Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Kubernetes Networking 101

Kohei Ota
August 25, 2020
Technology
8
1.5k

Kubernetes Networking 101

Kohei Ota

August 25, 2020
Tweet

More Decks by Kohei Ota

See All by Kohei Ota
KubeCon Recap -Platform migration at Scale-
inductor
0
700
コンテナビルド最新事情 2022年度版 / Container Build 2022
inductor
2
280
データベースとストレージのレプリケーション入門 / Intro-of-database-and-storage-replication
inductor
24
5.2k
KubeConのケーススタディから振り返る、Platform for Platforms のあり方と その実践 / Lessons from KubeCon case studies: Platform for Platforms and its practice
inductor
3
520
オンラインの技術カンファレンスを安定稼働させるための取り組み / SRE activity for online conference platform
inductor
1
940
Kubernetesネットワーキング初級者脱出ガイド / Kubernetes networking beginner's guide
inductor
16
4.9k
コンテナネイティブロードバランシングの話 / A story about container native load balancing
inductor
1
1.4k
DockerCon Live 2021 Recap
inductor
2
910
Kubernetesをとりまくコンテナランタイムの栄枯盛衰 / The rise and fall of the container runtimes surrounding Kubernetes
inductor
19
41k

Other Decks in Technology

See All in Technology
Profiling a Java Application @DevDays 2023
victorrentea
1
490
Keynote: Kishore Gopalakrishna, StarTree - The Rise of Real-Time Analytics | RTA Summit 2023
startree
PRO
0
120
開発PM勉強会vol.20_LT_失敗から学ぶドキュメントとチケット運用のコツ
kikuchis
1
570
トラブルシューティングから Linux カーネルに潜り込む
hiboma
7
1.2k
Start graceful degradation
line_developers
PRO
3
1k
Tech Dojo Introduction Of Monitoring
norimuraz
0
230
R&Dのアプリケーション基盤 “Circuit”について / About "Circuit", R&D's application platform
sansan_randd
0
120
思わず目にとまる コンテンツの作り方、届け方 / how-to-create-deliver-content-catches-the-eye
carta_engineering
0
170
CyberAgent AI事業本部MLOps研修応用編
nsakki55
33
16k
[春のDojo祭り'23] データドリブンな時代に求められるプロセスマイニング入門
tkhresk
0
130
既存システムのコンテナ化で得られた知見と、 全然関係ないけど自炊を支える技術
matsuihidetoshi
0
500
SQLを活用したデータ分析におけるChatGPTの活用法
hikarut
6
2.5k

Featured

See All Featured
Designing for Performance
lara
601
65k
XXLCSS - How to scale CSS and keep your sanity
sugarenia
236
1.1M
Easily Structure & Communicate Ideas using Wireframe
afnizarnur
183
15k
JavaScript: Past, Present, and Future - NDC Porto 2020
reverentgeek
39
3.7k
Imperfection Machines: The Place of Print at Facebook
scottboms
255
12k
The Invisible Customer
myddelton
113
12k
Thoughts on Productivity
jonyablonski
52
2.9k
Large-scale JavaScript Application Architecture
addyosmani
500
110k
Stop Working from a Prison Cell
hatefulcrawdad
264
18k
Build The Right Thing And Hit Your Dates
maggiecrowley
23
1.5k
A designer walks into a library…
pauljervisheath
199
17k
Bash Introduction
62gerente
602
210k

Transcript

  1. Kubernetes Networking 101
    Kubernetes Novice Tokyo #4
    Presented by @inductor

    View Slide

  2. 自己紹介
    名前: 太田 航平 (@inductor)
    所属: HPE
    役職: ソリューションアーキテクト
    Kubernetes SIG-Docs Japanese localization owner
    Cloud Native Ambassador
    Docker Meetup Tokyo、CNDT2020運営

    View Slide

  3. Kubernetesのネットワークは複雑

    View Slide

  4. ていうか、そもそもコンテナの
    ネットワークが複雑!

