【k8s】Service代理模式之IPVS模式、无头服务、发布service五种类型、Fannel原理及Flannel vxlan类型

最新推荐文章于 2025-05-01 10:13:14 发布
最新推荐文章于 2025-05-01 10:13:14 发布
阅读量1.6k 收藏 7
点赞数 1
分类专栏: k8s
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/sl963216757/article/details/118571626
版权

一、k8s网络通信

  • k8s通过CNI接口接入其他插件来实现网络通讯。目前比较流行的插件有flannel,calico等。 CNI插件存放位置:# cat /etc/cni/net.d/10-flannel.conflist

插件使用的解决方案如下:

  • 虚拟网桥,虚拟网卡,多个容器共用一个虚拟网卡进行通信。
  • 多路复用:MacVLAN,多个容器共用一个物理网卡进行通信。
  • 硬件交换:SR-LOV,一个物理网卡可以虚拟出多个接口,这个性能最好。

容器间通信:同一个pod内的多个容器间的通信,通过lo回环网络接口即可实现;

pod之间的通信:
同一节点的pod之间通过cni网桥转发数据包。
不同节点的pod之间的通信需要网络插件支持。

pod和service通信: 通过iptables或ipvs实现通信,ipvs取代不了iptables,因为ipvs只能做负载均衡,而做不了nat转换。

pod和外网通信: iptables的MASQUERADE。

Service与集群外部客户端的通信:ingress、nodeport、loadbalancer

二、service与service代理

service官方文档

  • Service:Kubernetes Service 定义了这样一种抽象:逻辑上的一组 Pod,一种可以访问它们的策略 ,通常称为微服务。
  • 在 Kubernetes 集群中,每个 Node 运行一个 kube-proxy 进程。 kube-proxy 负责为 Service
    实现了一种 VIP(虚拟 IP)的形式,而不是 ExternalName 的形式。

01_ userspace 代理模式

  • 这种模式,kube-proxy 会监视 Kubernetes 控制平面对 Service 对象和 Endpoints对象的添加和移除操作。 对每个 Service,它会在本地 Node 上打开一个端口(随机选择)。任何连接到“代理端口”的请求,都会被代理到 Service 的后端 Pods 中的某个上面(如 Endpoints 所报告的一样)。
    使用哪个后端 Pod,是 kube-proxy 基于 SessionAffinity 来确定的。
  • 最后,它配置 iptables 规则,捕获到达该 Service 的 clusterIP(是虚拟 IP) 和 Port
    的请求,并重定向到代理端口,代理端口再代理请求到后端Pod。
  • 默认情况下,用户空间模式下的 kube-proxy 通过轮转算法选择后端。

02_iptables 代理模式

  • 这种模式,kube-proxy 会监视 Kubernetes 控制节点对 Service 对象和 Endpoints 对象的添加和移除。对每个 Service,它会配置 iptables 规则,从而捕获到达该 Service 的 clusterIP和端口的请求,进而将请求重定向到 Service 的一组后端中的某个 Pod 上面。 对于每个 Endpoints 对象,它也会配置iptables 规则,这个规则会选择一个后端组合。
  • 默认的策略是,kube-proxy 在 iptables 模式下随机选择一个后端。
  • 使用 iptables 处理流量具有较低的系统开销,因为流量由 Linux netfilter 处理,而无需在用户空间和内核空间之间切换。 这种方法也可能更可靠。
  • 如果 kube-proxy 在 iptables 模式下运行,并且所选的第一个 Pod 没有响应, 则连接失败。这与用户空间模式不同:在这种情况下,kube-proxy 将检测到与第一个 Pod 的连接已失败, 并会自动使用其他后端 Pod 重试。
  • 可以使用 Pod 就绪探测器 验证后端 Pod 可以正常工作,以便 iptables 模式下的 kube-proxy
    仅看到测试正常的后端。 这样做意味着你避免将流量通过 kube-proxy 发送到已知已失败的 Pod。

