Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Serviceをたずねて3000行 - Kubernetesコードリーディングの旅 -

928b1395afedebb5ee48d44ab917c5f1?s=47 RyuSA
February 09, 2021
Technology
2
350

Serviceをたずねて3000行 - Kubernetesコードリーディングの旅 -

kubernetes/kubernetesのリポジトリを元に、Serviceリソースがどのようにネットワークへ反映されるのかを追ってみました

928b1395afedebb5ee48d44ab917c5f1?s=128

RyuSA

February 09, 2021
Tweet

More Decks by RyuSA

See All by RyuSA
928b1395afedebb5ee48d44ab917c5f1?s=48 ryusa
1
510
928b1395afedebb5ee48d44ab917c5f1?s=48 ryusa
2
570
928b1395afedebb5ee48d44ab917c5f1?s=48 ryusa
1
41
928b1395afedebb5ee48d44ab917c5f1?s=48 ryusa
2
960
928b1395afedebb5ee48d44ab917c5f1?s=48 ryusa
2
200

Other Decks in Technology

See All in Technology
00101a1274d1f92977f4e442ef73be86?s=48 ahana
0
110
67962a042668ffac9323b8e0c55eee6e?s=48 keisuke69
0
460
15d05906370266398f014184d86d17c5?s=48 cyber_unfold
0
460
Ecad9d801d79f6c6e5df93094690685e?s=48 sinsoku
6
480
942bb606679caf4c57b38927f83178e1?s=48 qsona
4
1.4k
13d936e697fe0f4fa96f926d0a712f6c?s=48 sansanbuildersbox
PRO
0
200
A64ac825509279a770c13c6fc517f11a?s=48 kawaguti
PRO
1
200
2d1ae5ea9354a50d87b46f4503d11f4e?s=48 tuhin1729
0
340
140494d272a4d89883a94fdfdb29dea2?s=48 oracle4engineer
PRO
1
3k
44b799f91cc48e38c5fe9f5d9c5ecc61?s=48 takaichi00
10
2.2k
7cd783377515bdf8207062840b7b2f4e?s=48 soracom
PRO
0
120
Eb6be531bcfaa99714d8d3b48665a5a9?s=48 budougumi0617
1
530

Featured

See All Featured
C51b39fa3c79ccb99dcb8a076bc98287?s=48 brianwarren
87
5.3k
56c4053438af8e8b90d6f53cbb7573be?s=48 jakevdp
778
200k
D8fc2580cfaca035f666d9e4ee79a7f7?s=48 mongodb
25
4.1k
9fa239b3154a0169d99ab7bf1422dd12?s=48 marcelosomers
224
15k
E14f55d3f939977cecbf51b64ff6f861?s=48 keithpitt
404
20k
E4f5d494ebdc9e7cce1aecf3ce3e8bc1?s=48 shpigford
372
43k
Dafc4723e9a1c067796c0fec6f509774?s=48 lemiorhan
633
49k
0c6fd6a08d0f898159cda7cafcacf07f?s=48 afnizarnur
180
14k
245cee81a9c424266e5e401d844ea881?s=48 lara
26
3.3k
D36d2c1821af9249b69ff7f5ed60529b?s=48 tammielis
240
23k
766b9746b59e6f09e280cd33cf4ed419?s=48 skipperchong
13
970
79acae287842acf29084005533a7fb3b?s=48 hursman
111
9.5k

Transcript

  1. RyuSA Serviceをたずねて3000⾏ - Kubernetesコードリーディングの旅 -

  2. Who Am I

  3. AGENDA • Serviceリソースがネットワークに反映されるまで • EndpointSlice Controller / kube-proxy • (下記⾚枠部分)

    出典 : https://kubernetes.io/ja/docs/concepts/overview/components/

  4. なぜService︖😕

  5. なぜServiceを読もうとしたのか

  6. Curl to Service curl 10.100.233.191 (=svc) Reply from 10.1.0.100 (=pod)

    Abracadabra……

  7. Curl to Service curl 10.100.233.191 (=svc) Reply from 10.1.0.100 (=pod)

    Abracadabra……

  8. NOTATION • 環境 • Kubernetes v1.20をベースに動作確認、コードリーディングをしています • IPv6を利⽤したデュアルスタック環境については触れません • つまりデフォルト

    • kube-proxyのproxy-modeはiptablesです • つまりデフォ(ry • featureGateのEndpointSliceとEndpointSliceProxyingは有効です • つまりデ(ry • 話さない内容 • LoadBalancer TypeのServiceについて • Golangガチ初⼼者が読んでます • 読み間違い、勘違い等あるかもしれません……

