iptables 通常就是指linux上的防火墙,主要分为netfilter和iptables两个组件。netfilter为内核空间的组件,iptables为用户空间的组件,提供添加,删除查询防火墙规则的功能。
kubernetes的service通过iptables来做后端pod的转发和路由,下面来跟踪具体的规则。
service
有如下的映射关系
Copy master3 ~ # kubectl describe svc business-balance -n sdyxmall
Name: business-balance
Namespace: sdyxmall
Labels: kubernetes.io/cluster-service=true
kubernetes.io/name=business-balance
Annotations: kubectl.kubernetes.io/last-applied-configuration={"apiVersion":"v1","kind":"Service","metadata":{"annotations":{},"labels":{"kubernetes.io/cluster-service":"true","kubernetes.io/name":"business-balanc...
Selector: app=business-balance
Type: ClusterIP
IP: 10.99.143.177
Port: business-balance 80/TCP
TargetPort: 8097/TCP
Endpoints: 10.18.50.231:8097,10.25.88.123:8097
Session Affinity: None
Events: <none>
Copy master3 ~ # kubectl get pod business-balance-7fbd4966c-h4xmj -n sdyxmall -o wide
NAME READY STATUS RESTARTS AGE IP NODE
business-balance-7fbd4966c-h4xmj 1/1 Running 0 90d 10.25.88.123 10.1.195.153 iptables
先看DNAT
[nat]->[PREROUTING]->[KUBE-SERVICES]
Copy [root@master-192 st]# iptables -t nat -nvL
Chain PREROUTING (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
61 8106 cali-PREROUTING all -- * * 0.0.0.0/0 0.0.0.0/0 /* cali:6gwbT8clXdHdC1b1 */
63 8226 KUBE-SERVICES all -- * * 0.0.0.0/0 0.0.0.0/0 /* kubernetes service portals */
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
Chain OUTPUT (policy ACCEPT 16 packets, 960 bytes)
pkts bytes target prot opt in out source destination
1858 112K cali-OUTPUT all -- * * 0.0.0.0/0 0.0.0.0/0 /* cali:tVnHkvAo15HuiPy0 */
1888 113K KUBE-SERVICES all -- * * 0.0.0.0/0 0.0.0.0/0 /* kubernetes service portals */ [KUBE-SERVICES]->[KUBE-SVC-7RUAH544RSSBQYKK]
Copy Chain KUBE-SERVICES (2 references)
pkts bytes target prot opt in out source destination
0 0 KUBE-MARK-MASQ udp -- * * !10.254.0.0/16 10.96.0.10 /* kube-system/kube-dns:dns cluster IP */ udp dpt:53
0 0 KUBE-SVC-TCOU7JCQXEZGVUNU udp -- * * 0.0.0.0/0 10.96.0.10 /* kube-system/kube-dns:dns cluster IP */ udp dpt:53
0 0 KUBE-MARK-MASQ tcp -- * * !10.254.0.0/16 10.96.0.10 /* kube-system/kube-dns:dns-tcp cluster IP */ tcp dpt:53
0 0 KUBE-SVC-ERIFXISQEP7F7OF4 tcp -- * * 0.0.0.0/0 10.96.0.10 /* kube-system/kube-dns:dns-tcp cluster IP */ tcp dpt:53
0 0 KUBE-MARK-MASQ tcp -- * * !10.254.0.0/16 10.96.125.27 /* default/heketi: cluster IP */ tcp dpt:8080
0 0 KUBE-SVC-7RUAH544RSSBQYKK tcp -- * * 0.0.0.0/0 10.96.125.27 /* default/heketi: cluster IP */ tcp dpt:8080
0 0 KUBE-MARK-MASQ tcp -- * * !10.254.0.0/16 10.96.0.1 /* default/kubernetes:https cluster IP */ tcp dpt:443
0 0 KUBE-SVC-NPX46M4PTMTKRN6Y tcp -- * * 0.0.0.0/0 10.96.0.1 /* default/kubernetes:https cluster IP */ tcp dpt:443
