Kubernetes 基本网络模型

最新推荐文章于 2025-08-18 15:16:15 发布
原创 最新推荐文章于 2025-08-18 15:16:15 发布 · 1k 阅读 · 18 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#kubernetes #网络 #容器

文章目录

Kubernetes 基本网络模型

Kubernetes 网络模型定义了 Pod、节点和服务之间的网络通信规则和要求。其目标是为容器化应用提供一致、灵活的网络环境。

基本要求

  1. 每个 Pod 有唯一的 IP 地址

    • Kubernetes 分配给每个 Pod 一个独立的 IP 地址(Pod IP),Pod 内的所有容器共享这个网络命名空间(netns)。
    • Pod 可以直接通过 IP 地址与其他 Pod 通信,无需 NAT。

  2. 所有 Pod 都可以直接相互通信

    • 不论 Pod 是否在同一节点上,都可以通过 Pod IP 实现无障碍通信。

  3. 节点上的所有 Pod 可以访问外部网络

    • Kubernetes 提供出口 NAT(SNAT),使 Pod 可以访问集群外部资源。

  4. 服务抽象(Service)提供了 Pod 的稳定访问

    • Kubernetes 使用 ClusterIP、NodePort 或 LoadBalancer 等机制,确保服务可以被其他服务或外部流量访问。
Kubernetes 网络实现的三个层次
  1. Node-to-Node 通信
    • 不同节点上的 Pod 能够通过 Overlay 网络或路由实现直接通信。
  2. Pod-to-Pod 通信
    • 在同一节点或跨节点,Pod 可以通过虚拟网络接口(veth pair)或其他网络插件实现通信。
  3. Service-to-Pod 通信
    • 服务通过 kube-proxy 或其他负载均衡机制将流量路由到目标 Pod。

Netns 探秘

Linux 的网络命名空间(Netns)是实现 Kubernetes 网络隔离的核心机制。

Netns 的定义
  • Netns 是 Linux 内核的一种隔离机制,它允许创建多个独立的网络堆栈实例,包括网络接口、路由表、iptables 等。
  • 每个容器或 Pod 都运行在一个独立的 Netns 中,实现网络环境的隔离。
Netns 的工作原理

  1. 主机网络命名空间(Root Netns)

    • 主机的默认网络命名空间,包含所有物理网卡和主机的网络堆栈。

  2. 容器网络命名空间

    • 每个容器有自己的网络命名空间,内含虚拟网络接口(veth pair),通过它与宿主机或其他网络命名空间通信。

  3. veth pair 机制

    • veth pair 是一对虚拟网络接口,类似一根网线的两端,一端连接容器的 Netns,另一端连接主机或网络插件。
    • 数据包在容器与主机之间通过 veth pair 传递。

  4. CNI 插件与 Netns

    • Kubernetes 使用 CNI(Container Network Interface) 插件创建和配置容器的网络命名空间。
    • 插件会负责为容器分配 IP 地址、设置路由和防火墙规则。

主流网络方案简介

Kubernetes 提供了网络插件架构,支持多种第三方网络方案来满足不同场景需求。

主流网络方案

  1. Flannel

    • 特点:简单、轻量级的 Overlay 网络,适合小型集群。
    • 实现方式:使用 VXLAN 或 Host-GW 进行 Pod 网络的 Overlay 实现。
    • 场景:适用于简单的 Pod 网络隔离场景。

  2. Calico

    • 特点:高性能的路由网络,支持网络策略(Network Policy),无 Overlay。
    • 实现方式:基于 BGP 实现路由分发,也支持 eBPF。
    • 场景:高性能、大规模集群,复杂的网络策略需求。

  3. Cilium

    • 特点:基于 eBPF 技术,性能优越,支持动态流量管理和细粒度的安全控制。
    • 实现方式:通过 eBPF 实现网络数据包的拦截和处理。
    • 场景:需要高性能和复杂网络安全控制的环境。

  4. Weave Net

    • 特点:支持跨云平台的 Overlay 网络,自动发现节点和 Pod。
    • 实现方式:通过 VXLAN 实现 Pod 网络连接。
    • 场景:多云环境或需要简单配置的场景。

