ToB企服应用市场:ToB评测及商务社交产业平台

标题: kube-proxy 流量流转方式 [打印本页]

---

作者: 滴水恩情    时间: 2024-5-19 12:05
标题: kube-proxy 流量流转方式
简介

kube-proxy 是 Kubernetes 集群中负责服务发现和负载均衡的组件之一。它是一个网络代理，运行在每个节点上, 用于 service 资源的负载均衡。它有两种模式：iptables 和 ipvs。
iptables

iptables 是 Linux 系统中的一个用户空间实用程序，用于配置内核的网络包过滤和网络地址转换（NAT）规则。它是 Linux 内核中的 netfilter 框架的一部分，并负责在网络包进入、转发或离开计算机时进行筛选和处理。其主要功能和用途包罗：

• 防火墙：iptables 提供了强大的防火墙功能，可以根据差别的规则来过滤和拒绝不必要的网络包。管理员可以创建自界说的规则集，允许或拒绝从特定 IP 地址、端口或协议的数据包。
  
• NAT（网络地址转换）：iptables 支持 NAT 功能，可以用来将私有网络中的计算机与外部网络毗连。例如，它可以在一个 NAT 路由器上将内部网络的多个装备映射到单个外部 IP 地址。
  
• 端口转发：iptables 可以将特定的端口流量从一个网络接口转发到另一个接口或目的 IP 地址，通常用于内部网络的服务公开。
  
• 负载均衡：它也可以通过 DNAT（目的网络地址转换）功能将流量转发给多个内部服务器，实现简单的负载均衡。
  

iptables 是通过链（chains）和表（tables）来组织规则的。每个链由一组规则组成，当网络数据包经过时，这些规则会逐一执行。常用的表包罗：

• filter 表：用于包过滤，是最常用的表。
  
• nat 表：用于网络地址转换。
  
• mangle 表：用于修改数据包的 IP 层字段。
  
• raw 表：用于绕过毗连跟踪。
  

链的流向为：

所以，根据上图，我们可以或许想象出某些常用场景中，报文的流向：
到本机某进程的报文：PREROUTING –> INPUT
由本机转发的报文：PREROUTING –> FORWARD –> POSTROUTING
由本机的某进程发出报文（通常为响应报文）：OUTPUT –> POSTROUTING
尽管在某些环境下配置 iptables 规则可能复杂，但它提供了高度的灵活性和强大的功能，使其成为 Linux 网络安全的紧张组成部分。
service 负载均衡

我启动了一个 3 个 nginx pod，和一个对应的 service，service 的类型是 ClusterIP，这样 service 就会有一个虚拟 IP，这个 IP 会被 kube-proxy 代理到后端的 pod 上。

1. ~ » k get pod -owide
2. NAME                                READY   STATUS    RESTARTS      AGE   IP            NODE       NOMINATED NODE   READINESS GATES
3. nginx-deployment-59f546cb79-2k9ng   1/1     Running   2 (31m ago)   50m   10.244.0.28   minikube   <none>           <none>
4. nginx-deployment-59f546cb79-wfw84   1/1     Running   2 (31m ago)   50m   10.244.0.30   minikube   <none>           <none>
5. nginx-deployment-59f546cb79-zr9xm   1/1     Running   2 (31m ago)   50m   10.244.0.27   minikube   <none>           <none>
6. ----------------------------------------------------------------------------------------------------------------------------------------------------
7. ~ » k get svc nginx-service
8. NAME            TYPE        CLUSTER-IP     EXTERNAL-IP   PORT(S)   AGE
9. nginx-service   ClusterIP   10.101.57.97   <none>        80/TCP    29m

复制代码

当我们在 master 使用 curl 10.101.57.97 访问 service 的时候，首先会进入 PREROUTING 链：

1. root@minikube:/# iptables-save |grep PREROUTING
2. :PREROUTING ACCEPT [0:0]
3. :PREROUTING ACCEPT [34:2040]
4. -A PREROUTING -m comment --comment "kubernetes service portals" -j KUBE-SERVICES
5. -A PREROUTING -d 192.168.49.1/32 -j DOCKER_OUTPUT
6. -A PREROUTING -m addrtype --dst-type LOCAL -j DOCKER

