k8s网络-iptables

iptables 通常就是指linux上的防火墙,主要分为netfilter和iptables两个组件。netfilter为内核空间的组件,iptables为用户空间的组件,提供添加,删除查询防火墙规则的功能。

kubernetes的service通过iptables来做后端pod的转发和路由,下面来跟踪具体的规则。

service

有如下的映射关系

clusterip:port

podip:port

10.99.143.177:80

10.25.88.123:8097

master3 ~ # kubectl describe svc business-balance -n sdyxmall
Name:              business-balance
Namespace:         sdyxmall
Labels:            kubernetes.io/cluster-service=true
                   kubernetes.io/name=business-balance
Annotations:       kubectl.kubernetes.io/last-applied-configuration={"apiVersion":"v1","kind":"Service","metadata":{"annotations":{},"labels":{"kubernetes.io/cluster-service":"true","kubernetes.io/name":"business-balanc...
Selector:          app=business-balance
Type:              ClusterIP
IP:                10.99.143.177
Port:              business-balance  80/TCP
TargetPort:        8097/TCP
Endpoints:         10.18.50.231:8097,10.25.88.123:8097
Session Affinity:  None
Events:            <none>
master3 ~ # kubectl get pod business-balance-7fbd4966c-h4xmj -n sdyxmall -o wide
NAME                               READY     STATUS    RESTARTS   AGE       IP             NODE
business-balance-7fbd4966c-h4xmj   1/1       Running   0          90d       10.25.88.123   10.1.195.153

iptables

先看DNAT

[nat]->[PREROUTING]->[KUBE-SERVICES]

[root@master-192 st]# iptables -t nat -nvL
Chain PREROUTING (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         
   61  8106 cali-PREROUTING  all  --  *      *       0.0.0.0/0            0.0.0.0/0            /* cali:6gwbT8clXdHdC1b1 */
   63  8226 KUBE-SERVICES  all  --  *      *       0.0.0.0/0            0.0.0.0/0            /* kubernetes service portals */

Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain OUTPUT (policy ACCEPT 16 packets, 960 bytes)
 pkts bytes target     prot opt in     out     source               destination         
 1858  112K cali-OUTPUT  all  --  *      *       0.0.0.0/0            0.0.0.0/0            /* cali:tVnHkvAo15HuiPy0 */
 1888  113K KUBE-SERVICES  all  --  *      *       0.0.0.0/0            0.0.0.0/0            /* kubernetes service portals */

[KUBE-SERVICES]->[KUBE-SVC-7RUAH544RSSBQYKK]

Chain KUBE-SERVICES (2 references)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 KUBE-MARK-MASQ  udp  --  *      *      !10.254.0.0/16        10.96.0.10           /* kube-system/kube-dns:dns cluster IP */ udp dpt:53
    0     0 KUBE-SVC-TCOU7JCQXEZGVUNU  udp  --  *      *       0.0.0.0/0            10.96.0.10           /* kube-system/kube-dns:dns cluster IP */ udp dpt:53
    0     0 KUBE-MARK-MASQ  tcp  --  *      *      !10.254.0.0/16        10.96.0.10           /* kube-system/kube-dns:dns-tcp cluster IP */ tcp dpt:53
    0     0 KUBE-SVC-ERIFXISQEP7F7OF4  tcp  --  *      *       0.0.0.0/0            10.96.0.10           /* kube-system/kube-dns:dns-tcp cluster IP */ tcp dpt:53
    0     0 KUBE-MARK-MASQ  tcp  --  *      *      !10.254.0.0/16        10.96.125.27         /* default/heketi: cluster IP */ tcp dpt:8080
    0     0 KUBE-SVC-7RUAH544RSSBQYKK  tcp  --  *      *       0.0.0.0/0            10.96.125.27         /* default/heketi: cluster IP */ tcp dpt:8080
    0     0 KUBE-MARK-MASQ  tcp  --  *      *      !10.254.0.0/16        10.96.0.1            /* default/kubernetes:https cluster IP */ tcp dpt:443
    0     0 KUBE-SVC-NPX46M4PTMTKRN6Y  tcp  --  *      *       0.0.0.0/0            10.96.0.1            /* default/kubernetes:https cluster IP */ tcp dpt:443
    0     0 KUBE-MARK-MASQ  tcp  --  *      *      !10.254.0.0/16        10.96.232.136        /* kube-system/calico-etcd: cluster IP */ tcp dpt:6666
    0     0 KUBE-SVC-NTYB37XIWATNM25Y  tcp  --  *      *       0.0.0.0/0            10.96.232.136        /* kube-system/calico-etcd: cluster IP */ tcp dpt:6666
   17  1020 KUBE-NODEPORTS  all  --  *      *       0.0.0.0/0            0.0.0.0/0            /* kubernetes service nodeports; NOTE: this must be the last rule in this chain */ ADDRTYPE match dst-type LOCAL