  5. Kube-Router

    • 特点:集成网络路由、服务代理和网络策略功能的插件。
    • 实现方式:基于 IPVS 提供高效路由。
    • 场景:对路由和服务代理性能要求较高的集群。

  6. NSX-T(VMware 提供):

    • 特点:企业级网络方案,支持多租户和高级网络功能。
    • 实现方式:通过虚拟化和软件定义网络(SDN)技术实现。
    • 场景:需要多租户和复杂网络控制的企业环境。

Network Policy 的用处

Network Policy 是 Kubernetes 提供的一种网络安全机制,用于控制 Pod 之间的网络通信以及 Pod 与外部服务的访问。

Network Policy 的功能

  1. 限制 Pod 间的流量

    • 默认情况下,Kubernetes 中 Pod 之间是完全开放的。通过 Network Policy,可以限制哪些 Pod 可以与特定 Pod 通信。

  2. 管理 Pod 与外部网络的访问

    • 可以定义规则控制 Pod 是否允许访问外部网络或被外部网络访问。

  3. 提高集群的安全性

    • 防止未经授权的访问和潜在的网络攻击,尤其在多租户环境中。

  4. 实现多租户隔离

    • 在同一个集群中,确保不同租户的 Pod 流量彼此隔离。
Network Policy 的主要组件

  1. Pod Selector

    • 定义哪些 Pod 受该策略影响。

  2. Ingress(入站规则)

    • 定义允许哪些流量进入受策略影响的 Pod。

  3. Egress(出站规则)

    • 定义允许哪些流量从受策略影响的 Pod 发出。

  4. 规则作用范围

    • 规则可以基于命名空间、IP 地址范围、标签等。

示例
以下示例定义了一个 Network Policy,允许某些 Pod(具有 app: frontend 标签)只能接收来自 app: backend 的流量:

apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: allow-backend
  namespace: default
spec:
  podSelector:
    matchLabels:
      app: frontend
  ingress:
    - from:
        - podSelector:
            matchLabels:
              app: backend