复制代码

首先会尝试匹配 KUBE-SERVICES 链，这个链是 kube-proxy 生成的，用于处理 service 的哀求。后两个是 docker 的链，用于处理 docker 的哀求。

1. root@minikube:/#  iptables-save |grep "\-A KUBE-SERVICES"
2. -A KUBE-SERVICES -d 10.96.0.1/32 -p tcp -m comment --comment "default/kubernetes:https cluster IP" -j KUBE-SVC-NPX46M4PTMTKRN6Y
3. -A KUBE-SERVICES -d 10.101.57.97/32 -p tcp -m comment --comment "default/nginx-service cluster IP" -j KUBE-SVC-V2OKYYMBY3REGZOG
4. -A KUBE-SERVICES -d 10.96.0.10/32 -p udp -m comment --comment "kube-system/kube-dns:dns cluster IP" -j KUBE-SVC-TCOU7JCQXEZGVUNU
5. -A KUBE-SERVICES -d 10.96.0.10/32 -p tcp -m comment --comment "kube-system/kube-dns:dns-tcp cluster IP" -j KUBE-SVC-ERIFXISQEP7F7OF4
6. -A KUBE-SERVICES -d 10.96.0.10/32 -p tcp -m comment --comment "kube-system/kube-dns:metrics cluster IP" -j KUBE-SVC-JD5MR3NA4I4DYORP
7. -A KUBE-SERVICES -m comment --comment "kubernetes service nodeports; NOTE: this must be the last rule in this chain" -m addrtype --dst-type LOCAL -j KUBE-NODEPORTS

复制代码

我们这个 nginx-service 的 cluster IP 是 10.101.57.97, 所以会走 KUBE-SVC-V2OKYYMBY3REGZOG 链：

1. root@minikube:/#  iptables-save |grep "\-A KUBE-SVC-V2OKYYMBY3REGZOG"
2. -A KUBE-SVC-V2OKYYMBY3REGZOG ! -s 10.244.0.0/16 -d 10.101.57.97/32 -p tcp -m comment --comment "default/nginx-service cluster IP" -j KUBE-MARK-MASQ
3. -A KUBE-SVC-V2OKYYMBY3REGZOG -m comment --comment "default/nginx-service -> 10.244.0.27:80" -m statistic --mode random --probability 0.33333333349 -j KUBE-SEP-POZMZY2HDLRATSJV
4. -A KUBE-SVC-V2OKYYMBY3REGZOG -m comment --comment "default/nginx-service -> 10.244.0.28:80" -m statistic --mode random --probability 0.50000000000 -j KUBE-SEP-Z3HXRORN5VDCFRJU
5. -A KUBE-SVC-V2OKYYMBY3REGZOG -m comment --comment "default/nginx-service -> 10.244.0.30:80" -j KUBE-SEP-S46ZL6MIFVWDY42O

复制代码

-A KUBE-SVC-V2OKYYMBY3REGZOG ! -s 10.244.0.0/16 -d 10.101.57.97/32 -p tcp -m comment --comment "default/nginx-service cluster IP" -j KUBE-MARK-MASQ 这条规则的假如源ip 不是 10.244.0.0/16 的 ip（也就是不是 pod发出来的哀求），目的ip 是 service ip，jump 跳转到 这个链 KUBE-MARK-MASQ

1. root@minikube:/# iptables-save |grep "\-A KUBE-MARK-MASQ"
2. -A KUBE-MARK-MASQ -j MARK --set-xmark 0x4000/0x4000

复制代码

这条规则的作用是给数据包打上 0x4000 这个标记。这个标记会被后续的 NAT 规则识别到，从而让这些数据包通过特定的 NAT 规则进行 IP 地址转换。
接下来看主要的三条规则：

