一文搞懂Kubernetes网络策略(下)

最新推荐文章于 2025-02-26 16:58:45 发布
最新推荐文章于 2025-02-26 16:58:45 发布
阅读量2.7k 收藏 1
点赞数 2
分类专栏: Kubernetes 文章标签: kubernetes
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/zouyee/article/details/112638083
版权

从CNCF基金会的成立,到Kubernetes社区蓬勃发展,历经6载,17年异军突起,在mesos、swarm等项目角逐中,拔得头筹,继而一统容器编排,其成功的关键原因可概括为以下几点:

  • 项目领导者们的坚守与远见
  • 社区的良好的运作与社区文化
  • 社区与企业落地的正反馈

今天zouyee为大家带来《一文搞懂Kubernetes网络策略(下)》,其中《kuberneter调度由浅入深:框架》正在编写中,敬请期待,当前涉及版本均为1.20.+

四、NetworkPolicy 开发

​ 实现一个支持 Network Policy 的网络扩展需要至少包含两个组件

  • CNI 网络插件:负责给 Pod 配置网络接口
  • Policy controller:监听 Network Policy 的变化,并将 Policy 应用到相应的网络接口

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-LM10DPQi-1610629792292)(https://github.com/feiskyer/kubernetes-handbook/raw/master/plugins/images/policy-controller.jpg)]

性能测试

下图基于Kubernetes 1.19版本测试了以下特性:

1)MTU auto config

2) 带宽性能: Pod to Pod、Pod to Service(TCP、UDP)

3)资源消耗: Pod to Pod、Pod to Service(TCP、UDP)

4)安全特性:Network Policies、 Encryption等

Image for post

calico其他详细的能力说明,可参看官网。

五、未来展望
a. SCTP特性

支持版本: Kubernetes v1.19 [beta]

作为一个 Beta 特性,SCTP 默认是被启用的。 要在集群层面禁用 SCTP,需要为 kube-apiserver关闭特性--feature-gates=SCTPSupport=false,... 以禁用 SCTP 。 启用该特性后,用户可以将 NetworkPolicy 的 protocol 字段设置为 SCTP

⚠️ CNI插件需要支持SCTP协议

b. 待开发

截止Kubernetes v1.20 ,NetworkPolicy API 还不支持下述功能。

  • 强制集群内部流量经过某公用网关(可通过服务网格或其他代理来实现)
  • 与 TLS 相关的场景(可使用服务网格或者 Ingress 控制器)
  • 实现适用于所有名字空间或 Pods 的默认策略(如calico)
  • 高级的策略查询或者策略验证相关工具(如calico)
  • 在同一策略声明中选择目标端口范围的能力
  • 生成网络安全事件日志的能力(例如,被阻塞或接收的连接请求)
  • 禁止本地回路或指向宿主的网络流量(Pod 目前无法阻塞 localhost 访问, 它们也无法禁止来自所在节点的访问请求)。

上述需求可以通过操作系统组件(如 SELinux、OpenVSwitch、IPTables 等) 或者七层技术(Ingress 控制器、服务网格实现)及准入控制器进行功能增强,当然有兴趣的可以参考calico及OPA项目。

