k8s网络-iptables
iptables 通常就是指linux上的防火墙,主要分为netfilter和iptables两个组件。netfilter为内核空间的组件,iptables为用户空间的组件,提供添加,删除查询防火墙规则的功能。
kubernetes的service通过iptables来做后端pod的转发和路由,下面来跟踪具体的规则。
service
有如下的映射关系
clusterip:port
podip:port
10.99.143.177:80
10.25.88.123:8097
iptables
先看DNAT
[nat]->[PREROUTING]->[KUBE-SERVICES]
[KUBE-SERVICES]->[KUBE-SVC-7RUAH544RSSBQYKK]
[KUBE-SVC-7RUAH544RSSBQYKK]->[KUBE-SEP-IWORYNCAYHBSQHXU
[KUBE-SEP-IWORYNCAYHBSQHXU]->[DNAT ]
如果在集群中通过cluster_ip:port 是如何访问到frontend 172.18.1.22:80
解决方法: 要进行DNAT转换,因为数据包是经过本地协议发出 会经过nat的OUTPUT chain. 目的是访问cluster_ip:port时可以访问到pod ip。
再看SNAT
[POSTROUTING ]->[KUBE-POSTROUTING]
[KUBE-POSTROUTING ]->[MASQUERADE]
MASQUERADE和SNAT的功能类似,只是SNAT需要明确指明源IP的的值,MASQUERADE会根据网卡IP自动更改,所以更实用一些 作者:xiao_b4b1 链接:https://www.jianshu.com/p/1be9b096a691 来源:简书 著作权归作者所有。商业转载请联系作者获得授权,非商业转载请注明出处。
VXLAN,即 Virtual Extensible LAN(虚拟可扩展局域网),是 Linux 内核本身就支持的一种网络虚似化技术。所以说,VXLAN 可以完全在内核态实现上述封装和解封装的工作,从而通过与前面相似的“隧道”机制,构建出覆盖网络(Overlay Network)
上述基于 VTEP 设备进行“隧道”通信的流程,我也为你总结成了一幅图,如下所示:
集群内部通过cluster ip 访问到Pod
数据包是通过本地协议发出的,然后需要更改NAT表,k8s只能在OUTPUT这个链上来动手
到达OUPUT chain后,要经过kube-services这个k8s自定义的链
匹配到下面链
目的地址是 10.99.143.177,目的端口是80打标签,标签后的packet进行SNAT,目的就是为了伪装所有访问 Service Cluster IP 的外部流量。
再看 KUBE-SVC-S27PVMR2Y2LGB2LU, 发现了probability,实现了svc能够随机访问到后端
接着进入KUBE-SEP-TGUVYLKE635FZMAF
然后在KUBE-POSTROUTING链时,只对打上了标签的packet进行SNAT
至此,一个访问cluster ip 最终访问到Pod的流程走完了
集群外部通过node ip 访问到Pod
根据iptables, 肯定是对PREROUTING链动手脚
然后又调到KUBE-SERVICES这个chain上去了,但是因为根据具体的destination 地址,只能匹配到下面˙这条chain
然后这里注意,2条规则并不是匹配完第一条,就不匹配第二条了,iptables匹配完第一条不匹配第二条是对于prerouting/input/output/postrouting 的规则,自定义的规则最终都会append到这4个chain上的, 也就是在内核中实际上是不同的chain。
第一条就是目的端口是30784的packet进行SNAT,第二条就不用说了。SNAT的目的前面已经说了,SNAT之后进入pod的packet的source地址是容器网关地址,抓包可以验证。
经过上面的描述,应该对网络packet数据转发有一个比较清楚的认识
总结
k8s中报文到本机某进程的报文:PREROUTING --> INPUT
出去的报文;由本机的某进程发出报文(通常为响应报文):OUTPUT --> POSTROUTING
1.DNAT
集群内部通过cluster ip 访问到Pod,更改NAT表,在OUTPUT链上来动手
集群外部通过node ip 访问到Pod,是对PREROUTING链动手脚
