kubernetes系列之四:kubernetes的源地址保持(source IP preserve)

最新推荐文章于 2025-04-14 19:55:55 发布
最新推荐文章于 2025-04-14 19:55:55 发布
阅读量5.8k 收藏 4
点赞数 2
分类专栏: 容器云的负载均衡解决方案 Kubernetes系列 文章标签: kubernetes iptables 容器网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cloudvtech/article/details/79927444
版权

一、前言

kubernetes提供服务的实体(POD)具有内部网络空间的地址,外部无法直接访问,所以kubernetes提供了多种对外暴露POD服务的方法。这些方法都借助于kubernetes的service的概念,将一系列具有等同服务能力的POD组成一个抽象的服务实体,这个服务实体具有一个虚IP,这个虚IP可以是kubernetes cluster内部网络可达的IP(对应cluster service),也可以是外部可达的IP(对应node port 和external load balancer)。

kubernetes service借助iptables将一组POD抽象成可达的网络服务,并且由于kubernetes要保证service在任何node的可达性,所以使用iptables rule将所有后端POD组成一个基于概率访问的组合,使用iptables的SNAT和DNAT技术在不同POD之间进行基于概率的请求转发。这样的模式带来了一个副作用:经过SNAT操作之后,客户端的IP消失在了请求的接入node,应用程序POD只能看到node的IP,对于一些对源IP有需求的应用来讲,需要kubernetes提供解决这个问题的机制。而kubernetes的source preserve的功能(https://kubernetes.io/docs/tutorials/services/source-ip/)就是为解决这个问题而引入的。

转载自https://blog.csdn.net/cloudvtech

二、kubernetes的服务和SNAT

在文章《Kubernetes如何利用iptables对外暴露service》中,可以看到基于概率对后端POD组进行访问的时候,如果选择的POD不在本地的node上面,则需要进行一次DNAT,将请求的目标地址设置成所选择的POD的IP,之后会进行路由选择,确定这是一个egress的数据包。在路由之后,还有一个POST ROUTING的规则如下:

-A KUBE-POSTROUTING -m comment --comment "kubernetes service traffic requiring SNAT" -m mark --mark 0x4000/0x4000 -j MASQUERADE

对于所有出去的数据包,需要进行MASQUERADE(基于接口动态IP的SNAT)处理,在这种情况下,source IP就丢失了,POD里面的应用程序看到的就是node的IP或者CNI互联设备的IP(比如bridge或者vxlan设备)。

转载自https://blog.csdn.net/cloudvtech

三、源IP保持的实现

通过上面的分析可以发现,如果不存在从一个node向另外一个node的请求转发,只在本地选择POD服务请求,则不会存在SNAT,进而可以保持源地址IP,kubernetes正式借助这一思路来实现源IP的保持。

在建立node port或者external load balancer service的时候,在1.7及以上版本中可以在service的定义的时候加入如下控制来保证只向属于这个service的本地的POD转发请求(如果本地没有POD能服务这个请求,请求将被iptables DROP掉,客户端会发现请求超时没有响应):

"externalTrafficPolicy": "Local"

在较老的v1.5 ~ v1.6版本中,可以使用annotation使能这个功能:

service.beta.kubernetes.io/external-traffic: OnlyLocal

in release notes:

* When switching from the service.beta.kubernetes.io/external-traffic annotation to the new ([#46716](https://github.com/kubernetes/kubernetes/pull/46716), [@thockin](https://github.com/thockin)) externalTrafficPolicy field, the values chnag as follows: * "OnlyLocal" becomes "Local" * "Global" becomes "Cluster".

https://kubernetes.io/docs/tasks/access-application-cluster/create-external-load-balancer/#preserving-the-client-source-ip

相关的code如下:

https://github.com/kubernetes/kubernetes/blob/master/pkg/proxy/iptables/proxier.go


...


