揭秘K8S Service底层iptables链，运维少背锅！

2023-09-11 19:56:05

K8S Service：从iptables链深入了解其工作原理

Kubernetes 中的 Service 是一个强大的抽象，它为 Pod 提供访问服务。通过创建 Service，您可以实现从任何位置访问 Pod，而无需了解 Pod 的底层 IP 地址或端口。Service 还会为请求提供负载均衡，从而确保请求均匀地分发到所有 Pod 上。

iptables 链：Kubernetes Service 的基础

在创建 Service 时，Kubernetes 会自动在底层节点上创建一系列 iptables 规则。这些规则本质上是基于 iptables 的 Linux 内核模块，用于控制和管理网络流量。iptables 使用链来组织规则，每个链包含一系列规则，用于匹配特定条件并执行操作。

Service 创建的 iptables 链：

KUBE-SVC-NAME-TCP ：用于处理 TCP 流量
KUBE-SVC-NAME-UDP ：用于处理 UDP 流量
KUBE-SVC-NAME-SCTP ：用于处理 SCTP 流量

其中，NAME 是 Service 的名称。例如，名为 "my-service" 的 Service 将创建三个 iptables 链："KUBE-SVC-MY-SERVICE-TCP"、"KUBE-SVC-MY-SERVICE-UDP" 和 "KUBE-SVC-MY-SERVICE-SCTP"。

iptables 链的工作原理

iptables 链按照顺序执行规则。如果请求匹配了链中的任何规则，则执行该规则定义的操作。否则，请求将继续执行链中的下一条规则。

对于 Service 链来说，规则按照以下方式工作：

当请求到达集群时，iptables 防火墙会对其进行检查。
如果请求匹配了 Service 的 iptables 链中的一条规则，则请求将被转发到与该规则关联的 Pod。
如果请求没有匹配任何规则，则请求将被丢弃。

代码示例：

以下是创建 Service 时生成的 iptables 规则示例：

# 创建TCP链
-A KUBE-SVC-MY-SERVICE-TCP -d 10.0.0.1/32 -p tcp -m comment --comment "my-service tcp-loadbalancer" -j KUBE-SVC-MY-SERVICE-TCP-FE

# 创建对应Pod的链，并关联至TCP链
-A KUBE-SVC-MY-SERVICE-TCP-FE -p tcp -m comment --comment "my-service tcp-backend: default/pod-1" -j KUBE-SVC-1Q842C5JQD5NCAVD7

# 创建UDP链
-A KUBE-SVC-MY-SERVICE-UDP -d 10.0.0.1/32 -p udp -m comment --comment "my-service udp-loadbalancer" -j KUBE-SVC-MY-SERVICE-UDP-FE

# 创建对应Pod的链，并关联至UDP链
-A KUBE-SVC-MY-SERVICE-UDP-FE -p udp -m comment --comment "my-service udp-backend: default/pod-1" -j KUBE-SVC-1Q842C5JQD5NCAVD7

总结

Service 是 Kubernetes 中一个重要的资源，它提供了访问 Pod 的便捷方式，并实现了请求负载均衡。了解 Service 底层的 iptables 链及其工作原理，对于深入理解 Service 如何将请求转发到 Pod 至关重要。通过掌握这些知识，您可以更轻松地配置和管理 Kubernetes 服务。