总结

  1. Kubernetes 网络模型 强调 Pod IP 的统一性和直接通信,支持通过 CNI 插件实现灵活的网络架构。
  2. Netns 提供容器化环境下的网络隔离能力,通过 veth pair 和 CNI 插件实现连接。
  3. 主流网络方案(如 Flannel、Calico、Cilium)提供多样化选择,以适应不同的集群规模和性能需求。
  4. Network Policy 是实现网络安全的核心工具,用于精细控制 Pod 的网络流量,提高集群的安全性和隔离性。
p-knowledge
关注
【K8S系列】第六讲:Kubernetes网络模型
颜淡慕潇
10-28 8783
iptables规则监视发往服务虚拟的流量IP,并从一组可用的Pod中随机选择一个Pod IP地址,并且iptables规则将数据包的目标IP地址从服务的虚拟IP更改为所选Pod的IP。第三个网络是Pod的网络, K8s中一个Pod由多个容器组成,但是一个pod只有一个IP地址,Pod中所有的容器共享同一个IP。为了解决Pod IP地址不是持久性的,可能会进行更改,k8s采用service对pod进行抽象,集群节点所在的网络,这个网络就是你的主机所在的网络,通常情况下是你的网络基础设施提供。
探索云原生领域Kubernetes网络模型
AI云原生与云计算技术学院
06-23 983
随着云原生技术的快速发展,Kubernetes已经成为容器编排和管理的事实标准。Kubernetes网络模型是其核心组成部分之一,它负责解决容器之间、Pod之间以及Pod与外部世界的通信问题。本文的目的是深入探索Kubernetes网络模型,包括其原理、架构、实现方式以及实际应用场景。范围涵盖了Kubernetes网络模型的各个方面,从基础概念到具体实现,再到实际应用案例。
Kubernetes 网络模型
weixin_60197334的博客
03-15 1408
通过这两天的学习,大概理解了 k8s 网络模型的整体结构,对容器容器的通信、pod 到 pod的通信、pod 到服务之间的通信过程有了基本的了解,知道了通信过程中需要哪些工具、组件,怎样工作完成的通信。同时对集群外部通信的三种方式:NodePort、Load Balancer 和 Ingress原理也有了基本了解,知道请求数据进入集群后的发送过程是怎样的,用到了哪些工具、组件,通信的过程是怎样的,每种方式的优缺点是什么。
Kubernetes网络模型概述
云原生Java Web领域技术博客
01-17 1356
Kubernetes网络模型设计的一个基础原则是:每个Pod都拥有一个独立的IP地址,并假定所有Pod都在一个可以直接连通的、扁平的网络空间中。所以不管这些Pod是否运行在同一个Node中,都要求它们可以直接通过对方的IP进行访问。由于Kubernetes网络模型假设Pod之间访问时使用的是对方Pod的实际地址,所以一个Pod内部的应用程序看到的自己的IP地址和端口与集群内其他Pod看到的一样。
Kubernetes-网络模型理解
博然的宝藏库
01-21 592
2、需要让需要与主机的命名空间的POD可以与其它命名空间的POD通信。1、直接和主机一个网络命民空间的Pod可以与其它命名空间的POD通信。*那么这句话的意思就是Pod 与 不同节点上的pod必须有来回的明细路由。所有可以看到所有的CNI插件为了满足上面的3个要求选择的网络方案基本都大同小异。四、节点上的容器运行时与CNI插件与kubelet是怎么样的关系?2、Kubelet只管管理插件,具体的活是有想要的插件供应商来做。kubelet通过CRI与容器运行时交互,请求启动Pod中的容器
详解Kubernetes网络模型
wanger5354的博客
07-01 740
Kubernetes 是为运行分布式集群而建立的,分布式系统的本质使得网络成为 Kubernetes 的核心和必要组成部分,了解 Kubernetes 网络模型可以使你能够正确运行、监控和排查应用程序故障。网络所涉及的内容很多,拥有许多成熟的技术。对于不熟悉的人来说可能会非常痛苦,因为大多数人对网络都有先入为主的观念,并且有很多新旧概念需要理解并组合成一个连贯的整体。所说的网络可能包括网络命名空间、虚拟接口、IP 转发和网络地址转换等技术。本指南旨在通过讨论每种 Kubernetes 相关技术以及如何使用这
Kubernetes网络模型
linus.lin的博客
08-15 1498
Kubernetes 用来在集群上运行分布式系统。分布式系统的本质使得网络组件在 Kubernetes 中是至关重要也不可或缺的。理解 Kubernetes网络模型可以帮助你更好的在 Kubernetes 上运行、监控、诊断你的应用程序。网络是一个很宽泛的领域,其中有许多成熟的技术。对于不熟悉网络整体背景的人而言,要将各种新的概念、旧的概念放到一起来理解(例如,网络名称空间、虚拟网卡、IP forwarding、网络地址转换等),并融汇贯通,是一个非常困难的事情。
Kubernetes--Kubernetes网络模型
GaoChuang_的博客
11-09 592
一、Kubernetes网络模型 kubernetes网络模型设计的一个基础原则是:每个pod都拥有一个独立的IP地址,并假定所有的Pod都在一个可以直接连通、扁平的网络空间。所以不管它们是否运行在同一个Node(宿主机)中,都要求它们可以直接通过对方的IP进行访问。设计这个原则是,用户不需要额外考虑如何建立Pod之间的联系,也不需要考虑如何将容器端口映射到主机端口问题。 实际,在Kubernetes的世界里,IP是以Pod为单位进行分配的。一个Pod内部的所有容器共享一个网络堆栈(相...
