Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Serviceをたずねて3000行 - Kubernetesコードリーディングの旅 -

RyuSA
February 09, 2021
Technology
2
790

Serviceをたずねて3000行 - Kubernetesコードリーディングの旅 -

kubernetes/kubernetesのリポジトリを元に、Serviceリソースがどのようにネットワークへ反映されるのかを追ってみました

RyuSA

February 09, 2021
Tweet

More Decks by RyuSA

See All by RyuSA
Java屋だってOperatorが作りたい!
ryusa
1
510
Visual Studio Codeとコンテナでいい感じのRe:View執筆環境
ryusa
1
1.4k
JavaScriptと歩くポリシーエンジン jsPolicy
ryusa
1
520
TextAlive App APIと夢見る新しいUX
ryusa
1
340
Gitlab Operatorと夢見るGitlab自動化の旅
ryusa
2
940
AccessPoint Operator on Raspberry Pi
ryusa
1
1.1k
そのAPIはセキュアですか?
ryusa
2
780
「L3以下は魔法で動いている!」と言いながらiptablesとkube-proxyを読んでみた話
ryusa
1
110
「〇〇完全に理解したったww」から始めるエンジニア生活
ryusa
2
4.2k

Other Decks in Technology

See All in Technology
Two Blades, One Journey: Engineering While Managing
ohbarye
3
730
Pwned Labsのすゝめ
ken5scal
0
190
スキルだけでは満たせない、 “組織全体に”なじむオンボーディング/Onboarding that fits “throughout the organization” and cannot be satisfied by skills alone
bitkey
0
130
Apache Iceberg Case Study in LY Corporation
lycorptech_jp
PRO
0
250
1行のコードから社会課題の解決へ: EMの探究、事業・技術・組織を紡ぐ実践知 / EM Conf 2025
9ma3r
6
1.9k
OpenID Connect for Identity Assurance の概要と翻訳版のご紹介 / 20250219-BizDay17-OIDC4IDA-Intro
oidfj
0
460
Visualize, Visualize, Visualize and rclone
tomoaki0705
9
75k
IAMポリシーのAllow/Denyについて、改めて理解する
smt7174
2
180
Share my, our lessons from the road to re:Invent
naospon
0
130
Raycast Favorites × Script Command で実現するお手軽情報チェック
smasato
1
120
日経のデータベース事業とElasticsearch
hinatades
PRO
0
200
偏光画像処理ライブラリを作った話
elerac
1
150

Featured

See All Featured
The Art of Delivering Value - GDevCon NA Keynote
reverentgeek
10
1.3k
個人開発の失敗を避けるイケてる考え方 / tips for indie hackers
panda_program
100
18k
How to Ace a Technical Interview
jacobian
276
23k
BBQ
matthewcrist
87
9.5k
Facilitating Awesome Meetings
lara
52
6.2k
The Illustrated Children's Guide to Kubernetes
chrisshort
48
49k
Building an army of robots
kneath
303
45k
Fontdeck: Realign not Redesign
paulrobertlloyd
83
5.4k
Fashionably flexible responsive web design (full day workshop)
malarkey
406
66k
Building Better People: How to give real-time feedback that sticks.
wjessup
367
19k
ReactJS: Keep Simple. Everything can be a component!
pedronauck
666
120k
Code Review Best Practice
trishagee
67
18k

Transcript

  1. RyuSA Serviceをたずねて3000⾏ - Kubernetesコードリーディングの旅 -

  2. Who Am I

  3. AGENDA • Serviceリソースがネットワークに反映されるまで • EndpointSlice Controller / kube-proxy • (下記⾚枠部分)

    出典 : https://kubernetes.io/ja/docs/concepts/overview/components/

  4. なぜService︖😕

  5. なぜServiceを読もうとしたのか

  6. Curl to Service curl 10.100.233.191 (=svc) Reply from 10.1.0.100 (=pod)

    Abracadabra……

  7. Curl to Service curl 10.100.233.191 (=svc) Reply from 10.1.0.100 (=pod)

    Abracadabra……

  8. NOTATION • 環境 • Kubernetes v1.20をベースに動作確認、コードリーディングをしています • IPv6を利⽤したデュアルスタック環境については触れません • つまりデフォルト

    • kube-proxyのproxy-modeはiptablesです • つまりデフォ(ry • featureGateのEndpointSliceとEndpointSliceProxyingは有効です • つまりデ(ry • 話さない内容 • LoadBalancer TypeのServiceについて • Golangガチ初⼼者が読んでます • 読み間違い、勘違い等あるかもしれません……

