【Kubernetes系列】第11篇 網絡原理解析（下篇）

3. 覆蓋網絡 - Overlay Network

覆蓋網絡(overlay network)是將TCP數據包裝在另一種網絡包里面進行路由轉發和通信的技術。Overlay網絡不是默認必須的，但是它們在特定場景下非常有用。比如當我們沒有足夠的IP空間，或者網絡無法處理額外路由，抑或當我們需要Overlay提供的某些額外管理特性。一個常見的場景是當云提供商的路由表能處理的路由數是有限制時，例如AWS路由表最多支持50條路由才不至于影響網絡性能。因此如果我們有超過50個Kubernetes節點，AWS路由表將不夠。這種情況下，使用Overlay網絡將幫到我們。

本質上來說，Overlay就是在跨節點的本地網絡上的包中再封裝一層包。你可能不想使用Overlay網絡，因為它會帶來由封裝和解封所有報文引起的時延和復雜度開銷。通常這是不必要的，因此我們應當在知道為什么我們需要它時才使用它。

為了理解Overlay網絡中流量的流向，我們拿Flannel做例子，它是CoreOS 的一個開源項目。Flannel通過給每臺宿主機分配一個子網的方式為容器提供虛擬網絡，它基于Linux TUN/TAP，使用UDP封裝IP包來創建overlay網絡，并借助etcd維護網絡的分配情況。

cdn.xitu.io/2019/11/19/16e8316586e8fdd4?w=2000&h=929&f=gif&s=1472688">

Kubernetes Node with route table?
(通過Flannel Overlay網絡進行跨節點的Pod-to-Pod通信)

這里我們注意到它和之前我們看到的設施是一樣的，只是在root netns中新增了一個虛擬的以太網設備，稱為flannel0。它是虛擬擴展網絡Virtual Extensible LAN（VXLAN）的一種實現，但是在Linux上，它只是另一個網絡接口。

從pod1到pod4（在不同節點）的數據包的流向類似如下：

1.它由pod1中netns的eth0網口離開，通過vethxxx進入root netns。

2.然后被傳到cbr0，cbr0通過發送ARP請求來找到目標地址。

3.數據封裝

*a. 由于本節點上沒有Pod擁有pod4的IP地址，因此網橋把數據包發送給了flannel0，因為節點的路由表上flannel0被配成了Pod網段的目標地址。

*b. flanneld daemon和Kubernetes apiserver或者底層的etcd通信，它知道所有的Pod IP，并且知道它們在哪個節點上。因此Flannel創建了Pod IP和Node IP之間的映射（在用戶空間）。flannel0取到這個包，并在其上再用一個UDP包封裝起來，該UDP包頭部的源和目的IP分別被改成了對應節點的IP，然后發送這個新包到特定的VXLAN端口（通常是8472）。

Packet-in-packet encapsulation?
（notice the packet is encapsulated from 3c to 6b in previous diagram）

盡管這個映射發生在用戶空間，真實的封裝以及數據的流動發生在內核空間，因此仍然是很快的

*c. 封裝后的包通過eth0發送出去，因為它涉及了節點間的路由流量。

4.包帶著節點IP信息作為源和目的地址離開本節點。

5.云提供商的路由表已經知道了如何在節點間發送報文，因此該報文被發送到目標地址node2。

6.數據解包

*a. 包到達node2的eth0網卡，由于目標端口是特定的VXLAN端口，內核將報文發送給了 flannel0。?

*b. flannel0解封報文，并將其發送到 root 命名空間下。從這里開始，報文的路徑和我們之前在Part 1 中看到的非Overlay網絡就是一致的了。?

*c. 由于IP forwarding開啟著，內核按照路由表將報文轉發給了cbr0。

7.網橋獲取到了包，發送ARP請求，發現目標IP屬于vethyyy。

8.包跨過管道對到達pod4

這就是Kubernetes中Overlay網絡的工作方式，雖然不同的實現還是會有細微的差別。有個常見的誤區是，當我們使用Kubernetes，我們就不得不使用Overlay網絡。事實是，這完全依賴于特定場景。因此請確保在確實需要的場景下才使用。

4. 動態集群

由于Kubernetes（更通用的說法是分布式系統）天生具有不斷變化的特性，因此它的Pod（以及Pod的IP）總是在改變。變化的原因可以是針對不可預測的Pod或節點崩潰而進行的滾動升級和擴展。這使得Pod IP不能直接用于通信。

我們看一下Kubernetes Service，它是一個虛擬IP，并伴隨著一組Pod IP作為Endpoint（通過標簽選擇器識別）。它們充當虛擬負載均衡器，其IP保持不變，而后端Pod IP可能會不斷變化。