[KUBE-SVC-7RUAH544RSSBQYKK]->[KUBE-SEP-IWORYNCAYHBSQHXU

Chain KUBE-SVC-7RUAH544RSSBQYKK (2 references)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 KUBE-SEP-IWORYNCAYHBSQHXU  all  --  *      *       0.0.0.0/0            0.0.0.0/0            /* default/heketi: */

[KUBE-SEP-IWORYNCAYHBSQHXU]->[DNAT ]

Chain KUBE-SEP-IWORYNCAYHBSQHXU (1 references)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 KUBE-MARK-MASQ  all  --  *      *       10.254.20.8          0.0.0.0/0            /* default/heketi: */
    0     0 DNAT       tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            /* default/heketi: */ tcp to:10.254.20.8:8080

如果在集群中通过cluster_ip:port 是如何访问到frontend 172.18.1.22:80

解决方法: 要进行DNAT转换,因为数据包是经过本地协议发出 会经过nat的OUTPUT chain. 目的是访问cluster_ip:port时可以访问到pod ip。

再看SNAT

[POSTROUTING ]->[KUBE-POSTROUTING]

Chain POSTROUTING (policy ACCEPT 31 packets, 1860 bytes)
 pkts bytes target     prot opt in     out     source               destination         
 2011  121K cali-POSTROUTING  all  --  *      *       0.0.0.0/0            0.0.0.0/0            /* cali:O3lYWMrLQYEMJtB5 */
 2055  123K KUBE-POSTROUTING  all  --  *      *       0.0.0.0/0            0.0.0.0/0            /* kubernetes postrouting rules */

[KUBE-POSTROUTING ]->[MASQUERADE]

Chain KUBE-POSTROUTING (1 references)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 MASQUERADE  all  --  *      *       0.0.0.0/0            0.0.0.0/0            /* kubern

MASQUERADE和SNAT的功能类似,只是SNAT需要明确指明源IP的的值,MASQUERADE会根据网卡IP自动更改,所以更实用一些 作者:xiao_b4b1 链接:https://www.jianshu.com/p/1be9b096a691 来源:简书 著作权归作者所有。商业转载请联系作者获得授权,非商业转载请注明出处。

VXLAN,即 Virtual Extensible LAN(虚拟可扩展局域网),是 Linux 内核本身就支持的一种网络虚似化技术。所以说,VXLAN 可以完全在内核态实现上述封装和解封装的工作,从而通过与前面相似的“隧道”机制,构建出覆盖网络(Overlay Network)

上述基于 VTEP 设备进行“隧道”通信的流程,我也为你总结成了一幅图,如下所示:

集群内部通过cluster ip 访问到Pod

  1. 数据包是通过本地协议发出的,然后需要更改NAT表,k8s只能在OUTPUT这个链上来动手

到达OUPUT chain后,要经过kube-services这个k8s自定义的链

minion26 ~ # iptables -L OUTPUT
Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination         
cali-OUTPUT  all  --  anywhere             anywhere             /* cali:tVnHkvAo15HuiPy0 */
KUBE-SERVICES  all  --  anywhere             anywhere             ctstate NEW /* kubernetes service portals */  这条规则
KUBE-FIREWALL  all  --  anywhere             anywhere  