    View Slide

  5. 今日のゴール
    ● Dockerのネットワークがわかる
    ● DockerとKubernetesのなりたちの違いがわかる
    ○ DockerとKubernetesのネットワーク的な要件の違い
    ● Kubernetesでネットワークをつなげる仕組みの登場人物がわかる
    → コンテナネットワーク完全に理解した

    View Slide

  6. アジェンダ
    ● Dockerのネットワーク
    ○ コンテナとネットワークの関係
    ● Kubernetesのネットワーク
    ○ DockerとKubernetesのネットワーク要件の違い
    ■ Docker→Kubernetesに思考を引き上げる場合に生まれるネットワークの問題
    ■ Kubernetesでの解決策
    ● Kubernetesのネットワークを形作るコンポーネントとその役割
    ○ kube-proxy
    ○ CNI
    ■ よく使われるCNIの特徴

    View Slide

  7. Dockerのネットワーク

    View Slide

  8. Dockerのよくあるユースケース
    Docker Compose
    80:80
    3000
    3306

    View Slide

  9. Dockerのよくあるユースケース
    Docker Compose
    80:80
    3000
    3306
    Webなので公開
    アプリは
    内部だけ
    DBは
    内部だけ

    View Slide

  10. Dockerとネットワーク、ボリューム
    Volume Volume Volume
    Docker Volume
    Docker Container
    Docker Network docker0 bridge
    ローカルの80
    仮想NIC 仮想NIC 仮想NIC
    10.0.0.0/24
    172.16.0.0/24

    View Slide

  11. ネットワークとボリュームは外部割り当て?
    Volume Volume Volume
    Docker Volume
    Docker Container
    Docker Network docker0 bridge
    ローカルの80
    仮想NIC 仮想NIC 仮想NIC
    10.0.0.0/24
    172.16.0.0/24

    View Slide

  12. ネットワークとボリュームは外部割り当て
    Volume Volume Volume
    Docker Volume
    Docker Container
    Docker Network docker0 bridge
    ローカルの80
    仮想NIC 仮想NIC 仮想NIC

    View Slide

  13. ネットワークとボリュームは外部割り当て
    Volume Volume Volume
    Docker Volume
    Docker Container
    Docker Network docker0 bridge
    ローカルの80
    仮想NIC 仮想NIC 仮想NIC
    Kubernetes Novice Tokyo #2 のセッション資料が詳しいので
    合わせてご覧ください

    View Slide

  14. Dockerネットワークの種類
    ● bridge - 指定がない場合にデフォルトで使用
    ○ 所属するコンテナが直接通信でき、お手軽
    ● macvlan - macvlanが使える
    ○ 仮想NICにMACアドレスが持てる
    ○ VMから移行したい場合などに使えるかも?ただし ホストのNICが使えなくなる制限有
    ● none - 「何も繋がない」ができる
    ○ loopback(127.0.0.1)以外に仮想NICが繋がらないモード
    ● Network plugins - その他サードパーティのプラグインを使う場合
    ○ プラグイン自体とても少なく利用例が ほとんどない

    View Slide

  15. コンテナとネットワークの関係

    View Slide

  16. を話す前にコンテナの仕組みを
    さらっと復習します

    View Slide

  17. コンテナの仕組み
    /
    /home /var /tmp
    /var/a /var/b /var/c /tmp/d
    ここに、あるLinuxホストのファイルシステムがあります

    View Slide

  18. コンテナの仕組み
    /
    /home /var /tmp
    /var/a /var/b /var/c /tmp/d
    / / / /
    pivot_root pivot_root pivot_root pivot_root
    あるディレクトリをルートに見せかける pivot_root

    View Slide

  19. コンテナの仕組み
    /
    /home /var /tmp
    /var/a /var/b /var/c /tmp/d
    / / / /
    namespace namespace namespace namespace
    ユーザーIDやNW、プロセス空間などを分離する namespace
    root
    10.0.0.1/24
    root
    10.0.0.2/24
    root
    10.0.0.3/24
    root
    10.0.0.3/24

    View Slide

  20. コンテナの仕組み
    /
    /home /var /tmp
    /var/a /var/b /var/c /tmp/d
    / / / /
    各領域のCPU、メモリリソースなどを cgroupで制限
    root
    10.0.0.1/24
    root
    10.0.0.2/24
    root
    10.0.0.3/24
    root
    10.0.0.3/24
    1CPU
    2GB
    1CPU
    2GB
    1CPU
    2GB
    2CPU
    4GB

    View Slide

  21. コンテナの仕組み
    /
    /home /var /tmp
    /var/a /var/b /var/c /tmp/d
    / / / /
    アプリケーションが動作するために必要なファイルたちを
    tar.gz形式でパッケージングしてこいつらの上にのっけて ...
    root
    10.0.0.1/24
    root
    10.0.0.2/24
    root
    10.0.0.3/24
    root
    10.0.0.3/24
    1CPU
    2GB
    1CPU
    2GB
    1CPU
    2GB
    2CPU
    4GB
    nginx on
    Ubuntu
    Node on
    Alpine
    Ruby on
    CentOS
    Debian

