Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Serviceをたずねて3000行 - Kubernetesコードリーディングの旅 -

RyuSA
February 09, 2021
Technology
2
490

Serviceをたずねて3000行 - Kubernetesコードリーディングの旅 -

kubernetes/kubernetesのリポジトリを元に、Serviceリソースがどのようにネットワークへ反映されるのかを追ってみました

RyuSA

February 09, 2021
Tweet

More Decks by RyuSA

See All by RyuSA
Java屋だってOperatorが作りたい!
ryusa
1
270
Visual Studio Codeとコンテナでいい感じのRe:View執筆環境
ryusa
1
850
JavaScriptと歩くポリシーエンジン jsPolicy
ryusa
1
260
TextAlive App APIと夢見る新しいUX
ryusa
1
140
Gitlab Operatorと夢見るGitlab自動化の旅
ryusa
2
510
AccessPoint Operator on Raspberry Pi
ryusa
1
720
そのAPIはセキュアですか?
ryusa
2
650
「L3以下は魔法で動いている!」と言いながらiptablesとkube-proxyを読んでみた話
ryusa
1
52
「〇〇完全に理解したったww」から始めるエンジニア生活
ryusa
2
2.7k

Other Decks in Technology

See All in Technology
DevOpsDays Taipei 2022 Opening
cheng_wei_chen
2
780
AWSの「今」 - PHPのコードを素早く動かすための サービスのご紹介 / PHPCon2022 AWS Japan Session
koemu
1
720
入門XSS / Introduction of XSS
task4233
3
1.4k
php-srcを読んでみよう / php-src codereading
tzmfreedom
0
260
Modularising the Monolith - PHP Conference Japan 2022
avosalmon
1
350
ソフトウェア開発者に必要な考え方 / Necessary mindset for software developers
soudai
20
8k
電子契約サービスCoffeeSignご説明資料
coffeesign
0
1.1k
220914_ガンダム初学者が色々考えてみた_株式会社コミュカル Mitz
comucal
PRO
0
330
PHPバージョンアップのための依存ライブラリとの付き合い方 / phpcon2022
blue_goheimochi
1
420
どこで動いてるの?AWS IAM のコントロールプレーンとデータプレーンに思いを馳せる/iam-background
yukihirochiba
0
540
Types teaches success, what will we do?
fugakkbn
0
2.1k
あなたの知らないARの可能性を空間レベルで拡げるVPSの世界 / The World of VPS
ikkou
0
290

Featured

See All Featured
Designing Dashboards & Data Visualisations in Web Apps
destraynor
223
49k
10 Git Anti Patterns You Should be Aware of
lemiorhan
642
53k
The Brand Is Dead. Long Live the Brand.
mthomps
47
2.8k
Designing Experiences People Love
moore
130
22k
CSS Pre-Processors: Stylus, Less & Sass
bermonpainter
349
27k
How STYLIGHT went responsive
nonsquared
85
4k
GraphQLの誤解/rethinking-graphql
sonatard
32
7.1k
実際に使うSQLの書き方 徹底解説 / pgcon21j-tutorial
soudai
42
13k
The Mythical Team-Month
searls
210
40k
Statistics for Hackers
jakevdp
782
210k
Fontdeck: Realign not Redesign
paulrobertlloyd
73
4.2k
Git: the NoSQL Database
bkeepers
PRO
416
59k

Transcript

  1. RyuSA Serviceをたずねて3000⾏ - Kubernetesコードリーディングの旅 -

  2. Who Am I

  3. AGENDA • Serviceリソースがネットワークに反映されるまで • EndpointSlice Controller / kube-proxy • (下記⾚枠部分)

    出典 : https://kubernetes.io/ja/docs/concepts/overview/components/

  4. なぜService︖😕

  5. なぜServiceを読もうとしたのか

  6. Curl to Service curl 10.100.233.191 (=svc) Reply from 10.1.0.100 (=pod)

    Abracadabra……

  7. Curl to Service curl 10.100.233.191 (=svc) Reply from 10.1.0.100 (=pod)

    Abracadabra……

  8. NOTATION • 環境 • Kubernetes v1.20をベースに動作確認、コードリーディングをしています • IPv6を利⽤したデュアルスタック環境については触れません • つまりデフォルト

    • kube-proxyのproxy-modeはiptablesです • つまりデフォ(ry • featureGateのEndpointSliceとEndpointSliceProxyingは有効です • つまりデ(ry • 話さない内容 • LoadBalancer TypeのServiceについて • Golangガチ初⼼者が読んでます • 読み間違い、勘違い等あるかもしれません……

