Q&A
2だと思いました。
iptablesで確かmasqueradeしていたはずです。
Service でType NodePort を選択すると、Worker Node はnodePort で待ち受けます。
WorkerNode IP : nodePort に外部からアクセスされると、そのWorker Node のiptables によってDNAT されます。これを前提に質問させてください。
確認したいのは、WorkerNode へのパケットの送信先IP アドレスは1 と2 のどちらになりますか?
- Pod に対して直接DNAT される
- 一旦ClusterIP にDNAT された後再度Pod にDNAT される
前者と思っていますが、この場合ClusterIP が作成される目的をご存知であれば教えていただけないでしょうか。
ドキュメントを見る限り、NodePort Service がCluseteIP に対しroute している=後者にも見えてきます。
https://kubernetes.io/docs/concepts/services-networking/service/
A ClusterIP Service, to which the NodePort Service routes, is automatically created.
回答1件
0
ベストアンサー
僕がネットワークあまり詳しくないので直接的に回答できないですが、以前tim hochinがkube-proxyのフローを図にしていたのが参考になるかもしれないので貼っておきます
https://twitter.com/thockin/status/1191766983735296000
投稿2019/12/25 02:39
総合スコア64
やはり、1. でした。
自分の環境で、iptables のパケットカウンタの動きを調べて確認したところ、初めにWorker Node : nodePort でアクセスされると、KUBE-NODEPORTS チェインに引っかかり、nodePort でアクセスされたのであれば、KUBE-SVC-XXX チェインに渡され、最終的には一定確率でバックエンドのPod にパケットを振り分けているようです。
Chain KUBE-SVC-DVMPQKHOO2CN5B22 (2 references)
pkts bytes target prot opt in out source destination
1 60 KUBE-SEP-PANJZJ6ZHSD2XVMF all -- * * 0.0.0.0/0 0.0.0.0/0 statistic mode random probability 0.50000000000
0 0 KUBE-SEP-4R4BEQ4ZHG3EUZCU all -- * * 0.0.0.0/0 0.0.0.0/0
ちなみにnodePort が定義された状態で、ClusterIP でアクセスした場合は、KUBE-NODEPORTS チェインよりも先にKUBE-SVC-XXX で評価されるだけなので、最終的にはNodePort と同じようにDNAT されます。ClusterIP ができる理由は、KUBE-SVC-XXX チェインを作成するためでしょうね(別にClusterIP を宛先としたDNAT はする必要がないので)。
ドキュメントの「to which the NodePort Service routes」は正確には「ClusterIP作成時に作られるチェインKUBE-SVC-XXX で評価される」で、NodePort の場合はKUBE-SVC-XXX で評価される前に一旦KUBE-NODEPORTS チェインで評価されるという、一段挟む構造になることを表しているようです。
頂いたこの情報でも、KUBE-SERVICE チェインでClusterIP で合致しなければ、最終的にKUBE-NODEPORT チェインで評価されているようです。ゆえにCluster IP に対してDNAT はしていませんでした。大変参考になる情報、ありがとうございました。
解説ありがとうございます。
僕は正直k8sの設定するiptableやCNI周りはまだ全然追えていないので助かります。
↑で解説頂いた内容もまだ自分の中では消化できてないですがどこかで時間取って理解できるようにしていければと思います。
あなたの回答
tips
プレビュー