匹配到下面链

minion26 ~ # iptables -L KUBE-SERVICES -t nat -n --line-number | grep "80"|grep 10.99.143.177
329  KUBE-SVC-S27PVMR2Y2LGB2LU  tcp  --  0.0.0.0/0            10.99.143.177        /* sdyxmall/business-balance:business-balance cluster IP */ tcp dpt:80

目的地址是 10.99.143.177,目的端口是80打标签,标签后的packet进行SNAT,目的就是为了伪装所有访问 Service Cluster IP 的外部流量。

再看 KUBE-SVC-S27PVMR2Y2LGB2LU, 发现了probability,实现了svc能够随机访问到后端

minion26 ~ # iptables -S -t nat | grep KUBE-SVC-S27PVMR2Y2LGB2LU  
-N KUBE-SVC-S27PVMR2Y2LGB2LU
-A KUBE-SERVICES -d 10.99.143.177/32 -p tcp -m comment --comment "sdyxmall/business-balance:business-balance cluster IP" -m tcp --dport 80 -j KUBE-SVC-S27PVMR2Y2LGB2LU
-A KUBE-SVC-S27PVMR2Y2LGB2LU -m comment --comment "sdyxmall/business-balance:business-balance" -m statistic --mode random --probability 0.50000000000 -j KUBE-SEP-POKJ6XOYT5YMVIRV
-A KUBE-SVC-S27PVMR2Y2LGB2LU -m comment --comment "sdyxmall/business-balance:business-balance" -j KUBE-SEP-TGUVYLKE635FZMAF

接着进入KUBE-SEP-TGUVYLKE635FZMAF

minion26 ~ # iptables -L KUBE-SEP-TGUVYLKE635FZMAF -t nat -n
Chain KUBE-SEP-TGUVYLKE635FZMAF (1 references)
target     prot opt source               destination         
KUBE-MARK-MASQ  all  --  10.25.88.123         0.0.0.0/0            /* sdyxmall/business-balance:business-balance */
DNAT       tcp  --  0.0.0.0/0            0.0.0.0/0            /* sdyxmall/business-balance:business-balance */ tcp to:10.25.88.123:8097
minion26 ~ # iptables -S -t nat | grep KUBE-MARK-MASQ
-N KUBE-MARK-MASQ
-A KUBE-MARK-MASQ -j MARK --set-xmark 0x4000/0x4000
下面两条规则,第一条打标签0x4000是为了做SNAT,第二条实现DNAT

然后在KUBE-POSTROUTING链时,只对打上了标签的packet进行SNAT

minion26 ~ # iptables -S -t nat | grep 0x4000/0x4000
-A KUBE-MARK-MASQ -j MARK --set-xmark 0x4000/0x4000
-A KUBE-POSTROUTING -m comment --comment "kubernetes service traffic requiring SNAT" -m mark --mark 0x4000/0x4000 -j MASQUERADE

至此,一个访问cluster ip 最终访问到Pod的流程走完了

集群外部通过node ip 访问到Pod

根据iptables, 肯定是对PREROUTING链动手脚

[root@haofan-test-1 ~]# iptables -S -t nat | grep PREROUTING
    -A PREROUTING -m comment --comment "kubernetes service portals" -j KUBE-SERVICES
 [root@haofan-test-2 ~]# iptables -L PREROUTING -t nat
Chain PREROUTING (policy ACCEPT)
target     prot opt source               destination
KUBE-SERVICES  all  --  anywhere             anywhere             /* kubernetes service portals */

然后又调到KUBE-SERVICES这个chain上去了,但是因为根据具体的destination 地址,只能匹配到下面˙这条chain

[root@haofan-test-2 ~]# iptables -L KUBE-NODEPORTS -t nat --line-number
Chain KUBE-NODEPORTS (1 references)
num  target     prot opt source               destination
1    KUBE-MARK-MASQ  tcp  --  anywhere             anywhere             /* default/frontend: */ tcp dpt:30784
2    KUBE-SVC-PKCF2FTRAH6WFOQR  tcp  --  anywhere             anywhere             /* default/frontend: */ tcp dpt:30784

