从 Network Namespace 了解 Pod 是如何访问外网的

原创 已于 2022-03-20 20:38:31 修改 · 2.7k 阅读 · 4 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#网络 #linux #docker #运维 #kubernetes

于 2022-03-13 16:26:36 首次发布
本文通过创建和配置Network Namespace,演示了Pod如何借助Linux网络空间隔离技术访问外网的过程。涉及新建namespace、添加虚拟网卡、设置路由、开启ARP代答和源地址转换等关键步骤,揭示了Kubernetes Pod网络通信的原理。

Network namespace 是实现 linux 网络空间隔离和网络虚拟化的基础,无论是docker还是其他虚拟化技术也都是通过 linux 的 network namespace 实现的网络隔离。之前的几篇文章从 kubernetes 部署后的结果展开分析了 pod、service 和 flannel 的原理。

kubernetes中Pod网络的创建原理

Kubernetes网络插件flannel原理简介

kubernetes service 从简介到原理一篇全搞定

本篇就通过 ip 命令实现新建一个 network namespace 与外网通信的过程。

新建 Network Namespace

当我们使用一个不认识的命令时,可以首先使用 help 命令查看使用帮助。

fffb2086f6a99c09f2b284015fa61dd6.png

我们使用 ip netns list 查看当前是没有 network ns 的。

使用下面的命令创建一个 ns。

ip netns add ns1

创建好新的 ns 之后,可以使用 exec 命令查看某个 ns 中的具体信息。

ip netns exec ns1 ip link show

最低0.47元/天 解锁文章
Docker 容器技术 — 容器网络
烟云的计算
10-02 8275
目录 文章目录目录容器网络容器网络类型bridge 模式host 模式Container 模式none 模式容器端口映射容器跨主机通信 容器网络 容器网络类型 Docker 提供几种类型的网络,它决定容器之间、容器与外界之前的通信方式。 查看网络: $ docker network ls NETWORK ID NAME DRIVER SCOPE 1cebe6628a06 bridge br
k8s pod访问不到外部ip_Pod在混合云中的多K8S集群通信,RH@KubeCon 2019 Day2
weixin_31310913的博客
01-01 586
本Topic是红帽的两位软件工程师。笔者按照自己的理解和这两位同事的探讨,对演讲内容进行解读(注解仅供参考,OCP是红帽OpenShift Container Platform的简称)。OCP3中,每个pod只能有一个IP地址,OCP4可以配置多个(有了CNI)。不同service之间的pod内部通讯,通过service访问。如果pod访问外部网络,需要通过NAT的方式,用node的i...
linux模拟POD并通过主机上外网
小张的专栏
08-03 532
在这篇文章我们将完成以下几件事情: 模拟一个POD 将这个POD和主机连接起来,在主机中能访问POD的网站 让这个POD能上外网 模拟一个POD POD是一个K8S的逻辑概念,POD里会有一个或多个容器,他们之间共享一个网络命名空间,可以用localhost相互访问,下面我们将脱离开K8S,直接用docker来模拟这种情况: docker run -itd --name=pause --net=none podinfo 这时候pause容器会新建一个网络命名空间,但不会加入docker0网
linux模拟pod并配置上外网
Deepexi_Date的博客
12-09 578
作者:刘海峰,IT行业资深码农,从事.net/java/go语言开发十余年,长期关注springcloud/k8s/linux网络相关的技术,现为滴普科技容器产品首席架构师。 前言 在这篇文章我们将完成以下几件事情: 用docker模拟一个POD 将这个POD和主机连接起来,在主机中能访问POD的网站 让这个POD能上外网 模拟一个POD POD是一个K8S的逻辑概念,POD里会有一个或多个容器,他们之间共享一个网络命名空间,可以用localhost相互访问,下面我们将脱离开K8S,直接用docker
k8s中的pod如何通过域名访问外网
RivenDong
07-06 7972
下面是我的YAML文件的配置,需要pod通过域名访问外网,比较简单的解决方式是添加template.spec.dnsPolicy字段,将其设置为Default,从而使Pod继承所在宿主机的DNS设置。 apiVersion: apps/v1 kind: Deployment metadata: name: url-craw spec: selector: matchLabels: app: url replicas: 1 template: metadata:
Kubernets(k8s) 网络原理二:Pod访问外网
王小懒的学习笔记
08-04 3366
本文介绍了宿主内的容器,如何访问外网,并用实验模拟过程。
Netruon 理解(12):使用 Linux bridge 将 Linux network namespace 连接外网
weixin_34362790的博客
08-15 315
学习 Neutron 系列文章: (1)Neutron 所实现的虚拟化网络 (2)Neutron OpenvSwitch + VLAN 虚拟网络 (3)Neutron OpenvSwitch + GRE/VxLAN 虚拟网络 (4)Neutron OVS OpenFlow 流表 和 L2 Population (5)Neutron DHCP Agent (6)Neutron L3 Ag...
k8s-使用Network Policies实现网络隔离
dsgdauigfs的博客
08-29 1644
