k8s网络与本地开发环境网络互通方案(一)

最新推荐文章于 2024-11-14 02:10:20 发布
原创 最新推荐文章于 2024-11-14 02:10:20 发布 · 4.1k 阅读 · 5 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文探讨了解决Kubernetes集群内外网络隔离的问题,提出了三种可行的解决方案:配置本机静态路由表、在路由器上设置静态路由表以及采用桥接VPN的方式。这些方案能够帮助开发人员更便捷地访问集群内的服务。

现状

k8s集群内是有一套完整网络环境,我们不能直接通过IP访问到k8s集群内的pod 或者service,只能通过nodeport 或者ingress 才能访问到服务.

痛点

开发人员进行微服务开发的时候需要通过服务发现进行Pod级服务的直接访问,但是现在k8s网络没办法做到直接访问pod 或者service的ip

解决方案

对于打通k8s网络与我们的开发网络根据k8s node 机器所在的网络情况 有以下几种方案:

  1. 本机静态路由表
  2. 路由器配置静态路由表
  3. VPN 桥接接入

1. 本机静态路由表

当 k8s node 所在网络与开发网络在同一个子网内时,可以通过配置本机的静态路由表 直接访问到k8s集群内pod 以及service
由于 k8s node 节点上都自动开启了 内核路由转发功能的,所以只要配置静态路由表 转发到 任意一台node 节点即可,操作如下:
k8s 集群环境:

node:  192.168.1.10/24 ,192.168.1.11/24
pod cidr: 192.168.100.0/24
service cidr : 192.168.101.0/24

windows 添加静态路由表命令

route add 192.168.100.0 mask 255.255.255.0 192.168.1.10
route add 192.168.101.0 mask 255.255.255.0 192.168.1.10

2. 在路由器上设置静态表

第一种设置只能针对本机有效,如果想让在该网络内所有机器都可以直接访问k8s集群内 pod service的话,可以在路由器的静态路由表中增加静态路由
网络 192.168.100.0 子网掩码 255.255.255.0 网关 192.168.1.10
网络 192.168.101.0 子网掩码 255.255.255.0 网关 192.168.1.10

3. 桥接VPN

当k8s 和本地开发环境网络不在同一个 局域网内的话, 就没有办法做到通过静态路由进行转发
只能
如果正常在k8s集群内部署一个vpn的话 只能实现 开发环境访问k8s集群内 正常,但是无法实现集群内访问开发环境的集群,所以需要 采用桥接VPN+ 静态路由 双重策略下,才能实现互相都可以直接使用ip进行访问
详细配置方案参考下一篇文章
k8s网络与本地开发环境网络互通方案(二)-桥接VPN