0 0 KUBE-MARK-MASQ tcp -- * * !10.254.0.0/16 10.96.232.136 /* kube-system/calico-etcd: cluster IP */ tcp dpt:6666
0 0 KUBE-SVC-NTYB37XIWATNM25Y tcp -- * * 0.0.0.0/0 10.96.232.136 /* kube-system/calico-etcd: cluster IP */ tcp dpt:6666
17 1020 KUBE-NODEPORTS all -- * * 0.0.0.0/0 0.0.0.0/0 /* kubernetes service nodeports; NOTE: this must be the last rule in this chain */ ADDRTYPE match dst-type LOCAL [KUBE-SVC-7RUAH544RSSBQYKK]->[KUBE-SEP-IWORYNCAYHBSQHXU
Copy Chain KUBE-SVC-7RUAH544RSSBQYKK (2 references)
pkts bytes target prot opt in out source destination
0 0 KUBE-SEP-IWORYNCAYHBSQHXU all -- * * 0.0.0.0/0 0.0.0.0/0 /* default/heketi: */ [KUBE-SEP-IWORYNCAYHBSQHXU]->[DNAT ]
Copy Chain KUBE-SEP-IWORYNCAYHBSQHXU (1 references)
pkts bytes target prot opt in out source destination
0 0 KUBE-MARK-MASQ all -- * * 10.254.20.8 0.0.0.0/0 /* default/heketi: */
0 0 DNAT tcp -- * * 0.0.0.0/0 0.0.0.0/0 /* default/heketi: */ tcp to:10.254.20.8:8080
如果在集群中通过cluster_ip:port 是如何访问到frontend 172.18.1.22:80
解决方法: 要进行DNAT转换,因为数据包是经过本地协议发出 会经过nat的OUTPUT chain. 目的是访问cluster_ip:port时可以访问到pod ip。
再看SNAT
[POSTROUTING ]->[KUBE-POSTROUTING]
Copy Chain POSTROUTING (policy ACCEPT 31 packets, 1860 bytes)
pkts bytes target prot opt in out source destination
2011 121K cali-POSTROUTING all -- * * 0.0.0.0/0 0.0.0.0/0 /* cali:O3lYWMrLQYEMJtB5 */
2055 123K KUBE-POSTROUTING all -- * * 0.0.0.0/0 0.0.0.0/0 /* kubernetes postrouting rules */ [KUBE-POSTROUTING ]->[MASQUERADE]
Copy Chain KUBE-POSTROUTING (1 references)
pkts bytes target prot opt in out source destination
0 0 MASQUERADE all -- * * 0.0.0.0/0 0.0.0.0/0 /* kubern MASQUERADE和SNAT的功能类似,只是SNAT需要明确指明源IP的的值,MASQUERADE会根据网卡IP自动更改,所以更实用一些
作者:xiao_b4b1
链接:https://www.jianshu.com/p/1be9b096a691
来源:简书
著作权归作者所有。商业转载请联系作者获得授权,非商业转载请注明出处。
VXLAN,即 Virtual Extensible LAN(虚拟可扩展局域网),是 Linux 内核本身就支持的一种网络虚似化技术。所以说,VXLAN 可以完全在内核态实现上述封装和解封装的工作,从而通过与前面相似的“隧道”机制,构建出覆盖网络(Overlay Network)
上述基于 VTEP 设备进行“隧道”通信的流程,我也为你总结成了一幅图,如下所示:
集群内部通过cluster ip 访问到Pod
数据包是通过本地协议发出的,然后需要更改NAT表,k8s只能在OUTPUT这个链上来动手
到达OUPUT chain后,要经过kube-services这个k8s自定义的链
Copy minion26 ~ # iptables -L OUTPUT
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
cali-OUTPUT all -- anywhere anywhere /* cali:tVnHkvAo15HuiPy0 */
KUBE-SERVICES all -- anywhere anywhere ctstate NEW /* kubernetes service portals */ 这条规则
KUBE-FIREWALL all -- anywhere anywhere 匹配到下面链
Copy minion26 ~ # iptables -L KUBE-SERVICES -t nat -n --line-number | grep "80"|grep 10.99.143.177
329 KUBE-SVC-S27PVMR2Y2LGB2LU tcp -- 0.0.0.0/0 10.99.143.177 /* sdyxmall/business-balance:business-balance cluster IP */ tcp dpt:80 目的地址是 10.99.143.177,目的端口是80打标签,标签后的packet进行SNAT,目的就是为了伪装所有访问 Service Cluster IP 的外部流量。