然后这里注意,2条规则并不是匹配完第一条,就不匹配第二条了,iptables匹配完第一条不匹配第二条是对于prerouting/input/output/postrouting 的规则,自定义的规则最终都会append到这4个chain上的, 也就是在内核中实际上是不同的chain。

第一条就是目的端口是30784的packet进行SNAT,第二条就不用说了。SNAT的目的前面已经说了,SNAT之后进入pod的packet的source地址是容器网关地址,抓包可以验证。

经过上面的描述,应该对网络packet数据转发有一个比较清楚的认识

总结

k8s中报文到本机某进程的报文:PREROUTING --> INPUT

出去的报文;由本机的某进程发出报文(通常为响应报文):OUTPUT --> POSTROUTING

1.DNAT

集群内部通过cluster ip 访问到Pod,更改NAT表,在OUTPUT链上来动手

集群外部通过node ip 访问到Pod,是对PREROUTING链动手脚

【OUTPUT】-->【k8s自定义的链-KUBE-SERVICES】--(查找到ClusterIP)-->[自定义链-KUBE-SVC-7RUxxxxxxYKK]--负载->[KUBE-SEP-IWORYxxxxxxxxQHXU】-->【DNAT到pod】

进行DNAT转换会经过nat的OUTPUT chain. 目的是访问cluster_ip:port时可以访问到pod ip。

2.SNAT

[POSTROUTING ]->[KUBE-POSTROUTING]->[MASQUERADE]

2.1 POSTROUTING ]链

minion26 ~ # iptables -L POSTROUTING -t nat
Chain POSTROUTING (policy ACCEPT)
target     prot opt source               destination         
cali-POSTROUTING  all  --  anywhere             anywhere             /* cali:O3lYWMrLQYEMJtB5 */
KUBE-POSTROUTING  all  --  anywhere             anywhere             /* kubernetes postrouting rules */
MASQUERADE  all  --  172.17.0.0/16        anywhere

2.2 [KUBE-POSTROUTING]链

minion26 ~ # iptables -L KUBE-POSTROUTING -t nat
Chain KUBE-POSTROUTING (1 references)
target     prot opt source               destination         
MASQUERADE  all  --  anywhere             anywhere             /* kubernetes service traffic requiring SNAT */ mark match 0x4000/0x4000

kube-proxy通过iptables 转发会修改filter和nat表

filter表

filter表通过OUTPUT链规定所有的出报文都要经过KUBE-SERVICES,如果一个Service没有对应的endpoint,则拒绝将报文发出

查看filter:iptables -L -n -t filter

Chain KUBE-SERVICES (1 references)
target     prot opt source               destination         
REJECT     tcp  --  0.0.0.0/0            10.111.3.242         /* huacai/lottery-pc-mng:lottery-pc-mng has no endpoints */ tcp dpt:80 reject-with icmp-port-unreachable
REJECT     tcp  --  0.0.0.0/0            10.104.181.154       /* sdyxmall/app-schedule:app-schedule has no endpoints */ tcp dpt:80 reject-with icmp-port-unreachable
REJECT     tcp  --  0.0.0.0/0            10.107.228.172       /* maizuo/pc-v5:pc-v5 has no endpoints */ tcp dpt:80 reject-with icmp-port-unreachable
REJECT     tcp  --  0.0.0.0/0            10.97.44.11          /* aurayou/business-nsq:business-nsq has no endpoints */ tcp dpt:80 reject-with icmp-port-unreachable
对于没有有endpoint的,filter表中会将访问10.111.3.242等的请求拒绝。

nat表

nat表中设置的规则比较多,查看nat表命令:iptables -L -n -t nat

1、在PREROUTING阶段,将所有报文转发到KUBE-SERVICES

2、在OUTPUT阶段,将所有报文转发到KUBE-SERVICES

3、在POSTROUTING阶段,将所有报文转发到KUBE-POSTROUTING

nat表中主要增加了如下几个链-规则

1)KUBE-SERVICES

每个Service的每个服务端口都会在Chain KUBE-SERVICES中有一条对应的规则,发送到clusterIP的报文,将会转发到对应的Service的规则链,没有命中ClusterIP的,转发到KUBE-NODEPORTS。

