這篇詳細(xì)的博文探討了 Kubernetes 網(wǎng)絡(luò)的復(fù)雜性，提供了關(guān)于如何在容器化環(huán)境中確保高效和安全通信的見解。

譯自Navigating the Network: A Comprehensive Guide to Kubernetes Networking Models。

介紹

在 Kubernetes 的世界中，網(wǎng)絡(luò)是一個基本方面，它編排著集群內(nèi)外各種組件之間的通信。理解 Kubernetes 網(wǎng)絡(luò)模型對于任何使用這個編排工具的人來說都是至關(guān)重要的。

這篇詳細(xì)的博文探討了 Kubernetes 網(wǎng)絡(luò)的復(fù)雜性，提供了關(guān)于如何在容器化環(huán)境中確保高效和安全通信的見解。

Kubernetes 網(wǎng)絡(luò)被設(shè)計來滿足四個關(guān)鍵要求，每個要求在 Kubernetes 集群的功能和操作中都扮演著至關(guān)重要的角色。

容器與容器之間的通信：這是 Kubernetes 網(wǎng)絡(luò)的基本層。它實(shí)現(xiàn)了同一個 Pod 內(nèi)容器之間的直接通信。這些容器共享相同的網(wǎng)絡(luò)命名空間，意味著它們可以使用 localhost 互相通信。對于涉及多容器 Pod 的應(yīng)用程序而言，這種設(shè)置對于需要密切高效地交互的容器至關(guān)重要。

Pod-to-Pod 通訊: 在 Kubernetes 中，每個 Pod 都被分配了一個唯一的 IP 地址。這種設(shè)計選擇簡化了啟用 Pod 之間通信的過程，無論它們位于哪個節(jié)點(diǎn)上。Pod 之間可以直接通信，無需進(jìn)行網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT），確保了直接且簡單的連接。這種模型是創(chuàng)建分布式系統(tǒng)的基礎(chǔ)，其中每個 Pod 都可以作為獨(dú)立的微服務(wù)運(yùn)行。

Pod-to-Service 通訊: Kubernetes 服務(wù)是一個關(guān)鍵的抽象，為 Pod 訪問其他 Pod 提供了一種一致可靠的方式。服務(wù)本質(zhì)上是一組變化的 Pod 的穩(wěn)定地址。它確保任何發(fā)送到服務(wù)的請求都會自動智能地路由到正確的 Pod，即使 Pod 被創(chuàng)建、銷毀或更新。這種抽象層對于維護(hù)一個具有彈性和可擴(kuò)展性的系統(tǒng)至關(guān)重要。

External-to-Internal 通訊: Kubernetes 網(wǎng)絡(luò)的這一方面涉及管理來自集群外部到集群內(nèi)部服務(wù)的入站流量。通過 Ingress 控制器和負(fù)載均衡器等機(jī)制來處理。這些工具允許外部用戶和應(yīng)用程序安全高效地訪問運(yùn)行在集群內(nèi)部的服務(wù)。它們在將應(yīng)用程序暴露給最終用戶和其他外部系統(tǒng)方面發(fā)揮著至關(guān)重要的作用。

服務(wù)和負(fù)載均衡

Kubernetes 中的服務(wù)對于為一組可能隨時間動態(tài)變化的 Pod 提供穩(wěn)定的地址至關(guān)重要。它們在管理訪問運(yùn)行在 Pod 上的應(yīng)用程序方面起著至關(guān)重要的作用。讓我們深入了解不同類型的服務(wù)及其在負(fù)載均衡中的作用：

ClusterIP：這是 Kubernetes 的默認(rèn)服務(wù)。ClusterIP 服務(wù)分配一個唯一的內(nèi)部 IP 地址，用于與服務(wù)進(jìn)行通信。這些服務(wù)只能在集群內(nèi)部訪問，對于集群中的 Pod 之間的內(nèi)部通信非常有用。這在不需要外部訪問服務(wù)的場景中非常理想。

NodePort：NodePort 服務(wù)擴(kuò)展了 ClusterIP 的功能。除了內(nèi)部 IP 外，NodePort 服務(wù)還在所有集群節(jié)點(diǎn)上提供了一個特定的端口。外部流量可以訪問這些暴露的端口上的服務(wù)，然后將流量路由到相應(yīng)的內(nèi)部 IP。當(dāng)您需要外部流量跨所有節(jié)點(diǎn)訪問特定端口時，這尤其有用。

LoadBalancer：在 NodePort 的基礎(chǔ)上，LoadBalancer 服務(wù)與云服務(wù)提供商的負(fù)載均衡器集成。這種類型會自動創(chuàng)建一個外部負(fù)載均衡器，將外部流量引導(dǎo)到整個集群節(jié)點(diǎn)上的 NodePort，然后再路由到正確的 Pod 上。它簡化了將服務(wù)暴露到互聯(lián)網(wǎng)的過程，特別適用于分發(fā)傳入的網(wǎng)絡(luò)流量，從而提高了應(yīng)用程序的可擴(kuò)展性和可靠性。