再看 KUBE-SVC-S27PVMR2Y2LGB2LU, 发现了probability,实现了svc能够随机访问到后端
Copy minion26 ~ # iptables -S -t nat | grep KUBE-SVC-S27PVMR2Y2LGB2LU
-N KUBE-SVC-S27PVMR2Y2LGB2LU
-A KUBE-SERVICES -d 10.99.143.177/32 -p tcp -m comment --comment "sdyxmall/business-balance:business-balance cluster IP" -m tcp --dport 80 -j KUBE-SVC-S27PVMR2Y2LGB2LU
-A KUBE-SVC-S27PVMR2Y2LGB2LU -m comment --comment "sdyxmall/business-balance:business-balance" -m statistic --mode random --probability 0.50000000000 -j KUBE-SEP-POKJ6XOYT5YMVIRV
-A KUBE-SVC-S27PVMR2Y2LGB2LU -m comment --comment "sdyxmall/business-balance:business-balance" -j KUBE-SEP-TGUVYLKE635FZMAF
接着进入KUBE-SEP-TGUVYLKE635FZMAF
Copy minion26 ~ # iptables -L KUBE-SEP-TGUVYLKE635FZMAF -t nat -n
Chain KUBE-SEP-TGUVYLKE635FZMAF (1 references)
target prot opt source destination
KUBE-MARK-MASQ all -- 10.25.88.123 0.0.0.0/0 /* sdyxmall/business-balance:business-balance */
DNAT tcp -- 0.0.0.0/0 0.0.0.0/0 /* sdyxmall/business-balance:business-balance */ tcp to:10.25.88.123:8097
minion26 ~ # iptables -S -t nat | grep KUBE-MARK-MASQ
-N KUBE-MARK-MASQ
-A KUBE-MARK-MASQ -j MARK --set-xmark 0x4000/0x4000
下面两条规则,第一条打标签0x4000是为了做SNAT,第二条实现DNAT 然后在KUBE-POSTROUTING链时,只对打上了标签的packet进行SNAT
Copy minion26 ~ # iptables -S -t nat | grep 0x4000/0x4000
-A KUBE-MARK-MASQ -j MARK --set-xmark 0x4000/0x4000
-A KUBE-POSTROUTING -m comment --comment "kubernetes service traffic requiring SNAT" -m mark --mark 0x4000/0x4000 -j MASQUERADE 至此,一个访问cluster ip 最终访问到Pod的流程走完了
集群外部通过node ip 访问到Pod
根据iptables, 肯定是对PREROUTING链动手脚
Copy [root@haofan-test-1 ~]# iptables -S -t nat | grep PREROUTING
-A PREROUTING -m comment --comment "kubernetes service portals" -j KUBE-SERVICES
[root@haofan-test-2 ~]# iptables -L PREROUTING -t nat
Chain PREROUTING (policy ACCEPT)
target prot opt source destination
KUBE-SERVICES all -- anywhere anywhere /* kubernetes service portals */
然后又调到KUBE-SERVICES这个chain上去了,但是因为根据具体的destination 地址,只能匹配到下面˙这条chain
Copy [root@haofan-test-2 ~]# iptables -L KUBE-NODEPORTS -t nat --line-number
Chain KUBE-NODEPORTS (1 references)
num target prot opt source destination
1 KUBE-MARK-MASQ tcp -- anywhere anywhere /* default/frontend: */ tcp dpt:30784
2 KUBE-SVC-PKCF2FTRAH6WFOQR tcp -- anywhere anywhere /* default/frontend: */ tcp dpt:30784
然后这里注意,2条规则并不是匹配完第一条,就不匹配第二条了,iptables匹配完第一条不匹配第二条是对于prerouting/input/output/postrouting 的规则,自定义的规则最终都会append到这4个chain上的, 也就是在内核中实际上是不同的chain。
第一条就是目的端口是30784的packet进行SNAT,第二条就不用说了。SNAT的目的前面已经说了,SNAT之后进入pod的packet的source地址是容器网关地址,抓包可以验证。
经过上面的描述,应该对网络packet数据转发有一个比较清楚的认识
总结
k8s中报文 到本机某进程的报文:PREROUTING --> INPUT
