2. 程式人生 > >Kubernetes叢集中的網路_Kubernetes中文社群

Kubernetes叢集中的網路_Kubernetes中文社群

阿新 發佈:2018-12-27

本文從一個服務的不同訪問方式入手,分析了Kubernetes叢集中的網路組成,也給出了一個簡單可行的網路效能評估方案。

20170312110318

本文適合對虛擬網橋、iptables以及Kubernetes的相關概念有了解的讀者。

另外Service-Pod流量轉發時提到”iptables轉發”,嚴格說措辭不準確,因為iptables僅負責用資料庫維護了Kernel中Netfilter的hook,這樣表述是為了便於理解。

另外,本文也希望為以下幾個問題找出明確的答案:

  • Service-Pod之間轉發流量時,kube-proxy是否承擔流量轉發?kube-proxy的轉發機制是怎麼樣的?
  • Service-Pod之間(Service對應多個Pod時)的負載均衡的實現原理是怎麼樣的?是用kube-proxy來做負載均衡嗎?

Kubernetes網路組成分析

從不同訪問方式的資料流上看,一個Kubernetes叢集的網路可以劃分為2部分:

  • Kubernetes網路模型實現:如Overlay Network(第三方實現中有Flannel,Contiv等)
  • 叢集IP(Cluster IP),用以叢集內服務發現,DNS解析等

本節中的試驗叢集使用Flannel搭建Overlay Network,其他的解決方案沒有本質區別。

為了說明Kubernetes叢集網路,下面來部署一個Nginx服務,同時部署了2個Pod:

$ kubectl create -f https://raw.githubusercontent.com/yangyuqian/k8s-the-hard-way/master/assets/nginx.yaml

deployment "nginx-deployment" created
service "nginx-service" created

可以直接在主機上用Pod的IP來訪問對應的Pod:

$ kubectl get pod --selector="app=nginx" -o jsonpath='{ .items[*].status.podIP }'

172.30.40.3 172.30.98.4

$ curl 172.30.40.3:80
...

$ curl 172.30.98.4:80
...

注意:下面“在叢集內”的命令都需要attach到一個Pod裡面才可以執行。

也可以在叢集內,使用Cluster IP來訪問服務:

$ kubectl get services
NAME            CLUSTER-IP       EXTERNAL-IP   PORT(S)                               AGE
kubernetes      10.254.0.1       <none>        443/TCP                               1d
nginx-service   10.254.126.60    <none>        8000/TCP                              9m

$ kubectl run --rm -it curl --image="docker.io/appropriate/curl" sh

$ curl 10.254.126.60:8000
...

如果部署了DNS服務,那麼還可以通過叢集內的域名來訪問對應的服務:

$ curl nginx-service:8000
...

圖1 上面例子的網路圖解(採用Flannel來搭建Overlay Network)

20170312111354

總結

Service到Pod的流量完全在本機網路中完成,簡單而不失高效。

kube-proxy並不承擔實際的流量轉發工作,實際上,它會從kube-apiserver動態拉取最新的應用與服務狀態資訊,並更新本機上的iptable規則. 即使把kube-proxy停掉,已經生成的規則還是可用的。

Service對多個Pod進行流量轉發時,採用iptable規則來進行負載均衡,上面的例子中,iptable會在兩個Pod中進行分別50%概率的流量轉發。

效能評估

叢集拓撲結構:

測試叢集採用Digital Ocean上2臺VPS,用Flannel搭建Overlay Network,使用vxlan backend, 預設mtu配置。

這裡旨在提供一種網路效能的評估方案,評估結果只能說明當前實驗環境下的Flannel網路效能。

20170312111406

分別對下面3種網路訪問方式,使用qperf做TCP和UDP的頻寬和延遲測試:

  1. 節點之間
  2. Pod-Pod之間
  3. Pod-Service-Pod

實驗 1 節點之間

Node 1上啟動qperf server:

$ qperf

Node 2上測試直接訪問效能:

$ qperf -v ${node1_ip} tcp_bw tcp_lat udp_bw udp_lat conf

tcp_bw:
bw              =   331 MB/sec
msg_rate        =  5.05 K/sec
send_cost       =   451 ms/GB
recv_cost       =  2.05 sec/GB
send_cpus_used  =    15 % cpus
recv_cpus_used  =    68 % cpus
tcp_lat:
latency        =   125 us
msg_rate       =  7.99 K/sec
loc_cpus_used  =    14 % cpus
rem_cpus_used  =    14 % cpus
udp_bw:
send_bw         =  2.43 GB/sec
recv_bw         =   132 MB/sec
msg_rate        =  4.03 K/sec
send_cost       =   302 ms/GB
recv_cost       =  4.05 sec/GB
send_cpus_used  =  73.5 % cpus
recv_cpus_used  =  53.5 % cpus
udp_lat:
latency        =   113 us
msg_rate       =  8.84 K/sec
loc_cpus_used  =    11 % cpus
rem_cpus_used  =     9 % cpus
conf:
loc_node   =  kube-minion-2
loc_cpu    =  Intel Xeon E5-2650L v3 @ 1.80GHz
loc_os     =  Linux 3.10.0-514.6.1.el7.x86_64
loc_qperf  =  0.4.9
rem_node   =  kube-minion-1
rem_cpu    =  Intel Xeon E5-2650L v3 @ 1.80GHz
rem_os     =  Linux 3.10.0-514.6.1.el7.x86_64
rem_qperf  =  0.4.9

實驗 2 Pod-Pod之間

部署qperf-server:

$ kubectl create -f https://raw.githubusercontent.com/yangyuqian/k8s-the-hard-way/master/assets/qperf-server.yaml

測試Pod-Pod之間網路:

$ podip=`kubectl get pod --selector="k8s-app=qperf-server" -o jsonpath='{ .items[0].status.podIP }'`
$ kubectl run qperf-client -it --rm --image="arjanschaaf/centos-qperf" -- -v $podip -lp 4000 -ip 4001  tcp_bw tcp_lat udp_bw udp_lat conf

bw              =    170 MB/sec
    msg_rate        =   2.59 K/sec
    port            =  4,001
    send_cost       =   3.07 sec/GB
    recv_cost       =   3.27 sec/GB
    send_cpus_used  =     52 % cpus
    recv_cpus_used  =   55.5 % cpus
tcp_lat:
    latency        =    154 us
    msg_rate       =    6.5 K/sec
    port           =  4,001
    loc_cpus_used  =     16 % cpus
    rem_cpus_used  =     17 % cpus
udp_bw:
    send_bw         =   2.93 GB/sec
    recv_bw         =   42.9 MB/sec
    msg_rate        =   1.31 K/sec
    port            =  4,001
    send_cost       =    341 ms/GB
    recv_cost       =   17.1 sec/GB
    send_cpus_used  =    100 % cpus
    recv_cpus_used  =   73.5 % cpus
udp_lat:
    latency        =    170 us
    msg_rate       =   5.87 K/sec
    port           =  4,001
    loc_cpus_used  =     17 % cpus
    rem_cpus_used  =   22.5 % cpus
conf:
    loc_node   =  qperf-client-2392635233-sbwff
    loc_cpu    =  Intel Xeon E5-2650L v3 @ 1.80GHz
    loc_os     =  Linux 3.10.0-514.6.1.el7.x86_64
    loc_qperf  =  0.4.9
    rem_node   =  qperf-server-rmjd8
    rem_cpu    =  Intel Xeon E5-2650L v3 @ 1.80GHz
    rem_os     =  Linux 3.10.0-514.6.1.el7.x86_64
    rem_qperf  =  0.4.9

實驗 3 Service-Pod之間

部署qperf-server:

$ kubectl create -f https://raw.githubusercontent.com/yangyuqian/k8s-the-hard-way/master/assets/qperf-server.yaml

測試Pod – Service – Pod網路:

$ kubectl run qperf-client -it --rm --image="arjanschaaf/centos-qperf" -- -v qperf-server -lp 4000 -ip 4001  tcp_bw tcp_lat udp_bw udp_lat conf

tcp_bw:
bw              =    217 MB/sec
msg_rate        =   3.31 K/sec
port            =  4,001
send_cost       =   1.38 sec/GB
recv_cost       =   3.11 sec/GB
send_cpus_used  =     30 % cpus
recv_cpus_used  =   67.5 % cpus
tcp_lat:
latency        =    157 us
msg_rate       =   6.38 K/sec
port           =  4,001
loc_cpus_used  =     15 % cpus
rem_cpus_used  =   14.5 % cpus
udp_bw:
send_bw         =   1.28 GB/sec
recv_bw         =   7.83 MB/sec
msg_rate        =    239 /sec
port            =  4,001
send_cost       =    693 ms/GB
recv_cost       =   69.6 sec/GB
send_cpus_used  =     89 % cpus
recv_cpus_used  =   54.5 % cpus
udp_lat:
latency        =    140 us
msg_rate       =   7.12 K/sec
port           =  4,001
loc_cpus_used  =   17.5 % cpus
rem_cpus_used  =     11 % cpus
conf:
loc_node   =  qperf-client-3660233240-w0nq9
loc_cpu    =  Intel Xeon E5-2650L v3 @ 1.80GHz
loc_os     =  Linux 3.10.0-514.6.1.el7.x86_64
loc_qperf  =  0.4.9
rem_node   =  qperf-server-rmjd8
rem_cpu    =  Intel Xeon E5-2650L v3 @ 1.80GHz
rem_os     =  Linux 3.10.0-514.6.1.el7.x86_64
rem_qperf  =  0.4.9

