K8s 网络新手教程(Kubernetes Networking Guide for Beginners)

原文链接: Kubernetes Networking Guide for Beginners

译者注: 建议对照阅读 The Layers of the OSI Model Illustrated. (有机会翻译下这篇, 挖坑不填 )

译者注:

Node: Pod 运行的环境。根据实际情况, 可以是虚拟机或物理机。

Pod: Kubernetes 创建和管理计算资源的最小可部署单元, 类似于虚拟机/物理机的"逻辑主机"。

Container: 进程及其相关依赖构成的标准化的集合。

Service: 对运行在多个 Pod 中的单个应用程序的一种抽象。

由于没有预先了解过相关的网络知识，我在初学 Kubernetes 时, 经常会迷失在各种高深的行话和晦涩的图表中。

为了避免后来人遇到和我一样的情况, 我在这里总结了一份为新手学习 Kubernetes 需要预先了解的网络知识。

学习 Kubernetes 网络, 需要理解以下五个基本的知识点:

同一个 Pod 中的各个 Containers 之间的通信
同一个 Node 中的各个 Pod 之间的通信
不同 Node 的 Pod 之间的通信
Pod 和 Service 之间的通信
DNS 如何工作？如何发现 IP 地址？

同一个 Pod 中的各个 Containers 之间的通信

假设有两个运行在同一个 Pod 的 Container, 它们之间如何通信呢?

答案是: 类似于在同一个主机通信的进程, 他们通过 localhost 和端口号。

这是因为同一个 Pod 的容器共享相同的 network namespace —— 这使得它们可以共享网络资源。

什么是网络名称空间(network namespace)？

网络名称空间是网卡(Network Interface)和路由表的集合。

名称空间可以减少同一个虚拟机中的碰撞和冲突。
(在同一个网络名称空间下监听同一个端口号会发生冲突)

每个 Pod 中都有一个 pause container, 负责维护 Pod 的网络名称空间。

译者注:
更多关于 pause container: The Almighty Pause Container

每个 Pod 拥有独立的网络名称空间，在同一个 Pod 的 Container 因此享有相同的网络名称空间。这就是为什么同一个 Pod 下的容器之间可以通过 localhost 通信的原因。同时, 这也是为什么同一个 Pod 的不同 Container 的 port 会冲突的原因。

同一个 Node 的不同 Pod 之间的通信

每个 Pod 有自己的网络名称空间和自己的 IP 地址。

Pod 认为自己有一个普通的网络以太网设备 eth0 来处理网络请求，这是 Kubernetes 创建的虚拟的以太网设备。

这个 虚拟以太网设备 是连接 Pod 和 Node 网络的一个通道，它的一端是 Pod 的 eth0，一端是 Node 的 vethX。

Pod 发送请求到其他 Node 时, 请求会通过 eth0 转发到它所在 Node 对应的 vethX 接口。

那么, 这个请求又是怎么到达其他 Pod 的呢？

答案是通过 网桥(Network Bridge)

什么是网桥?

网桥是连接独立子网的网络设备。当请求达到网桥, 它会询问所有连接它的网络设备是否是该请求的目的 IP 指定的设备。然后, 它会将请求转发到对应的设备。

(每个 Pod 有自己的 IP 地址, 并且它知道自己的 IP 地址是什么)

在 Kubernetes 中, 这个网桥叫做 cbr0。每个 Node 的 cbr0 保存了它的所有 Pod 的转发信息, 以此将同一 Node 下的所有 Pod 连接起来。

不同 Node 的 Pod 之间的通信

注: 这部分不同的云厂商/网络插件实现可能会有所不通过。

那么不同 Node 的 Pode 之间如何进行通信呢?

当网桥询问了所有它所有连接的 Pod 后, 发现并没有找到目的 IP 对应的设备。

之后, 网桥会找到默认网关, 上升到集群级别查询该 IP 地址。

集群级别有一个不同 Node 的路由表, 登记 Node 内的 Pods 所在的子网。

举个例子, Kubernetes 为 Node 1 的 Pods 提供 IP 地址: 100.96.1.1, 100.96.1.2 等。Kubernetes 为 Node 1 的 Pods 提供 IP 地址: 100.96.2.1, 100.96.2.2 等。

查询该路由表, 会将发送到 100.96.1.xxx 的请求转发到 node1，将发送到 100.96.2.xxx 的请求转发到 node2。

Pod 和 Service 之间的通信

Kubernetes 的 Service 将一个 IP 地址绑定到多个 Pod。网络请求发送到一个终端(Endpoint, 域名/IP 地址), service 代理将请求转发到该 service 对应的 Pod。

Kubernetes 通过在每个 Node 运行的 kube-proxy 进程实现这个功能。

kube-proxy 将虚拟 IP 地址映射为一组实际的 Pod IP 地址。

一旦 kube-proxy 将 Service 的虚拟 IP 映射到了一个实际的 Pod IP, 剩下的操作就和和上面提到的流程一样了。

译者注:

更多关于 kube-proxy: Virtual IPs and service proxies

DNS 是如何工作的？它是如何发现 IP 地址的？

Kubernetes 集群通过 DNS 解析将域名映射为对应的 IP 地址。

Kubernetes 集群会给每个服务分配一个像 my-service.my-namespace.svc.cluster.local 这样的域名。

同样地，Kubernetes 也会为 Pod 自动分配 DNS 域名。你也可以通过 YAML 文件的 hostname 和 subdomain 字段指定 Pod 的域名。

这样，当通过域名访问 Service 时, DNS 服务就会将它解析为对应的 IP 地址。

然后 kube-proxy 会将 Service 的 IP 地址转化为 Pod 的 IP 地址。最后就可以根据该 Pod 是否在同一个 Node 按照上述流程将请求转发到对应的 Container。

译者注:

==================== 我是分割线 ====================
号外~ 号外~
字节跳动 2022 届校招提前批开始啦~

如何加入我们：
字节跳动校招内推码: UQAYUMY
投递链接: https://jobs.toutiao.com/s/eGx5Pv4
或直接发送简历到邮件：yangling.leo@bytedance.com

我们是谁：
字节跳动基础架构团队主要负责公司私有云建设，支撑着今日头条、抖音、西瓜视频等多款明星产品。
我们积极拥抱开源和创新的软硬件架构，构建一系列基础设施引导研发活动的最佳实践，为整个公司的发展保驾护航。

我们在找谁：
2022届获得本科及以上学历，计算机相关专业
热爱计算机科学和互联网技术
掌握扎实的计算机基础知识，深入理解数据结构、算法和操作系统知识