1. Kubernetes 网络模型

在 Kubernetes 的网络模型中,最小的网络单位是 Pod。Pod 的网络设计原则是 IP-per-Pod,即 Pod 中 container 共享同一套网络协议栈,具有相同的网络命名空间。Pod 内的 container 通过 localhost + port 访问,类似于 Liunx 中进程访问的方式。构建 Kubernetes 的 Pod 网络模型如下:
 
Kubernetes 对集群网络的设计原则有:
  • 所有容器都可以不用 NAT 和别的容器通信。
  • 所有节点都可以不用 NAT 和所有容器通信,反之亦然。
  • 容器的地址和外部看到的地址是同一个地址。
 
回顾前面文章,容器在 Docker 环境下访问外网是通过 NAT 的,NAT 会增加端口管理的复杂性,而且在外部看不到实际容器的 ip。这里的设计原则避开了这些点,它使得 Pod 可以被看作独立的“虚拟机”,从而较好的进行服务发现,域名解析,负载均衡等。

2. 单节点 Pod 访问

单节点构建 pod,实现 pod 内 container 的相互访问。
 
创建 pod:
$ cat deployment.yaml

apiVersion: apps/v1

kind: Deployment

metadata:

  name: deployment

spec:

  replicas: 1

  selector:

    matchLabels:

      app: web_server

  template:

    metadata:

      labels:

        app: web_server

    spec:

      containers:

      - name: httpd-test

        image: httpd

      - name: bootcamp-test

        image: bootcamp:v1

$ kubectl apply -f deployment.yaml

deployment.apps/deployment created

$ kubectl get pods

NAME                          READY   STATUS    RESTARTS   AGE

deployment-595bb7bd6c-6jxwr   2/2     Running   0          44s
 
pod 包括两个 container httpd 和 bootcamp。其中,httpd 监听在 80 端口,bootcamp 监听在 8080 端口:
$ netstat -ntlp | grep 80

tcp        0      0 0.0.0.0:80              0.0.0.0:*               LISTEN      10204/httpd

tcp6       0      0 :::8080                 :::*                    LISTEN      10077/node

$ ps aux | grep 10077 | grep -v grep

root     10077  0.0  0.9 708220 23720 ?        Sl   09:32   0:00 node server.js

$ ps aux | grep 10204 | grep -v grep

root     10204  0.0  0.1   5940  4360 ?        Ss   09:32   0:00 httpd -DFOREGROUND
 
进入 pod ,从 pod 中访问 container:
$ kubectl exec -it deployment-595bb7bd6c-6jxwr /bin/bash

Defaulting container name to bootcamp-test.

Use 'kubectl describe pod/deployment-595bb7bd6c-6jxwr -n default' to see all of the containers in this pod.

root@deployment-595bb7bd6c-6jxwr:/# ip a

1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000

    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00

    inet 127.0.0.1/8 scope host lo

       valid_lft forever preferred_lft forever

10: eth0@if11: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP group default

    link/ether 02:42:ac:12:00:05 brd ff:ff:ff:ff:ff:ff

    inet 172.18.0.5/24 brd 172.18.0.255 scope global eth0

       valid_lft forever preferred_lft forever

root@deployment-595bb7bd6c-6jxwr:/# curl 172.18.0.5:8080

Hello Kubernetes bootcamp! | Running on: deployment-595bb7bd6c-6jxwr | v=1

root@deployment-595bb7bd6c-6jxwr:/# curl 172.18.0.5:80

<html><body><h1>It works!</h1></body></html>
可以看到,进入 pod 实际上进入的是 pod 内的 container,在 continer 内通过 ip + port 实现 httpd 和 bootcamp 的访问。 
 
同理,直接在 node 上访问 pod:
$ curl 172.18.0.5:8080

Hello Kubernetes bootcamp! | Running on: deployment-595bb7bd6c-6jxwr | v=1

$ curl 172.18.0.5:80

<html><body><h1>It works!</h1></body></html>

$ curl 172.18.0.5:8081

curl: (7) Failed to connect to 172.18.0.5 port 8081: Connection refused

3. Pod 网络模型

上节实现了 pod 内 container 的相互访问,那么 container 是怎么访问到“外网”的呢?
 
带着这个问题我们查看和 deployment 相关的 container:
$ docker ps | grep deployment

24adb2a738f4        httpd                  "httpd-foreground"       Up 6 minutes    k8s_httpd-test_deployment-..

1339d17223d8        8fafd8af70e9           "/bin/sh -c 'node se…"   Up 7 minutes    k8s_bootcamp-test_deployment-..

c86a97fff88b        k8s.gcr.io/pause:3.1   "/pause"                 Up 7 minutes    k8s_POD_deployment-...
 
