据我了解,当POD与服务对话时,IP表已由CNI提供程序进行了更新(这可能是特定于某些,但不是全部的CNI提供程序)。 iptables基本上提供了一个虚拟IP,然后将其进行轮询或分发(以某种方式)到后端临时容器。这些 Pane 可能位于群集中的同一主机或另一主机上。此时(再次基于CNI),当conntrack将svc-ip重新映射到POD的dest-ip时,它用于使src和dst保持直线。我想知道的是,如果dest pod在同一主机上,我不确定它如何在返回路径上路由。我会怀疑仍然通过服务,然后可能使用conntrack作为返回路径。
当Pod通过目标Pod在同一主机上的服务与Pod对话时,kubernetes是否会两次使用conntrack?
最佳答案
在尝试解释此主题时,我将以Calico为例。
仅需要从源Pod到服务端点的Conntrack。您必须对其进行跟踪才能将其余的流数据包发送到同一目标端点。返回路径始终只有一个选项:从目标容器到源容器,这意味着即使在此处使用conntrack,它也不改变任何内容,因为返回路径由NAT表管理。
还值得一提:
您可以使用conntrack
command line interface来搜索,列出,检查和维护Linux内核的连接跟踪子系统。
例如:conntrack -L
将以/ proc / net / ip_conntrack格式显示连接跟踪表:
# conntrack -L
tcp 6 431982 ESTABLISHED src=192.168.2.100 dst=123.59.27.117 sport=34846 dport=993 packets=169 bytes=14322 src=123.59.27.117 dst=192.168.2.100 sport=993 dport=34846 packets=113 bytes=34787 [ASSURED] mark=0 secmark=0 use=1
tcp 6 431698 ESTABLISHED src=192.168.2.100 dst=123.59.27.117 sport=34849 dport=993 packets=244 bytes=18723 src=123.59.27.117 dst=192.168.2.100 sport=993 dport=34849 packets=203 bytes=144731 [ASSURED] mark=0 secmark=0 use=1
conntrack v0.9.7 (conntrack-tools): 2 flow entries have been shown.
一个实际的例子是您更改Calico的策略以禁止以前允许的流量。 Calico只需要检查在允许的流中(一对IP地址和端口之间)第一个数据包的策略,然后conntrack自动允许同一流中的其他数据包,而Calico无需重新检查每个数据包。如果最近在先前允许的流上交换了数据包,并且该流的conntrack状态尚未到期,那么即使更改了Calico策略,该conntrack状态也将允许在同一IP地址和端口之间发送更多数据包。为避免这种情况,您可以使用conntrack -D
手动删除相关的conntrack状态,然后使用conntrack -E
删除,以便通过新的Calico策略观察连接事件。资料来源:
我希望这有帮助。
关于networking - 当Pod通过目标Pod在同一主机上的服务与Pod对话时,kubernetes是否会两次使用conntrack?,我们在Stack Overflow上找到一个类似的问题:https://stackoverflow.com/questions/62661030/