    View Slide

  22. /var /tmp
    コンテナの仕組み
    /
    /home
    /var/a /var/b /var/c /tmp/d
    / / / /
    展開したファイルシステムの実行ファイルをプロセスとして起動!
    1CPU
    2GB
    1CPU
    2GB
    1CPU
    2GB
    2CPU
    4GB
    nginx on
    Ubuntu
    Node on
    Alpine
    Ruby on
    CentOS
    Debian
    root
    10.0.0.1/24
    root
    10.0.0.2/24
    root
    10.0.0.3/24
    root
    10.0.0.3/24
    プロセス起動!

    View Slide

  23. /var /tmp
    コンテナの仕組み
    /
    /home
    /var/a /var/b /var/c /tmp/d
    / / / /
    展開したファイルシステムの実行ファイルをプロセスとして起動!
    1CPU
    2GB
    1CPU
    2GB
    1CPU
    2GB
    2CPU
    4GB
    nginx on
    Ubuntu
    Node on
    Alpine
    Ruby on
    CentOS
    Debian
    root
    10.0.0.1/24
    root
    10.0.0.2/24
    root
    10.0.0.3/24
    root
    10.0.0.3/24
    プロセス起動!
    これ1つ1つがコンテナ

    View Slide

  24. /var /tmp
    コンテナの仕組み
    /
    /home
    /var/a /var/b /var/c /tmp/d
    / / / /
    展開したファイルシステムの実行ファイルをプロセスとして起動!
    1CPU
    2GB
    1CPU
    2GB
    1CPU
    2GB
    2CPU
    4GB
    nginx on
    Ubuntu
    Node on
    Alpine
    Ruby on
    CentOS
    Debian
    root
    10.0.0.1/24
    root
    10.0.0.2/24
    root
    10.0.0.3/24
    root
    10.0.0.3/24
    プロセス起動!
    これ1つ1つがコンテナ
    これがコンテナイメージね

    View Slide

  25. Dockerコンテナとネットワークの関係
    ● コンテナはさまざまなリソースを隔離した結果生まれるもの
    ○ ネットワークもその1要素で、 NICは付けたり付けなかったりできる
    ● Noneドライバーを用いた場合、ネットワーク的に隔離されたコンテナができあが

    ● ブリッジの場合は仮想スイッチにどんどん接続されて相互に接続ができる
    ○ Dockerの内部DNSも勝手に参加するので、コンテナ名がついていれば名前で DNSも引ける
    ○ 設定ファイルでdb:3306とかweb:80とかapp:3000みたいなことが書けるのはそのおかげ
    ○ 簡易的ではあるがいわゆる「サービスディスカバリ」の一種

    View Slide

  26. ここまでのまとめ
    ● Dockerのネットワークとボリュームは外からアタッチすることができる
    ○ docker volume, docker networkコマンドで確認してみてね!
    ● ネットワーク機構にはいくつかの種類がある
    ○ 要件に合わせて選択することが可能

    View Slide

  27. Kubernetesのネットワーク

    View Slide

  28. 手元のKubernetesの中身を覗いてみる
    ● 外部に公開しているLonghornのWeb UIは、TCPの80番でLoadBalancerが
    アタッチされている
    ● でも、Dockerではポートの割り当てが発生していない
    ○ なんで?

    View Slide

  29. 手元のKubernetesの中身を覗いてみる
    ● 外部に公開しているLonghornのWeb UIは、TCPの80番でLoadBalancerが
    アタッチされている
    ● でも、Dockerではポートの割り当てが発生していない
    ○ なんで?
    こたえ:
    Dockerのネットワークを使っていないから!!!