出去的报文;由本机的某进程发出报文(通常为响应报文):OUTPUT --> POSTROUTING
1.DNAT
集群内部通过cluster ip 访问到Pod, 更改NAT表,在OUTPUT链上来动手
集群外部通过node ip 访问到Pod, 是对PREROUTING链动手脚
【OUTPUT】-->【k8s自定义的链-KUBE-SERVICES】--(查找到ClusterIP)-->[自定义链-KUBE-SVC-7RUxxxxxxYKK]--负载->[KUBE-SEP-IWORYxxxxxxxxQHXU】--> 【DNAT到pod】
进行DNAT转换会经过nat的OUTPUT chain. 目的是访问cluster_ip:port时可以访问到pod ip。
2.SNAT
[POSTROUTING ]->[KUBE-POSTROUTING]->[MASQUERADE]
2.1 POSTROUTING ]链
Copy minion26 ~ # iptables -L POSTROUTING -t nat
Chain POSTROUTING (policy ACCEPT)
target prot opt source destination
cali-POSTROUTING all -- anywhere anywhere /* cali:O3lYWMrLQYEMJtB5 */
KUBE-POSTROUTING all -- anywhere anywhere /* kubernetes postrouting rules */
MASQUERADE all -- 172.17.0.0/16 anywhere 2.2 [KUBE-POSTROUTING]链
Copy minion26 ~ # iptables -L KUBE-POSTROUTING -t nat
Chain KUBE-POSTROUTING (1 references)
target prot opt source destination
MASQUERADE all -- anywhere anywhere /* kubernetes service traffic requiring SNAT */ mark match 0x4000/0x4000
kube-proxy通过iptables 转发, 会修改filter和nat表
filter表
filter表通过OUTPUT链规定所有的出报文都要经过KUBE-SERVICES,如果一个Service没有对应的endpoint,则拒绝将报文发出
查看filter:iptables -L -n -t filter
Copy Chain KUBE-SERVICES (1 references)
target prot opt source destination
REJECT tcp -- 0.0.0.0/0 10.111.3.242 /* huacai/lottery-pc-mng:lottery-pc-mng has no endpoints */ tcp dpt:80 reject-with icmp-port-unreachable
REJECT tcp -- 0.0.0.0/0 10.104.181.154 /* sdyxmall/app-schedule:app-schedule has no endpoints */ tcp dpt:80 reject-with icmp-port-unreachable
REJECT tcp -- 0.0.0.0/0 10.107.228.172 /* maizuo/pc-v5:pc-v5 has no endpoints */ tcp dpt:80 reject-with icmp-port-unreachable
REJECT tcp -- 0.0.0.0/0 10.97.44.11 /* aurayou/business-nsq:business-nsq has no endpoints */ tcp dpt:80 reject-with icmp-port-unreachable
对于没有有endpoint的,filter表中会将访问10.111.3.242等的请求拒绝。 nat表
nat表中设置的规则比较多,查看nat表命令:iptables -L -n -t nat
1、在PREROUTING阶段,将所有报文转发到KUBE-SERVICES
2、在OUTPUT阶段,将所有报文转发到KUBE-SERVICES
3、在POSTROUTING阶段,将所有报文转发到KUBE-POSTROUTING
nat表中主要增加了如下几个链-规则
1)KUBE-SERVICES
每个Service的每个服务端口都会在Chain KUBE-SERVICES中有一条对应的规则,发送到clusterIP的报文,将会转发到对应的Service的规则链,没有命中ClusterIP的,转发到KUBE-NODEPORTS。
只有发送到被kubernetes占用的端口的报文才会进入KUBE-MARK-MASQ打上标记,并转发到对应的服务规则链
2)KUBE-SVC- 7RUxxxxxxYKK
每一个SERVICE,又将报文提交到了各自的KUBE-SEP-XXX
3)KUBE-SEP--IWORYxxxxxxxxQHXU
最后在KUBE-SEP-XX中完整了最终的DNAT,将目的地址转换成了POD的IP和端口。
这里的KUBE-MARK-MASQ为报文打上了标记,表示这个报文是由kubernetes管理的,Kuberntes将会对它进行NAT转换
4)KUBE-NODEPORTS
KUBE-NODEPORT中,根据目的端口,将报文转发到对应的Service的规则链,然后就如同在“Chain KUBE-SERVICES”中的过程,将报文转发到了对应的POD。
5)KUBE-POSTROUTING
这里表示k8s管理的报文(也就是被标记了0x4000的报文),在离开Node(物理机)的时候需要进行SNAT转换。
也就是POD发出的报文
报文处理流程图
集群内部通过clusterIP访问到pod的流程
Copy (KUBE-SVC@nat)
(KUBE-SERVICES +->SVC1
