容器网络是怎么工作的?Pod、Service、CNI 一次讲清楚!

David爱编程2025-06-01 11:13

导语

容器跑起来了,怎么联网?K8s 能调度 Pod,那 Pod 能不能互相通信?Service 又是干嘛的?为什么明明 IP 能通,服务就是访问不了?

阅读本文你将收获:

  • 容器网络与传统网络的核心区别
  • Kubernetes 容器网络模型(CNI)及其背后逻辑
  • Pod 网络、Service 网络如何配合工作
  • 常见网络故障排查思路

一、从虚拟机到容器,网络复杂了吗?

在虚拟机时代,我们熟悉的网络拓扑长这样:

复制代码 
VM 通过 虚拟网卡 → 接入宿主机网桥 → 上外网

但到了容器世界,网络设计变复杂了 ------ 容器生命周期短,IP 随时可能变,K8s 集群又要求容器之间可直接通信,还得让外部访问容器服务。

所以问题来了:

  • 每个 Pod 有独立 IP 吗?
  • Pod 重启后 IP 会变吗?
  • 多个 Pod 如何统一暴露一个服务?
  • CNI 是干什么的?

带着这些问题,往下看。

二、Pod 网络模型:每个 Pod 有独立 IP

Kubernetes 的核心网络理念是:

所有 Pod 之间都是"扁平网络",IP 可达,不需要 NAT。

具体特点:

  • 每个 Pod 在启动时会分配一个 IP(通过 CNI 插件)
  • Pod 之间通信不需要端口映射
  • Pod 所在的容器共享网络命名空间(同一个网卡、IP)

举例说明

yaml 复制代码 
kubectl get pods -o wide

输出:

NAME IP NODE
nginx-1 10.244.1.5 node1
nginx-2 10.244.2.7 node2

两个 Pod 在不同节点,却可以直接 curl 10.244.x.x 通信,这就是"跨主机扁平网络"。

三、CNI 插件:Pod 网络的幕后英雄

Pod 的 IP 是怎么来的?答案是 ------ CNI 插件(Container Network Interface)

K8s 并不自己管理网络,而是通过 CNI 调用网络插件完成如下操作:

  • 分配 IP 给 Pod
  • 配置网络命名空间
  • 配置路由和防火墙规则

常见 CNI 插件:

插件 特点
Flannel 简单易用,采用 overlay 网络
Calico 支持 BGP,性能好,安全控制强
Cilium 基于 eBPF,支持 L7 网络策略

推荐中小集群使用 Flannel ,大规模生产集群用 CalicoCilium

️ 四、Service:解决 Pod IP 易变的问题

Pod 重启 IP 就会变,客户端怎么访问?

Kubernetes 提供了 Service 机制,做了"虚拟 IP + 负载均衡"。

原理:

  • Service 会分配一个 ClusterIP
  • 会自动将流量转发到后端 Pod(通过 kube-proxy 实现)
  • 默认是基于 IPtables 或 IPVS 的负载均衡

举个例子:

yaml 复制代码 
apiVersion: v1
kind: Service
metadata:
  name: nginx-svc
spec:
  selector:
    app: nginx
  ports:
    - port: 80
      targetPort: 80

这个 Service 会自动负载到所有 label 为 app=nginx 的 Pod 上,无需关心 Pod IP。

五、几种 Kubernetes 网络类型对比

类型 IP 来源 是否 NAT 通信特征
Pod IP CNI 插件分配 扁平互通
Cluster IP (Service) kube-proxy 管理 是(SNAT) 集群内访问服务
NodePort 映射宿主机端口 外部访问集群服务
LoadBalancer 云厂商分配 对外暴露公网入口
Ingress Nginx/TCP代理 多路径统一入口控制

六、实际排查思路案例

场景:Service IP 能 ping 通,但 curl 不通

排查步骤:

  1. kubectl get endpoints → 查看 Service 是否正确绑定 Pod
  2. iptables-save | grep → 确认 kube-proxy 是否配置规则
  3. 检查 Pod 容器端口是否监听
  4. 检查防火墙、CNI 是否正常工作

✅ 总结

Kubernetes 网络听起来复杂,拆解后其实很清晰:

  • Pod IP:由 CNI 分配,支持跨节点直接通信
  • Service IP:实现 IP 屏蔽与负载均衡
  • CNI 插件:实现网络连通的幕后技术

掌握容器网络原理,是你理解 K8s 网络策略、ServiceMesh、流量治理等技术的第一步。

相关推荐
IT_陈寒3 小时前
Python开发者必知的5大性能陷阱:90%的人都踩过的坑!
前端·人工智能·后端
流浪克拉玛依4 小时前
Go Web 服务限流器实战:从原理到压测验证 --使用 Gin 框架 + Uber Ratelimit / 官方限流器,并通过 Vegeta 进行性能剖析
后端
孟沐4 小时前
保姆级教程:手写三层架构 vs MyBatis-Plus
后端
星浩AI4 小时前
让模型自己写 Skills——从素材到自动生成工作流
人工智能·后端·agent
华仔啊6 小时前
为啥不用 MP 的 saveOrUpdateBatch?MySQL 一条 SQL 批量增改才是最优解
java·后端
武子康7 小时前
大数据-242 离线数仓 - DataX 实战:MySQL 全量/增量导入 HDFS + Hive 分区(离线数仓 ODS
大数据·后端·apache hive
砍材农夫7 小时前
TCP和UDP区别
后端
千寻girling8 小时前
一份不可多得的 《 Django 》 零基础入门教程
后端·python·面试
千寻girling8 小时前
Python 是用来做 AI 人工智能 的 , 不适合开发 Web 网站 | 《Web框架》
人工智能·后端·算法
AI攻城狮8 小时前
OpenClaw 里 TAVILY_API_KEY 明明写在 ~/.bashrc,为什么还是失效?一次完整排查与修复
人工智能·云原生·aigc
热门推荐
01GitHub 镜像站点02OpenClaw 使用和管理 MCP 完全指南03OpenClaw + 飞书(Feishu)环境搭建指南04Window 10部署openclaw报错node.exe : npm error code 12805本地部署 OpenClaw + DeepSeek-R1 完全指南06小黑课堂计算机二级WPSoffice题库软件下载安装教程(2026年3月最新版)07OpenClaw 连接飞书完整指南:插件安装、配置与踩坑记录08OpenClaw优化飞书API 额度已耗尽问题09Claude Code + GLM4.7 避坑指南:解决 Unable to connect to Anthropic services10OpenClaw 飞书机器人不回复消息?3 小时踩坑总结