Weave Net Policy Controller(Weave NPC)设计与实现解析
项目地址: https://gitcode.com/gh_mirrors/weave4/weave 概述
Weave Net Policy Controller(简称Weave NPC)是Weave Net项目中负责实现Kubernetes网络策略的核心组件。本文将深入解析其设计原理和实现机制,帮助读者理解网络策略在容器网络中的执行过程。
IPsets机制解析
IPsets是Linux内核提供的高效IP地址集合管理机制,Weave NPC利用它来优化策略匹配性能。
IPsets类型及作用
Weave NPC维护以下几种关键IPsets:
-
命名空间级别IPsets:
- 每个命名空间维护两个
hash:ip集合:- 允许默认入站流量的Pod IP集合
- 允许默认出站流量的Pod IP集合
- 每个命名空间维护两个
-
策略相关IPsets:
list:set类型:存储匹配特定命名空间选择器的IPset集合hash:ip类型:存储匹配Pod选择器的IP地址hash:net类型:存储网络策略中定义的CIDR例外列表
IPsets命名与生命周期
IPset名称通过SHA哈希算法生成,格式为weave-前缀加上base85编码的哈希值。这种设计解决了:
- 内核限制:IPset名称长度不超过31字符
- 命名冲突:相同选择器在不同命名空间会生成不同IPset
IPset生命周期完全由控制器自动管理,响应Kubernetes API事件(Pod创建/删除、策略变更等)。
iptables规则架构
Weave NPC构建了一个多层次的iptables规则体系,实现精细化的流量控制。
入站流量处理链
-
WEAVE-NPC主链:
- 静态规则处理已建立连接
- 新连接依次通过默认策略链和自定义策略链
-
WEAVE-NPC-DEFAULT链:
- 为
DefaultAllow命名空间设置自动放行规则 - 提前终止符合默认允许策略的流量
- 为
-
WEAVE-NPC-INGRESS链:
- 实现具体网络策略的匹配规则
- 组合匹配源IPset、目标IPset和端口条件
出站流量处理链
-
WEAVE-NPC-EGRESS主链:
- 类似入站链处理已建立连接
- 新连接依次通过默认出站链和自定义策略链
- 最终未匹配策略的流量被丢弃
-
WEAVE-NPC-EGRESS-DEFAULT链:
- 处理
DefaultAllow命名空间的出站流量 - 使用标记机制避免重复处理
- 处理
-
WEAVE-NPC-EGRESS-CUSTOM链:
- 实现出站策略的具体匹配规则
流量引导机制
Weave NPC通过以下iptables规则将特定流量导入策略引擎:
iptables -A INPUT -i weave -j WEAVE-NPC-EGRESS
iptables -A FORWARD -i weave -j WEAVE-NPC-EGRESS
iptables -A FORWARD -o weave -j WEAVE-NPC
受影响的流量类型
- 本地容器间的桥接流量
- 从路由器到本地容器的流量
- 通过NodePort访问服务的入站流量
不受影响的流量
- 容器到路由器的出站流量
- 主机网络命名空间产生的流量
- 容器直接访问互联网的流量
该机制依赖br_netfilter内核模块,需要确保/proc/sys/net/bridge/bridge-nf-call-iptables启用。
实现要点
-
性能优化:
- 使用IPset减少规则数量
- 哈希查找替代线性匹配
- 默认策略提前终止机制
-
可靠性保障:
- 状态跟踪处理已建立连接
- 标记机制避免策略循环
-
扩展性设计:
- 动态响应Kubernetes资源变更
- 自动化的IPset生命周期管理
总结
Weave NPC通过精心设计的IPset和iptables规则组合,实现了高效的Kubernetes网络策略执行。其架构充分考虑了性能、可靠性和扩展性,为容器网络提供了企业级的安全策略能力。理解这些底层机制有助于运维人员更好地调试网络策略问题,也为开发者扩展网络功能提供了参考。
创作声明:本文部分内容由AI辅助生成(AIGC),仅供参考
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
