Kubernetes网络的iptables模式和ipvs模式支持ping分析

1.iptables模式无法ping通原因分析

　　iptables模式下，无法ping通任何svc,包括clusterip.所有ns下,下面来分析原因:

　　查看kubernetes的网络模式

curl 127.0.0.1:10249/proxyMode
[root@k8s-master01 ~]# curl 127.0.0.1:10249/proxyMode
iptables

　　可以看到当前我的网络模式是 iptables

　　那么当应用程序通过服务连接到另一个应用程序时，将发生以下事件：

　　　　1.应用程序使用集群DNS将服务名称解析为ClusterIP（虚拟IP）和端口 例如将：redis.elk:6379 解析为 10.0.0.144:6379

　　　　2.应用程序将连接请求发送给特定端口(10.0.0.144:6379)ClusterIP

　　　　3.由于ClusterIP位于没有路由的特殊网络上，因此请求将转到默认网关

　　　　4.请求发送到集群节点的默认网关时，由节点内核处理

　　　　5.将所有集群节点配置为,捕获服务正在使用的端口6379上进入ClusterIP地址的请求

　　　　6.trap导致数据包头被重写，以便将请求重定向到特定的Pod

　　　　7.Pod接收流量并服务请求

　　问题在于，当请求前往svc服务中定义的端口上的ClusterIP时，才会发生trap。无法将ping流量发送到特定端口，因此永远不会发生trap。

　　Why？

　　因为ping基于ICMP ,ICMP不能在TCP/UDP上运行，因此没有TCP/UDP端口的概念。因此，无法在配置为侦听和trap的服务的端口上使用ping。

　　为什么nc 探测是成功的？

　　nc 默认是基于tcp, nc -u 是基于udp 所以他探测的协议是tcp/udp 所以是可以探测成功的。

　　为什么开发语言同样可以连接成功?

　　因为开发语言是通过（研发可以控制）TCP协议形式的Socket连接。

 

2.为什么iptables模式下无法ping通svc? 而ipvs模式可以？

　　来查看下iptables模式下kube-proxy的iptables转发规则

　　查看filter:

　　iptable默认策略为拒绝任何icmp端口，除非你手动打开让其支持icmp协议才可以ping通。

　　而IPVS的ICMP报文处理-由外到内，默认是支持的，所以可以ping通，具体见以下链接: IPVS的ICMP报文处理-由内到外

 

3.小结

　　iptables：clusterIP只是iptables中的规则，只会处理ip:port四层数据包，reject了icmp。不能 ping通。

　　IPVS：ipvs依赖iptables进行包过滤、SNAT、masquared(伪装)。 使用 ipset 来存储需要 DROP 或 masquared 的流量的源或目标地址，以确保 iptables 规则的数量是恒定的，这样我们就不需要关心我们有多少服务了

　　二者有着本质的差别：iptables是为防火墙而设计的；IPVS则专门用于高性能负载均衡，并使用更高效的数据结构（Hash表），允许几乎无限的规模扩张。

 

转载：http://www.yoyoask.com/?p=4742