【K8S系列】Kubernetes的网络模型

  

目录

 一、k8s的三种网络

二、service网络

 2.1 netfilter

2.2 iptables 

2.3 clustip 

---

 一、k8s的三种网络

Node Network: 与外部网络接口

Service Network： ipvs规则当中的网络、路由提供调度

 Pod Network： 节点当中pod的内部网络无法与外界通信

其中：

Node Network： 集群节点所在的网络，这个网络就是你的主机所在的网络，通常情况下是你的网络基础设施提供。

如果node处于不同的网段，那么你需要保证路由可达。如上图中的 192.168.10.0/24和10.0.0.0/8这两个网络

Service Network：第二个是K8S服务网络, service_cluster_ip_range（如图，默认的配置是的10.0.0.1/24)

在上图中，扩充的节点（基础网络是10.0.0.0/8)和 服务网络（10.0.0.1/24)冲突，会造网络问题。

Pod Network：第三个网络是Pod的网络， K8s中一个Pod由多个容器组成，但是一个pod只有一个IP地址，Pod中所有的容器共享同一个IP。

       这个IP启动pod时从一个IP池中分配的， 叫做 pod CIDR, 或者叫network_cidr（如图，默认配置是10.1.0.0/16)。 可以在配置文件中配置。

kubernetes对于pod的网络定制了下列三个要求，所有网络插件支持这几个要求即可：

• 所有节点上所有的pod可以互相通信，并且不依赖NAT
• 节点上的进程可以和该节点上的所有pod通信
• 运行在主机网络空间下的pod可以和所有节点上的所有pod互相通信，并且不依赖NAT

注意： 一个Pod会包含多个container， 但是这些containers共享一个网路IP，也就是说，Container A如果占了80， Container B就不能用80 了。
 

用一个pod

优点：

• 在同一个pod，将关系紧密的容器放在一起，通过挂载同一数据卷来共享数据
• 共享网络，内部相互调用访问更高效

缺点：

• 共享网络，每个容器的端口需要规划
• 一个容器需要升级，会影响到整个pod滚动升级

二、service网络

为了解决Pod IP地址不是持久性的，可能会进行更改，k8s采用service对pod进行抽象，

service为pod组提供虚拟ip，任何路由到这个虚拟ip的，都将转发到对应关联的pod上，而且service还提供高可用与负载均衡

 2.1 netfilter

为了在群集内执行负载平衡，Kubernetes依赖于Linux内置的网络框架netfilter；

Netfilter是Linux提供的框架，它允许以自定义处理程序的形式实现与网络相关的各种操作。数据包筛选，网络地址转换和端口转换的操作，提供了通过网络引导数据包所需的功能，并提供了禁止数据包到达计算机网络内敏感位置的功能。

2.2 iptables 

默认采用iptables，其是一个用户空间程序，它提供了一个基于表的系统，用于定义netfilter模块的处理和转换数据包的规则；

iptables规则监视发往服务虚拟的流量IP，并从一组可用的Pod中随机选择一个Pod IP地址，并且iptables规则将数据包的目标IP地址从服务的虚拟IP更改为所选Pod的IP。

2.3 clustip 

nodeport，在node上面开启一个监听端口，负责将service暴露给外面访问，通过访问这个service的这个端口可以确认访问这个service，会有iptables做地址转换
pod去访问service是需要通过宿主机的，不然没法通过宿主机的内核net_filter模块做nat地址转换

 如上图：

• 数据包通过eth0离开pod1
• 数据包来到网桥，arp协议不了解服务，发往默认路由eth0
• 在到达eth0前，iptables改写目标ip为特点的pod ip，并记录下来这次的pod选择，以便将来的相同事件

基于 IP-per-Pod 的基本网络原则，Kubernetes 设计出了 Pod - Deployment - Service 这样经典的 3 层服务访问机制，极大地方便开发者在 Kubernetes 部署自己的服务。在生产实践中，可以根据自己的业务需要选择合适的 CNI 插件。