只有发送到被kubernetes占用的端口的报文才会进入KUBE-MARK-MASQ打上标记,并转发到对应的服务规则链

2)KUBE-SVC-7RUxxxxxxYKK

每一个SERVICE,又将报文提交到了各自的KUBE-SEP-XXX

3)KUBE-SEP--IWORYxxxxxxxxQHXU

最后在KUBE-SEP-XX中完整了最终的DNAT,将目的地址转换成了POD的IP和端口。

这里的KUBE-MARK-MASQ为报文打上了标记,表示这个报文是由kubernetes管理的,Kuberntes将会对它进行NAT转换

4)KUBE-NODEPORTS

KUBE-NODEPORT中,根据目的端口,将报文转发到对应的Service的规则链,然后就如同在“Chain KUBE-SERVICES”中的过程,将报文转发到了对应的POD。

5)KUBE-POSTROUTING

这里表示k8s管理的报文(也就是被标记了0x4000的报文),在离开Node(物理机)的时候需要进行SNAT转换。

也就是POD发出的报文

报文处理流程图

集群内部通过clusterIP访问到pod的流程

                                     (KUBE-SVC@nat)              
               (KUBE-SERVICES         +->SVC1
  OUTPUT        @filter,nat)           |             (KUBE-SEP@nat)
   PKT  ----->命中ClusterIP ----------+->SVC2 -->SEP1,Mark0x0400,DNAT
          |                           |                 |
          |                           +->SVC3           |
          |                                             |
          |                                             |
          |              +-----------------+            | 
          +------------> |   POSTROUTING   | <----------+
                         +--------+--------+
                                  |         
                                  |         
                          match 0x0400,SNAT@nat                 
                                  |
                                  |
                                 网卡 

————————————————

iptables模式下kube-proxy转发规则

filter表

filter表通过OUTPUT链规定所有的出报文都要经过KUBE-SERVICES,如果一个Service没有对应的endpoint,则拒绝将报文发出 查看filter:iptables -L -n -t filter

nat表

1.nat表的PREROUTING链

流量到达防火墙后进入路由表前会先进入PREROUTING链,所以首先对PREROUTING阶段进行分析 nat表的PREROUTING链–》经过cali-PREROUTING后,流量全部进入到了KUBE-SERVICES链

2.k8s自定义KUBE-SERVICES链

KUBE-SERVICES链如下:

目的地址是clusterIP的有两条链,对应两种流量:

  • 源地址不是PodIP,目的地址是clusterIP的流量,先经过KUBE-MARK-MASQ链,再转发到KUBE-SVC-BJMxxxxxZHCFRZ

  • 源地址是PodIP,目的地址是clusterIP的流量(集群内部流量)直接转发到KUBE-SVC-BJMxxxxxRZHCFRZ链 上面针对的是

  • 另外,在KUBE-SERVICES链最后还有一条链,对应访问NodePort的流量:

3.KUBE-MARK-MASQ链

KUBE-MARK-MASQ链给途径的流量打了个0x4000标记

4.KUBE-SVC-BJM46V3U5RZHCFRZ链

途径KUBE-SVC-BJM46xxxxxxZ链的流量会以各50%的概率(statistic mode random probability 0.50000000000)转发到两个endpoint后端链KUBE-SEP-P7XP4GxxxxxZRK6和KUBE-SEP-HY3xxxxxZQYRP中