  9. Serviceの反映にはControllerが関わってます • KubernetesにおけるControllerとは • Controllerは1種類以上のKubernetesリソースを監視し、特定のミッションを達成するためのコンポーネント • 監視しているリソースのspecに合わせて「現在の状態」を「⽬的の状態」に変更・制御していくことが⼀般的なコント ローラのミッションです • その多くはapiserverへフィードバック/副作⽤を送ります

    • Serviceリソースのルーティングに関連するController • EndpointSlice Controller • EndpointSliceリソースを監視しているControllerです • kube-proxyが監視しているEndpointSliceリソースに対し副作⽤を及ぼします • kube-proxy • Serviceリソースを監視しているコンポーネント(兼Controller)です

  10. EndpointSlice Controller の話

  11. PodとServiceを紐つけておく • EndpointSlice とは • ServiceリソースのセレクタとPodへの紐付けを管理するリソースです • ⼀緒にPodのTopology(=“kubernetes.io/hostname” など)も保存されてます •

    kube-proxyに監視されてます • EndpointSlice Controllerの役割 • 主にPodをServiceを監視し、EndpointSliceを常に最新の状態に変更します • EndpointSlice⾃体も監視しています

  12. EndpointSlice Controller 全体像 EPSlice informer Main loop Queue Cache; selector

    and Service Sync Service with svc name And update the cache Svc Pod API Resources

  13. EndpointSlice Controller メインループ Heap Queue Selector Cache Wait 1 sec…

    pop the data Nothing… Creating EndpointSlice… Find pods by selector Svc informer Find svc by svc name EP Slice API Resources Update EndpointSlice Loop

  14. Kube-proxyの話(ほんぺ)

  15. kube-proxyは利⽤者の夢を叶えてくれます • kube-proxy とは • Kubernetesの基本コンポーネントの1つです • EKSではDaemonSetでデプロイされたりしています • ノードのネットワークプロキシに対して変更を加えることでServiceリソースの実現を⾏なっています

    • kube-proxyの役割 • ServiceとEndpointSliceを監視し、ノードのネットワーク設定を最新にします • kube-proxyの管理するネットワークはkube-proxyを起動する時にproxy-modeで設定できます • Kubernetes v1.20現在では iptables / ipvs / userspace のいずれか

  16. Kube-proxyの登場⼈物紹介 • ProxyServer • kube-proxyの本体で、このインスタンスのRun関数が叩かれることでkube-proxyが起動します • 起動時に設定に則って⽣成されたproxy.Providorのインタフェースを叩く • メインループ(or goroutine)としてSyncLoop関数を起動して定期的に同期処理をする

    • proxy.Providor • ネットワーク設定の変更処理をコールするためのインタフェース • Sync関数とSyncLoop関数を提供している • Sync関数は同期的にネットワーク設定を最新に変更します • SyncLoop関数はgoroutineを起動し定期的にネットワーク設定を最新にします • xxx.Proxier • proxy.Providorを実装したオブジェクト • iptables / ipvs / userspace のそれぞれの実装が存在している • つまりこれを独⾃実装してビルドすれば、あなただけのkube-proxyを実装できます

  17. kube-proxy初期化 ProxyServer proxy.Provider SyncLoop iptables.Proxier Injected on boot Sync ipvs.Proxier

    userspace.Proxier

  18. Service/EndpointSlice 追加時の挙動 EPSlice Svc informer ProxyServer iptables.Proxier onXXXAdded SyncLoop syncProxyRules

    Sync up iptables at least once in 1h serviceMap endpointsMap Sync iptables on the node API Resources

  19. iptablesに反映されるルール例

  20. kube-proxyはどうやら3つのルールを作成するらしい • KUBE-SERVICES • Serviceすべてのレコードがルールとして記載されています • パケットの送信先IPアドレスがあるServiceと⼀致している場合、そのServiceのルール(後述)へジャンプします • KUBE-SVC-XXX •

    ある特定のService専⽤のルールです、このルールにはServiceがどこへルーティングされるかの情報が記載されていま す • iptablesのstatisticモジュールのrandomモードで同確率でServiceに紐つくEndpointSliceのルール(後述)宛にジャンプ するようになっています • KUBE-SEP-XXX • パケットをあるEndpointSliceのIPアドレスへDNATするルールです

  21. kube-proxyはどうやら3つのルールを作成するらしい Packet to Service KUBE-SERVICES KUBE-SVC-XXX KUBE-SEP-XXX KUBE-SEP-XXX KUBE-SEP-XXX Packet

    to Pod DNAT DNAT DNAT iptables