Kubernetes(简称 K8s)是个基于容器技术的分布式架构方案
靡不有初,鲜克有终
07-19 490
它由谷歌开发并开源,旨在简化应用程序的部署和管理过程。- **ApiServer**:资源操作的唯入口,提供认证、授权、API注册和发现等机制。- **Kubelet**:维护容器的生命周期,控制 Docker 来创建、更新、销毁容器。- **调度**:调度调优,调度框架,策略,Limit Range,Resource Quota。- **Controller**:控制器,用于管理 Pod,如启动、停止、伸缩数量等。- **Pod**:Kubernetes 的最小控制单元,容器运行在 Pod 中。
打通本地网络k8s pod网络,提效微服务相互调用
云原生运维的博客
04-24 872
根据这步的输出获取client.ovpn配置文件,然后使用openvpn软件连接即可。最近在开发微服务,有个别本地需要调用开发k8s集群中的pod。故使用vpn方式打通本地和pod网络。4、连接vpn即可访问pod网络。2、修改values.yaml。1、下载helm chart。
k8s集群内网办公网络打通
lx_1314的博客
07-19 1029
k8s集群内网办公网络打通。
办公环境下k8s网络互通方案
baoduanmeng2665的博客
09-04 815
在 kubernetes 的网络模型中,基于官方默认的 CNI 网络插件 Flannel,这种 Overlay Network(覆盖网络)可以轻松的实现 pod 间网络互通。当我们把基于 spring cloud 的微服务迁移到 k8s 中后,无须任何改动,微服务 pod 可以通过 Eureka 注册后可以互相轻松访问。 但是实际使用中,我们出现了以下需求: 1.办公室网络 和...
基于k8s搭建开发环境(附多集群切换)
lvwkpt的博客
06-02 1632
kubernetes、kt-connect、docker、yaml、分布式开发
Kubernetes集群内外的网络连通性
魂醉的一亩二分地
06-04 1026
Kubernetes集群中包含多种对象,如Node, Container, Pod, Service等,这里主要总结Kubernetes集群中的各种对象的网络连通性。大致可以分为Kubernetes集群内部的各对象之间的网络连通性,以及Kubernetes集群内部的对象对集群外部的网络可见性。 对于前者,又可以细分为Pod内部的多个容器实例之间的网络连通性、不同Pods之间的网络连通性、PodService之间的网络连通性,以及ServiceService之间的连通性,我们将在本文中详细论述。 对于
跨网段实现内网互通_办公环境下 kubernetes 网络互通方案
weixin_39630106的博客
11-26 1992
在 kubernetes 的网络模型中,基于官方默认的 CNI 网络插件 Flannel,这种 Overlay Network(覆盖网络)可以轻松的实现 pod 间网络互通。当我们把基于 spring cloud 的微服务迁移到 k8s 中后,无须任何改动,微服务 pod 可以通过 Eureka 注册后可以互相轻松访问。除此之外,我们可以通过 ingress + ingress controll...
个人开发环境下和k8s集群内svc,pod网络互通
sltin的博客
08-23 6056
现有暴漏模式 在 kubernetes 的网络模型中,基于官方默认的 CNI 网络插件 Flannel,这种 Overlay Network(覆盖网络)可以轻松的实现 pod 间网络互通。我们还可以通过 ingress + ingress controller 将用户请求流量引入到集群服务中 。 实际使用中,我们可能会出现以下需求: 1、办公室网络k8s pod 网络不通。开发在电脑完成...
k8s 的 CNI 网络模型
ChaITSimpleLove的博客
03-07 2525
CNI 全称是 Container Network Interface,即容器网络的 API 接口。CNI 是由 CoreOS 提出的容器网络规范,使用了插件(Pugin) 模型创建容器的网络栈,k8s 网络采用的就是这个 CNI 网络模型规范; 它是 K8s 中标准的个调用网络实现的接口。Kubelet 通过这个标准的 API 来调用不同的网络插件以实现不同的网络配置方式。 CNI 插件就是实现了系列的 CNI API 接口。
局域网Kubernetes内部网络如何互通
程序员半支烟,wechat:yclxiao
04-26 816
本文主要讲了K8S网络基础知识、局域网K8S网络如何打通,希望对你有帮助。
kubernets 集群和本地环境联调环境打通工具kt-connect
全栈工程师开发手册(原创)https://github.com/tencentmusic/cube-studio
10-28 5179