...


node port service的例子yaml如下:

apiVersion: v1
kind: Service
metadata:
  name: myapp
  namespace: myapp
  labels:
    run: myapp
    app: myapp
spec:
  type: NodePort
  externalTrafficPolicy: Local
  ports:
  - port: 80
    protocol: TCP
    targetPort: 80
    nodePort: 80
  selector:
    app: myapp

根据这样的yaml生成的node port service如果本地存在对应的POD,则会出现如下iptables规则:

-A KUBE-XLB-N6IVUAXVQRPD4SQY -m comment --comment "Balancing rule 0 for namespace/svc-name:port" -j KUBE-SEP-V4WM6D5AHKHRR3SB

-A KUBE-XLB-EYNESMNWSNIVJYVW -m comment --comment "Balancing rule 1 for namespace/svc-name:port" -j KUBE-SEP-V4WM6D5AHKHRR3SB

如果本地不存在对应的POD,则会出现如下iptables规则:

-A KUBE-XLB-SB3VYBOWAYZV3VAW -m comment --comment " namespace/svc-name:port has no local endpoints" -j KUBE-MARK-DROP


转载自https://blog.csdn.net/cloudvtech



安全运维-如何在Kubernetes中使用注释对ingress-nginx及后端应用进行安全加固配置实践...
WeiyiGeek 唯一极客IT知识分享
08-15 2396
关注「WeiyiGeek」公众号设为「特别关注」每天带你玩转网络安全运维、应用开发、物联网IOT学习!本章目录:0x08 Kubernetes中ingress-nginx安全配置1.配置指定的 Ingress Class2.安全配置之强制跳转HTTPS3.安全配置之跨域访问cors4.安全配置之防止DDOS请求限流5.安全配置之请求访问白名单6.安全配置之请求访问日志记录7.安全配置之Nginx指.........
Kuberneters企业级容器云平台落地实践之二
悦分享
10-13 1822
Filebeat 是一个用于转发和集中日志数据的轻量级传送器。作为代理安装在您的服务器上,Filebeat 监控您指定的日志文件或位置,收集日志事件,并将它们转发到Elasticsearch或 Logstash以进行索引。以下是 Filebeat 的工作原理:当您启动 Filebeat 时,它会启动一个或多个输入,这些输入会在您为日志数据指定的位置中查找。对于 Filebeat 定位的每个日志,Filebeat 都会启动一个收割机。每个harvester 读取单个日志以获取新内容并将新日志数据发送到libb
F5 源地址保持
05-14 2363
Virtusl Server: Web Portal建议选择成Source_Addr(源地址保持)。因为Web Portal提供WEB服务给用户访问,压力比较大,而源地址保持的方式处理速度比Cookie的方式快。同时在Virtual server的基本配置中Type可以选择Perfermence(Layer 4),可以加快处理的速度。另外,当Web Portal使用Cookie方式时...
Kubernetes(二十三)Service()会话保持和获取客户端的ip
wzj_110的博客
12-06 2497
接上 一 了解基本的术语 备注: 关于'各个术语',后续会'补充自己写的相关博客',构成一个'系列' 二 Service的会话粘滞 需求: 实现基于'客户端 IP' 的会话亲和性 效果: 来自'同一客户端(Client IP)'的请求与后端'某个pod'绑定('或者说映射'),如果没有特殊的配置,是'获取不了客户端的ip',获取的是'所访问的pod所在节点的ip' 更具体的效果: 如果'replicas=2'为两个副本,设置'sessionAffinity: ClientI...
Kubernetes(k8s)-externalTrafficPolicy介绍和应用
最新发布
04-14 815
externalTrafficPolicy 是 Kubernetes 中 Service 资源的一个属性,它主要用于控制 Service 如何将流量路由到 Pod
Kubernetes1.1源代码分析(一)
容器技术爱好者
03-27 2619
针对kubernetes v1.1.8-beta.0版本,从数据结构定义和使用的角度对kubernetes源代码进行分析,分析scheduler模块和api-server模块。
【转】干货,Kubernetes中的Source Ip机制。
weixin_30426065的博客
02-27 308
准备工作 你必须拥有一个正常工作的 Kubernetes 1.5 集群,用来运行本文中的示例。该示例使用一个简单的 nginx webserver 回送它接收到的请求的 HTTP 头中的源 IP 地址。你可以像下面这样创建它: $ kubectl run ``source``-ip-app --image=k8s.gcr.io``/echoserver``:1.4``deployment ``"s...
ip地址 k8s 显示pod_Kubernetes-Pod容器内Nginx如何获取客户端真实IP