5.KUBE-NODEPORTS链

先通过KUBE-MARK-MASQ链打了个标记0x4000,然后转到KUBE-SVC-BJM46V3UxxxxxZFRZ链

总结

Kubernetes 通过 kube-proxy 组件来实现这些功能,每台计算节点上都运行一个 kube-proxy 服务,通过复杂的 iptables 规则在 Pod 和 Service 之间进行各种过滤和 NAT。如果你登入某个计算节点的终端输入 iptables-save,就会看到 kube-proxy 和其他程序在 iptables 规则表中插入的规则。其中最主要的链是 KUBE-SERVICESKUBE-SVC-*KUBE-SEP-*

  • KUBE-SERVICES 链是访问集群内服务的数据包入口点,它会根据匹配到的目标 IP:port 将数据包分发到相应的 KUBE-SVC-* 链。

  • KUBE-SVC-* 链相当于一个负载均衡器,它会将数据包平均分发到 KUBE-SEP-* 链。每个 KUBE-SVC-* 链后面的 KUBE-SEP-* 链都和 Service 后面的 Endpoint 数量一样。

  • KUBE-SEP-* 链通过 DNAT 将目标从 Service 的 IP:port 替换为 Endpoint 的 IP:port,从而将流量转发到相应的 Pod。

所有在内核中由 Netfilter 的特定框架做的连接跟踪模块称作 conntrack(connection tracking)。在 DNAT 的过程中,conntrack 使用状态机来启动并跟踪连接状态。为什么需要记录连接的状态呢?因为 iptables 需要记住数据包的目标地址被改成了什么,并且在返回数据包时再将目标地址改回来。除此之外 iptables 还可以依靠 conntrack 的状态(cstate)来决定数据包的命运。其中最主要的四个 conntrack 状态是:

  • NEW : 匹配连接的第一个包,这表示 conntrack 对该数据包的信息一无所知。通常发生在收到 SYN 数据包时。

  • ESTABLISHED : 匹配连接的响应包及后续的包,conntrack 知道该数据包属于一个已建立的连接。通常发生在 TCP 握手完成之后。

  • RELATED : RELATED 状态有点复杂,当一个连接与另一个已经是 ESTABLISHED 的连接有关时,这个连接就被认为是 RELATED。这意味着,一个连接要想成为 RELATED,必须首先有一个已经是 ESTABLISHED 的连接存在。这个 ESTABLISHED 连接再产生一个主连接之外的新连接,这个新连接就是 RELATED 状态了。

  • INVALID : 匹配那些无法识别或没有任何状态的数据包,conntrack 不知道如何去处理它。该状态在分析 Kubernetes 故障的过程中起着重要的作用。

TCP 连接在 Pod 和 Service 之间的工作流程如下图所示:

https://hugo-picture.oss-cn-beijing.aliyuncs.com/images/BIA066.jpg

TCP 连接的生命周期:

  • 左边的客户端发送数据包到 Service:192.168.0.2:80

  • 数据包通过本地节点的 iptables 规则,目的地址被改为 Pod 的地址:10.0.1.2:80

  • 提供服务的 Pod(Server Pod)处理完数据包后返回响应包给客户端:10.0.0.2

  • 数据包到达客户端所在的节点后,被 conntrack 模块识别并将源地址改为 192.169.0.2:80

  • 客户端接收到响应包

整个流程看起来工作的很完美。

有两条链,对应两种流量:

源地址不是Pod自身IP的流量首先转发到KUBE-MARK-MASQ链,然后会打上0x4000标记,然后再做DNAT。 源地址是Pod自身IP的流量直接做DNAT,将目的ip和port转换为对应pod的ip和port。

####小结 从上面4步可以看出,经过PREROUTING的分为4种流量:

参考文章:

Iptables: http://www.zsythink.net/archives/1199

k8s iptables:https://blog.csdn.net/u011563903/article/details/86692694

博客:https://blog.csdn.net/liukuan73/article/details/82585732?depth_1-utm_source=distribute.pc_relevant.none-task&utm_source=distribute.pc_relevant.none-task

博客:https://blog.csdn.net/qq_36183935/article/details/90734847

比较好:https://fuckcloudnative.io/posts/kube-proxy-subtleties-debugging-an-intermittent-connection-reset/

Last updated