  9. Serviceの反映にはControllerが関わってます • KubernetesにおけるControllerとは • Controllerは1種類以上のKubernetesリソースを監視し、特定のミッションを達成するためのコンポーネント • 監視しているリソースのspecに合わせて「現在の状態」を「⽬的の状態」に変更・制御していくことが⼀般的なコント ローラのミッションです • その多くはapiserverへフィードバック/副作⽤を送ります

    • Serviceリソースのルーティングに関連するController • EndpointSlice Controller • EndpointSliceリソースを監視しているControllerです • kube-proxyが監視しているEndpointSliceリソースに対し副作⽤を及ぼします • kube-proxy • Serviceリソースを監視しているコンポーネント(兼Controller)です

  10. EndpointSlice Controller の話

  11. PodとServiceを紐つけておく • EndpointSlice とは • ServiceリソースのセレクタとPodへの紐付けを管理するリソースです • ⼀緒にPodのTopology(=“kubernetes.io/hostname” など)も保存されてます •

    kube-proxyに監視されてます • EndpointSlice Controllerの役割 • 主にPodをServiceを監視し、EndpointSliceを常に最新の状態に変更します • EndpointSlice⾃体も監視しています

  12. EndpointSlice Controller 全体像 EPSlice informer Main loop Queue Cache; selector

    and Service Sync Service with svc name And update the cache Svc Pod API Resources

  13. EndpointSlice Controller メインループ Heap Queue Selector Cache Wait 1 sec…

    pop the data Nothing… Creating EndpointSlice… Find pods by selector Svc informer Find svc by svc name EP Slice API Resources Update EndpointSlice Loop

  14. Kube-proxyの話(ほんぺ)

  15. kube-proxyは利⽤者の夢を叶えてくれます • kube-proxy とは • Kubernetesの基本コンポーネントの1つです • EKSではDaemonSetでデプロイされたりしています • ノードのネットワークプロキシに対して変更を加えることでServiceリソースの実現を⾏なっています

    • kube-proxyの役割 • ServiceとEndpointSliceを監視し、ノードのネットワーク設定を最新にします • kube-proxyの管理するネットワークはkube-proxyを起動する時にproxy-modeで設定できます • Kubernetes v1.20現在では iptables / ipvs / userspace のいずれか

  16. Kube-proxyの登場⼈物紹介 • ProxyServer • kube-proxyの本体で、このインスタンスのRun関数が叩かれることでkube-proxyが起動します • 起動時に設定に則って⽣成されたproxy.Providorのインタフェースを叩く • メインループ(or goroutine)としてSyncLoop関数を起動して定期的に同期処理をする

    • proxy.Providor • ネットワーク設定の変更処理をコールするためのインタフェース • Sync関数とSyncLoop関数を提供している • Sync関数は同期的にネットワーク設定を最新に変更します • SyncLoop関数はgoroutineを起動し定期的にネットワーク設定を最新にします • xxx.Proxier • proxy.Providorを実装したオブジェクト • iptables / ipvs / userspace のそれぞれの実装が存在している • つまりこれを独⾃実装してビルドすれば、あなただけのkube-proxyを実装できます

  17. kube-proxy初期化 ProxyServer proxy.Provider SyncLoop iptables.Proxier Injected on boot Sync ipvs.Proxier

    userspace.Proxier

  18. Service/EndpointSlice 追加時の挙動 EPSlice Svc informer ProxyServer iptables.Proxier onXXXAdded SyncLoop syncProxyRules

    Sync up iptables at least once in 1h serviceMap endpointsMap Sync iptables on the node API Resources

  19. iptablesに反映されるルール例

  20. kube-proxyはどうやら3つのルールを作成するらしい • KUBE-SERVICES • Serviceすべてのレコードがルールとして記載されています • パケットの送信先IPアドレスがあるServiceと⼀致している場合、そのServiceのルール(後述)へジャンプします • KUBE-SVC-XXX •

    ある特定のService専⽤のルールです、このルールにはServiceがどこへルーティングされるかの情報が記載されていま す • iptablesのstatisticモジュールのrandomモードで同確率でServiceに紐つくEndpointSliceのルール(後述)宛にジャンプ するようになっています • KUBE-SEP-XXX • パケットをあるEndpointSliceのIPアドレスへDNATするルールです

  21. kube-proxyはどうやら3つのルールを作成するらしい Packet to Service KUBE-SERVICES KUBE-SVC-XXX KUBE-SEP-XXX KUBE-SEP-XXX KUBE-SEP-XXX Packet

    to Pod DNAT DNAT DNAT iptables