本字段可以看作是一个开关,如果其中包含Ingress,则Ingress部分定义的规则生效,如果是Egress则Egress部分定义的规则生效,如果都包含则全部生效。实际应用中某些命名空间中的pod可能和其他命名空间中的pod有调用关系,还可能用到一些系统命名空间中的服务(如DNS服务),所以不能将某个命名空间完全和其他所有命名空间隔离,只需要将确定没有业务调用的命名空间隔离。策略描述:更新第5步sub2中创建的策略,使sub2中的pod除了不能和sub3中的pod通信外,和其他所有地址都可通信。
K8S网络相关-NetworkPolicy解读
sozee910的博客
09-07 692
NetworkPolicy 是 Kubernetes 中用于控制 Pod 之间或 Pod 与外部资源之间网络流量的一种资源对象。它允许用户定义规则,限制或允许网络访问。通过 NetworkPolicy,你可以精细化地控制 Kubernetes 集群内部的网络流量,例如只允许特定的 Pod 或 IP 地址访问某些 Pod
Kubernetes(k8s)集群部署七、k8s网络通信+service扩展ingress(TLS,认证,地址重写)calico网络插件(允许指定pod访问服务,禁止其他namespace访问服务)
ninimino的博客
03-03 1251
k8s网络通信k8s网络通信1.容器间通信2.pod之间的通信2.1同一节点的pod2.2不同节点的pod之间的通信flannel网络原理flannel支持多种后端:3.pod和service通信4.pod外网通信5.Service与集群外部客户端的通信ingress创建ingress服务:Ingress TLS 配置Ingress 认证配置(认证之前做好加密)Ingress地址重写calico网络插件:能够解决策略 k8s网络通信 k8s通过CNI接口接入其他插件来实现网络通讯。目前比较流行的插件有fl
vm能访问外网某个地址,而pod容器里面无法访问,原因是设置了只能使用vm的IP出去,而pods去请求时使用的是pods的ip,是会被挡下的
wangmiaoyan的博客
12-23 837
防火墙设置了某些ip才能出去,pod的IP不在此范围,只有其中一台VM可以出去,于是装个插件,做ip代理 官网链接:https://kubernetes.io/docs/tasks/administer-cluster/ip-masq-agent/ 装上,然后让需要访问外网的服务运行在能访问外网的那个节点上,成功。 ...
kubernetes pod无法通信外网
TttRark的博客
09-09 1617
今日在测试pod内部通信外部网络时发现无法ping通测试访问www.baidu.com发现还是ping不通, 排查coredns是否有问题发现cm配置正常,排查coredns日志显示找不到地址通信,而不是连接超时,这时候就想到可能是防火墙未放开,一检查果然如此。由于我是测试环境,偷懒直接把防火墙关闭。再次测试,连接恢复正常!!
k8s pod通过域名访问外网
haylee的专栏
06-16 2658
k8s pod通过域名访问外网
K8S中Pod之间互相访问,外部访问如何访问Pod网络连接原理
热门推荐
xiphi_6的专栏
02-16 1万+
KubernetesPod之间互相访问,以及外部如何访问Pod中的业务的网络原理
Kubernetes_认证授权_静态Pod网关apiserver底层都是restful接口(UserAccount三种访问方式和打开外网)
毛毛的专栏
10-15 1405
静态Pod网关apiserver底层都是restful接口
k3s pod无法访问外部网络
bbccaaac的博客
05-04 1548
操作系统:centos7内核:3.10.0-957.el7.x86_64k3s版本: v1.25.7+k3s1。
pod访问外部mysql_Pod访问外部的域名配置
weixin_33741534的博客
01-19 1053
在实际应用中经常遇到Pod访问外部域名的状况,在Kubenetes 1.6以上的版本通过配置DNS configmap已经解决,详细的内容可以参考官方的https://kubernetes.io/docs/tasks/administer-cluster/dns-custom-nameservers/如果没有太多时间的化,可以参考下面这个图简单来说在dnsPolicy是ClusterFirst的...
K8S的POD容器内部访问外部虚拟IP
Dyeln的博客
10-21 2540
在k8s创建的容器内部,需要访问外部的虚拟IP可以在yaml中增加externalIPs对应的value为虚拟IP apiVersion: v1 kind: Service metadata: labels: app: zookeeper-service name: zookeeper-service spec: # type: NodePort ports: - name: zookeeper-port port: 2181 targetPort
k8s--集群内的pod调用集群外的服务
IT艺术家-rookie的博客
03-19 1279
直接使用Pod网络的话,需要知道Pod的IP,但Pod重启后IP会变,这可能不太稳定。另外,用户可能需要了解如何配置服务的Endpoints来指向外部服务的IP和端口,这样可以通过Kubernetes的服务发现机制来访问外部服务。我个人的场景是跑了一个后但服务的pod,但是数据库,redis在我自己的电脑上,在公司我的电脑和集群的电脑是可以直接通信的,所以使用方法1来解决。还需要考虑网络策略和防火墙的问题,确保Kubernetes集群的节点和外部服务的电脑之间的网络是通的,端口没有被防火墙阻止。
k8s新创建一个pod会新创建一个网络命名空间吗?
最新发布
05-07
# 禁止default命名空间外的Pod访问数据库 - from: - namespaceSelector: matchLabels: kubernetes.io/metadata.name: default ``` 3. **调试工具** 使用`nsenter`进入Pod网络命名空间调试网络问题: ```...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值