和期望的不一样,多了一个“pause”类型的 container。查看这三个容器的网络命名空间:
$ mkdir -p /var/run/netns

$ docker inspect --format '{{ .State.Pid }}' 24adb2a738f4

8349

$ docker inspect --format '{{ .State.Pid }}' 1339d17223d8

8189

$ docker inspect --format '{{ .State.Pid }}' c86a97fff88b

8100

$ ln -s /proc/8349/ns/net /var/run/netns/httpd

$ ln -s /proc/8189/ns/net /var/run/netns/bootcamp

$ ln -s /proc/8100/ns/net /var/run/netns/pause

$ ip netns list

pause (id: 3)

bootcamp (id: 3)

httpd (id: 3)

$ ip netns exec httpd ls -la /proc/self/ns/

lrwxrwxrwx 1 root root 0 Jan 17 08:37 net -> 'net:[4026532636]'

...

$ ip netns exec bootcamp ls -la /proc/self/ns/

lrwxrwxrwx 1 root root 0 Jan 17 08:37 net -> 'net:[4026532636]'

...

$ ip netns exec pause ls -la /proc/self/ns/

lrwxrwxrwx 1 root root 0 Jan 17 08:37 net -> 'net:[4026532636]'

...
 
它们具有相同的网络命名空间,进一步的查看容器对应的网络类型:
$ docker inspect 24adb2a738f4 | grep NetworkMode

            "NetworkMode": "container:c86a97fff88bd73d221dfbe56e209e868f4479671bca9d01c14fd07ba1f03a4d",

$ docker inspect 1339d17223d8 | grep NetworkMode

            "NetworkMode": "container:c86a97fff88bd73d221dfbe56e209e868f4479671bca9d01c14fd07ba1f03a4d",

$ docker inspect c86a97fff88b | grep NetworkMode

            "NetworkMode": "default"
 
到这里我们大体知道了,容器 pause 的网络模式是默认(网桥)模式,容器 httpd 和 bootcamp 是 container 模式。pause 容器是作为 httpd 和 bootcamp 的“挂载点”存在的,它的存在保证了多个容器可以使用同一个 ip,同一个网络协议栈,即满足 IP-per-Pod 模型。
 
那么,我们查看网络命名空间的 veth 设备即能知道 Pod 的网络结构了。
$ brctl show

bridge name     bridge id               STP enabled     interfaces

docker0         8000.0242ed103e29       no              vethd2c436f

$ ip a

1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000

2: ens3: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc fq_codel state UP group default qlen 1000

3: docker0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP group default

11: veth4132daf@if10: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue master docker0 state UP group default

    link/ether 7a:db:25:ff:27:85 brd ff:ff:ff:ff:ff:ff link-netnsid 3

    inet6 fe80::78db:25ff:feff:2785/64 scope link

       valid_lft forever preferred_lft forever

root@deployment-595bb7bd6c-6jxwr:/# ip a

1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000

    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00

    inet 127.0.0.1/8 scope host lo

       valid_lft forever preferred_lft forever

10: eth0@if11: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP group default

    link/ether 02:42:ac:12:00:05 brd ff:ff:ff:ff:ff:ff

    inet 172.18.0.5/24 brd 172.18.0.255 scope global eth0

       valid_lft forever preferred_lft forever
 
构建网络示意图如下:
 
 
那么,如果网络容器 pause 因故障销毁了会出现什么情况呢?
首先,绑定到网络容器中的原 network namespace 还是会存在的。当网络容器销毁时 replicaSet 会触发 kubelet 对网络容器进行重建,重建的网络容器归属于新的 network namespace,而相应的原来“桥接”在网络容器上的容器也被重建,并且“桥接”到新的网络容器上。
 
 

Kubernetes 网络:Pod 和 container 的那点猫腻的更多相关文章

  1. kubernetes 的pod控制器

    转载于网络   pod是kubernetes的最小单元,自主式创建的pod删除就没有了,但是通过资源控制器创建的pod如果删除还会重建.pod控制器就是用于实现代替我们去管理pod的中间层,并帮我们确 ...

  2. Kubernetes网络的4种解决方案

    一.Kubernetes + Flannel Kubernetes的网络模型假定了所有Pod都在一个可以直接连通的扁平的网络空间中,这在GCE(Google Compute Engine)里面是现成的 ...

  3. Kubernetes探索学习004--深入Kubernetes的Pod

    深入研究学习Pod 首先需要认识到Pod才是Kubernetes项目中最小的编排单位原子单位,凡是涉及到调度,网络,存储层面的,基本上都是Pod级别的!官方是用这样的语言来描述的: A Pod is ...