后续相关内容,请查看公众号:DCOS

六、参考文档
一文搞懂 Kubernetes Pod:从原理到实战的全面指南
TechEnthusiast的博客
03-23 113
本文将带你深入探索 K8s Pod,从基础概念到实际操作,全方位解析,助你轻松驾驭 Pod 在 K8s 中的应用。随着云原生技术的不断发展,对 Pod 的优化和创新也在持续进行,持续关注和学习相关知识,将使我们在云原生开发领域始终保持领先。在实际的 K8s 项目中,合理运用 Pod 的特性,将有助于构建高效、稳定的容器化应用。在这个多容器 Pod 中,后端和前端容器紧密协作,通过 Pod 共享的网络命名空间进行通信,共同为用户提供完整的 Web 应用服务。命令查看 Pod 的状态,使用。
一文搞懂K8s工作负载:原理、类型与实战应用
最新发布
TechEnthusiast的博客
03-26 169
总结K8s工作负载是构建和管理容器化应用的关键,不同类型的工作负载适用于不同的应用场景。Pod作为基础单元,提供了容器的组合方式;Deployment用于无状态应用的部署与更新;StatefulSet满足有状态应用的需求;DaemonSet确保集群节点都运行特定服务。合理使用这些工作负载类型,能让我们在K8s集群中高效部署和管理各类应用。注意事项在使用工作负载时,要根据应用的特性选择合适的类型,避免错误使用导致应用运行异常。例如,将有状态应用用Deployment管理,可能会导致数据丢失或一致性问题。
详解K8S网络模型(包含Service讲解)
天然玩家的博客
07-05 4759
核心: (1)集群中的每个Pod会在集群范围内获取自己唯一的IP地址,Pod间通信无需建立连接,无需考虑端口映射; (2)Service是将一系列Pod应用暴露为网络服务的一种方法,即通过Service访问Pod; (3)代理模式有3种:用户空间代理模式、iptables代理模式和IPVs代理模式; (4)Kubernetes允许在Service对象中配置多个端口; (5)流量分配策略Cluster和Local两种方式,Cluster:流量分发到就绪的Endpoint;Local流量只分发到本机Endpo
Kubernetes基础】k8s各组件功能-基于kubeadm和containerd搭建k8s
gjjumin的专栏
07-23 1409
Kubernetes网络代理,运行在node上,它反映了node上Kube-apiserver中定义的服务,并可以通过一组后端进行简单的TCP/UDP和SCTP流转发或者在一组后端进行循环TCP/UDP/SCTP转发;规则时具有更好的性能,此外,ipvs为负载均衡提供了更多调度算法,如:rr(轮询调度)、lc(最小连接数)、dh(目标哈希)、sh(源哈希)、sed(最短期望延迟)、nq(不排队调度)等。
Kubernetes----资源清单配置详解(1.14.2)
cyfblog的博客
09-16 3147
文章目录一、pod.spec配置1、spec.affinity:亲和性和反亲和性配置1.1、spec.affinity.nodeAffinity1.2、spec.affinity.podAffinity1.2、spec.affinity.podAntiAffinity2、spec.containers2.1、spec.containers.ports2.2、spec.containers.env2...
带你玩转kubernetes-k8s(第47篇:深入分析k8s网络原理[在K8s中使用网络插件)
坚持的道路注定孤独
08-21 1414
Kubernetes目前支持两种网络插件的实现。 ◎ CNI插件:根据CNI规范实现其接口,以与插件提供者进行对接。 ◎ kubenet插件:使用bridge和host-local CNI插件实现一个基本的cbr0。 为了在Kubernetes集群中使用网络插件,需要在kubelet服务的启动参数上设置下面两个参数。 ◎ --network-plugin-dir:kubelet启动时扫描网络插件的...
kubernetes/k8s概念】kube-proxy启动参数
zhonglinzhang
01-08 9210
kubernetes 1.12.1版本 Desc The Kubernetes network proxy runs on each node. This reflects services as defined in the Kubernetes API on each node and can do simpleTCP, UDP, and SCTP stream fo...
一文搞懂Kubernetes网络策略()
公众号
01-13 918
从CNCF基金会的成立,到Kubernetes社区蓬勃发展,历经6载,17年异军突起,在mesos、swarm等项目角逐中,拔得头筹,继而一统容器编排,其成功的关键原因可概括为以下几点: 项目领导者们的坚守与远见 社区的良好的运作与社区文化 社区与企业落地的正反馈 今天zouyee为大家带来《一文搞懂Kubernetes网络策略()》,其中《kuberneter调度由浅入深:框架》正在编写中,敬请期待,当前涉及版本均为1.20.+。 一、Network Policy简介 ​ 随着微服务架构的日渐盛行
Kubernetes NetworkPolicy 网络策略浅析
DwanCloud
03-30 973