ExternalName: 與其他類型不同，ExternalName 服務(wù)不會將流量路由到 Pod。相反，它們充當(dāng)別名，通過返回一個 CNAME 記錄到一個外部服務(wù)。當(dāng)您想要使用 DNS 將 Kubernetes 集群中的服務(wù)與外部服務(wù)集成時，這是非常有用的。

網(wǎng)絡(luò)安全的網(wǎng)絡(luò)策略

Kubernetes 中的網(wǎng)絡(luò)策略提供了一個重要的安全層，規(guī)定了 Pod 之間以及與其他網(wǎng)絡(luò)端點(diǎn)之間的通信方式。它們充當(dāng)了 Pod 的防火墻，允許用戶根據(jù)標(biāo)簽選擇器和 CIDR 塊指定入站和出站規(guī)則。

例如，考慮這樣一個情景：您有一個前端和一個后端服務(wù)。后端服務(wù)不應(yīng)該從集群外部訪問，但應(yīng)該允許來自前端服務(wù)的流量。您可以使用類似以下內(nèi)容的網(wǎng)絡(luò)策略來實(shí)現(xiàn)：

apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: backend-network-policy
  namespace: default
spec:
  podSelector:
    matchLabels:
      app: backend
  policyTypes:
  - Ingress
  ingress:
  - from:
    - podSelector:
        matchLabels:
          app: kubeops-frontend
    ports:
    - protocol: TCP
      port: 80

這個策略確保只有帶有標(biāo)簽 app: kubeops-frontend 的 Pod 可以訪問 TCP 端口 80 上的后端 Pod。這種細(xì)粒度的控制有助于在 Kubernetes 中維護(hù)一個安全且受控的網(wǎng)絡(luò)環(huán)境。

考慮默認(rèn)行為也是至關(guān)重要的。默認(rèn)情況下，Kubernetes 集群中的所有 Pod 都可以彼此通信。應(yīng)用網(wǎng)絡(luò)策略可以改變這種默認(rèn)行為。例如，應(yīng)用允許特定流量的策略意味著所有不符合該策略的其他流量都將被拒絕。

Ingress 和 Egress 控制器

圖片

Kubernetes 中的入口和出口控制器管理集群內(nèi)部服務(wù)的外部訪問，通常是 HTTP。入口控制器促進(jìn)將外部流量路由到正確的內(nèi)部資源，而出口控制器則管理集群的出站流量。

入口控制器負(fù)責(zé)讀取入口資源信息并適當(dāng)?shù)靥幚硭?。例如，?dāng)用戶請求 URL 時，入口控制器根據(jù)入口資源中定義的路由規(guī)則將請求路由到適當(dāng)?shù)姆?wù)。這對于管理對微服務(wù)的訪問和實(shí)現(xiàn) SSL/TLS 終止特別有用。

另一方面，出口控制器處理出站流量。它們確保來自集群內(nèi)部到外部世界的請求被正確管理和路由。出口控制器可以強(qiáng)制執(zhí)行限制 Pod 可以建立連接的目的地的策略，增強(qiáng)了集群的整體安全性。

實(shí)現(xiàn)這些控制器需要對網(wǎng)絡(luò)架構(gòu)和應(yīng)用程序的流量模式有清晰的理解。例如，一個配置良好的入口控制器可以高效地處理流量突增，根據(jù) URL 路徑進(jìn)行路由，并提供基于名稱的虛擬主機(jī)。

核心網(wǎng)絡(luò)解決方案：重要性與作用

Calico 用于網(wǎng)絡(luò)策略執(zhí)行：以其強(qiáng)大的網(wǎng)絡(luò)策略執(zhí)行而聞名，Calico 在維護(hù)應(yīng)用程序安全方面發(fā)揮著關(guān)鍵作用。它對 Pod 通信提供了精細(xì)的控制，僅允許授權(quán)的流量，從而執(zhí)行安全策略并分段網(wǎng)絡(luò)流量以防止未經(jīng)授權(quán)的訪問。其重要性在于增強(qiáng)了應(yīng)用程序內(nèi)部網(wǎng)絡(luò)交互的整體安全性和完整性。

Flannel 用于簡單的覆蓋網(wǎng)絡(luò)：Flannel 以其在設(shè)置覆蓋網(wǎng)絡(luò)方面的簡單性和效率而至關(guān)重要，連接跨節(jié)點(diǎn)的 Pod。它的作用是通過自動管理子網(wǎng)分配來簡化 Kubernetes 部署中的網(wǎng)絡(luò)配置。這減少了與網(wǎng)絡(luò)管理相關(guān)的復(fù)雜性和運(yùn)營開銷，使其成為直接但有效的網(wǎng)絡(luò)連接的有價值工具。

Cilium 用于 API 感知網(wǎng)絡(luò)：Cilium 對于將 API 感知的網(wǎng)絡(luò)安全過濾引入 Kubernetes 至關(guān)重要。利用 BPF，在內(nèi)核級別過濾網(wǎng)絡(luò)流量，理解 Kubernetes 標(biāo)簽和元數(shù)據(jù)。它的作用在于增強(qiáng)安全性，并為網(wǎng)絡(luò)流量提供改進(jìn)的可見性，特別是對于微服務(wù)，從而促進(jìn)更安全、更透明的網(wǎng)絡(luò)環(huán)境。

