在 Kubernetes 中,網路模型確保了集群內的 Pod 之間能夠互相溝通,並且集群外部的流量能夠正確地路由到集群內的服務。
Kubernetes 網路模型遵循以下幾個主要原則:
每個 Pod 都有唯一的 IP 地址:在 Kubernetes 中,每個 Pod 都會獲得一個唯一的 IP 地址,這樣它可以像獨立主機一樣進行網路通信。Pod 之間的溝通是通過 IP 地址實現的,而不需要依賴主機的端口轉發。
Pod 之間可以直接溝通:Kubernetes 允許集群中的所有 Pod 之間直接溝通,不需要經過 NAT(Network Address Translation)。這意味著所有 Pod 的 IP 地址都是可路由的。
服務(Service)提供了穩定的訪問方式:Kubernetes 使用服務(Service)來抽象化 Pod 的集合,並提供了一個穩定的入口點來訪問這些 Pod。服務通常會為 Pod 提供一個固定的 IP 地址和一個 DNS 名稱,並使用 kube-proxy 來實現流量的負載均衡和轉發。
網路策略:Kubernetes 支持網路策略(Network Policies),這是一種用於控制 Pod 之間溝通的安全機制。網路策略允許用戶定義哪些 Pod 可以與哪些 Pod 進行溝通,從而實現細粒度的安全控制。
CNI 插件:Kubernetes 通過 CNI 插件來實現底層的網路功能。這些插件負責配置 Pod 的網路接口,分配 IP 地址,設置路由等。常見的 CNI 插件包括 Calico、Flannel、Weave 等。
Kube-proxy 是 Kubernetes 中負責實現網路代理和服務負載均衡。
它在每個節點上運行,主要負責將流量轉發到正確的後端服務。
其工作原理可以概括為以下幾個步驟:
服務反映:kube-proxy 會監聽 Kubernetes API 中定義的服務,並根據這些定義配置本地的網路代理設置。這樣,每個節點上的 kube-proxy 都會知道如何將流量轉發到正確的服務上。
流量轉發:
負載均衡:kube-proxy 能夠根據服務的需求將流量均衡地分配到多個後端 Pod 上,以確保服務的高可用性和性能。
在 Kubernetes 的 kube-proxy 中,流量轉發可以通過三種不同的模式實現:
kube-proxy 會在每個節點上啟動一個代理 process。
當有流量到達服務時,kube-proxy 會在 userspace 中處理這些流量,根據服務的配置將其轉發到正確的 Pod。
kube-proxy 會使用 Linux 的 iptables 工具來實現流量轉發。
kube-proxy 會設置 iptables 規則,根據服務的配置將流量轉發到正確的 Pod。
kube-proxy 使用 Linux 的 IP Virtual Server (IPVS) 來實現流量轉發。
IPVS 是一種高效的負載均衡技術,可以處理大量的連接和流量。
| Mode | Description |
|---|---|
| Userspace | 簡單但性能較低,適合較小的集群或開發環境 |
| iptables | 性能較高,但在大規模環境下可能遇到性能問題 |
| ipvs | 性能最佳,適合高流量和大規模集群,但配置較為複雜 |
它定義了容器和主機之間如何建立網路連接的標準規範,使得不同的容器運行時和網路插件能夠無縫地協同工作。
iThome鐵人賽
看影片追技術