Kubernetes网络管理:从CNI到Ingress的全面指南
Kubernetes网络管理:从CNI到Ingress的全面指南
🔥 硬核开场
各位技术大佬们,今天咱们来聊聊Kubernetes网络管理。别跟我说你还在为K8s网络问题头疼,那都2023年了!在云原生时代,网络是Kubernetes的核心组件之一,从容器间通信到服务暴露,从网络策略到负载均衡,每一个环节都至关重要。今天susu就带你们从CNI插件到Ingress控制器,一步步掌握Kubernetes网络管理的精髓,全给你整明白!
📋 核心内容
1. Kubernetes网络模型
- Pod网络:每个Pod都有一个唯一的IP地址,Pod内的容器共享网络命名空间
- Service网络:为Pod提供稳定的访问地址,实现服务发现和负载均衡
- 集群网络:连接所有节点和Pod的网络基础设施
- 网络策略:控制Pod间的通信,实现网络隔离
2. CNI插件:容器网络接口
CNI(Container Network Interface)是Kubernetes网络的标准接口,负责为Pod配置网络。
2.1 常用CNI插件
- Calico:基于BGP的网络插件,支持网络策略
- Flannel:简单易用的网络插件,适合初学者
- Cilium:基于eBPF的网络插件,提供高级网络功能
- Weave Net:自配置的网络插件,支持加密通信
2.2 安装Calico网络插件
# 安装Calico kubectl apply -f https://docs.projectcalico.org/manifests/calico.yaml # 查看Calico组件状态 kubectl get pods -n kube-system # 验证网络状态 kubectl get nodes3. Service:服务发现与负载均衡
Service是Kubernetes中用于暴露应用的抽象,提供了稳定的访问地址和负载均衡功能。
3.1 Service类型
- ClusterIP:默认类型,只在集群内部可访问
- NodePort:在每个节点上开放一个端口,可从集群外部访问
- LoadBalancer:使用云服务商的负载均衡器,自动分配公网IP
- ExternalName:通过DNS CNAME记录将服务映射到外部域名
3.2 创建Service
apiVersion: v1 kind: Service metadata: name: nginx-service spec: selector: app: nginx ports: - port: 80 targetPort: 80 type: ClusterIP --- apiVersion: v1 kind: Service metadata: name: nginx-nodeport spec: selector: app: nginx ports: - port: 80 targetPort: 80 nodePort: 30080 type: NodePort --- apiVersion: v1 kind: Service metadata: name: nginx-loadbalancer spec: selector: app: nginx ports: - port: 80 targetPort: 80 type: LoadBalancer3.3 服务发现
# 查看Service kubectl get svc # 从Pod内部访问Service kubectl exec -it nginx-pod -- curl http://nginx-service # 从集群外部访问NodePort服务 curl http://<node-ip>:300804. Ingress:HTTP/HTTPS路由
Ingress是Kubernetes中用于管理HTTP/HTTPS路由的资源,允许将外部流量路由到集群内部的服务。
4.1 安装Ingress控制器
# 安装Nginx Ingress控制器 helm repo add ingress-nginx https://kubernetes.github.io/ingress-nginx helm repo update helm install nginx-ingress ingress-nginx/ingress-nginx --namespace ingress-nginx --create-namespace # 查看Ingress控制器状态 kubectl get pods -n ingress-nginx4.2 创建Ingress资源
apiVersion: networking.k8s.io/v1 kind: Ingress metadata: name: nginx-ingress annotations: nginx.ingress.kubernetes.io/rewrite-target: / spec: rules: - host: example.com http: paths: - path: /nginx pathType: Prefix backend: service: name: nginx-service port: number: 804.3 配置TLS
apiVersion: networking.k8s.io/v1 kind: Ingress metadata: name: nginx-ingress-tls spec: tls: - hosts: - example.com secretName: tls-secret rules: - host: example.com http: paths: - path: / pathType: Prefix backend: service: name: nginx-service port: number: 805. NetworkPolicy:网络策略
NetworkPolicy是Kubernetes中用于控制Pod间通信的资源,实现网络隔离和访问控制。
5.1 创建NetworkPolicy