【OUTPUT】-->【k8s自定义的链-KUBE-SERVICES】--(查找到ClusterIP)-->[自定义链-KUBE-SVC-7RUxxxxxxYKK]--负载->[KUBE-SEP-IWORYxxxxxxxxQHXU】-->【DNAT到pod】
进行DNAT转换会经过nat的OUTPUT chain. 目的是访问cluster_ip:port时可以访问到pod ip。
2.SNAT
[POSTROUTING ]->[KUBE-POSTROUTING]->[MASQUERADE]
2.1 POSTROUTING ]链
2.2 [KUBE-POSTROUTING]链
kube-proxy通过iptables 转发,会修改filter和nat表
filter表
filter表通过OUTPUT链规定所有的出报文都要经过KUBE-SERVICES,如果一个Service没有对应的endpoint,则拒绝将报文发出
查看filter:iptables -L -n -t filter
nat表
nat表中设置的规则比较多,查看nat表命令:iptables -L -n -t nat
1、在PREROUTING阶段,将所有报文转发到KUBE-SERVICES
2、在OUTPUT阶段,将所有报文转发到KUBE-SERVICES
3、在POSTROUTING阶段,将所有报文转发到KUBE-POSTROUTING
nat表中主要增加了如下几个链-规则
1)KUBE-SERVICES
每个Service的每个服务端口都会在Chain KUBE-SERVICES中有一条对应的规则,发送到clusterIP的报文,将会转发到对应的Service的规则链,没有命中ClusterIP的,转发到KUBE-NODEPORTS。
只有发送到被kubernetes占用的端口的报文才会进入KUBE-MARK-MASQ打上标记,并转发到对应的服务规则链
2)KUBE-SVC-7RUxxxxxxYKK
每一个SERVICE,又将报文提交到了各自的KUBE-SEP-XXX
3)KUBE-SEP--IWORYxxxxxxxxQHXU
最后在KUBE-SEP-XX中完整了最终的DNAT,将目的地址转换成了POD的IP和端口。
这里的KUBE-MARK-MASQ为报文打上了标记,表示这个报文是由kubernetes管理的,Kuberntes将会对它进行NAT转换
4)KUBE-NODEPORTS
KUBE-NODEPORT中,根据目的端口,将报文转发到对应的Service的规则链,然后就如同在“Chain KUBE-SERVICES”中的过程,将报文转发到了对应的POD。
5)KUBE-POSTROUTING
这里表示k8s管理的报文(也就是被标记了0x4000的报文),在离开Node(物理机)的时候需要进行SNAT转换。
也就是POD发出的报文
报文处理流程图
集群内部通过clusterIP访问到pod的流程
iptables模式下kube-proxy转发规则
filter表
filter表通过OUTPUT链规定所有的出报文都要经过KUBE-SERVICES,如果一个Service没有对应的endpoint,则拒绝将报文发出 查看filter:iptables -L -n -t filter
nat表
1.nat表的PREROUTING链
流量到达防火墙后进入路由表前会先进入PREROUTING链,所以首先对PREROUTING阶段进行分析 nat表的PREROUTING链–》经过cali-PREROUTING后,流量全部进入到了KUBE-SERVICES链
2.k8s自定义KUBE-SERVICES链
KUBE-SERVICES链如下:
目的地址是clusterIP的有两条链,对应两种流量:
源地址不是PodIP,目的地址是clusterIP的流量,先经过KUBE-MARK-MASQ链,再转发到KUBE-SVC-BJMxxxxxZHCFRZ
源地址是PodIP,目的地址是clusterIP的流量(集群内部流量)直接转发到KUBE-SVC-BJMxxxxxRZHCFRZ链 上面针对的是
另外,在KUBE-SERVICES链最后还有一条链,对应访问NodePort的流量:
3.KUBE-MARK-MASQ链
KUBE-MARK-MASQ链给途径的流量打了个0x4000标记
4.KUBE-SVC-BJM46V3U5RZHCFRZ链
途径KUBE-SVC-BJM46xxxxxxZ链的流量会以各50%的概率(statistic mode random probability 0.50000000000)转发到两个endpoint后端链KUBE-SEP-P7XP4GxxxxxZRK6和KUBE-SEP-HY3xxxxxZQYRP中