Kubernetes(五)网络模型
傅红雪的专栏
05-04 554
建议先学习Docker容器技术网路原理再来学这篇文章。 本文将主要分享以下 4 方面的内容: Kubernetes 基本网络模型; Netns 探秘; 主流网络方案简介; Network Policy 的用处。 1. Kubernetes网络模型 本节来介绍一下 Kubernetes网络模型的一些想法。大家知道 Kubernetes 对于网络具体实现方案,没有什么限制,也没有给出特别好的参考案例。Kubernetes 对一个容器网络是否合格做出了限制,也就是 Kubernetes容器网络
kubernetes基础和网络模型
u011447403的专栏
04-28 378
Kubernetes,简称`k8s`(因为k和s之间有8个字符),是一种诞生于谷歌内部的开源的容器编排引擎,用来对容器化应用进行自动化部署、 扩缩和管理。目前托管在云原生计算基金会 CNCF(Cloud Native Computing Foundation)。
Kubernetes主要网络概念汇总
weixin_46619605的博客
11-22 1178
Kubernetes主要网络概念汇总
深度解读Kubernetes网络模型与访问管理关键技术及其应用场景
03-24
内容概要:本文详细探讨了Kubernetes网络模型基本概念、不同层次的Pod通信方式、常用网络插件以及访问管理相关的重要机制。网络模型部分介绍了每个Pod的唯一IP地址、同一Node和跨Node间Pod通信方法,并列举了几种...
kubernetes网络模型
08-10
Kubernetes网络模型是一种用于在集群中连接和管理容器的方法。Kubernetes提供了一组核心网络概念,例如Pod,Service和Ingress,来帮助管理网络流量和容器间通信。 Pod是Kubernetes中最小的可管理单位,通常由一个...
k8s+kubeedge的混合框架下,云端pod与边缘端pod如何进行通信?
m0_37843156的博客
08-16 405
在同一个k8s pod当中,有pause进程还有一个或多个容器共享一个网络命名空间,pause之间进行通信主要依赖2个设备,一个是虚拟网络设备,它的一端接在pod网络命名空间里面,另外一端接在宿主机的网络命名空间里面,这是一个全局的网络命名空间,然后在宿主机的这一端又接在了网桥设备,这个网桥设备又会把报文发送到相连的另外一个pod上的虚拟网络设备,从而通过虚拟网络设备发送到另外的一个pod当中,也就是说这个虚拟网络设备就是虚线的圈,类似于一个网线的2端。
k8s注意事项
码二哥的技术池
08-15 221
在 Dockerfile 中,设置了 echo “source activate mytest” > ~/.bashrc 配置了自动激活,只在docker 创建的容器中生效,容器启动时会默认进入conda的mytest虚拟环境中。args: [“source /opt/conda/bin/activate mytest && 执行xxx程序”]但 Kubernetes 启动容器时使用的是非交互式 shell,默认不会加载 .bashrc,因此环境没有被激活。command 或者args中设置。
kubeadm方式部署k8s集群
最新发布
mynameisjinxiaokai的博客
08-18 374
访问 Dashboard:http://localhost:8001/api/v1/namespaces/kubernetes-dashboard/services/https:kubernetes-dashboard:/proxy/,粘贴令牌登录。通过以上步骤,可搭建一个基础的多节点 Kubernetes 集群,适合测试和生产环境(生产环境建议配置 3 个控制平面节点实现高可用)。硬件:2 CPU、2GB 内存(控制平面),1 CPU、1GB 内存(工作节点,生产建议更高)服务器要求(每台节点)
k8s1.28.2集群部署istioctl的1.20.0版本(X86架构)
大新新大浩浩的博客
08-15 343
记录一下在k8s1.28.2集群部署istioctl的1.20.0版本的过程(X86架构)
重温k8s基础概念知识系列四(服务、负载均衡和联网)
tigerhhzz的博客
08-18 1065
最常用的servicemetadata:spec:selector:ports:port: 80name: httpmetadata:spec:rules:- http:paths:backend:service:name: testport:number: 80host: 可选参数,一般都会配置我们自己的域名。path: 一个路径对应一个serviceName和一个Portbackend: path对应的后端是谁。
自建K8s集群无缝集成阿里云RAM完整指南
TechEnthusiast的博客
08-18 152
分阶段迁移:从非核心业务开始全面监控:OIDC+RAM+业务三层监控自动化验证:CI/CD集成迁移验证熔断机制:自动回滚保障安全团队协作:开发、运维、安全共同参与。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值