apiVersion: networking.k8s.io/v1 kind: NetworkPolicy metadata: name: default-deny namespace: default spec: podSelector: {} policyTypes: - Ingress - Egress --- apiVersion: networking.k8s.io/v1 kind: NetworkPolicy metadata: name: allow-nginx namespace: default spec: podSelector: matchLabels: app: nginx policyTypes: - Ingress ingress: - from: - podSelector: matchLabels: app: frontend ports: - protocol: TCP port: 805.2 验证NetworkPolicy
# 查看NetworkPolicy kubectl get networkpolicy # 测试网络策略 kubectl exec -it frontend-pod -- curl http://nginx-pod kubectl exec -it other-pod -- curl http://nginx-pod6. 网络故障排查
6.1 常见网络问题
- Pod无法通信:检查CNI插件状态、网络策略
- Service无法访问:检查Service配置、端点状态
- Ingress无法访问:检查Ingress控制器状态、路由规则
- 网络延迟:检查网络带宽、节点负载
6.2 排查工具
# 检查Pod网络 kubectl exec -it nginx-pod -- ping 8.8.8.8 kubectl exec -it nginx-pod -- curl http://nginx-service # 检查节点网络 kubectl node-shell <node-name> -- ping 8.8.8.8 # 检查CNI插件日志 kubectl logs -n kube-system calico-node-<pod-name> # 检查Service端点 kubectl get endpoints nginx-service7. 网络性能优化
7.1 网络调优
- 使用高性能CNI插件:如Cilium,基于eBPF提供更好的性能
- 配置网络MTU:根据网络环境调整MTU大小
- 启用带宽限制:为Pod配置合理的带宽限制
- 使用本地流量优先:减少跨节点通信
7.2 负载均衡优化
- 使用会话亲和性:确保同一客户端的请求路由到同一Pod
- 配置健康检查:及时发现并剔除不健康的Pod
- 调整负载均衡算法:根据应用特点选择合适的负载均衡算法
8. 实际应用案例
8.1 构建多租户网络
apiVersion: v1 kind: Namespace metadata: name: tenant-a --- apiVersion: v1 kind: Namespace metadata: name: tenant-b --- apiVersion: networking.k8s.io/v1 kind: NetworkPolicy metadata: name: tenant-a-isolation namespace: tenant-a spec: podSelector: {} policyTypes: - Ingress - Egress ingress: - from: - namespaceSelector: matchLabels: name: tenant-a egress: - to: - namespaceSelector: matchLabels: name: tenant-a8.2 配置Ingress路由
apiVersion: networking.k8s.io/v1 kind: Ingress metadata: name: multi-service-ingress annotations: nginx.ingress.kubernetes.io/rewrite-target: / spec: rules: - host: api.example.com http: paths: - path: /user pathType: Prefix backend: service: name: user-service port: number: 8080 - path: /order pathType: Prefix backend: service: name: order-service port: number: 8080🛠️ 最佳实践
网络规划:
- 选择合适的CNI插件,根据集群规模和需求
- 合理规划Pod网络CIDR,避免与其他网络冲突
- 为不同环境配置独立的网络资源
服务暴露:
- 内部服务使用ClusterIP
- 外部访问使用NodePort或LoadBalancer
- HTTP/HTTPS流量使用Ingress
网络安全:
- 配置默认拒绝的NetworkPolicy
- 为每个应用配置细粒度的网络策略
- 限制Pod间的通信,只允许必要的流量
性能优化:
- 使用高性能CNI插件
- 合理配置网络资源
- 优化负载均衡策略
监控与排查:
- 监控网络指标,如延迟、丢包率
- 配置网络相关的告警
- 熟悉网络排查工具和方法
📊 总结
Kubernetes网络管理是云原生环境中的重要组成部分。通过本文的实践,你应该已经掌握了:
- CNI插件的选择和安装
- Service的配置和使用
- Ingress的部署和路由配置
- NetworkPolicy的配置和网络隔离
- 网络故障排查和性能优化
记住,网络是Kubernetes的基础,良好的网络配置是系统稳定运行的保障。在实际生产环境中,要根据业务需求和集群特点,选择合适的网络方案,配置合理的网络策略,确保网络的可靠性和安全性。
susu碎碎念:
- 网络规划要提前,避免后期调整的复杂性
- 网络策略要细粒度,实现最小权限原则
- 网络监控要全面,及时发现和解决问题
- 网络安全要重视,防止未授权访问
- 网络性能要优化,提升应用响应速度
觉得有用?点个赞再走!咱们下期见~ 🔥