官方github:https://github.com/alibaba/kt-connect 本地linux安装 $ pip install sshuttle $ curl -OL https://rdc-incubators.oss-cn-beijing.aliyuncs.com/stable/ktctl_linux_amd64.tar.gz $ tar -xzvf ktctl_linux_am...
k8s本地联调神器kt-connect
马丁早上起不来
11-23 565
k8s本地联调神器kt-connect
本地连接远程k8s集群
weixin_45422660的博客
05-30 1277
本地远程连接kubernetes集群
【Kubernetes】k8s网络概念和实操详细说明【k8s网络策略networkpolicy】【含docker不同容器网络互通配置,k8s网络互通配置】【2】
崔崇鑫的博客,你linux/云运维工作中的百科全书。
10-29 6489
文章目录calico网络之间通信配置【docker容器互通流程配置】做网络策略前的网络测试环境准备测试镜像准备搭建套svc出来测试pod创建svc为ClusterIP类型svc为LoadBalancer网络策略【Network Policy】【k8s网络】概述基本原理Network Policy对象Spec说明【yaml文件代码说明】默认规则实例说明默认禁止所有入pod流量(Default deny all ingress traffic)默认允许所有入pod流量(Default allow all i
内网服务器加入k8s集群上——创建虚拟局域网
qq_32166165的博客
02-16 2011
随着k8s集群上个部署的项目增多,服务器cpu、内存已经达到瓶颈,经常卡顿。正当需要给集群扩容时发现公司有5台16核32G的闲置服务器,都可以上外网但是没有公网ip,都是NAT内网环境,http也被ISP屏蔽。 现有集群部署在腾讯云上有公网环境的,于是master节点当网关和路由创建虚拟局域网(vpn)完成互联,让公司的服务器加入集群。 这是简化的拓扑结构 、环境准备:三台主机都安装centos7,实验内核版本 3.10.0-1160.15.2.el7.x86_64 1、所有主机关闭...
K8S CNI:打通虚拟网络(vxlan)和二层网络(macvlan)
flynetcn的专栏
11-14 654
如何打通 K8s 虚拟网络(flannel vxlan 网络)和 K8s 2层网络(macvlan网络
k8s实践15:docker网桥和pod连接网络结构
chadansheng4806的博客
06-26 962
1.1使用到的组件 network namespace bridge veth pair 注意事项:所有命令都是在集群master节点操作测试. 1.2 network namespace 执行命令ip netns会显示创建的network namespace如果显示空白,请做link,命令见下: [root@k8s-master2 ~]# ln -s /var/run/docker/netns/...
k8s基础
u014225032的博客
01-03 2263
k8s安装步骤
k8s网络
xigua_yyyyy的博客
12-16 357
k8s网络模型 网络的命名空间:Linux在网络栈中引入网络命名空间,将独立的网络协议栈隔离到不同的命令空间中,彼此间无法通信;docker利用这特性,实现不容器间的网络隔离。 Veth设备对:也叫虚拟网络接口对。Veth设备对的引入是为了实现在不同网络命名空间的通信。 Iptables/Netfilter:Netfilter负责在内核中执行各种挂接的规则(过滤、修改、丢弃等),运行在内核 模式中;Iptables模式是在用户模式下运行的进程,负责协助维护内核中Netfilter的各种规则表;
简单介绍K8S网络模型VXLAN概念
最新发布
03-20
<think>好的,用户现在想让我简单介绍下Kubernetes中的VXLAN网络模型。先回顾下之前的对话历史,用户之前问过关于kubeadm init命令的参数解释,现在转向网络模型,可能是在搭建集群时遇到了网络配置的问题,或者想更深入了解Kubernetes的网络机制。 首先,我需要确认用户对Kubernetes网络的基础了解程度。VXLAN属于比较底层的网络技术,可能需要先简要说明Kubernetes网络模型的基本需求,比如Pod之间如何通信,以及为什么需要Overlay网络。 用户可能的问题场景是:在部署集群时,特别是跨主机网络通信时,遇到Pod无法互通的情况,或者对Flannel、Calico等网络插件的工作原理感兴趣。VXLAN是这些插件常用的种技术,所以用户可能想了解其基本原理,以便更好地调试或选择适合的网络方案。 接下来需要解释VXLAN的概念,但要避免过于技术化。需要分解成几个部分:什么是VXLAN,它解决的问题,工作原理,以及在Kubernetes中的具体应用。同时,可能需要对比其他网络模型,比如host-gw或者BGP,帮助用户理解不同方案的优缺点。 用户可能没有说出来的深层需求是希望了解如何选择适合自己环境的网络插件,或者遇到网络问题时如何排查。因此,在介绍VXLAN时,应该提到它的优缺点,比如性能开销和跨网络能力,这样用户可以根据自己的基础设施(比如是否在云环境、是否需要跨子网)做出决策。 