    View Slide

  30. Kubernetesの仕組み
    ● コンテナを中心とした「分散システム」
    ○ 複数のマシンリソース (物理/仮想マシン)をクラスターにまとめて、アプリケーションをいい感じに
    動かす
    ○ (設定次第だけど)どのマシンでコンテナが動いても「同じように」動作する必要がある
    → マシンの持つネットワークに依存しない透過的なネットワークが必要
    それが理由で、Kubernetesのネットワークの基本はOverlay network構成

    View Slide

  31. Kubernetesの仕組み
    Pod Pod Pod
    Pod network(overlay)
    Service Network(overlay)
    Node Network(not overlay)
    普通のサーバーがつながる
    ネットワーク
    ClusterIPなどサービス間の
    通信で使うネットワーク
    コンテナ(Pod)自体に
    IPアドレスを持たせるためのネッ
    トワーク
    kube-proxy
    CNI

    View Slide

  32. Kubernetesの仕組み
    Pod
    Pod Pod
    Node Network(not overlay)
    Pod network(overlay)
    Service Network(overlay)
    普通のサーバーがつながる
    ネットワーク
    ClusterIPなどサービス間の
    通信で使うネットワーク
    コンテナ(Pod)自体に
    IPアドレスを持たせるためのネッ
    トワーク
    Podが入れ替わっても
    同じように動作する
    Nodeが障害を起こすと
    Podは自動で退避
    kube-proxy
    CNI

    View Slide

  33. Kubernetesのネットワークコンポーネント
    ● kube-proxy - 各ノードで動作
    ○ 各ノードでコンテナネットワークへの入り口を作る役割
    ■ 無いと、コンテナの外と中の経路が通らない
    ○ Linuxのiptablesやipvsを利用(最近ではeBPFベースの実装もある )
    ○ Serviceの実装
    ■ https://github.com/kubernetes/kubernetes/blob/master/pkg/proxy/service.go
    ● CNI(Container Network Interface) - クラスター全体で動作
    ○ Docker network driver相当のプラグイン機構を提供
    ○ Overlay Networkを提供
    ○ 外のネットワーク(プロトコル)とKubernetesのネットワークをつなげる
    ○ 無いと、NodeのステータスがReadyにならない

    View Slide

  34. Kubernetesのネットワークコンポーネント
    ● kube-proxy
    ○ 各ノードでコンテナネットワークへの入り口を作る役割
    ○ Linuxのiptablesやipvsを利用(最近ではeBPFベースの実装もある )
    ○ Serviceの実装
    ■ https://github.com/kubernetes/kubernetes/blob/master/pkg/proxy/service.go
    ● CNI(Container Network Interface)
    ○ Docker network driver相当のプラグイン機構を提供
    ○ クラスター全体のOverlay Networkを提供
    ○ 外のネットワーク(プロトコル)とKubernetesのネットワークをつなげる
    ○ 無いと、NodeのステータスがReadyにならない

    View Slide

  35. Kubernetesのネットワークコンポーネント
    ● kube-proxy
    ○ 各ノードでコンテナネットワークへの入り口を作る役割
    ○ Linuxのiptablesやipvsを利用(最近ではeBPFベースの実装もある )
    ○ Serviceの実装
    ■ https://github.com/kubernetes/kubernetes/blob/master/pkg/proxy/service.go
    ● CNI(Container Network Interface)
    ○ Docker network driver相当のプラグイン機構を提供
    ○ クラスター全体のOverlay Networkを提供
    ○ 外のネットワーク(プロトコル)とKubernetesのネットワークをつなげる
    ○ 無いと、NodeのステータスがReadyにならない
    CNIでアタッチしたNIC
    kube-proxyでコンテナ外
    からの通信を流す

    View Slide

  36. いろいろなCNI
    ● Calico
    ○ 最も人気&歴史がある
    ○ BGP(L3)ベースのネットワークでスケールしやすい
    ● Cilium
    ○ eBPFを用いた高パフォーマンス &スケーラブルなプラグイン
    ○ 最近人気になってきた
    ○ GKEでも最近導入がアナウンスされた
    ● Weave Net
    ● Amazon VPC CNI plugin

    View Slide

  37. ここまでのまとめ
    ● Kubernetesが複数マシンを束ねて動かすためにはOverlay networkが重要
    ● CNIはOverlay networkの構築と、Pod(コンテナ)にネットワークの機能を
    与えるためのコンポーネント
    ● kube-proxyは、ノードに流れてきたPod向け通信をPodに流す役割を持つ

    View Slide

  38. ここまでのまとめ
    ● Kubernetesが複数マシンを束ねて動かすためにはOverlay networkが重要
    ● CNIはOverlay networkの構築と、Pod(コンテナ)にネットワークの機能を
    与えるためのコンポーネント
    ● kube-proxyは、ノードに流れてきたPod向け通信をPodに流す役割を持つ
    完全に理解できましたか?

    View Slide

  39. (質問があれば)Q&Aタイム

    View Slide

  40. おわり

    View Slide