k8spod流量抓包（k8s流量走向）

浅谈k8s网络之Calico网络

1、Calico网络在k8s中的应用具有革命性，其特点和优势显著：资源优化：Calico采用三层路由技术，有效避免了广播风暴，显著降低网络开销。突破了VLAN限制，提升网络资源的利用率，为大规模集群的高效运行提供了基础。可扩展性：Calico的设计使其天生适应不断扩大的网络环境，无论是VM、CONTAINER还是混合架构，都能无缝融入。

2、Calico网络在k8s中的应用简述：Calico是一种高效的容器网络方案，专为k8s等容器化平台设计，旨在实现容器间的高效互通与隔离控制。

3、Calico 网络 Node 之间有两种模式：IPIP 和 BGP。IPIP 是将 IP 数据包封装在另一个 IP 包中，实现类似基于 IP 层的网桥功能。BGP 是边界网关协议，通过维护 IP 路由表来实现自治系统之间的可达性，更适合大型网络环境。

抓包就明白coredns域名解析

1、进行CoreDNS抓包前，需要理解一些基础概念。其中，完全限定名称（FQDN）指的是互联网上计算机或主机的完整域名，由主机名、域名、顶级域组成。例如，域名ayunw.cn实际上应为，通常会省略最后的点。

k8s网络之flannel(vxlan)

VXLAN（Virtual eXtensible LAN，虚拟可扩展局域网）是一种用于构建overlay网络的虚拟化隧道通信技术。它在三层网络上搭建虚拟二层网络，利用UDP层构建overlay逻辑网络，与物理网络解耦，以满足灵活组网需求。VXLAN不仅适用于虚拟机环境，也适用于容器环境。

Flannel通过CNI接口规范为每个Pod分配独立的IP地址，从而解决了跨节点网络的路由问题。pod网络连接：在K8s集群中，POD通过veth设备与主机网络命名空间连接，形成虚拟网络接口对。这些veth设备进一步通过网桥cni0进行路由转发，实现Pod间的通信。

Cni0获取的IP地址是该节点分配到的网段的第一个地址，而Flannel.1是overlay网络设备，用于处理VXLAN报文（封装和解包），不同节点间的pod数据流量则通过隧道形式发送到对端。

Flannel是CoreOS团队为Kubernetes设计的网络规划服务，其核心功能是为集群中的docker容器分配全集群唯一的虚拟IP地址，解决不同节点容器可能获得相同内外IP地址的问题。

首先，flannel网络下，k8s不再依赖Docker0作为网桥，而是通过Container network Interface （CNI）插件，其宿主机上的默认名称为cni0。以Flannel的vxlan模式为例，其工作流程中，docker0被cni0所替代，具体流程是：在命令行通过route -n可以看到cni0和docker0是两个不同的设备。

kubernetes Pod的网络方案有很多，最典型的就是Flannel的三种后端实现方式了（UDP、VxLan、host-gw），讨论这些则主要是在关注容器跨主机通信的问题。而这里主要讨论的则是Pod的内部的网卡如何创建，又如何将网络数据包在宿主机和容器之间传递。

K8S问题排查-UDP频繁发包导致Pod重启后无法接收数据

原因： conntrack表项问题：在K8S环境中，通过nodePort暴露的UDP服务在接收到频繁请求时，由于UDP conntrack表项默认老化时间为30秒，频繁请求可能导致老化失效。当Pod重启后，conntrack表中记录的可能是节点IP而非Pod IP，导致后续请求被错误地转发到节点IP而非新的Pod IP。

首先，构建K8S集群，部署UDP服务并用nc命令模拟客户端频繁发送UDP请求。网络分析显示请求正常到达目标Pod和节点，但Pod重启后接收中断。通过删除Pod构造重启，发现在Pod重启后，流量未按预期到达Pod，而是节点IP。使用iptables跟踪请求路径，发现流量未经过预期路径，而是进入INPUT链，指向DNAT问题。

当 Pod 状态为 CrashLoopBackoff 时，表示容器在启动后立即崩溃或退出。这可能是容器配置错误、应用程序错误、内存不足或权限问题导致。排查此类问题时，需详细检查容器配置、应用程序日志、内存使用情况及权限设置。Pod 状态为 Failed 通常意味着容器已终止，并且至少一个容器以失败方式退出。

K8S学习指南(63)-K8S源代码走读之Kube-Proxy

K8S源代码走读之Kube-Proxy学习指南 Kubernetes（K8s）中的Kube-Proxy是一个关键组件，负责实现Kubernetes服务（Service）到后端Pod的流量转发。为了深入理解Kube-Proxy的工作原理，以下是对其源代码的简要走读指南。

kubeletkube-proxy服务于Pod的容器运行时（runtime）外部storage与registry用于为容器提供存储与镜像仓库服务。K8s基本工作流程从kubectl客户端开始，K8s的基本工作流程如下：kubectl 客户端将CLI命令转化为RESTful的API调用，然后发送到kube-apiServer。

在开启KubeProxyReplacement模式之前，首先需要检查Cilium的状态，确认KubeProxyReplacement参数默认为Disabled。随后，应删除kube-proxy组件。在删除kube-proxy组件后，Cilium会接管代理功能，通过修改cilium-config中的配置参数，将kube-proxy-replacement设置为strict模式，以开启KubeProxyReplacement功能。

在Kubernetes中，理解并使用service、ingress、ClusterIP、Headliness、NodePort等资源的保姆级指南如下： Service资源 定义：Service是Kubernetes中的一个抽象层，它将提供同一服务的多个Pod聚合，并提供统一的访问入口。

K8s服务调用的方法和原理,一篇文章给你说明白

通过服务名调用：在K8s中，服务提供了一种网络抽象，允许内部Pod间通过Service名进行通信。在普通Service中，服务间调用最为直接，通过服务名即可进行访问。例如，一个名为frontend的Service可以通过frontend或frontend.svc.cluster.local的DNS名称访问同一命名空间内的服务。

在K8s中，服务（Service）提供了一种网络抽象，允许内部Pod间通过Service名进行通信。例如，一个名为frontend的Service可以通过frontend或frontend..svc.cluster.local的DNS名称访问同一命名空间内的服务。

理论 PV概念：PV是对K8S存储资源的抽象，一般由运维人员创建和配置，供容器申请使用。PV相当于对磁盘的分区，为容器提供存储空间。PVC概念：PVC是Pod对存储资源的一个申请，主要包括存储空间申请、访问模式等。创建PV后，Pod就可以通过PVC向PV申请磁盘空间。

服务账号（Service Account）是一种自动被启用的用户认证机制，使用经过签名的 持有者令牌来验证请求。 当服务账号创建后，k8s会自动生成对应的Secret，存有可以用来认证的token。 上面的token就可以用来认证。 所有使用token进行认证的请求 ，都要加上 Authorization 的 HTTP请求头，其值格式为 Bearer TOKEN 。

本文深入探讨了 Kubernetes Service 在iptables模式下的网络实现原理。首先，我们通过创建Service和Pod资源来设置场景。Kubernetes通过kube-proxy组件，尤其是iptables模式，实现Service到Pod的流量转发。iptables在Linux系统中是网络规则管理的关键工具，它通过配置规则决定数据包的处理方式。

ClusterIP类型的Service是Kubernetes集群默认的Service， 它只能用于集群内部通信。不能用于外部通信。K8s会为每个Service分配一个虚拟IP，即ClusterIP。这个虚拟IP只能在集群内部访问。NodePort类型的Service会在集群内部的所有Node节点打开一个指定的端口。