OUTPUT @filter,nat) | (KUBE-SEP@nat)
PKT ----->命中ClusterIP ----------+->SVC2 -->SEP1,Mark0x0400,DNAT
| | |
| +->SVC3 |
| |
| |
| +-----------------+ |
+------------> | POSTROUTING | <----------+
+--------+--------+
|
|
match 0x0400,SNAT@nat
|
|
网卡
————————————————
iptables模式下kube-proxy转发规则
filter表
filter表通过OUTPUT链规定所有的出报文都要经过KUBE-SERVICES,如果一个Service没有对应的endpoint,则拒绝将报文发出
查看filter:iptables -L -n -t filter
nat表
1.nat表的PREROUTING链
流量到达防火墙后进入路由表前会先进入PREROUTING链,所以首先对PREROUTING阶段进行分析
nat表的PREROUTING链–》经过cali-PREROUTING后,流量全部进入到了KUBE-SERVICES链
2.k8s自定义KUBE-SERVICES链
KUBE-SERVICES链如下:
目的地址是clusterIP的有两条链,对应两种流量:
源地址不是PodIP,目的地址是clusterIP的流量,先经过KUBE-MARK-MASQ链,再转发到KUBE-SVC-BJMxxxxxZHCFRZ
源地址是PodIP,目的地址是clusterIP的流量(集群内部流量)直接转发到KUBE-SVC-BJMxxxxxRZHCFRZ链
上面针对的是
另外,在KUBE-SERVICES链最后还有一条链,对应访问NodePort的流量:
3.KUBE-MARK-MASQ链
KUBE-MARK-MASQ链给途径的流量打了个0x4000标记
4.KUBE-SVC-BJM46V3U5RZHCFRZ链
途径KUBE-SVC-BJM46xxxxxxZ链的流量会以各50%的概率(statistic mode random probability 0.50000000000)转发到两个endpoint后端链KUBE-SEP-P7XP4GxxxxxZRK6和KUBE-SEP-HY3xxxxxZQYRP中
5.KUBE-NODEPORTS链
先通过KUBE-MARK-MASQ链打了个标记0x4000,然后转到KUBE-SVC-BJM46V3UxxxxxZFRZ链
总结
Kubernetes 通过 kube-proxy 组件来实现这些功能,每台计算节点上都运行一个 kube-proxy 服务,通过复杂的 iptables 规则在 Pod 和 Service 之间进行各种过滤和 NAT。如果你登入某个计算节点的终端输入 iptables-save,就会看到 kube-proxy 和其他程序在 iptables 规则表中插入的规则。其中最主要的链是 KUBE-SERVICES,KUBE-SVC-* 和 KUBE-SEP-*。
KUBE-SERVICES 链是访问集群内服务的数据包入口点,它会根据匹配到的目标 IP:port 将数据包分发到相应的 KUBE-SVC-* 链。
KUBE-SVC-* 链相当于一个负载均衡器,它会将数据包平均分发到 KUBE-SEP-* 链。每个 KUBE-SVC-* 链后面的 KUBE-SEP-* 链都和 Service 后面的 Endpoint 数量一样。
KUBE-SEP-* 链通过 DNAT 将目标从 Service 的 IP:port 替换为 Endpoint 的 IP:port,从而将流量转发到相应的 Pod。
所有在内核中由 Netfilter 的特定框架做的连接跟踪模块称作 conntrack(connection tracking)。在 DNAT 的过程中,conntrack 使用状态机来启动并跟踪连接状态。为什么需要记录连接的状态呢?因为 iptables 需要记住数据包的目标地址被改成了什么,并且在返回数据包时再将目标地址改回来。除此之外 iptables 还可以依靠 conntrack 的状态(cstate)来决定数据包的命运。其中最主要的四个 conntrack 状态是:
NEW : 匹配连接的第一个包,这表示 conntrack 对该数据包的信息一无所知。通常发生在收到 SYN 数据包时。
ESTABLISHED : 匹配连接的响应包及后续的包,conntrack 知道该数据包属于一个已建立的连接。通常发生在 TCP 握手完成之后。
RELATED : RELATED 状态有点复杂,当一个连接与另一个已经是 ESTABLISHED 的连接有关时,这个连接就被认为是 RELATED。这意味着,一个连接要想成为 RELATED,必须首先有一个已经是 ESTABLISHED 的连接存在。这个 ESTABLISHED 连接再产生一个主连接之外的新连接,这个新连接就是 RELATED 状态了。
INVALID : 匹配那些无法识别或没有任何状态的数据包,conntrack 不知道如何去处理它。该状态在分析 Kubernetes 故障的过程中起着重要的作用。
TCP 连接在 Pod 和 Service 之间的工作流程如下图所示:
TCP 连接的生命周期:
左边的客户端发送数据包到 Service:192.168.0.2:80
数据包通过本地节点的 iptables 规则,目的地址被改为 Pod 的地址:10.0.1.2:80
提供服务的 Pod(Server Pod)处理完数据包后返回响应包给客户端:10.0.0.2
数据包到达客户端所在的节点后,被 conntrack 模块识别并将源地址改为 192.169.0.2:80
整个流程看起来工作的很完美。
有两条链,对应两种流量:
源地址不是Pod自身IP的流量首先转发到KUBE-MARK-MASQ链,然后会打上0x4000标记,然后再做DNAT。
源地址是Pod自身IP的流量直接做DNAT,将目的ip和port转换为对应pod的ip和port。
####小结 从上面4步可以看出,经过PREROUTING的分为4种流量:
参考文章:
