笔记-网络篇

Docker网络:可以在docker run的时候指定

bridge:这是Docker默认的网络驱动,此模式会为每一个容器分配Network Namespace和设置IP等,并将容器连接到一个虚拟网桥上。

如果未指定网络驱动,这默认使用此驱动。

1、安装docker的时候默认会启动一个docker0的虚拟网桥  docker network inspect bridge可以查看容器ip范围以及网关

2、创建容器的时候宿主机会创建虚拟网卡 veth pair ,成对出现,一端容器中eth0,另一端放在宿主机的dcoker0,以veth

为前 缀的名字命名 使用brctl show 查看

3、向外通讯的时候使用-p参数绑定主机的端口,采用NAT模式向外发送报文

NAT:网络地址转换,下一层封装上一层的ip信息进行伪装并且记录ip供报文返回寻找源ip

容器使用虚拟网卡eth0--veth--->docker0(网桥)---->eth0(宿主机的)

host:此网络驱动直接使用宿主机的网络。

none:此驱动不构造网络环境。采用了none 网络驱动,那么就只能使用loopback网络设备,容器只能使用127.0.0.1的本机网络

joined containers:使用某个已经存在的容器的网络命名空间

------------------------------------------------------------------------------------------------------------------------

overlay:此网络驱动可以使多个Docker daemons连接在一起,并能够使用swarm服务之间进行通讯。也可以使用overlay网络进行

swarm服务和容器之间、容器之间进行通讯

macvlan:此网络允许为容器指定一个MAC地址,允许容器作为网络中的物理设备,这样Docker daemon就可以通过MAC地址进行访问的

路由。对于希望直接连接网络网络的遗留应用,这种网络驱动有时可能是最好的选择。

Network plugins:可以安装和使用第三方的网络插件。可以在Docker Store或第三方供应商处获取这些插件

------------------------------------------------------------------------------------------------------------------------

kubernets网络模式

1、容器与容器之间的通信

每一个pod启动都会创建一个pause容器,该容器负责为pod提供统一的网络空间其他容器绑定该容器的网络命名空间,容器间使用

通讯localhost

2、Pod和Pod之间的通信

需要网络插件(cni)解决常用的有flannel(网络分配)、calico(提供网络策略)、目前组合使用

flannel:(不支持容器间网络策略,默认用的vxlan传输机制)一个为k8s提供叠加网络(overlay)的插件

采用L3 Overlay模式设计flannel, 规定宿主机下各个Pod属于同一个子网,不同宿主机下的Pod属于不同的子网

flannel会在每一个宿主机上运行名为flanneld代理,其负责为宿主机预先分配一个子网,并为Pod分配IP地址

使用Kubernetes或etcd来存储网络配置、分配的子网和主机公共IP等信息

数据包则通过VXLAN、UDP或host-gw这些类型的后端机制进行转发

VxLAN:可扩展虚拟局域网,使用内核中的vxlan模块封装报文,推荐使用方式

directrouting模式:vxlan使用隧道网络转发叠加网络的报文势必会造成不少的流量开销,所以设计的该模式,仅

仅在主机跨二层网络时才采取隧道方式转发通讯,其余时候直接采用二层网络转发pod报文,

从而省去隧道首部开销。

宿主机二层直达的时候会采取route模式其他使用vxlan,(集群规模不超过200台)

iptables -nL 查看forword链

ip route show 查看路由规则

UDP:使用普通udp报文封装完成隧道转发,性能低。

host-gw:通过在节点上创建目标地址的路由来完成报文的转发,性能好,但需要主机在同一个二层网络中,大型集群无

法满足

flannel运行过程:

1)设置集群网络

flannel默认使用etcd作为配置和协调中心,首先使用etcd设置集群的整体网络。通过如下的命令能够查询网络配置

信息:

etcdctl ls /coreos.com/network/config (安装etcd工具)

