个人中心
文章发布
退出
作者热门文章
- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
27
4
据我了解,当 POD 与服务对话时,IP 表已由 CNI 提供商更新(这可能特定于某些但不是所有 CNI 提供商)。 iptables 基本上提供了一个虚拟 IP,然后循环或分发(以某种方式)到后端临时 pod。这些 pod 可能位于同一主机上,也可能位于集群中的另一台主机上。此时(再次基于 CNI)conntrack 用于在将 svc-ip 重新映射到 POD 的 dest-ip 时保持 src 和 dst 直接。不过,我想知道的是,如果 dest pod 在同一台主机上,我不确定它是如何在返回路径上路由的。我怀疑仍然通过该服务然后可能使用 conntrack 作为返回路径。
当 pod 通过服务与目标 pod 在同一主机上的 pod 通信时,kubernetes 是否使用两次 conntrack?
最佳答案
在尝试解释这个主题时,我将使用 Calico 作为示例。
Conntrack 只需要从源 pod 到服务端点。您必须跟踪它以将其余流数据包发送到同一目标端点。返回路径始终只有一个选项:从目标 pod 到源 pod,这意味着即使在这里使用 conntrack 它也不会改变任何东西,因为返回路径由 NAT 表管理。
另外值得一提的是:
For both iptables and IPVS mode, the response time overhead forkube-proxy is associated with establishing connections, not the numberof packets or requests you send on those connections. This is becauseLinux uses connection tracking (conntrack) that is able to matchpackets against existing connections very efficiently. If a packet ismatched in conntrack then it doesn’t need to go through kube-proxy’siptables or IPVS rules to work out what to do with it.
你可以使用conntrack command line interface用于搜索、列出、检查和维护 Linux 内核的连接跟踪子系统。
例如:
conntrack -L 将以/proc/net/ip_conntrack 格式显示连接跟踪表:
# conntrack -L
tcp 6 431982 ESTABLISHED src=192.168.2.100 dst=123.59.27.117 sport=34846 dport=993 packets=169 bytes=14322 src=123.59.27.117 dst=192.168.2.100 sport=993 dport=34846 packets=113 bytes=34787 [ASSURED] mark=0 secmark=0 use=1
tcp 6 431698 ESTABLISHED src=192.168.2.100 dst=123.59.27.117 sport=34849 dport=993 packets=244 bytes=18723 src=123.59.27.117 dst=192.168.2.100 sport=993 dport=34849 packets=203 bytes=144731 [ASSURED] mark=0 secmark=0 use=1
conntrack v0.9.7 (conntrack-tools): 2 flow entries have been shown.
一个实际的例子是当您更改 Calico 的策略以禁止以前允许的流时。 Calico 只需检查允许流中的第一个数据包(在一对 IP 地址和端口之间)的策略,然后 conntrack 会自动允许同一流中的其他数据包,而无需 Calico 重新检查每个数据包。如果最近在先前允许的流上交换了数据包,因此该流的 conntrack 状态尚未过期,则该 conntrack 状态将允许相同 IP 地址和端口之间的更多数据包,即使在 Calico 策略已更改后也是如此。为避免这种情况,您可以使用 conntrack -D 手动删除相关的 conntrack 状态,然后使用 conntrack -E 以使用新的 Calico 策略观察连接事件。
来源:
希望对您有所帮助。
关于networking - 当 pod 通过目标 pod 在同一主机上的服务与 pod 通信时,kubernetes 是否使用两次 conntrack?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/62661030/
27
4
0
我有一个 if 语句,如下所示 if (not(fullpath.lower().endswith(".pdf")) or not (fullpath.lower().endswith(tup
然而,在 PHP 中,可以: only appears if $foo is true. only appears if $foo is false. 在 Javascript 中,能否在一个脚
XML有很多好处。它既是机器可读的,也是人类可读的,它具有标准化的格式,并且用途广泛。 它也有一些缺点。它是冗长的,不是传输大量数据的非常有效的方法。 XML最有用的方面之一是模式语言。使用模式,您可
由于长期使用 SQL2000,我并没有真正深入了解公用表表达式。 我给出的答案here (#4025380)和 here (#4018793)违背了潮流,因为他们没有使用 CTE。 我很欣赏它们对于递
我有一个应用程序: void deleteObj(id){ MyObj obj = getObjById(id); if (obj == null) { throw n
我的代码如下。可能我以类似的方式多次使用它,即简单地说,我正在以这种方式管理 session 和事务: List users= null; try{ sess
在开发J2EE Web应用程序时,我通常会按以下方式组织我的包结构 com.jameselsey.. 控制器-控制器/操作转到此处 服务-事务服务类,由控制器调用 域-应用程序使用的我的域类/对象 D
这更多是出于好奇而不是任何重要问题,但我只是想知道 memmove 中的以下片段文档: Copying takes place as if an intermediate buffer were us
路径压缩涉及将根指定为路径上每个节点的新父节点——这可能会降低根的等级,并可能降低路径上所有节点的等级。有办法解决这个问题吗?有必要处理这个吗?或者,也许可以将等级视为树高的上限而不是确切的高度? 谢
我有两个类,A 和 B。A 是 B 的父类,我有一个函数接收指向 A 类型类的指针,检查它是否也是 B 类型,如果是将调用另一个函数,该函数接受一个指向类型 B 的类的指针。当函数调用另一个函数时,我
有没有办法让 valgrind 使用多个处理器? 我正在使用 valgrind 的 callgrind 进行一些瓶颈分析,并注意到我的应用程序中的资源使用行为与在 valgrind/callgrind
假设我们要使用 ReaderT [(a,b)]超过 Maybe monad,然后我们想在列表中进行查找。 现在,一个简单且不常见的方法是: 第一种可能性 find a = ReaderT (looku
我的代码似乎有问题。我需要说的是: if ( $('html').attr('lang').val() == 'fr-FR' ) { // do this } else { // do
根据this文章(2018 年 4 月)AKS 在可用性集中运行时能够跨故障域智能放置 Pod,但尚不考虑更新域。很快就会使用更新域将 Pod 放入 AKS 中吗? 最佳答案 当您设置集群时,它已经自
course | section | type comart2 : bsit201 : lec comart2 :
我正在开发自己的 SDK,而这又依赖于某些第 3 方 SDK。例如 - OkHttp。 我应该将 OkHttp 添加到我的 build.gradle 中,还是让我的 SDK 用户包含它?在这种情况下,
随着 Rust 越来越充实,我对它的兴趣开始激起。我喜欢它支持代数数据类型,尤其是那些匹配的事实,但是对其他功能习语有什么想法吗? 例如标准库中是否有标准过滤器/映射/归约函数的集合,更重要的是,您能
关闭。这个问题不符合Stack Overflow guidelines .它目前不接受答案。 这个问题似乎与 help center 中定义的范围内的编程无关。 . 关闭 9 年前。 Improve
我一直在研究 PHP 中的对象。我见过的所有示例甚至在它们自己的对象上都使用了对象构造函数。 PHP 会强制您这样做吗?如果是,为什么? 例如: firstname = $firstname;
...比关联数组? 关联数组会占用更多内存吗? $arr = array(1, 1, 1); $arr[10] = 1; $arr[] = 1; // <- index is 11; does the
我是一名优秀的程序员,十分优秀!