03 _IPVS模式

  • 在 ipvs 模式下,kube-proxy 监视 Kubernetes 服务和端点,调用 netlink 接口相应地创建 IPVS 规则,
    并定期将 IPVS 规则与 Kubernetes 服务和端点同步。 该控制循环可确保IPVS 状态与所需状态匹配。访问服务时,IPVS将流量定向到后端Pod之一。
  • IPVS代理模式基于类似于 iptables 模式的 netfilter 挂钩函数,但是使用哈希表作为基础数据结构,并且在内核空间中工作。 这意味着,与 iptables 模式下的 kube-proxy 相比,IPVS模式下的 kube-proxy 重定向通信的延迟要短,并且在同步代理规则时具有更好的性能。 与其他代理模式相比,IPVS模式还支持更高的网络流量吞吐量。
  • IPVS 提供了更多选项来平衡后端 Pod 的流量。
  • 要在 IPVS 模式下运行 kube-proxy,必须在启动 kube-proxy 之前使 IPVS 在节点上可用。
  • 当 kube-proxy 以 IPVS 代理模式启动时,它将验证 IPVS 内核模块是否可用。 如果未检测到 IPVS 内核模块,则kube-proxy 将退回到以 iptables 代理模式运行。
  • Service 是由 kube-proxy 组件,加上 iptables 来共同实现的.
  • kube-proxy 通过 iptables 处理 Service 的过程,需要在宿主机上设置相当多的 iptables
    规则,如果宿主机有大量的Pod,不断刷新iptables规则,会消耗大量的CPU资源。
  • IPVS模式的service,可以使K8s集群支持更多量级的Pod。

开启kube-proxy的ipvs模式:

  • 所有节点安装:
    yum install -y ipvsadm
  • master端修改为ipvs模式
    kubectl edit cm kube-proxy -n kube-system
mode: "ipvs"
  • master端更新kube-proxy
    kubectl get pod -n kube-system |grep kube-proxy | awk '{system("kubectl delete pod "$1" -n kube-system")}'
    在这里插入图片描述
  • 创建ipvs模式的service
    vim demo.yml
---
apiVersion: v1
kind: Service
metadata:
  name: myservice
spec:
  selector:
    app: myapp
  ports:
 - protocol: TCP
    port: 80
    targetPort: 80
---
apiVersion: apps/v1
kind: Deployment
metadata
最低0.47元/天 解锁文章
k8sService服务类型
YSTWD_WY的博客
12-27 2605
Service服务类型 Service代理模式 Service存在的意义 service引入主要是解决Pod的动态变化,提供统一访问入口: 防止Pod失联,准备找到提供同一个服务的Pod(服务发现) 定义一组Pod的访问策略(负载均衡) Pod与Service关系Service通过标签关联一组Pod Service使用iptables或者ipvs为一组Pod提供负载均衡能力 Kubernetes 中Service有如下4中类型: ClusterIP:默认类型,自动分配一个仅 Cluste
k8s 四种Service类型(ClusterIP、NodePort、LoadBalancer、ExternalName)详解
热门推荐
博客虽小,世界尽在其中
08-08 3万+
本文深入探讨了Kubernetes (k8s) 中Service资源的四种核心类型,每种类型均在设计上服务于不同的网络访问需求,为在Kubernetes集群内部及外部高效、灵活地暴露服务提供了强大支持。 ExternalName Service:本文首先介绍了ExternalName Service,这是一种特殊类型Service,它不提供负载均衡或代理功能,而是将集群内的服务名解析为集群外部的DNS名称。这种类型特别适用于需要将服务请求重定向到集群外部资源(如另一个集群中的服务或第三方SaaS服务)的
容器集群k8s从入门到精通之Service详解(第七章)
梦溪笔谈的博客
07-29 1732
第七章 Service详解 本章节主要介绍kubernetes的流量负载组件:ServiceIngress。 Service介绍 ​ 在kubernetes中,pod是应用程序的载体,我们可以通过pod的ip来访问应用程序,但是pod的ip地址不是固定的,这也就意味着不方便直接采用pod的ip对服务进行访问。 ​ 为了解决这个问题,kubernetes提供了Service资源,Service会对提供同一个服务的多个pod进行聚合,并且提供一个统一的入口地址。通过访问Service的入口地址就能
k8s kube-proxy ipvs
最新发布
fengcai_ke的博客
05-01 1042
默认情况下,kube-proxy使用iptables实现service ip到后端pod的转换,可以参考之前写的这篇,分析了iptables规则。也可以使用ipvs来实现,今天搞一下后者,在现有k8s环境上修改下kube-proxy的配置即可。
K8Sservice类型
屈帅波的技术博客
09-28 5271
概述 • 防止Pod失联(服务发现) • 定义一组Pod的访问策略(负载均衡) •支持ClusterIP,NodePort以及LoadBalancer三种类型Service的底层实现主要有iptablesipvs二种网络模式 如果要确保每次都将来自特定客户端的连接传递到同一Pod,可以通过设置service.spec.sessionAffinity为“ClientIP”(默认为“None...
k8s 三种 Service
牛肉胡辣汤
08-16 951
Kubernetes中,有三种类型Service用于暴露应用程序。
【Linux39-3 k8sService代理模式IPVS无头服务发布service四种类型、集群网络系统
weixin_46069582的博客
02-22 750
文章目录0 网络通信方式总结1. serviceservice代理1.1 userspace 代理模式1.2 iptables 代理模式1.3 IPVS模式2. 无头服务(Headless Services)3. 发布服务3.1 ClusterIP 类型(默认)3.2 NodePort 类型3.3 LoadBalancer 类型3.4 ExternalName 类型3.5 引入外部IP(externalIPs)4. 集群网络4.1 k8s 网络模型4.2 Flannel 模型4.3 Fannel工作原理4
K8S网络系列--Flannel网络下UDP、VXLAN模式的通信流程机制分析
菜鸟运维升级之路
12-01 1793
在传统的单机环境下,容器之间的网络通信相对简单,通常通过Docker默认的网桥模式就可以实现。然而,将容器部署到分布式的集群环境中时,跨主机的容器网络通信就成为了一个亟待解决的问题。因为在Docker的默认配置下,不同宿主机上的容器是无法直接通过IP地址进行互相访问的。这是因为每个宿主机上的Docker网络都是独立的,它们各自管理着自己的私有网段。这种隔离虽然在安全性方面有所裨益,但也阻碍了容器之间的直接通信。因此为了解决这个"跨主通信"的难题,容器社区提出了多种网络方案。
Kubernetes】二进制部署k8s集群之cni网络插件flannelcalico
weixin_68840588的博客
08-04 1229
二进制部署k8s
k8s系列02-kubeadm部署flannel网络的k8s集群
tinychen
05-24 2648
本文主要在centos7系统上基于dockerflannel组件部署v1.23.6版本的k8s原生集群,由于集群主要用于自己平时学习测试使用,加上资源有限,暂不涉及高可用部署。 此前写的一些关于k8s基础知识集群搭建的一些方案,有需要的同学可以看一下。 1、准备工作 1.1 flannel-集群节点信息 机器均为8C8G的虚拟机,硬盘为100G。 IP Hostname 10.31.8.1 tiny-flannel-master-8-1.k8s.tcinternal 10.31.8
k8s中的ipvs
ss810540895的博客
10-11 1867
当我们部署kube-prox时都会存在一个选择, 是选择ipvs模式还是iptables哪个好呢?也还存在其它的疑问外部流量访问到svc,然后svc跳转pod访问应用.svc怎么跳转访问pod的呢?kube-proxy实现svc到pod的访问负载均衡. 让我们带着问题阅读下面的文章。