1. -A KUBE-SVC-V2OKYYMBY3REGZOG -m comment --comment "default/nginx-service -> 10.244.0.27:80" -m statistic --mode random --probability 0.33333333349 -j KUBE-SEP-POZMZY2HDLRATSJV
2. -A KUBE-SVC-V2OKYYMBY3REGZOG -m comment --comment "default/nginx-service -> 10.244.0.28:80" -m statistic --mode random --probability 0.50000000000 -j KUBE-SEP-Z3HXRORN5VDCFRJU
3. -A KUBE-SVC-V2OKYYMBY3REGZOG -m comment --comment "default/nginx-service -> 10.244.0.30:80" -j KUBE-SEP-S46ZL6MIFVWDY42O

复制代码

第一条是说有 33.33% 的几率会被转发到 KUBE-SEP-POZMZY2HDLRATSJV, 第二条是 50% 的几率会被转发到 KUBE-SEP-Z3HXRORN5VDCFRJU, 第三条是肯定会被转发到 KUBE-SEP-S46ZL6MIFVWDY42O。
转到第一条的概率是 33.33%，转到第二条的概率是 66.67%（没有到第一条的概率） * 50% = 33.33%，第三条就是 66.67%（没有到第一条的概率） * 50%（没有到第二条的概率） = 33.33%。所以这三条规则的概率是一样的。都是 33.33%。
那么 KUBE-SEP-POZMZY2HDLRATSJV 又是什么呢？

1. root@minikube:/# iptables-save |grep "\-A KUBE-SEP-POZMZY2HDLRATSJV"
2. -A KUBE-SEP-POZMZY2HDLRATSJV -s 10.244.0.27/32 -m comment --comment "default/nginx-service" -j KUBE-MARK-MASQ
3. -A KUBE-SEP-POZMZY2HDLRATSJV -p tcp -m comment --comment "default/nginx-service" -m tcp -j DNAT --to-destination 10.244.0.27:80
5. root@minikube:/# iptables-save |grep "\-A KUBE-SEP-POZMZY2HDLRATSJV"
6. -A KUBE-SEP-Z3HXRORN5VDCFRJU -s 10.244.0.28/32 -m comment --comment "default/nginx-service" -j KUBE-MARK-MASQ
7. -A KUBE-SEP-Z3HXRORN5VDCFRJU -p tcp -m comment --comment "default/nginx-service" -m tcp -j DNAT --to-destination 10.244.0.28:80
9. root@minikube:/# iptables-save |grep "\-A KUBE-SEP-S46ZL6MIFVWDY42O"
10. -A KUBE-SEP-S46ZL6MIFVWDY42O -s 10.244.0.30/32 -m comment --comment "default/nginx-service" -j KUBE-MARK-MASQ
11. -A KUBE-SEP-S46ZL6MIFVWDY42O -p tcp -m comment --comment "default/nginx-service" -m tcp -j DNAT --to-destination 10.244.0.30:80

复制代码

第一条规则确保流量从 10.244.0.20 发出时被打上 MASQUERADE 标记，以便通过 NAT 机制进行 IP 伪装。
第二条是将流量转发到 10.244.0.20:80 并使用 DNAT 机制进行目的地址转换, 转换的 ip 10.244.0.27:80 就是 pod 的 ip 和端口。
KUBE-SEP-Z3HXRORN5VDCFRJU 和 KUBE-SEP-S46ZL6MIFVWDY42O 的规则和这条同理。
ipvs

IPVS（IP Virtual Server）是 Linux 内核中实现负载均衡功能的模块。是一种高效的负载均衡技术，可以在第 4 层（传输层）进行流量转发和调理。IPVS 通常被用于构建高性能、高可用性的负载均衡集群。
查看 ipvs 的规则：

