CNCF x Alibaba云原生技术公开课 第十三四章 Kubernetes网络与Service

1、网络

容器的网络方案:underlay/overlay

  • 统一网络对外服务的视角:perPodperIP

network namespace

  • 基本属性【与主机网络是隔离的】
    • 拥有独立的附属网络设备(lo、veth等虚设备/物理网卡)
    • 独立的协议栈、IP地址和路由表
    • iptables规则
    • ipvs: ip virtual server, 运行在LVS下的提供负载平衡功能的一种技术
  • pod内部共享一个网络空间,所有container通过pod的ip对外提供服务。
  • 宿主机上的root namespace,属于一个特殊的网络空间,pid=1

Flannel网络方案

  • 用户态udp
  • 内核vxlan(性能好):内核需要支持vxlan
  • host-gateway

网络策略

  • 基于策略的网络控制,可以隔离应用并减少攻击面。使用标签选择器模拟传统的分段网络,并通过策略控制内部流量和外部流量。
  • 使用配置
    • apiserver需要开启extensions/v1beta1/networkpolicies
    • 网络插件需要支持network policy
      • https://www.cnblogs.com/tylerzhou/p/10995797.html
  • 实现配置
    • 标签选择器:namespaceSelector和podSelector
    • 配置流方向和流特征
      • ingress
      • egress

Kubernetes 的 Pod 只能有且只能配置 1 个 IP 地址。(单选题)B
A. TRUE
B. FALSE
不准确,可以有多个IP地址,只是上报给CNI结果时候,只能报一个

Kubernetes network policy 只支持 TCP/UDP 作为协议字段值。(单选题)B
A. TRUE
B. FALSE
还支持stcp(alpha特性), STCP(Scalable TCP)是TCP拥塞控制协议的一种

2、Service

服务发现的意义

  • pod 生命周期是短暂的。在 pod 的生命周期过程中,比如它创建或销毁,它的 IP 地址都会发生变化
  • pod 组需要提供一个统一的访问入口

service的YAML文件

  • metadata:配置元信息
  • spec.selector:Pod选择器
  • spec.ports:协议和端口
    • targetPort是pod的端口
    • port是service虚拟IP对应的端口

service命令

  • 创建:apply/create
  • 查看:describe,可以看到虚拟ip和endpoints地址

集群内访问service

  • 虚拟ip及端口
  • 服务名:同一个namespace里面直接通过service名字去访问声明的service;不同的namespace,使用service名字+“.”+所在的namespace访问
  • 通过环境变量访问:同一个namespace中,pod启动时k8s会将service的一些ip地址、端口和简单的配置,通过环境变量的方式放在k8s的pod里面,之后可以通过curl $取到环境变量的值

Headless Service

  • service创建的时候,可以指定clusterIP:None,k8s就不会分配给这个service一个虚拟IP地址
  • 集群的pod在访问service的过程中,core-dns直接解析service对应的所有pod的ip地址,集群的pod选择一个ip直接访问

集群外暴露service

  • nodeport:在集群的node节点上暴露端口,通过端口转发到虚拟ip地址
  • loadbalance:所有节点前挂一个负载均衡做统一入口,然后将流量负载均衡到每一个集群节点

基本原理

  • 从集群内部的一个 Client Pod3 去访问 Service。Client Pod3 首先通过 Coredns 这里去解析出 ServiceIP,Coredns 会返回给它 ServiceName 所对应的 service IP 是什么,这个 Client Pod3 就会拿这个 Service IP 去做请求,它的请求到宿主机的网络之后,就会被 kube-proxy 所配置的 iptables 或者 IPVS 去做一层拦截处理,之后去负载均衡到每一个实际的后端 pod 上面去,这样就实现了一个负载均衡以及服务发现。
  • 通过公网访问的一个请求。通过外部的一个负载均衡器 Cloud Controller Manager 去监听 service 的变化之后,去配置的一个负载均衡器,然后转发到节点上的一个 NodePort 上面去,NodePort 也会经过 kube-proxy 的一个配置的一个 iptables,把 NodePort 的流量转换成 ClusterIP,紧接着转换成后端的一个 pod 的 IP 地址,去做负载均衡以及服务发现。

你可能感兴趣的:(读书笔记,#,K8s,网络,云原生,kubernetes)