olemskoi 10 янв 2018 в 09:00

Понимание сети Kubernetes: сервисы

10 мин

51K

Блог компании СлёрмIT-инфраструктура*Сетевые технологии*DevOps*Kubernetes*

Перевод

+15

Комментарии 5

turbotankist 10 янв 2018 в 10:46

Основная особенность IP-сети состоит в следующем: когда интерфейс не может доставить пакет к месту назначения, потому что никакое устройство с этим адресом не существует локально, он пересылает пакет к восходящему шлюзу.…
Этот интерфейс находится в сети под 10.0.0.0/14 и не знает никаких устройств с адресом 10.3.241.152, поэтому он перенаправляет пакет на свой шлюз

Это неправда!
На шлюз отправляются пакеты не если в сети не найден этот адрес, а в случае если адрес не входит в подсеть интерфейса!
Если интерфейс из подсети 10.0.0.0/14 не сможет найти айпишник 10.3.241.152, значит вернётся ответ — address unreachable
Вообще, очень странно, что вы используете для подос и сервисов перекрывающиеся сети
10.0.0.0/14
10.3.240.0/20
ведь вторая входит в диапазон первой!
это вообще-то косяк…
Единственная причина по которой у вас эта схема работает — сервисы это не роутинг, а сначала NAT, а потом маршрутизация. Можете сами посмотреть у себя на хостах sudo iptables -nvL -t nat

Evgen52 11 янв 2018 в 10:31

Это неправда!
На шлюз отправляются пакеты не если в сети не найден этот адрес, а в случае если адрес не входит в подсеть интерфейса!

Если уж придираться, то и это тоже не совсем правда. У каждого устройства есть таблица маршрутизации, которая представляет собой набор правил вида "пакеты в такую-то сеть отправлять через такой-то gateway". Gateway может быть как IP-адресом, так и интерфейсом. Помимо маршрутов, добавляемых автоматически при конфигурировании интерфейса (настроили на интерфейсе адрес 10.0.0.2/14 — получили маршрут в сеть 10.0.0.0/14 через этот интерфейс), могут быть и другие маршруты: статические или динамические. То, что вы описали как шлюз, — это так называемый "default gateway", тоже маршрут: под который просто попадают те пакеты, для которых не нашлось своего маршрута.

Извиняйте за занудство, просто чтобы уж не вводить людей в дальнейшее заблуждение)

qwertyRu 10 янв 2018 в 18:11

Можете раскрыть как глубоко и какую версию k8s Вы используете?

allexx 4 фев 2018 в 13:30

Это перевод Mark Betz, думаю лучше спросить у него напрямую medium.com/@betz.mark

Советую прочитать его цикл из 3х статей, про Ingress.

qwertyRu 4 фев 2018 в 14:49

Да, оригиналы видел, думал что Southbridge использует k8s.

Зарегистрируйтесь на Хабре, чтобы оставить комментарий