- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
据我了解,当 POD 与服务对话时,IP 表已由 CNI 提供商更新(这可能特定于某些但不是所有 CNI 提供商)。 iptables 基本上提供了一个虚拟 IP,然后循环或分发(以某种方式)到后端临时 pod。这些 pod 可能位于同一主机上,也可能位于集群中的另一台主机上。此时(再次基于 CNI)conntrack 用于在将 svc-ip 重新映射到 POD 的 dest-ip 时保持 src 和 dst 直接。不过,我想知道的是,如果 dest pod 在同一台主机上,我不确定它是如何在返回路径上路由的。我怀疑仍然通过该服务然后可能使用 conntrack 作为返回路径。
当 pod 通过服务与目标 pod 在同一主机上的 pod 通信时,kubernetes 是否使用两次 conntrack?
最佳答案
在尝试解释这个主题时,我将使用 Calico 作为示例。
Conntrack 只需要从源 pod 到服务端点。您必须跟踪它以将其余流数据包发送到同一目标端点。返回路径始终只有一个选项:从目标 pod 到源 pod,这意味着即使在这里使用 conntrack 它也不会改变任何东西,因为返回路径由 NAT 表管理。
另外值得一提的是:
For both iptables and IPVS mode, the response time overhead forkube-proxy is associated with establishing connections, not the numberof packets or requests you send on those connections. This is becauseLinux uses connection tracking (conntrack) that is able to matchpackets against existing connections very efficiently. If a packet ismatched in conntrack then it doesn’t need to go through kube-proxy’siptables or IPVS rules to work out what to do with it.
你可以使用conntrack
command line interface用于搜索、列出、检查和维护 Linux 内核的连接跟踪子系统。
例如:
conntrack -L
将以/proc/net/ip_conntrack 格式显示连接跟踪表:
# conntrack -L
tcp 6 431982 ESTABLISHED src=192.168.2.100 dst=123.59.27.117 sport=34846 dport=993 packets=169 bytes=14322 src=123.59.27.117 dst=192.168.2.100 sport=993 dport=34846 packets=113 bytes=34787 [ASSURED] mark=0 secmark=0 use=1
tcp 6 431698 ESTABLISHED src=192.168.2.100 dst=123.59.27.117 sport=34849 dport=993 packets=244 bytes=18723 src=123.59.27.117 dst=192.168.2.100 sport=993 dport=34849 packets=203 bytes=144731 [ASSURED] mark=0 secmark=0 use=1
conntrack v0.9.7 (conntrack-tools): 2 flow entries have been shown.
一个实际的例子是当您更改 Calico 的策略以禁止以前允许的流时。 Calico 只需检查允许流中的第一个数据包(在一对 IP 地址和端口之间)的策略,然后 conntrack 会自动允许同一流中的其他数据包,而无需 Calico 重新检查每个数据包。如果最近在先前允许的流上交换了数据包,因此该流的 conntrack 状态尚未过期,则该 conntrack 状态将允许相同 IP 地址和端口之间的更多数据包,即使在 Calico 策略已更改后也是如此。为避免这种情况,您可以使用 conntrack -D
手动删除相关的 conntrack 状态,然后使用 conntrack -E
以使用新的 Calico 策略观察连接事件。
来源:
希望对您有所帮助。
关于networking - 当 pod 通过目标 pod 在同一主机上的服务与 pod 通信时,kubernetes 是否使用两次 conntrack?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/62661030/
kubernetes的新手,希望了解使用不同kubernetes对象的最佳实践,并且很难理解“Pods”和“Static Pods”在功能上的主要区别(如果有)吗? 主要问题如下: 问题1:如果有功能
以下是 pods 文件的截图,其中不包含 AFNetworking 库。当我在终端中运行命令 pod install 时,它安装了 AFNetworking 库版本 3.0.1。我无法理解为什么会这样
在通过 pod lib create projectName 创建的目录中执行 pod init 是否受支持?它似乎对我不起作用,但否则如何指定他们正在创建的 pod 的上游依赖项? pod inst
我正在尝试制作一个 Pod::Simple::HTML 的简单子(monad)类用于 Pod::Simple::HTMLBatch .我希望使用 POD::Weaver 对所有 POD 进行预处理.但
根据定义here , POD 是一个简单的类,没有用户定义的构造函数、非静态成员,并且只包含简单的数据类型。 问题是,下面这两个类是否等同于 POD 类型(就内存占用而言): class pod {
使用 Airflow 在 AWS EKS 上运行 KubernetesPodOperator 获取 kubernetes.client.rest.ApiException: (400),指出版本\"v
据我了解,当 POD 与服务对话时,IP 表已由 CNI 提供商更新(这可能特定于某些但不是所有 CNI 提供商)。 iptables 基本上提供了一个虚拟 IP,然后循环或分发(以某种方式)到后端临
我有一个 pod 需要将数据持久保存到 pod 外部的位置。我认为persistentVolume 是一个好主意。名为 writerPod 的 pod 需要对该卷进行读写访问。 多个其他 Pod(我称
我想知道,如果 HPA 考虑一个 pod 中多个容器的 CPU 利用率的平均值,以便向上/向下扩展数量。 pod 。例如,如果我为具有 2 个容器的部署(pod)指定如下所示的 HPA。为了让 HPA
我有以下情况: 我有几个微服务,现在只有两个是相关的。 - Web 套接字服务 API - 调度服务 我们有 3 个用户,我们将分别称为 1、2 和 3。这些用户将自己连接到我们后端的 Web 套接字
我已经注意到,当使用kubectl时,您几乎可以互换使用 pod 和 pods 。是否有任何实例可以使用一个实例而不是另一个实例来获得不同的结果,或者您可以只使用其中一个而不用担心呢? 例如: kub
我尝试使用命令 pod update 更新我的 podfile但它需要永远。 我也按照这个问题做了所有的步骤 cocoapods - 'pod install' takes forever但什么都没有
我正在设置一个 Kubernetes 主节点。 只是主节点,暂时没有工作节点。 使用 this tutorial. 完成设置,没有任何问题现在, $kubectl get pods -o wide -
是否可以在 pod install 期间让一个 Pod 保持不变和pod update ? pod update 不是一个选项。 最佳答案 您实际上可以使用pod update [NAMES...]来
基本上,我有一个部署,它创建了 3 个自动扩展的容器:PHP-FPM、NGINX 和包含应用程序的容器,所有这些都设置了 secret 、服务和入口。该应用程序还在 PHP-FPM 和 NGINX 之
在为Kubernetes创建/添加节点时,我们还必须创建Canal pod。 当前,kubernetes在尝试调度Pod之前不会等待Canal Pod准备就绪,从而导致失败(错误如下) Error s
我正在寻找一个选项来从部署/复制中删除 pod 而不删除它。我找到了一个很好的解决方案 using selector and labels here ,但在我的情况下这是不可能的,因为我不是 pod/
来自 PodInterface两个操作Delete和 Evict似乎具有相同的效果:删除旧 Pod 并创建一个新 Pod。 如果两个操作效果一样,为什么删除一个Pod并创建一个新的Pod需要两个API
Kubernetes版本1.12.3。 kubectl排水是先移开 pods 还是先创建 pods 。 最佳答案 您可以在节点上执行维护(例如内核升级,硬件维护等)之前,使用kubectlrain安全
有没有办法通过主机名访问 pod? 我有一个主机名:my-pod-1需要使用主机名连接到另一个 pod:my-pod-2 . 在没有服务的情况下实现这一目标的最佳方法是什么? 最佳答案 通过您的描述,
我是一名优秀的程序员,十分优秀!