k8sservice资源类型有ClusterIP、Nodeport、ExternalName、LoadBalancer、Headless(None)
Mr.ACO的专栏
06-15 5819
k8sservice资源类型有ClusterIP、Nodeport、ExternalName、LoadBalancer、Headless(None)
K8s-----(六)Service类型
qq_41582883的博客
02-27 1691
Service 是由 kube-proxy 组件,加上 iptables 来共同实现的. kube-proxy 通过 iptables 处理 Service 的过程,需要在宿主机上设置相当多的 iptables 规则,如果宿主机有大量的Pod,不断刷新iptables规则,会消耗大量的CPU资源 kubectl create deployment nginx --image=myapp:v1 --replicas=3 kubectl expose deployment nginx --port=80 ku
ServiceK8s 中的四种类型
weixin_66734746的博客
09-22 928
clusterIP 主要在每个 node 节点使用 iptables,将发向 clusterIP 对应端口的数据,转发到 kube-proxy 中。然后 kube-proxy 自己内部实现有负载均衡的方法,并可以查询到这个 service 下对应 pod 的地址端口,进而把数据转发给对应的 pod 的地址端口。
k8s系列十二】k8sService类型
BASK2311的博客
10-26 2995
svc有4中方式, 什么时候使用什么方式呢?看下面的图:当一个需求来了, 要判断倒是是那种场景是内部请求还是外部请求?如果是内部请求, 例如nginx想要请求tomcat, 使用clusterIP如果是外部请求, 需要判断是谁访问谁?是我想访问外部的mysql么?如果是, 我就要考虑是否要相对静态的ip给到内部, 如果需要使用ExternalName。
k8sService
huahua1999的博客
04-17 1万+
1、Service存在的意义: service引入主要是解决pod的动态变化,提供统一的访问入口: 1、防止pod失联,准备找到提供同一服务的pod(服务发现) 2、定义一组Pod的访问策略(负载均衡) 即访问流程应该是 在前端访问后端时,如果直接绑定pod的ip,当pod进行更新时,pod的ip也会变化,前端无法动态的感知后端的变化。 同时,还面临多个pod副本如何对外统一访问的问题 这里,就需要用到前面的服务发现与负载均衡的概念, 2、Pod与Service关系
k8sService负载均衡Service类型介绍
树下一少年的博客
12-02 3296
之前我们讲到的pod创建,里面有服务需要被集群内部访问或被外界访问,这样情况我们就需要借助service来为应用提供统一入口地址,他主要提供网络服务,将请求按负载均衡算法分发到各个容器。在访问时,pod的IP地址时会变化的,显然在pod提供稳定服务时不能通过IP地址去访问。
IPVSk8s中的使用
u010560161的博客
04-24 2684
一、IPVSk8s中的使用 二、IPVS的优点 1、底层hash算法,查找复杂度为O(1) 事先将所有路由存储到hash表,不像iptables底层O(0)的复杂度,需要一条条规则从上到下匹配,这样随着service的增多(nat规则增多),内核越来越忙,集群性能越来越差。 2、支持多种负载均衡策略 加权、最少连接、最小负载等 3、支持健康检查重试(后端pod异常重试去访问另一个后端pod) ...
k8sservice
weixin_43757555的博客
08-22 740
service定义了一种逻辑分组,通过label来确定组中的pod,service支持四层负载均 衡调度,不支持7层调度。 Service 的概念 Kubernetes Service 定义了这样一种抽象:一个 Pod 的逻辑分组,一种可以访问它们的策略 —— 通常称为微服务。 这一组 Pod 能够被 Service 访问到,通常是通过 Label Selector。 Service能够提供负载均衡的能力,但是在使用上有以下限制:只提供 4 层负载均衡能力,而没有 7 层功能,但有时我们可能需要更多的匹
k8sIPVS代理规则没有80端口
12-10
Kubernetes(k8s)中,IPVS(IP Virtual Server)是一个高性能的负载均衡器,用于在集群内部进行服务代理。如果你在使用IPVS时发现没有80端口的代理规则,可能有以下几个原因解决方法: ### 原因分析 1. **服务定义问题**: - 检查你的Kubernetes服务Service)定义,确保端口号设置为80。你可以使用以下命令查看服务定义: ```sh kubectl get service <service-name> -o yaml ``` 2. **IPVS配置问题**: - 确保IPVS的配置正确。你可以使用以下命令查看IPVS的规则: ```sh ipvsadm -L -n ``` 3. **节点端口(NodePort)问题**: - 如果你使用的是NodePort,确保节点端口配置正确,并且防火墙允许80端口的流量。 4. **防火墙问题**: - 检查防火墙规则,确保80端口的流量没有被阻止。 5. **IPVS版本问题**: - 确保你的IPVS版本支持你所使用的Kubernetes版本,并且配置正确。 ### 解决方法 1. **重新创建服务**: - 如果服务定义有问题,重新创建服务: ```sh kubectl delete service <service-name> kubectl create -f <service-definition.yaml> ``` 2. **检查IPVS配置**: - 手动添加IPVS规则,确保80端口的规则存在: ```sh ipvsadm -A -t <cluster-ip>:80 -s <scheduler> ipvsadm -a -t <cluster-ip>:80 -r <endpoint-ip>:80 -m ``` 3. **更新防火墙规则**: - 允许80端口的流量: ```sh sudo firewall-cmd --add-port=80/tcp --permanent sudo firewall-cmd --reload ``` 4. **升级IPVS**: - 如果版本问题,升级IPVS到最新版本: ```sh sudo apt-get update sudo apt-get install ipvsadm ``` ### 总结 通过以上步骤,你应该能够找到并解决k8sIPVS代理规则没有80端口的问题。如果问题依然存在,建议查看KubernetesIPVS的日志以获取更多信息。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值