5.KUBE-NODEPORTS链
先通过KUBE-MARK-MASQ链打了个标记0x4000,然后转到KUBE-SVC-BJM46V3UxxxxxZFRZ链
总结
Kubernetes 通过 kube-proxy 组件来实现这些功能,每台计算节点上都运行一个 kube-proxy 服务,通过复杂的 iptables 规则在 Pod 和 Service 之间进行各种过滤和 NAT。如果你登入某个计算节点的终端输入 iptables-save,就会看到 kube-proxy 和其他程序在 iptables 规则表中插入的规则。其中最主要的链是 KUBE-SERVICES,KUBE-SVC-* 和 KUBE-SEP-*。
KUBE-SERVICES链是访问集群内服务的数据包入口点,它会根据匹配到的目标IP:port将数据包分发到相应的KUBE-SVC-*链。KUBE-SVC-*链相当于一个负载均衡器,它会将数据包平均分发到KUBE-SEP-*链。每个KUBE-SVC-*链后面的KUBE-SEP-*链都和 Service 后面的 Endpoint 数量一样。KUBE-SEP-*链通过DNAT将目标从 Service 的 IP:port 替换为 Endpoint 的 IP:port,从而将流量转发到相应的 Pod。
所有在内核中由 Netfilter 的特定框架做的连接跟踪模块称作 conntrack(connection tracking)。在 DNAT 的过程中,conntrack 使用状态机来启动并跟踪连接状态。为什么需要记录连接的状态呢?因为 iptables 需要记住数据包的目标地址被改成了什么,并且在返回数据包时再将目标地址改回来。除此之外 iptables 还可以依靠 conntrack 的状态(cstate)来决定数据包的命运。其中最主要的四个 conntrack 状态是:
NEW: 匹配连接的第一个包,这表示 conntrack 对该数据包的信息一无所知。通常发生在收到SYN数据包时。ESTABLISHED: 匹配连接的响应包及后续的包,conntrack 知道该数据包属于一个已建立的连接。通常发生在 TCP 握手完成之后。RELATED: RELATED 状态有点复杂,当一个连接与另一个已经是ESTABLISHED的连接有关时,这个连接就被认为是 RELATED。这意味着,一个连接要想成为 RELATED,必须首先有一个已经是ESTABLISHED的连接存在。这个 ESTABLISHED 连接再产生一个主连接之外的新连接,这个新连接就是 RELATED 状态了。INVALID: 匹配那些无法识别或没有任何状态的数据包,conntrack 不知道如何去处理它。该状态在分析 Kubernetes 故障的过程中起着重要的作用。
TCP 连接在 Pod 和 Service 之间的工作流程如下图所示:
TCP 连接的生命周期:
左边的客户端发送数据包到 Service:
192.168.0.2:80数据包通过本地节点的 iptables 规则,目的地址被改为 Pod 的地址:
10.0.1.2:80提供服务的 Pod(Server Pod)处理完数据包后返回响应包给客户端:
10.0.0.2数据包到达客户端所在的节点后,被 conntrack 模块识别并将源地址改为
192.169.0.2:80客户端接收到响应包
整个流程看起来工作的很完美。
有两条链,对应两种流量:
源地址不是Pod自身IP的流量首先转发到KUBE-MARK-MASQ链,然后会打上0x4000标记,然后再做DNAT。 源地址是Pod自身IP的流量直接做DNAT,将目的ip和port转换为对应pod的ip和port。
####小结 从上面4步可以看出,经过PREROUTING的分为4种流量:
参考文章:
Iptables: http://www.zsythink.net/archives/1199
k8s iptables:https://blog.csdn.net/u011563903/article/details/86692694
博客:https://blog.csdn.net/qq_36183935/article/details/90734847
比较好:https://fuckcloudnative.io/posts/kube-proxy-subtleties-debugging-an-intermittent-connection-reset/
Last updated