評估結論

使用Flannel vxlan backend前提下,採用預設mtu配置,Overlay Network的轉發延遲在微妙量級,頻寬有一定影響(減半)。

相關推薦

Kubernetes叢集安全通訊_Kubernetes中文社群

NetworkPolicy是Kubernetes的一個新特性,它負責配置Pod組如何與彼此和其他網路端點進行通訊。換句話說,它在運行於Kubernetes叢集上的Pod間建立防火牆。 該特性在Kubernetes 1.7版中已較為穩定。本文將闡述NetworkPolicy在理論與實踐中分別是如

Kubernetes叢集部署Heapster_Kubernetes中文社群

背景 公司的容器雲平臺需要新增應用的自動擴縮容的功能,以便能夠更加智慧化的對應用進行管理。 Kubernetes官方提供了HPA(Horizontal Pod Autoscaling)資源物件。要讓我們部署的應用做到自動的水平的(水平指的是增減Pod副本數量)進行擴縮容,我們只需要在Kuber

Kubernetes叢集網路_Kubernetes中文社群

本文從一個服務的不同訪問方式入手,分析了Kubernetes叢集中的網路組成,也給出了一個簡單可行的網路效能評估方案。 本文適合對虛擬網橋、iptables以及Kubernetes的相關概念有了解的讀者。 另外Service-Pod流量轉發時提到”iptables轉發”,嚴格說措辭不準確,因

基於flannel的叢集網路_Kubernetes中文社群

1、Docker網路模式 在討論Kubernetes網路之前,讓我們先來看一下Docker網路。Docker採用外掛化的網路模式,預設提供bridge、host、none、overlay、maclan和Network plugins這幾種網路模式,執行容器時可以通過–network引數設定具體

利用 Kuryr 整合 OpenStack 與 Kubernetes 網路_Kubernetes中文社群

Kubernetes Kuryr 是 OpenStack Neutron 的子專案,其主要目標是通過該專案來整合 OpenStack 與 Kubernetes 的網路。該專案在 Kubernetes 中實作了原生 Neutron-based 的網路,因此使用 Kuryr-Kubernetes

Kubernetes 1.5 新功能解析之「叢集聯盟」_Kubernetes中文社群

編者注: 這篇帖子來源於 Kubernetes 官方文件,是「深度探討 Kubernetes 1.5 系列」之中的一篇,深度闡述叢集聯盟。 最近,Kubernetes 1.5 釋出,不難發現,它對於叢集聯盟的支援正趨於成熟。叢集聯盟功能是在 Kubernetes1.3 的時候引入的。1.5 版

Kubernetes(k8s)中文文件 Service Accounts叢集管理指南_Kubernetes中文社群

譯者:Nancy 這是對Service Accounts的叢集管理指南 User Accounts和Service Accounts 基於以下原因,Kubernetes區分了User Accounts和Service Accounts: User Accounts針對人,Service Accou

Kubernetes Events介紹(_Kubernetes中文社群

上一回,歷經千辛萬苦終於破解了Events的姓名之謎,(Kubernetes(K8s)Events介紹(上))尋得Events真身。那麼Events的身世究竟如何?根據Pod怎樣才能找到對應的Events?本回將一一揭開謎底。 順藤摸瓜 前面說到在DockerManager裡定義了EventR

Kubernetes教程/入門教程_Kubernetes中文社群

2018-11-29閱讀(862)Flannel是CoreOS開源的CNI網路外掛,下圖flannel官網提供的一個數據包經過封包、傳輸以及拆包的示意圖,從這個圖片裡面裡面可以看出兩臺機器的docker0分別處於不同的段:10.1.20.1/24 和 10.1.15.1/2...