2)设置Node节点上的子网

基于在etcd中设置的网络,flannel为每一个Node分配IP子网。

获取子网列表etcdctl ls /coreos.com/network/subnets

获取子网信息etcdctl ls /coreos.com/network/subnets/{IP网段}

3)在每个Node上启动flannelid

flannel在每个Node上启动了一个flanneld的服务,在flanneld启动后,将从etcd中读取配置信息,并请求获取子网

的租约。所有Node上的flanneld都依赖etcd cluster来做集中配置服务,etcd保证了所有node上flanned所看到的配

置是一致 的。同时每个node上的flanned监听etcd上的数据变化,实时感知集群中node的变化。flanneld一旦获取

子网租约、配置后端后,会将一些信息写入/run/flannel/subnet.env文件

cat /var/run/flannel/subnet.env

4)创建虚拟网卡

在Node节点上,会创建一个名为flannel.1的虚拟网卡 ip addr show flannel.1

5)创建Docker网桥

并为容器配置名为docker0的网桥,实际是通过修改Docker的启动参数–bip来实现的。通过这种方式,为每个节点

的Docker0网桥设置在整个集群范围内唯一的网段,从保证创建出来的Pod的IP地址是唯一。

ip addr show docker0

6)修改路由表

flannel会对路由表进行修改,从而能够实现容器跨主机的通信

数据传递过程:container源--->docker0网桥(本机)--->flannel.1虚拟网卡(本机)--->宿主机eth0网卡--->目标主机

eth0网卡--->flannel.1虚拟网卡(目标)--->docker0网桥(目标)--->container目标

ip route查看路由规则

calico:bgp协议方式 ipip(三层隧道)提供网络策略

通过定义NetworkPolicy资源来进行

networkpolicy,定义时候ingress和egress 如果定义了生效又没有定义规则则执行默认(都拒绝)

拒绝所有出入站规则,放行本地namesapce的通信,其他的单独定义。

3、Pod和service之间的通信

通过iptables规则中得到serviceip代理的其中一个pod的ip进行通讯

------------------------------------------------------------------------------------------------------------------------

service

service:service为一组pod提供一个统一的代理服务ip解决了podip经常变化的问题,并且提供负载均衡。

service负载均衡策略设置:

service可以通过servicename解析需要强依赖coredns组件

kube-proxy:监听集群中的对 api-server 中的 service & endpoint 进行 watch ,一旦检测到更新则往 iptables 里全量推送

新的转发规则

mode参数:控制使用iptables或者ipvs

iptables和ipvs

ipvs:IPVS为大型集群提供了更好的可扩展性和性能。

IPVS支持比iptables更复杂的负载平衡算法(最小负载,最少连接,位置,加权等)。

IPVS支持服务器健康检查和连接重试等

service有四种类型

ExternalName:用来做集群外部服务引用的,需要externalIPs参数等

ClusterIP:通过集群的内部 IP 暴露服务,选择该值,服务只能够在集群内部可以访问,这也是默认的 ServiceType

NodePort:通过每个 Node 上的 IP 和静态端口(NodePort)暴露服务

LoadBalancer:使用云提供商的负载局衡器,可以向外部暴露服务

------------------------------------------------------------------------------------------------------------------------

Ingress

Service虽然解决了服务发现和负载均衡的问题,但它在使用上还是有一些限制

只支持4层负载均衡,没有7层功能

对外访问时,NodePort类型需要在外部搭建额外的负载均衡,而LoadBalancer要求kubernetes必须跑在支持的cloud provider上

ingress controller

ngress controller通过与kubernetes API交互,动态的去感知集群中Ingress规则变化,然后读取它,按照它自己的模板生成一

段nginx配置,再写到nginx Pod中,最后reload以下

ingress:

就是一段nginx负载的配置文件

三种常用的模式

1:ingress-controller service

2:Traefik 微云应用而生无需重启操作

3:Envoy(服务网格目前习惯使用的 查看)

------------------------------------------------------------------------------------------------------------------------

网络策略:networkpolicy

------------------------------------------------------------------------------------------------------------------------

虚拟机设置静态ip

编辑ifcfg-eno16777736文件

#static assignment

NM_CONTROLLED=no #表示该接口将通过该配置文件进行设置,而不是通过网络管理器进行管理

ONBOOT=yes #开机启动

BOOTPROTO=static #静态IP

IPADDR=192.168.1.122 #本机地址

NETMASK=255.255.255.0 #子网掩码

GATEWAY=192.168.1.1 #默认网关

------------------------------------------------------------------------------------------------------------------------

隧道网络:

二层虚拟化网络:只识别MAC地址,不识IP地址

三层虚拟化网络:不但识别MAC地址,还能把MAC帧中的IP地址

core-dns:提供域名解析服务

flannel:负责集群的网络分配

calico:负责集群的网络策略

NAT:网络地址转换

macvlan:网卡虚拟化方案,它可以为一张物理网卡设置多个mac地址,相当于物理网卡施展了影分身之术,由一个变多个,同时要求物理

网卡打开混杂模式。

vxlan:虚拟可扩展局域网,是一种 overlay 网络技术

Overlay网络:一种网络架构上叠加的虚拟化技术模式,叠加网络

MTU值:数据链路层提供租后的mtu值,用来保证vxlan报文的顺利传输,

你可能感兴趣的:(笔记-网络篇)