另外,用户可能对VXLAN的具体实现细节感兴趣,比如如何封装数据包,VTEP的作用,以及Kubernetes中如何使用VXLAN。需要确保解释清晰,同时不涉及太多复杂的网络术语,或者如果使用术语,要给出简单易懂的解释。 最后,应该结合Kubernetes的实际用例,比如Flannel的VXLAN模式,说明其配置和使用方法,以及可能需要注意的问题,比如MTU设置对性能的影响。这样用户不仅了解理论,还能联系实际应用。 总结下来,回答的结构应该是:定义VXLAN,解决的问题,核心原理,在K8S中的应用,优缺点,以及典型使用场景。这样用户能够全面理解,并应用到实际环境中。</think>### Kubernetes 中 VXLAN 网络模型的核心概念 VXLAN(Virtual Extensible LAN,虚拟可扩展局域网)是 Kubernetes 中 **Overlay 网络**的典型实现技术,主要用于解决跨主机的容器网络通信问题。以下是其核心要点解析: --- #### 、**VXLAN 要解决的问题** 1. **容器跨节点通信** 当 Pod 分布在多个物理节点时,传统二层网络无法直接路由容器 IP 地址,VXLAN 通过**封装隧道**实现跨三层网络的虚拟二层互联。 2. **突破 VLAN 数量限制** 传统 VLAN 仅有 4094 个 ID,而 VXLAN 的 **24 位标识符**可支持约 1600 万隔离网络段(符合云计算多租户需求)。 3. **网络地址复用** 不同物理网络可使用相同的 IP 地址段,通过 VXLAN 隔离(例如:多集群环境)。 --- #### 二、**核心工作原理** 1. **数据包封装** - **原始帧封装**:将 Pod 发出的原始以太网帧(包含源/目标容器 IP)封装到 UDP 数据包中 - **外层头添加**:添加新的 IP 头(源/目标宿主机 IP)和 VXLAN 头(包含 VNI 标识符) - **示意图**: $$ \text{Pod数据帧} \rightarrow \boxed{\text{VXLAN头}+ \text{外网IP头} + \text{UDP头}} \rightarrow \text{物理网络传输} $$ 2. **VTEP(VXLAN Tunnel Endpoint)** - 每个宿主机上的虚拟隧道端点,负责封装/解封装 VXLAN 数据包 - 通过 **UDP 4789 端口**(IANA 标准端口)通信 3. **VNI(VXLAN Network Identifier)** - 24 位的虚拟网络标识符,用于区分不同租户或网络段 - 类似 VLAN ID,但数量级大幅扩展 --- #### 三、**在 Kubernetes 中的典型应用** 1. **Flannel 的 VXLAN 模式** - 为每个节点分配子网,通过 VXLAN 隧道打通跨节点 Pod 通信 - 通过 `flannel.1` 虚拟网桥实现数据封装 - **配置示例**(Flannel 配置文件片段): ```yaml net-conf.json: | { "Network": "10.244.0.0/16", "Backend": { "Type": "vxlan", "VNI": 1, "Port": 8472 # Flannel 默认使用 8472 而非标准 4789 } } ``` 2. **Calico 的 VXLAN 模式** - 默认使用 BGP 路由协议,在需要跨子网时可切换至 VXLAN 模式 - 通过 `vxlan.calico` 接口实现封装 --- #### 四、**关键优势代价** | **优势** | **代价** | |----------------------------------|-----------------------------| | ✅ 突破物理网络拓扑限制 | ❌ 封装开销导致约 10-20% 带宽损耗 | | ✅ 支持大规模多租户隔离 | ❌ MTU 需要调整(通常设为 1450) | | ✅ 无需底层网络设备特殊配置 | ❌ 需要防火墙开放 UDP 端口 | --- #### 五、**典型应用场景** 1. **混合云/跨数据中心组网** 例如:AWS 本地 IDC 的 Kubernetes 集群互联 2. **物理网络不可控的环境** 当无法配置 BGP 或修改交换机时,VXLAN 成为首选方案 3. **多租户隔离需求** 通过不同 VNI 隔离开发/测试/生产环境 --- ### 操作建议 1. **网络性能敏感场景**:优先考虑 **host-gw** 模式(要求节点二层互通) 2. **大规模集群**:建议测试 **VXLAN+ECMP** 组合方案(如 Calico) 3. **故障排查工具**: - `tcpdump` 抓取 `flannel.1` 或 `vxlan.calico` 接口流量 - `ip -d link show` 查看 VXLAN 隧道配置详情
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值