CNCF得意門生結業,Kubernetes全面走向成熟_Kubernetes中文社群

兩年多之前,CNCF(即雲原生容器基金會)正式成立,而其技術領導者們則熱烈歡迎Kubernetes成為其首個參與專案。自那時以來,該基金會迅速吸引到更多新的貢獻者,外加各類組織、雲服務供應商以及使用者的廣泛參與。即使是在“高手林立”的GitHub上,Kubernetes也在提交量方面排名第九,

DaoCloud 雲集 CKA 認證工程師,成為 CNCF 認證 Kubernetes 服務提供商_Kubernetes中文社群

DaoCloud 成為 CNCF 認證 Kubernetes 服務提供商(KCSP),核心產品 DaoCloud Enterprise 2.10 正式起航,全面擁抱 Kubernetes 技術生態,企業級平臺服務能力全方位升級。 憑藉 DaoCloud 深耕雲原生生態的技術實力和豐富經驗,已雲

基於Rancher進行Kubernetes的離線安裝_Kubernetes中文社群

1、環境準備 在進行Kubernetes部署之前,需要提供其要求的軟硬體環境。此文件描述的場景:在無法直接連線網際網路的情況下,如何進行安裝部署Kubernetes。 1.1 作業系統 作業系統推薦使用: Ubuntu 16.04 (64-bit) Red Hat Enterprise Li

Ubuntu與Rancher聯合釋出Kubernetes雲原生平臺_Kubernetes中文社群

美國德克薩斯州奧斯汀市當地時間12月5日,在Kubernetes領域頂級盛會KubeCon上,Ubuntu所屬公司Canonical與Rancher Labs合作,宣佈推出一個基於Ubuntu、Kubernetes和Rancher 2.0的應用程式交付平臺——Cloud Native Plat

Kubernetes之Pod排程_Kubernetes中文社群

【編者的話】Kubernetes排程器根據特定的演算法與策略將pod排程到工作節點上。在預設情況下,Kubernetes排程器可以滿足絕大多數需求,例如排程pod到資源充足的節點上執行,或排程pod分散到不同節點使叢集節點資源均衡等。但一些特殊的場景,預設排程演算法策略並不能滿足實際需求,例如

基於RKE進行Kubernetes的安裝部署_Kubernetes中文社群

在進行Kubernetes的深入學習之前,首先要做的一件事情就是Kubernetes環境的安裝部署。由於Kubernetes本身的複雜性,因此決定安裝過程相當較為複雜,在安裝過程中需要考慮諸多的因素。在本文中,將使用Kubernetes的輕量級工具——Rancher Kubernetes En

Rancher Kubernetes Engine(RKE)正式釋出:閃電般的Kubernetes安裝部署體驗_Kubernetes中文社群

作為Rancher 2.0的重要元件,Rancher Kubernetes Engine(RKE)現已正式全面釋出!這是Rancher Labs推出的新的開源專案,一個極致簡單易用、閃電般快速、支援一切基礎架構(公有云、私有云、VM、物理機等)的Kubernetes安裝程式。 為何做一個全新的

Kubernetes 的證書認證_Kubernetes中文社群

今天讓我們聊聊 Kubernetes 的公私鑰和證書認證。 本文內容會提及如何根據需要對 CA、公私鑰進行組織並對叢集進行設定。 Kubernetes 的元件中有很多不同的地方可以放置證書之類的東西。在進行叢集安裝的時候,我感覺有一百多億個不同的命令引數是用來設定證書、金鑰的,真不明白是怎麼弄

使用kubeadm安裝Kubernetes 1.8版本_Kubernetes中文社群

kubeadm是Kubernetes官方提供的快速安裝和初始化Kubernetes叢集的工具,目前的還處於孵化開發狀態,伴隨Kubernetes每個版本的釋出都會同步更新。 當然,目前的kubeadm是不能用於生產環境的。 但伴隨著Kubernetes每次版本升級,kubeadm都會對叢集配

kubernetes1.9原始碼閱讀 kubernetes的watch包_Kubernetes中文社群

要理解kubernetes的list-watch機制,首先應該熟悉理解kubernetes的watch包中的各種實現以及原理。這篇文章將從程式碼實現看看kubernetes的watch包實現。從kubernetes1.6之後,kubernetes的watch包抽取到了apimachinery這個專案下。 w

istio原始碼分析之pilot-discovery模組分析(_Kubernetes中文社群

Istio是由Google/IBM/Lyft共同開發的新一代Service Mesh開源專案。 上次我們深入剖析了pilot-discovery的部分功能,這次讓我們一起來看看pilot-discovery的其他功能。 注:本文分析的istio程式碼版本為0.8.0,commit為0cd8d6