Canal 作為 Flannel 和 Calico 的組合：Canal 合并了 Flannel 和 Calico 的優(yōu)點(diǎn)，為 Kubernetes 提供了全面的網(wǎng)絡(luò)解決方案。它的作用是提供易用性（來自 Flannel）和強(qiáng)大的安全功能（來自 Calico）。這種組合使得 Canal 成為一個多功能的選擇，滿足了對高效網(wǎng)絡(luò)覆蓋和靈活網(wǎng)絡(luò)策略的需求。

Kube-router 作為輕量級解決方案：Kube-router 是標(biāo)準(zhǔn)網(wǎng)絡(luò)解決方案的簡化、更高效的替代方案。它的作用是通過單個守護(hù)程序處理路由、網(wǎng)絡(luò)策略和服務(wù)代理功能。這使其成為較小或資源受限環(huán)境的理想選擇，提供了輕量級但有效的網(wǎng)絡(luò)解決方案。

圖片

Kubernetes 網(wǎng)絡(luò)的最佳實(shí)踐

1. 利用網(wǎng)絡(luò)策略控制流量流向：網(wǎng)絡(luò)策略對于保護(hù) Kubernetes 環(huán)境至關(guān)重要。它們充當(dāng) Pod 的防火墻，允許您定義哪些 Pod 可以彼此通信。例如，您可以限制數(shù)據(jù)庫 Pod，使其只能被特定應(yīng)用程序 Pod 訪問，增強(qiáng)數(shù)據(jù)的安全性和完整性。
2. 實(shí)現(xiàn)服務(wù)網(wǎng)格以處理復(fù)雜通信：在微服務(wù)架構(gòu)中，像 Istio 或 Linkerd 這樣的服務(wù)網(wǎng)格提供了額外的通信控制、可觀察性和可靠性層。例如，您可以通過服務(wù)網(wǎng)格管理負(fù)載均衡、服務(wù)間身份驗(yàn)證，并監(jiān)控服務(wù)間通信，從而更容易調(diào)試和優(yōu)化您的應(yīng)用程序。
3. 優(yōu)化負(fù)載均衡策略：負(fù)載均衡對于平均分配流量到各個 Pod 至關(guān)重要。您可以使用輪詢策略，其中請求按順序分配，或者更高級的方法，如 IP 哈希，確保用戶的會話始終由相同的 Pod 服務(wù)。這確保了資源的有效利用和用戶體驗(yàn)的改進(jìn)。
4. 啟用 DNS 進(jìn)行服務(wù)發(fā)現(xiàn)：Kubernetes DNS 服務(wù)在服務(wù)發(fā)現(xiàn)中起著關(guān)鍵作用。它允許 Pod 通過名稱定位其他 Pod 和服務(wù)，而不是依賴于可能變化的 IP 地址。例如，一個應(yīng)用程序可以通過其 DNS 名稱輕松定位到數(shù)據(jù)庫服務(wù)，簡化配置和服務(wù)間通信。
5. 利用 Ingress 控制器進(jìn)行外部訪問：當(dāng)將您的服務(wù)暴露給外部世界時，Ingress 控制器是比 NodePort 或 LoadBalancer 服務(wù)更高級和靈活的選項。它們提供 HTTP/HTTPS 路由、SSL 終止和基于名稱的虛擬主機(jī)。這意味著您可以通過精細(xì)的控制高效管理對服務(wù)的外部訪問。
6. 監(jiān)控和記錄網(wǎng)絡(luò)活動：持續(xù)監(jiān)控和記錄網(wǎng)絡(luò)流量對于診斷問題和確保安全至關(guān)重要。像 Prometheus 監(jiān)控和 Fluentd 記錄這樣的工具提供了對您的網(wǎng)絡(luò)性能和安全性的洞察。它們幫助您發(fā)現(xiàn)異常、了解流量模式，并就擴(kuò)展和優(yōu)化做出明智決策。
7. 采用 IPv6 網(wǎng)絡(luò)以實(shí)現(xiàn)可擴(kuò)展性：隨著 Kubernetes 集群規(guī)模的增長，IPv6 網(wǎng)絡(luò)變得越來越重要。它提供了更大的地址空間，消除了復(fù)雜的 NAT 設(shè)置的需要。過渡到 IPv6 可以未雨綢繆，確保您有足夠的 IP 地址用于所有的 Pod 和服務(wù)。

結(jié)論

Kubernetes 網(wǎng)絡(luò)是支持容器化應(yīng)用動態(tài)和分布式特性的關(guān)鍵因素。通過理解其模型，并有效地實(shí)施網(wǎng)絡(luò)策略和服務(wù)，您可以確保為 Kubernetes 集群建立一個穩(wěn)健、安全和高效的環(huán)境。