一、Kubernetes 基本网络模型
Kubernetes 的容器网络模型可以把它归结为约法三章和四大目标。
1 、约法三章
约法三章确保了Kubernetes容器网络模型的基本特性:
① 任意两个 pod 之间可以直接通信:在Kubernetes中,每个 Pod 都被分配了一个唯一的IP地址,这使得任意两个Pod之间可以直接通信。
② 跨主机通信:在Kubernetes集群中,节点(node)与 Pod 之间可以直接通信,不需要进行明显的地址转换。
③ Pod 的 IP 地址不会变化:Pod 内部使用的 IP 地址与外部看到的 IP 地址是一致的,中间不会经过地址转换。
2 、四大目标
当设计一个Kubernetes系统以向外部世界提供服务时,需要考虑如何实现以下四个目标:
① 外部世界和 service 之间怎么通信:Service 作为一种抽象,代表了一组提供相同功能的 Pod 的访问入口,外部流量通过 Service 来连接到容器内部的应用。
② service 如何与它后端的 pod 通信:Service 与后端的 Pod 之间的通信是通过Kubernetes 的内部 DNS 解析和负载均衡实现的。
③ pod 和 pod 之间通信的:每个 Pod 拥有自己的 IP 地址,因此 Pod 可以直接使用对方的 IP 地址进行通信。
④ pod 内部容器与容器之间的通信:Pod 内部容器之间的通信是通过 localhost 进行的,就像在同一台主机上的多个进程之间通信一样。
3 、基本约束
基本约束是指在设计容器网络时,需要遵循的一些基本规则或限制,以确保网络的正常运行和安全性。分为 Underlay/Overlay 两大派别:
● Underlay网络:通常采用与主机网络相同的网段,将容器网络直接映射到主机网络的一种方案。
● Overlay网络:是在底层网络之上构建的虚拟网络,容器在此虚拟层面上进行通信,不直接与主机网络交互。
Underlay 网络更加与主机网络直接集成,但可能受主机网络的限制 ;而 Overlay 网络更加独立,但需要额外的虚拟化层支持。
二、Network Namespace
1 、介绍
网络命名空间(Network Namespace)用于创建和管理网络虚拟化环境。每个网络命名空间都拥有独立的网络栈,包括独立的附属网络设备(如 lo、eth0 等虚拟设备或者物理网卡)、独立的协议栈、IP地址和路由表、iptables规则等。这样的隔离性使得不同网络命名空间中的网络资源相互独立,从而实现了网络虚拟化。
2 、Pod 与 Netns 的关系
(1) Pod 中的Netns关系:
每个Pod都有自己独立的网络命名空间(Netns),Pod中的每个容器(container)都共享同一个网络命名空间。
(2) Pod 的网络模型:
在Pod中,容器之间通常通过 Loopback 接口(127.0.0.1)进行通信 ;对外服务时,所有容器通过Pod的IP地址对外提供服务,不需要对外暴露各自的IP地址。
(3) 宿主机上的 Root Netns:
宿主机上也存在一个特殊的网络命名空间,称为 Root Netns。Root Netns 的进程 ID(PID)是1,因为它是整个系统的网络命名空间根节点。
三、Network Policy
1 、介绍:
Network Policy 提供了基于策略的网络控制,用于隔离应用并减少攻击面。它使用标签选择器模拟传统的分段网络,并通过策略控制它们之间的流量以及来自外部的流量。
2 、实例:
① 允许 default namespace 中带有 role=frontend 标签的Pod 访问 default namespace 中带有 role=db 标签 Pod的6379 端口。
② 允许带有 project=myprojects 标签的 namespace 中所有 Pod 访问 default namespace 中带有 role=db 标签Pod 的6379 端口。