weixin_39915204的博客
12-22 789
kubernetes将在Pod所在Node上针对nodePort下发DNAT规则,而在其他节点上针对nodePort下发DROP规则client^ / \/ / \/ v Xnode 1 node 2^ || || vendpoint以下使用nginx的例子。在svc的编排文件中增加externalTrafficPolicy后,重新创建nginx-service。k...
Kubernetes基础之service、服务发布
qq_35302220的博客
11-02 1420
Kubernetes基础之service、服务发布
k8s helm 无坑部署ingress-nginx
weixin_43909790的博客
08-29 4103
helm 部署ingress-nginx,以及ingress的使用
K8S+GPU+docker19.03搭建手册
fulin9452的博客
03-20 3875
注意:本文安装master地址为192.168.1.9,请根据个人情况更改!!! ​ 本篇为安装随笔记录,详细说明后续更新 一、 基本安装 1、apt-get install openssh-server 2、改主机名 hostnamectl set-hostname slaver02 vim /etc/cloud/cloud.cfg # This will cause ...
kubernetes资源对象--Service
lyk-ops
08-02 181
为了适应快速的业务需求,微服务架构已经逐渐成为主流,微服务架构的应用需要有非常好的服务编排支持。K8S中的核心要素Service便提供了一套简化的服务代理和发现机制,天然适应微服务架构。 概念 Service是一种抽象概念,定义了一个Pod逻辑集合以及访问它们的策略。目标是提供一个代理服务器,作为Pod的访问入口,它会为访问者提供一个固定访问地址,用于在访问时重定向到相应的后...
F5内网负载均衡配置--源地址保持影响
csuzhaobo的专栏
08-12 4355
一般F5配置都是加上源地址保持,但如果内网模块间使用F5的vs调用,该vs也配置了“源地址保持”的话,新增服务节点时,会发生新增的节点无法提供服务的情况,原因推测是由于内网IP固定,“源地址保持”使连接一直指向旧节点;
Kubernetes.Service—使用源 IP
深圳市多克创新科技有限公司
07-25 711
Kubernetes.Service—使用源 IP
如何在 Kubernetes 集群中快速获取客户端真实 IP
easylife206的专栏
09-08 1438
公众号关注「奇妙的 Linux 世界」设为「星标」,每天带你玩转 Linux !Kubernetes 依靠 kube-proxy 组件实现 Service 的通信与负载均衡。在这个过程中,由于使用了 SNAT 对源地址进行了转换,导致 Pod 中的服务拿不到真实的客户端 IP 地址信息。本篇主要解答了在 Kubernetes 集群中负载如何获取客户端真实 IP 地址这个问题。1. 创建一个后端服...
Kubernetes(k8s)kube-proxy、Service详解
匠人精神,持之以恒!
09-25 3482
文章目录一、kube-proxy简介二、Service 简介三、Service 类型1)ClusterIp(集群内部使用)2)NodePort(对外暴露应用)3)LoadBalancer(对外暴露应用,适用于公有云)4)ExternalName、Service 工作流程五、Service, Endpoints与Pod的关系六、kubernetes服务发现1)环境变量2) DNS五、Service代理模式1)userspace模式2)iptables模式(默认模式)3)ipvs模型4)kube-proxy
kubeproxy和service dns整体原理
StackFlow的博客
07-16 1429
ClusterIP方式访问的入口链;:NodePort方式访问的入口链;KUBE-SVC-*:相当于一个负载均衡器,将数据包平均分发给KUBE-SEP-*链;KUBE-SEP-*:通过DNAT将Service的目的IP和端口,替换为后端Pod的IP和端口,从而将流量转发到后端Pod。:通过对路由到其他节点的数据包进行SNAT,使其能够原路返回。对于NodePort类型的service,如果本节点上没有目的Pod,则本节点起到的是网关的作用,将数据路由到其他节点。在这种情况下,
Kubernetes教程()---Service 的几种访问方式
探索云原生
09-24 1468
所谓 Service,其实就是 Kubernetes 为 Pod 分配的、固定的、基于 iptables(或者 IPVS)的访问入口。而这些访问入口代理的 Pod 信息,则来自于 Etcd,由 kube-proxy 通过控制循环来维护。1)ClusterIP:通过集群的内部 IP 暴露服务,选择该值时服务只能够在集群内部访问。2)NodePort:通过每个节点上的 IP 和静态端口(NodePort)暴露服务。NodePort服务会路由到自动创建的ClusterIP服务。通过请求。
k8s service概念与与原理
小胡子
01-29 915
https://yanglinwei.blog.csdn.net
transform-style: preserve-3d;
09-04
这样可以确保容器元素的子元素能够保持其在3D空间中的位置和变换效果。 这个属性的默认值是 flat,即子元素在容器元素的平面内进行变换。而当我们将属性值设置为 preserve-3d 时,容器元素的子元素将以3D空间的形式...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值