  9. Serviceの反映にはControllerが関わってます • KubernetesにおけるControllerとは • Controllerは1種類以上のKubernetesリソースを監視し、特定のミッションを達成するためのコンポーネント • 監視しているリソースのspecに合わせて「現在の状態」を「⽬的の状態」に変更・制御していくことが⼀般的なコント ローラのミッションです • その多くはapiserverへフィードバック/副作⽤を送ります

    • Serviceリソースのルーティングに関連するController • EndpointSlice Controller • EndpointSliceリソースを監視しているControllerです • kube-proxyが監視しているEndpointSliceリソースに対し副作⽤を及ぼします • kube-proxy • Serviceリソースを監視しているコンポーネント(兼Controller)です

  10. EndpointSlice Controller の話

  11. PodとServiceを紐つけておく • EndpointSlice とは • ServiceリソースのセレクタとPodへの紐付けを管理するリソースです • ⼀緒にPodのTopology(=“kubernetes.io/hostname” など)も保存されてます •

    kube-proxyに監視されてます • EndpointSlice Controllerの役割 • 主にPodをServiceを監視し、EndpointSliceを常に最新の状態に変更します • EndpointSlice⾃体も監視しています

  12. EndpointSlice Controller 全体像 EPSlice informer Main loop Queue Cache; selector

    and Service Sync Service with svc name And update the cache Svc Pod API Resources

  13. EndpointSlice Controller メインループ Heap Queue Selector Cache Wait 1 sec…

    pop the data Nothing… Creating EndpointSlice… Find pods by selector Svc informer Find svc by svc name EP Slice API Resources Update EndpointSlice Loop

  14. Kube-proxyの話(ほんぺ)

  15. kube-proxyは利⽤者の夢を叶えてくれます • kube-proxy とは • Kubernetesの基本コンポーネントの1つです • EKSではDaemonSetでデプロイされたりしています • ノードのネットワークプロキシに対して変更を加えることでServiceリソースの実現を⾏なっています

    • kube-proxyの役割 • ServiceとEndpointSliceを監視し、ノードのネットワーク設定を最新にします • kube-proxyの管理するネットワークはkube-proxyを起動する時にproxy-modeで設定できます • Kubernetes v1.20現在では iptables / ipvs / userspace のいずれか

  16. Kube-proxyの登場⼈物紹介 • ProxyServer • kube-proxyの本体で、このインスタンスのRun関数が叩かれることでkube-proxyが起動します • 起動時に設定に則って⽣成されたproxy.Providorのインタフェースを叩く • メインループ(or goroutine)としてSyncLoop関数を起動して定期的に同期処理をする

    • proxy.Providor • ネットワーク設定の変更処理をコールするためのインタフェース • Sync関数とSyncLoop関数を提供している • Sync関数は同期的にネットワーク設定を最新に変更します • SyncLoop関数はgoroutineを起動し定期的にネットワーク設定を最新にします • xxx.Proxier • proxy.Providorを実装したオブジェクト • iptables / ipvs / userspace のそれぞれの実装が存在している • つまりこれを独⾃実装してビルドすれば、あなただけのkube-proxyを実装できます

  17. kube-proxy初期化 ProxyServer proxy.Provider SyncLoop iptables.Proxier Injected on boot Sync ipvs.Proxier

    userspace.Proxier

  18. Service/EndpointSlice 追加時の挙動 EPSlice Svc informer ProxyServer iptables.Proxier onXXXAdded SyncLoop syncProxyRules

    Sync up iptables at least once in 1h serviceMap endpointsMap Sync iptables on the node API Resources

  19. iptablesに反映されるルール例

  20. kube-proxyはどうやら3つのルールを作成するらしい • KUBE-SERVICES • Serviceすべてのレコードがルールとして記載されています • パケットの送信先IPアドレスがあるServiceと⼀致している場合、そのServiceのルール(後述)へジャンプします • KUBE-SVC-XXX •

    ある特定のService専⽤のルールです、このルールにはServiceがどこへルーティングされるかの情報が記載されていま す • iptablesのstatisticモジュールのrandomモードで同確率でServiceに紐つくEndpointSliceのルール(後述)宛にジャンプ するようになっています • KUBE-SEP-XXX • パケットをあるEndpointSliceのIPアドレスへDNATするルールです

  21. kube-proxyはどうやら3つのルールを作成するらしい Packet to Service KUBE-SERVICES KUBE-SVC-XXX KUBE-SEP-XXX KUBE-SEP-XXX KUBE-SEP-XXX Packet

    to Pod DNAT DNAT DNAT iptables