centos7内核:3.10.0-957.el7.x86_64k3s版本: v1.25.7+k3s1。
pod访问外部mysql_Pod访问外部的域名配置
weixin_33741534的博客
01-19 1015
在实际应用中经常遇到Pod访问外部域名的状况,在Kubenetes 1.6以上的版本通过配置DNS configmap已经解决,详细的内容可以参考官方的https://kubernetes.io/docs/tasks/administer-cluster/dns-custom-nameservers/如果没有太多时间的化,可以参考下面这个图简单来说在dnsPolicy是ClusterFirst的...
k8s pod访问不到外部ip_Pod在混合云中的多K8S集群通信,RH@KubeCon 2019 Day2
weixin_31310913的博客
01-01 561
本Topic是红帽的两位软件工程师。笔者按照自己的理解和这两位同事的探讨,对演讲内容进行解读(注解仅供参考,OCP是红帽OpenShift Container Platform的简称)。OCP3中,每个pod只能有一个IP地址,OCP4可以配置多个(有了CNI)。不同service之间的pod内部通讯,通过service访问。如果pod访问外部网络,需要通过NAT的方式,用node的i...
K8S的POD容器内部访问外部虚拟IP
Dyeln的博客
10-21 2493
在k8s创建的容器内部,需要访问外部的虚拟IP可以在yaml中增加externalIPs对应的value为虚拟IP apiVersion: v1 kind: Service metadata: labels: app: zookeeper-service name: zookeeper-service spec: # type: NodePort ports: - name: zookeeper-port port: 2181 targetPort
pod访问外部mysql_pod连接外部数据库超时分析和处理方法
weixin_36087877的博客
01-21 1328
1、错误日志关键日志:Caused by: java.net.SocketTimeoutException: connect timed outThe last packet sent successfully to the server was 0 milliseconds ago. The driver has not received any packets from the server....
Network Policy Server
最新发布
02-27
### 关于Network Policy Server的介绍 Network Policy Server (NPS),并非Kubernetes原生组件,而是指一种用于集中管理和实施网络安全策略的服务。然而,在讨论Kubernetes中的网络隔离和控制时,“Network Policy Server”的概念通常被理解为负责处理`NetworkPolicy`资源的核心API服务器以及背后的工作机制[^1]。 对于Kubernetes而言,真正的“Network Policy Server”角色由其API服务器承担,它接收并解析用户提交的`NetworkPolicy`对象定义,并将其分发给底层支持CNI插件实现具体流量过滤逻辑。这使得管理员能够基于Pod的选择器、命名空间以及其他条件精确指定哪些通信应该被允许或拒绝。 ### 配置与使用方法 为了配置和应用网络策略,首先需要确保集群启用了相应的特性,并安装了一个兼容CNI插件(如Calico)。一旦环境准备就绪,则可通过创建YAML格式描述文件来定义所需的安全规则: ```yaml apiVersion: networking.k8s.io/v1 kind: NetworkPolicy metadata: name: test-network-policy namespace: default spec: podSelector: matchLabels: role: db policyTypes: - Ingress - Egress ingress: - from: - podSelector: matchLabels: role: frontend egress: - to: - ipBlock: cidr: 10.233.0.0/16 except: - 10.233.93.0/24 ``` 上述示例展示了如何设置仅限带有特定标签(`role=frontend`)的Pod可以向具有相同标签(`role=db`)的目标发起连接请求;同时对外部IP地址范围进行了限定,除了特别指出要排除的部分外均能正常访问[^4]。 值得注意的是,实际操作过程中还需要考虑更多细节,比如不同版本间可能存在差异的功能选项或是针对特殊场景下的优化调整等。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值