CNCF x Alibaba云原生技术公开课 第十三四章 Kubernetes网络与Service

1、网络

容器的网络方案：underlay/overlay

• 统一网络对外服务的视角：perPodperIP

network namespace

• 基本属性【与主机网络是隔离的】
  • 拥有独立的附属网络设备（lo、veth等虚设备/物理网卡）
  • 独立的协议栈、IP地址和路由表
  • iptables规则
  • ipvs： ip virtual server, 运行在LVS下的提供负载平衡功能的一种技术
• pod内部共享一个网络空间，所有container通过pod的ip对外提供服务。
• 宿主机上的root namespace，属于一个特殊的网络空间，pid=1

Flannel网络方案

• 用户态udp
• 内核vxlan（性能好）：内核需要支持vxlan
• host-gateway

网络策略

• 基于策略的网络控制，可以隔离应用并减少攻击面。使用标签选择器模拟传统的分段网络，并通过策略控制内部流量和外部流量。
• 使用配置
  • apiserver需要开启extensions/v1beta1/networkpolicies
  • 网络插件需要支持network policy
    • https://www.cnblogs.com/tylerzhou/p/10995797.html
• 实现配置
  • 标签选择器：namespaceSelector和podSelector
  • 配置流方向和流特征
    • ingress
    • egress

Kubernetes 的 Pod 只能有且只能配置 1 个 IP 地址。（单选题）B
A. TRUE
B. FALSE
不准确，可以有多个IP地址，只是上报给CNI结果时候，只能报一个

Kubernetes network policy 只支持 TCP/UDP 作为协议字段值。（单选题）B
A. TRUE
B. FALSE
还支持stcp（alpha特性）， STCP（Scalable TCP）是TCP拥塞控制协议的一种

2、Service

服务发现的意义

• pod 生命周期是短暂的。在 pod 的生命周期过程中，比如它创建或销毁，它的 IP 地址都会发生变化
• pod 组需要提供一个统一的访问入口

service的YAML文件

• metadata：配置元信息
• spec.selector:Pod选择器
• spec.ports:协议和端口
  • targetPort是pod的端口
  • port是service虚拟IP对应的端口

service命令

• 创建：apply/create
• 查看：describe，可以看到虚拟ip和endpoints地址

集群内访问service

• 虚拟ip及端口
• 服务名：同一个namespace里面直接通过service名字去访问声明的service；不同的namespace，使用service名字+“.”+所在的namespace访问
• 通过环境变量访问：同一个namespace中，pod启动时k8s会将service的一些ip地址、端口和简单的配置，通过环境变量的方式放在k8s的pod里面，之后可以通过curl $取到环境变量的值

Headless Service

• service创建的时候，可以指定clusterIP：None，k8s就不会分配给这个service一个虚拟IP地址
• 集群的pod在访问service的过程中，core-dns直接解析service对应的所有pod的ip地址，集群的pod选择一个ip直接访问

集群外暴露service

• nodeport：在集群的node节点上暴露端口，通过端口转发到虚拟ip地址
• loadbalance：所有节点前挂一个负载均衡做统一入口，然后将流量负载均衡到每一个集群节点

基本原理

• 从集群内部的一个 Client Pod3 去访问 Service。Client Pod3 首先通过 Coredns 这里去解析出 ServiceIP，Coredns 会返回给它 ServiceName 所对应的 service IP 是什么，这个 Client Pod3 就会拿这个 Service IP 去做请求，它的请求到宿主机的网络之后，就会被 kube-proxy 所配置的 iptables 或者 IPVS 去做一层拦截处理，之后去负载均衡到每一个实际的后端 pod 上面去，这样就实现了一个负载均衡以及服务发现。
• 通过公网访问的一个请求。通过外部的一个负载均衡器 Cloud Controller Manager 去监听 service 的变化之后，去配置的一个负载均衡器，然后转发到节点上的一个 NodePort 上面去，NodePort 也会经过 kube-proxy 的一个配置的一个 iptables，把 NodePort 的流量转换成 ClusterIP，紧接着转换成后端的一个 pod 的 IP 地址，去做负载均衡以及服务发现。