  4. 深入解读docker网络与kubernetes网络

    前言:你是否学习使用k8s很久很久了可是对于网络这块仍旧似懂非懂呢? 您是否对网上一堆帖子有如下的抱怨: 打开多个博客,然后发现有区别么? 明显是直译过来的,越看越迷糊 “因为xxx,所以yyy”,. ...

  5. 从零开始入门 K8s | Kubernetes 网络概念及策略控制

    作者 | 阿里巴巴高级技术专家  叶磊 一.Kubernetes 基本网络模型 本文来介绍一下 Kubernetes 对网络模型的一些想法.大家知道 Kubernetes 对于网络具体实现方案,没有什 ...

  6. Kubernetes之Pod使用

    一.什么是Podkubernetes中的一切都可以理解为是一种资源对象,pod,rc,service,都可以理解是 一种资源对象.pod的组成示意图如下,由一个叫”pause“的根容器,加上一个或多个 ...

  7. Kubernetes网络之Flannel工作原理

    目录 1.Docker网络模式 1.1 bridge网络的构建过程 1.2 外部访问 2.Kubernetes网络模式 2.1 同一个Pod中容器之间的通信 2.2 不同Pod中容器之间的通信 2.3 ...

  8. kubernetes concepts -- Pod Overview

    This page provides an overview of Pod, the smallest deployable object in the Kubernetes object model ...

  9. 超长干货丨Kubernetes网络快速入门完全指南

    Kubernetes网络一直是一个非常复杂的主题.本文将介绍Kubernetes实际如何创建网络以及如何为Kubernetes集群设置网络. 本文不包括如何设置Kubernetes集群.这篇文章中的所 ...

  10. DevOps专题|玩转Kubernetes网络

    Kubernetes无疑是当前最火热的容器编排工具,网络是kubernetes中非常重要的一环, 本文主要介绍一些相应的网络原理及术语,以及kubernetes中的网络方案和对比. Kubernete ...

随机推荐

  1. 算法2:Hanoi塔

    汉诺(Hanoi)塔 一.背景介绍 在印度,有这么一个古老的传说:在世界中心贝拿勒斯(在印度北部)的圣庙里,一块黄铜板上插着三根宝石针.印度教的主神梵天在创造世界的时候,在其中一根针上从下到上地穿好了 ...

  2. 前端异步编程 —— Promise对象

    在前端编程中,处理一些简短.快速的操作,在主线程中就可以完成. 但是,在处理一些耗时比较长以至于比较明显的事情,比如读取一个大文件或者发出一个网络请求,就需要异步编程来实现,以避免只用主线程时造成页面 ...

  3. Java:字符串(String)类型转成整型(int)的方法

    Java:字符串(String)类型转成整型(int)的方法 使用 Integer.parseInt() 或 Integer.valueOf() 将 String 转换为 int. 其中: Integ ...

  4. Java 并发编程(一)理论基础

    与计算机基础相关的线程知识在此略过 线程安全性 相关的定义如下: 当多个线程访问某个类时,不管运行时环境采用何种调度方式或者这些线程将如何交替执行,并且在代码中不需要任何额外的同步或者协同,这个类都能 ...

  5. Spring表达式语言(SPEL)学习(02)

    构造数组 /** * 数组生成 */ @Test public void test5(){ int[] numbers1 = (int[]) parser.parseExpression(" ...

  6. CSS 基础 2 - Box Model 盒模型

    CSS 基础 2 - Box Model 盒模型 Box Model 盒模型是网页布局的前提.网页布局的几种方式: Table(过时):在 CSS 出现之前,一般用表格布局(将表格边框线隐藏) Flo ...

  7. 启动多个redis进程

    启动时指定端口 启动时指定端口可在一台服务器启动多个redis进程 cd /opt/work/redis/bin./redis-server ../conf/redis.conf --port 638 ...

  8. 将一个服务器通过HTTP请求另一个服务器

    1.一个服务器访问另一个服务器(不传参) @RequestMapping ("/test") public ResponseEntity<String> serverT ...

  9. CUDA C编程权威指南:1.3-CUDA基础知识点梳理

      主要整理了N多年前(2013年)学习CUDA的时候开始总结的知识点,好长时间不写CUDA代码了,现在LLM推理需要重新学习CUDA编程,看来出来混迟早要还的. 1.CUDA数组 解析:CUDA数组 ...

  10. 云图说丨初识华为云DDoS防护AAD——DDoS攻击防护平台

    DDoS攻击是指分布式拒绝服务,是一种网络攻击手法. 本文分享自华为云社区<[云图说]第297期 初识华为云DDoS防护AAD--DDoS攻击防护平台>,作者:阅识风云. DDoS攻击是指 ...