Kubernetes service對象中的label選擇器

整個虛擬IP的實現實際上是一組iptables（最新版本可以選擇使用IPVS，但這是另一個討論）規則，由Kubernetes組件kube-proxy管理。 這個名字現在實際上是誤導性的。 它在v 1.0之前確實是一個代理，并且由于其實現是內核空間和用戶空間之間的不斷復制，它變得非常耗費資源并且速度較慢。 現在，它只是一個控制器，就像Kubernetes中的許多其它控制器一樣，它watch api server的endpoint的更改并相應地更新iptables規則。

Iptables DNAT

有了這些iptables規則，每當數據包發往Service IP時，它就進行DNAT（DNAT=目標網絡地址轉換）操作，這意味著目標IP從Service IP更改為其中一個Endpoint - Pod IP - 由iptables隨機選擇。這可確保負載均勻分布在后端Pod中。

conntrack表中的5元組條目

當這個DNAT發生時，這個信息存儲在conntrack中——Linux連接跟蹤表（iptables規則5元組轉譯并完成存儲：protocol，srcIP，srcPort，dstIP，dstPort）。 這樣當請求回來時，它可以un-DNAT，這意味著將源IP從Pod IP更改為Service IP。 這樣，客戶端就不用關心后臺如何處理數據包流。

因此通過使用Kubernetes Service，我們可以使用相同的端口而不會發生任何沖突（因為我們可以將端口重新映射到Endpoint）。 這使服務發現變得非常容易。 我們可以使用內部DNS并對服務主機名進行硬編碼。 我們甚至可以使用Kubernetes提供的service主機和端口的環境變量來完成服務發現。

專家建議：?采取第二種方法，你可節省不必要的DNS調用，但是由于環境變量存在創建順序的局限性（環境變量中不包含后來創建的服務），推薦使用DNS來進行服務名解析。

4.1 出站流量

到目前為止我們討論的Kubernetes Service是在一個集群內工作。但是，在大多數實際情況中，應用程序需要訪問一些外部api/website。

通常，節點可以同時具有私有IP和公共IP。對于互聯網訪問，這些公共和私有IP存在某種1：1的NAT，特別是在云環境中。

對于從節點到某些外部IP的普通通信，源IP從節點的專用IP更改為其出站數據包的公共IP，入站的響應數據包則剛好相反。但是，當Pod發出與外部IP的連接時，源IP是Pod IP，云提供商的NAT機制不知道該IP。因此它將丟棄具有除節點IP之外的源IP的數據包。

因此你可能也猜對了，我們將使用更多的iptables！這些規則也由kube-proxy添加，執行SNAT（源網絡地址轉換），即IP MASQUERADE（IP偽裝）。它告訴內核使用此數據包發出的網絡接口的IP，代替源Pod IP同時保留conntrack條目以進行反SNAT操作。

4.2 入站流量

到目前為止一切都很好。Pod可以互相交談，也可以訪問互聯網。但我們仍然缺少關鍵部分 - 為用戶請求流量提供服務。截至目前，有兩種主要方法可以做到這一點：

* NodePort /云負載均衡器（L4 - IP和端口）

將服務類型設置為NodePort默認會為服務分配范圍為30000-33000的nodePort。即使在特定節點上沒有運行Pod，此nodePort也會在每個節點上打開。此NodePort上的入站流量將再次使用iptables發送到其中一個Pod（該Pod甚至可能在其它節點上！）。

云環境中的LoadBalancer服務類型將在所有節點之前創建云負載均衡器（例如ELB），命中相同的nodePort。

* Ingress（L7 - HTTP / TCP）

許多不同的工具，如Nginx，Traefik，HAProxy等，保留了http主機名/路徑和各自后端的映射。通常這是基于負載均衡器和nodePort的流量入口點，其優點是我們可以有一個入口處理所有服務的入站流量，而不需要多個nodePort和負載均衡器。

4.3 網絡策略

可以把它想象為Pod的安全組/ ACL。 NetworkPolicy規則允許/拒絕跨Pod的流量。確切的實現取決于網絡層/CNI，但大多數只使用iptables。

結束語

目前為止就這樣了。 在前面的部分中，我們研究了Kubernetes網絡的基礎以及overlay網絡的工作原理。 現在我們知道Service抽象是如何在一個動態集群內起作用并使服務發現變得非常容易。我們還介紹了出站和入站流量的工作原理以及網絡策略如何對集群內的安全性起作用。

參考文章

An illustrated guide to Kubernetes Networking - part1

An illustrated guide to Kubernetes Networking - part2

An illustrated guide to Kubernetes Networking - part3