1. root@minikube:/etc/apt# sudo ipvsadm -Ln|grep -A 4 10.101.57.97
2. Prot LocalAddress:Port Scheduler Flags
3.   -> RemoteAddress:Port           Forward Weight ActiveConn InActConn
4. TCP  10.101.57.97:80 rr
5.   -> 10.244.0.27:80               Masq    1      0          0
6.   -> 10.244.0.28:80               Masq    1      0          0
7.   -> 10.244.0.30:80               Masq    1      0          0
8. UDP  10.96.0.10:53 rr

复制代码

这个的意思是到10.101.57.97:80 的 tcp 欣赏会使用 rr（轮询）的方式转发到 10.244.0.27:80，10.244.0.28:80，10.244.0.30:80 这三个 pod 上。Masq：指示 "Masquerading"，表现通过 NAT 来处理网络流量。
所以 ipvs 的模式比 iptables 性能高的多，第一因为 ipvs 是轮询选，iptables 是逐条百分比匹配的，这个还是可以担当的。更要命的是第二条，当 pod 频仍变更的时候 service 对应的 endpoint 的 ENDPOINTS 就会增加或者是减少。那么 iptables 对应 service 的全部规则的百分比都会变化，就会导致一个 service 的规则全部要重刷，当 pod 变化太频仍时，会吃掉大量的 CPU。
不是说开启了 ipvs 就不会有 iptables 了，还必要 iptables 的 SNAT 规则来处理返回的数据包。

1. -A POSTROUTING -m comment --comment "kubernetes postrouting rules" -j KUBE-POSTROUTING
2. -A KUBE-POSTROUTING -m comment --comment "Kubernetes endpoints dst ip:port, source ip for solving hairpin purpose" -m set --match-set KUBE-LOOP-BACK dst,dst,src -j MASQUERADE

复制代码

-m set --match-set KUBE-LOOP-BACK dst,dst,src  的意思是匹配 KUBE-LOOP-BACK 这个 set，这个 set 里面存放的是 pod 的 ip，这个规则的作用是将数据包的源地址替换为本机的地址，以便数据包可以或许正确返回到客户端。
为什么是 pod ip 而不是 service cluster ip 呢？因为已经通过 ipvs DNAT 过了，所以这里是 pod ip。

1. root@minikube:/etc/apt# ipset -L|grep -A 15 KUBE-LOOP-BACK
2. Name: KUBE-LOOP-BACK
3. Type: hash:ip,port,ip
4. Revision: 6
5. Header: family inet hashsize 1024 maxelem 65536 bucketsize 12 initval 0xe4e21451
6. Size in memory: 544
7. References: 1
8. Number of entries: 6
9. Members:
10. 10.244.0.28,tcp:80,10.244.0.28
11. 10.244.0.30,tcp:80,10.244.0.30
12. 10.244.0.29,tcp:9153,10.244.0.29
13. 10.244.0.29,tcp:53,10.244.0.29
14. 10.244.0.27,tcp:80,10.244.0.27
15. 10.244.0.29,udp:53,10.244.0.29

复制代码

很显着我们的三个 pod 都在这个 set 里面。
-A KUBE-POSTROUTING -m comment --comment "Kubernetes endpoints dst ip:port, source ip for solving hairpin purpose" -m set --match-set KUBE-LOOP-BACK dst,dst,src -j MASQUERADE
这条规则的作用是将数据包的源地址替换为本机的地址，以便数据包可以或许正确返回到客户端。现在我们使用 curl 发出的包目的 ip 是 pod ip了，源 ip 是 node ip。等到数据包返回的时候，kernel 会根据 链路追踪 中的数据记载，会把包的源ip 的pod ip 替换为 serice cluster ip, 目的 ip 从 node ip 替换为我发起哀求的 ip。这样包就能正确返回到客户端了。
References

• https://www.zsythink.net/archives/1199
  

免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！更多信息从访问主页：qidao123.com:ToB企服之家，中国第一个企服评测及商务社交产业平台。

---

欢迎光临 ToB企服应用市场:ToB评测及商务社交产业平台 (https://dis.qidao123.com/)

Powered by Discuz! X3.4