Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Serviceをたずねて3000行 - Kubernetesコードリーディングの旅 -

928b1395afedebb5ee48d44ab917c5f1?s=47 RyuSA
February 09, 2021
Technology
2
410

Serviceをたずねて3000行 - Kubernetesコードリーディングの旅 -

kubernetes/kubernetesのリポジトリを元に、Serviceリソースがどのようにネットワークへ反映されるのかを追ってみました

928b1395afedebb5ee48d44ab917c5f1?s=128

RyuSA

February 09, 2021
Tweet

More Decks by RyuSA

See All by RyuSA
928b1395afedebb5ee48d44ab917c5f1?s=48 ryusa
1
170
928b1395afedebb5ee48d44ab917c5f1?s=48 ryusa
1
65
928b1395afedebb5ee48d44ab917c5f1?s=48 ryusa
2
380
928b1395afedebb5ee48d44ab917c5f1?s=48 ryusa
1
600
928b1395afedebb5ee48d44ab917c5f1?s=48 ryusa
2
590
928b1395afedebb5ee48d44ab917c5f1?s=48 ryusa
1
46
928b1395afedebb5ee48d44ab917c5f1?s=48 ryusa
2
1.4k
928b1395afedebb5ee48d44ab917c5f1?s=48 ryusa
2
240

Other Decks in Technology

See All in Technology
B90a63f11581d1f064348e90ac2c9759?s=48 puremoru
1
110
1b031ccbf968811f157cf7a892dddfed?s=48 geshan
1
300
7fccfb690a818ed2f3a15fc21d426d5a?s=48 texmeijin
2
110
Ac734fc32781678475b577944bb5a9ae?s=48 charity
1
850
966e29b84ae7dbde170f66b0bc75b7a6?s=48 ishiayaya
0
100
Cd931bc05e7cee46b9a950a63e47ba4c?s=48 you
0
230
Ba839fb9b340517b63cb518c8b9c26bd?s=48 simosako
4
3.7k
7a29c02251394fc05ebd88c631c562dc?s=48 takufujii
0
130
D18583cc111c111c775f8da7c5b2ff52?s=48 orimanabu
1
340
A41b463f033e1304539253f8a663c950?s=48 moriyuya
36
16k
1dceaa2dcea41c16004f430c1723b20e?s=48 miso
0
220
476e7a02d660b5dd640cb020ec0a9085?s=48 taka66
1
1.6k

Featured

See All Featured
Fde6c3a50ca518a909ef35c22c0ee0e4?s=48 destraynor
148
20k
A9179349dd2bdc67f377719f56d85656?s=48 garrettdimon
295
110k
282d599b414022eba5096510f675b6e2?s=48 chrislema
174
14k
E6c6e133e74c3b83f04d2861deaa1c20?s=48 searls
208
39k
95d9f37115fbb0d13135d0f77132f856?s=48 morganepeng
100
15k
96270e4c3e5e9806cf7245475c00b275?s=48 addyosmani
316
22k
A415db3ac9e9668acbc1fb36eead84ac?s=48 mthomps
45
2.6k
016edace78ffe826f2348d1e0c504afd?s=48 maggiecrowley
17
1k
828ace851b606e1206900f26459f55ad?s=48 speakerdeck
PRO
2
570
1b75d89772b7eea1f6c89fbf362607d9?s=48 moore
129
22k
39488f9d172ab92fd352f2cd7b73258d?s=48 mza
82
4.5k
1177e050db6bafe62885362edf6e3537?s=48 lauravandoore
19
2.6k

Transcript

  1. RyuSA Serviceをたずねて3000⾏ - Kubernetesコードリーディングの旅 -

  2. Who Am I

  3. AGENDA • Serviceリソースがネットワークに反映されるまで • EndpointSlice Controller / kube-proxy • (下記⾚枠部分)

    出典 : https://kubernetes.io/ja/docs/concepts/overview/components/

  4. なぜService︖😕

  5. なぜServiceを読もうとしたのか

  6. Curl to Service curl 10.100.233.191 (=svc) Reply from 10.1.0.100 (=pod)

    Abracadabra……

  7. Curl to Service curl 10.100.233.191 (=svc) Reply from 10.1.0.100 (=pod)

    Abracadabra……

  8. NOTATION • 環境 • Kubernetes v1.20をベースに動作確認、コードリーディングをしています • IPv6を利⽤したデュアルスタック環境については触れません • つまりデフォルト

    • kube-proxyのproxy-modeはiptablesです • つまりデフォ(ry • featureGateのEndpointSliceとEndpointSliceProxyingは有効です • つまりデ(ry • 話さない内容 • LoadBalancer TypeのServiceについて • Golangガチ初⼼者が読んでます • 読み間違い、勘違い等あるかもしれません……