Kubernetes 中,NetworkPolicy 是一种用于控制 Pod 之间网络通信的资源对象。它允许用户定义一组规则,规定哪些 Pod 可以相互通信,从而实现网络隔离和安全性。NetworkPolicy 基于标签选择器来识别应用策略的 Pod,并使用入站(Ingress)和出站(Egress)规则来控制流量,提供Pod级别和 Namespace级别网络访问控制基于标签选择器:通过标签选择器来选择应用策略的 Pod。入站和出站规则:定义允许的入站和出站流量规则。
k8s中pod的调度策略之pod的亲和性调度与反亲和性调度 一文搞懂 k8s中创建的pod如何调度?
soso678的博客
02-26 1626
接上文写的Node亲和性调度https://blog.youkuaiyun.com/soso678/article/details/144777397。
Kubernetes
rabies的博客
10-16 450
Kubernetes Kubernetes是什么? Kubernetes 是一个可移植的、可扩展的开源平台,用于管理容器化的工作负载和服务,可促进声明式配置和自动化。Kubernetes 拥有一个庞大且快速增长的生态系统。Kubernetes 的服务、支持和工具广泛可用。 容器部署时代:容器类似于 VM,但是它们具有轻量级的隔离属性,可以在应用程序之间共享操作系统(OS)。因此,容器被认为是轻量级的。容器与 VM 类似,具有自己的文件系统、CPU、内存、进程空间等。由于它们与基础架构分离.
Kubernetes 1.20:最优秀、美妙、酷的版本
lfcncf的博客
12-09 1650
你填了吗?2020年CNCF中国云原生问卷 问卷链接(https://www.wjx.cn/jq/97146486.aspx) 作者:Kubernetes 1.20发布团队 我们很高兴地宣布Kubernetes 1.20的发布,这是我们在2020年发布的第三个也是最终的版本!这个版本包含了42个增强:11个增强已经稳定,15个增强进入beta,16个增强进入alpha。 在上一个扩展的发布周期之后,1.20的发布周期又回到了11周的正常节奏。这是一段时间以来功能最密集的版本之一:Kubernetes的创
Kubernetes 的基本概念和术语(整理)
辉辉的博客
02-23 542
备注:整理自 《Kubernetes 权威指南(第4版)》 目录 1、Master 2、Node 3、Pod 4、Label 5、Replication Controller 6、Deployment 7、Horizontal Pod Autoscaler 8、StatefulSet 9、Service 10、Job 11、Volume 12、Persistent Volume 13、Namespace 14、Annotation 15、ConfigMap 1、Mast.
云原生(十九) | Kubernetes篇之Kubernetes(k8s)网络
Lansonli(蓝深李)的博客
06-07 1455
Kubernetes 网络解决四方面的问题: 一个 Pod 中的容器之间通过本地回路(loopback)通信。 集群网络在不同 pod 之间提供通信。Pod和Pod之间互通 Service 资源允许你对外暴露 Pods 中运行的应用程序,以支持来自于集群外部的访问。Service和Pod要通 可以使用 Services 来发布仅供集群内部使用的服务。...............
kubernetes/k8s源码分析】kube proxy源码分析
zhonglinzhang
05-03 5234
本文再次于2018年11月15日再次编辑,基于1.12版本,包括IPVS 序言 kube-proxy管理sevice的Endpoints,service对外暴露一个Virtual IP(Cluster IP), 集群内Cluster IP:Port就能访问到集群内对应的serivce下的Pod。 service是通过Selector选择的一组Pods的服务抽象 kube-prox...
kubernetes详解05】-Pod详解之Pod配置
桂安俊@KylinOS
05-04 3744
说明:详细介绍Pod资源的各种配置(yaml)和原理 一、Pod介绍之结构和定义 1、Pod结构 如上图(Pod结构图),每个Pod中都可以包含一个或者多个容器,这些容器可以分为两类: 用户程序所在的容器,数量可多可少 Pause容器,这是每个Pod都会有的一个根容器,根容器是在pod控制器创建的时候就自动生成的,它的作用有两个: 可以以它为依据,评估整个Pod的健康状态 可以在根容器上设置Ip地址,其它容器都共享......
使用 SCTP 优化网络
职场里拉开差距的不是知识,而是认知!
03-29 2776
流控制传输协议(Stream Control Transmission Protocol,SCTP)是一种可靠的传输协议,它在两个端点之间提供稳定、有序的数据传递服务(非常类似于 TCP),并且可以保护数据消息边界(例如 UDP)。然而,与 TCP 和 UDP 不同,SCTP 是通过多宿主(Multi-homing)和多流(Multi-streaming)功能提供这些收益的,这两种功能均可提高
面试必备:一文读懂DNS:网络知识扫盲
网络知识扫盲,一文搞懂DNS,是求职面试中不容忽视的基础考察内容。DNS(Domain Name System),即域名解析系统,是互联网通信的核心组成部分,它将人类易于记忆的域名转换为机器可理解的IP地址,使得我们在浏览器中...
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值