1. Kubernetes 网络模型

在 Kubernetes 的网络模型中,最小的网络单位是 Pod。Pod 的网络设计原则是 IP-per-Pod,即 Pod 中 container 共享同一套网络协议栈,具有相同的网络命名空间。Pod 内的 container 通过 localhost + port 访问,类似于 Liunx 中进程访问的方式。构建 Kubernetes 的 Pod 网络模型如下:
 
Kubernetes 对集群网络的设计原则有:
  • 所有容器都可以不用 NAT 和别的容器通信。
  • 所有节点都可以不用 NAT 和所有容器通信,反之亦然。
  • 容器的地址和外部看到的地址是同一个地址。
 
回顾前面文章,容器在 Docker 环境下访问外网是通过 NAT 的,NAT 会增加端口管理的复杂性,而且在外部看不到实际容器的 ip。这里的设计原则避开了这些点,它使得 Pod 可以被看作独立的“虚拟机”,从而较好的进行服务发现,域名解析,负载均衡等。

2. 单节点 Pod 访问

单节点构建 pod,实现 pod 内 container 的相互访问。
 
创建 pod:
$ cat deployment.yaml

apiVersion: apps/v1

kind: Deployment

metadata:

  name: deployment

spec:

  replicas: 1

  selector:

    matchLabels:

      app: web_server

  template:

    metadata:

      labels:

        app: web_server

    spec:

      containers:

      - name: httpd-test

        image: httpd

      - name: bootcamp-test

        image: bootcamp:v1

$ kubectl apply -f deployment.yaml

deployment.apps/deployment created

$ kubectl get pods

NAME                          READY   STATUS    RESTARTS   AGE

deployment-595bb7bd6c-6jxwr   2/2     Running   0          44s
 
pod 包括两个 container httpd 和 bootcamp。其中,httpd 监听在 80 端口,bootcamp 监听在 8080 端口:
$ netstat -ntlp | grep 80

tcp        0      0 0.0.0.0:80              0.0.0.0:*               LISTEN      10204/httpd

tcp6       0      0 :::8080                 :::*                    LISTEN      10077/node

$ ps aux | grep 10077 | grep -v grep

root     10077  0.0  0.9 708220 23720 ?        Sl   09:32   0:00 node server.js

$ ps aux | grep 10204 | grep -v grep

root     10204  0.0  0.1   5940  4360 ?        Ss   09:32   0:00 httpd -DFOREGROUND
 
进入 pod ,从 pod 中访问 container:
$ kubectl exec -it deployment-595bb7bd6c-6jxwr /bin/bash

Defaulting container name to bootcamp-test.

Use 'kubectl describe pod/deployment-595bb7bd6c-6jxwr -n default' to see all of the containers in this pod.

root@deployment-595bb7bd6c-6jxwr:/# ip a

1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000

    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00

    inet 127.0.0.1/8 scope host lo

       valid_lft forever preferred_lft forever

10: eth0@if11: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP group default

    link/ether 02:42:ac:12:00:05 brd ff:ff:ff:ff:ff:ff

    inet 172.18.0.5/24 brd 172.18.0.255 scope global eth0

       valid_lft forever preferred_lft forever

root@deployment-595bb7bd6c-6jxwr:/# curl 172.18.0.5:8080

Hello Kubernetes bootcamp! | Running on: deployment-595bb7bd6c-6jxwr | v=1

root@deployment-595bb7bd6c-6jxwr:/# curl 172.18.0.5:80

<html><body><h1>It works!</h1></body></html>
可以看到,进入 pod 实际上进入的是 pod 内的 container,在 continer 内通过 ip + port 实现 httpd 和 bootcamp 的访问。 
 
同理,直接在 node 上访问 pod:
$ curl 172.18.0.5:8080

Hello Kubernetes bootcamp! | Running on: deployment-595bb7bd6c-6jxwr | v=1

$ curl 172.18.0.5:80

<html><body><h1>It works!</h1></body></html>

$ curl 172.18.0.5:8081

curl: (7) Failed to connect to 172.18.0.5 port 8081: Connection refused

3. Pod 网络模型

上节实现了 pod 内 container 的相互访问,那么 container 是怎么访问到“外网”的呢?
 
带着这个问题我们查看和 deployment 相关的 container:
$ docker ps | grep deployment

24adb2a738f4        httpd                  "httpd-foreground"       Up 6 minutes    k8s_httpd-test_deployment-..

1339d17223d8        8fafd8af70e9           "/bin/sh -c 'node se…"   Up 7 minutes    k8s_bootcamp-test_deployment-..

c86a97fff88b        k8s.gcr.io/pause:3.1   "/pause"                 Up 7 minutes    k8s_POD_deployment-...
 
和期望的不一样,多了一个“pause”类型的 container。查看这三个容器的网络命名空间:
$ mkdir -p /var/run/netns

$ docker inspect --format '{{ .State.Pid }}' 24adb2a738f4

8349

$ docker inspect --format '{{ .State.Pid }}' 1339d17223d8

8189

$ docker inspect --format '{{ .State.Pid }}' c86a97fff88b

8100

$ ln -s /proc/8349/ns/net /var/run/netns/httpd

$ ln -s /proc/8189/ns/net /var/run/netns/bootcamp

$ ln -s /proc/8100/ns/net /var/run/netns/pause

$ ip netns list

pause (id: 3)

bootcamp (id: 3)

httpd (id: 3)

$ ip netns exec httpd ls -la /proc/self/ns/

lrwxrwxrwx 1 root root 0 Jan 17 08:37 net -> 'net:[4026532636]'

...

$ ip netns exec bootcamp ls -la /proc/self/ns/

lrwxrwxrwx 1 root root 0 Jan 17 08:37 net -> 'net:[4026532636]'

...

$ ip netns exec pause ls -la /proc/self/ns/

lrwxrwxrwx 1 root root 0 Jan 17 08:37 net -> 'net:[4026532636]'

...
 
它们具有相同的网络命名空间,进一步的查看容器对应的网络类型:
$ docker inspect 24adb2a738f4 | grep NetworkMode

            "NetworkMode": "container:c86a97fff88bd73d221dfbe56e209e868f4479671bca9d01c14fd07ba1f03a4d",

$ docker inspect 1339d17223d8 | grep NetworkMode

            "NetworkMode": "container:c86a97fff88bd73d221dfbe56e209e868f4479671bca9d01c14fd07ba1f03a4d",

$ docker inspect c86a97fff88b | grep NetworkMode

            "NetworkMode": "default"
 
到这里我们大体知道了,容器 pause 的网络模式是默认(网桥)模式,容器 httpd 和 bootcamp 是 container 模式。pause 容器是作为 httpd 和 bootcamp 的“挂载点”存在的,它的存在保证了多个容器可以使用同一个 ip,同一个网络协议栈,即满足 IP-per-Pod 模型。
 
那么,我们查看网络命名空间的 veth 设备即能知道 Pod 的网络结构了。
$ brctl show

bridge name     bridge id               STP enabled     interfaces

docker0         8000.0242ed103e29       no              vethd2c436f

$ ip a

1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000

2: ens3: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc fq_codel state UP group default qlen 1000

3: docker0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP group default

11: veth4132daf@if10: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue master docker0 state UP group default

    link/ether 7a:db:25:ff:27:85 brd ff:ff:ff:ff:ff:ff link-netnsid 3

    inet6 fe80::78db:25ff:feff:2785/64 scope link

       valid_lft forever preferred_lft forever

root@deployment-595bb7bd6c-6jxwr:/# ip a

1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000

    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00

    inet 127.0.0.1/8 scope host lo

       valid_lft forever preferred_lft forever

10: eth0@if11: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP group default

    link/ether 02:42:ac:12:00:05 brd ff:ff:ff:ff:ff:ff

    inet 172.18.0.5/24 brd 172.18.0.255 scope global eth0

       valid_lft forever preferred_lft forever
 
构建网络示意图如下:
 
 
那么,如果网络容器 pause 因故障销毁了会出现什么情况呢?
首先,绑定到网络容器中的原 network namespace 还是会存在的。当网络容器销毁时 replicaSet 会触发 kubelet 对网络容器进行重建,重建的网络容器归属于新的 network namespace,而相应的原来“桥接”在网络容器上的容器也被重建,并且“桥接”到新的网络容器上。
 
 

Kubernetes 网络:Pod 和 container 的那点猫腻的更多相关文章

  1. kubernetes 的pod控制器

    转载于网络   pod是kubernetes的最小单元,自主式创建的pod删除就没有了,但是通过资源控制器创建的pod如果删除还会重建.pod控制器就是用于实现代替我们去管理pod的中间层,并帮我们确 ...

  2. Kubernetes网络的4种解决方案

    一.Kubernetes + Flannel Kubernetes的网络模型假定了所有Pod都在一个可以直接连通的扁平的网络空间中,这在GCE(Google Compute Engine)里面是现成的 ...

  3. Kubernetes探索学习004--深入Kubernetes的Pod

    深入研究学习Pod 首先需要认识到Pod才是Kubernetes项目中最小的编排单位原子单位,凡是涉及到调度,网络,存储层面的,基本上都是Pod级别的!官方是用这样的语言来描述的: A Pod is ...

  4. 深入解读docker网络与kubernetes网络

    前言:你是否学习使用k8s很久很久了可是对于网络这块仍旧似懂非懂呢? 您是否对网上一堆帖子有如下的抱怨: 打开多个博客,然后发现有区别么? 明显是直译过来的,越看越迷糊 “因为xxx,所以yyy”,. ...

  5. 从零开始入门 K8s | Kubernetes 网络概念及策略控制

    作者 | 阿里巴巴高级技术专家  叶磊 一.Kubernetes 基本网络模型 本文来介绍一下 Kubernetes 对网络模型的一些想法.大家知道 Kubernetes 对于网络具体实现方案,没有什 ...

  6. Kubernetes之Pod使用

    一.什么是Podkubernetes中的一切都可以理解为是一种资源对象,pod,rc,service,都可以理解是 一种资源对象.pod的组成示意图如下,由一个叫”pause“的根容器,加上一个或多个 ...

  7. Kubernetes网络之Flannel工作原理

    目录 1.Docker网络模式 1.1 bridge网络的构建过程 1.2 外部访问 2.Kubernetes网络模式 2.1 同一个Pod中容器之间的通信 2.2 不同Pod中容器之间的通信 2.3 ...

  8. kubernetes concepts -- Pod Overview

    This page provides an overview of Pod, the smallest deployable object in the Kubernetes object model ...

  9. 超长干货丨Kubernetes网络快速入门完全指南

    Kubernetes网络一直是一个非常复杂的主题.本文将介绍Kubernetes实际如何创建网络以及如何为Kubernetes集群设置网络. 本文不包括如何设置Kubernetes集群.这篇文章中的所 ...

  10. DevOps专题|玩转Kubernetes网络

    Kubernetes无疑是当前最火热的容器编排工具,网络是kubernetes中非常重要的一环, 本文主要介绍一些相应的网络原理及术语,以及kubernetes中的网络方案和对比. Kubernete ...

随机推荐

  1. Chrome扩展开发实战:快速填充表单

    大家好,我是 dom 哥.我正在写关于 Chrome 扩展开发的系列文章,感兴趣的可以 点个小星星 . 填表单是打工人经常面对的场景,作为一个前端,我经常开发一些PC端的页面,它们主要由表单和表格构成 ...

  2. python tkinter使用(四)

    python tkinter使用(四) 本篇文章主要讲下tkinter 的文本框相关. tkinter中用Entry来实现输入框,类似于android中的edittext. 具体的用法如下: 1:空白 ...

  3. Python——第三章:内置函数(上)

    Python中的内置函数 基础数据类型相关(38) 和数字相关(14) 数字类型(4) bool--布尔型 int--整型 float--浮点型 complex--虚数 机制转换(3) bin--二进 ...

  4. JavaFx之Ikonli图标库大全(十五)

    JavaFx之Ikonli图标库大全(十五) Ikonli给java提供了大量的图标库, 官网:https://kordamp.org/ikonli/ Ikonli 提供了可以在 Java 应用程序中 ...

  5. vue 遍历的汉字显示不同的颜色

    <template> <div> <div class="stars"> <span v-for="(star, index) ...

  6. .NET技术分享日活动-202110

    2021年10月15日下午,个人组织举办了山东地区的第三次.NET技术分享日活动.围绕.NET.低代码Low Code.云原生 Cloud Native.大数据.算法等方向进行创新技术的实践分享. 本 ...

  7. 第五部分_Shell脚本条件判断语法结构

    条件判断语法结构 思考:何为真(true)?何为假(false)? 1. 条件判断语法格式 格式1: test条件表达式 格式2: [ 条件表达式 ] 格式3: [[ 条件表达式 ]] (支持正则~) ...

  8. 带你掌握数仓的作业级监控TopSQL

    摘要:目前TopSQL功能被用户广泛使用,是性能定位.劣化分析.审计回溯等重要的基石,为用户提供覆盖内存.耗时.IO.网络.空间等多方面的监控能力. 本文分享自华为云社区<GaussDB(DWS ...

  9. 9个问题,带你掌握流程控制语句中的java原理

    摘要:利用9个问题帮助记忆流程控制语句中的Java原理知识. 本文分享自华为云社区<流程控制语句知识点里的java原理>,作者:breakDraw . 相信大家经常会遇到这种问题 可是这个 ...

  10. vue2升级vue3:TypeScript下vuex-module-decorators/vuex-class to vuex4.x

    因为vue2 下  vue-property-decorator + vue-tsx-support +vuex-module-decorators/vuex-class ,class compone ...