  9. Serviceの反映にはControllerが関わってます • KubernetesにおけるControllerとは • Controllerは1種類以上のKubernetesリソースを監視し、特定のミッションを達成するためのコンポーネント • 監視しているリソースのspecに合わせて「現在の状態」を「⽬的の状態」に変更・制御していくことが⼀般的なコント ローラのミッションです • その多くはapiserverへフィードバック/副作⽤を送ります

    • Serviceリソースのルーティングに関連するController • EndpointSlice Controller • EndpointSliceリソースを監視しているControllerです • kube-proxyが監視しているEndpointSliceリソースに対し副作⽤を及ぼします • kube-proxy • Serviceリソースを監視しているコンポーネント(兼Controller)です

  10. EndpointSlice Controller の話

  11. PodとServiceを紐つけておく • EndpointSlice とは • ServiceリソースのセレクタとPodへの紐付けを管理するリソースです • ⼀緒にPodのTopology(=“kubernetes.io/hostname” など)も保存されてます •

    kube-proxyに監視されてます • EndpointSlice Controllerの役割 • 主にPodをServiceを監視し、EndpointSliceを常に最新の状態に変更します • EndpointSlice⾃体も監視しています

  12. EndpointSlice Controller 全体像 EPSlice informer Main loop Queue Cache; selector

    and Service Sync Service with svc name And update the cache Svc Pod API Resources

  13. EndpointSlice Controller メインループ Heap Queue Selector Cache Wait 1 sec…

    pop the data Nothing… Creating EndpointSlice… Find pods by selector Svc informer Find svc by svc name EP Slice API Resources Update EndpointSlice Loop

  14. Kube-proxyの話(ほんぺ)

  15. kube-proxyは利⽤者の夢を叶えてくれます • kube-proxy とは • Kubernetesの基本コンポーネントの1つです • EKSではDaemonSetでデプロイされたりしています • ノードのネットワークプロキシに対して変更を加えることでServiceリソースの実現を⾏なっています

    • kube-proxyの役割 • ServiceとEndpointSliceを監視し、ノードのネットワーク設定を最新にします • kube-proxyの管理するネットワークはkube-proxyを起動する時にproxy-modeで設定できます • Kubernetes v1.20現在では iptables / ipvs / userspace のいずれか

  16. Kube-proxyの登場⼈物紹介 • ProxyServer • kube-proxyの本体で、このインスタンスのRun関数が叩かれることでkube-proxyが起動します • 起動時に設定に則って⽣成されたproxy.Providorのインタフェースを叩く • メインループ(or goroutine)としてSyncLoop関数を起動して定期的に同期処理をする

    • proxy.Providor • ネットワーク設定の変更処理をコールするためのインタフェース • Sync関数とSyncLoop関数を提供している • Sync関数は同期的にネットワーク設定を最新に変更します • SyncLoop関数はgoroutineを起動し定期的にネットワーク設定を最新にします • xxx.Proxier • proxy.Providorを実装したオブジェクト • iptables / ipvs / userspace のそれぞれの実装が存在している • つまりこれを独⾃実装してビルドすれば、あなただけのkube-proxyを実装できます

  17. kube-proxy初期化 ProxyServer proxy.Provider SyncLoop iptables.Proxier Injected on boot Sync ipvs.Proxier

    userspace.Proxier

  18. Service/EndpointSlice 追加時の挙動 EPSlice Svc informer ProxyServer iptables.Proxier onXXXAdded SyncLoop syncProxyRules

    Sync up iptables at least once in 1h serviceMap endpointsMap Sync iptables on the node API Resources

  19. iptablesに反映されるルール例

  20. kube-proxyはどうやら3つのルールを作成するらしい • KUBE-SERVICES • Serviceすべてのレコードがルールとして記載されています • パケットの送信先IPアドレスがあるServiceと⼀致している場合、そのServiceのルール(後述)へジャンプします • KUBE-SVC-XXX •

    ある特定のService専⽤のルールです、このルールにはServiceがどこへルーティングされるかの情報が記載されていま す • iptablesのstatisticモジュールのrandomモードで同確率でServiceに紐つくEndpointSliceのルール(後述)宛にジャンプ するようになっています • KUBE-SEP-XXX • パケットをあるEndpointSliceのIPアドレスへDNATするルールです

  21. kube-proxyはどうやら3つのルールを作成するらしい Packet to Service KUBE-SERVICES KUBE-SVC-XXX KUBE-SEP-XXX KUBE-SEP-XXX KUBE-SEP-XXX Packet

    to Pod DNAT DNAT DNAT iptables