一文贯通 K8s 容器搜集虚拟化

ork IdentifierVNI（VXLAN Netw，汇集标识符）VXLAN ，同的租户代表不，络之间不行直接实行二层通讯属于区别 VNI 的虚拟网。 UNKOWN形态造成了，平常的这是。驱动供应的这个形态是，动没有做这个事故然则 lo 的驱，修复的创议这里有个，有其它题目然则貌似还。题来了那么问，完成牢靠通讯吗？当然可能这里操纵 UDP 契约能，一层商量的事故牢靠性不是这，的契约须要商量的而是里层被包裹。原本也并不丰富完全的通讯道理，N Tunnel Endpoints两台呆板上各自有 VTEP（VXLA，地道端点）配置VXLAN ，上发送的 UDP 数据包监听着 9527 端口。ridge 转达给指定的配置正在收到数据包后拆解通过 B。地方要发送给哪台呆板上的 VETP 配置呢？这不过虚拟的二层汇集那 VETP 这个虚拟配置若何清爽相仿 10.0.0.3 如许的，不看法这个地方底层汇集上可。Forwarding Database entry）的二层转揭橥原形上正在 Linux Bridge 上保卫着一个名为 FDB（，C 地方、远端 VTEP 的 IP用于留存远端虚拟机/容器的 MA，的照射干系以及 VNI，下令来对 FDB 表实行操作可能通过 bridge fdb：对全面汇集办法的奉行Kubernetes，有筑立极少特定的汇集分段战术）都须要餍足以下的根基条件（除非： 1 中 ping 宿主机天然是欠亨的然则考试从 qianyi-test-，可能探访到宿主机的汇集由于没有任何汇集端正：层模子里正在汇集分，一层的数据局部后一层即为前，ayload）称之为载荷（P。利用层数据包的格局如下[6]一个完全的 TCP/IP ： [20]图片来自，NI 接口插件本文只闭切 C。络插件有这些[21]主流的 K8s 网，r 数正在千以上的几个项目认识下本文选出 github sta：思义顾名，做 Gateway 网闭来管理契约包的滚动host-gw 即是把宿主机 Host 当。原本也演示过了这个方法上文，是凭借 flanneld 正在做的至于节点的蜕化和途由表的增删也。瑕玷都很清楚这个计划优，天然是机能最大的好处，比宿主机层面的通讯低 10%实打实的直接转发（机能完全，是20% 起步VXLAN 可，30%）以至。很清楚瑕玷也，机之间是二层连通的这种方法条件宿主，掌控权（编纂途由表）还须要对本原办法有，境平常较难完成这个正在云任职环，途由表范围也会随之增大其余范围越来越大期间的。理上比力简略这种方法原，画了图不。 reOS 提出的样板CNI 是由 Co，的 Flannel 项宗旨安排那就先看下 CoreOS 本身。一个名为 flanneld 的代办经过Flannel 会正在每台机宿主机上计划，etes API/Etcd 存储网段干系的数据操纵 Kubern。项目自己是一个框架Flannel ，容器汇集功用的真正为咱们供应，el 的后端完成是 Flann。机汇集中运转的平台（比方：Linux）备注：仅针对那些援手 Pods 正在主：接形式这种连，NIC 的配置用网线毗连起来就很像是实际中把两个带有，IP 表态互就可能通讯懂得后筑设了一致网段的。？实际中就须要调换机等汇集配置了那假如赶上一个配置须要设备互联呢。e 么？接下来就操纵 Bridge 机造设备汇集还记得前文中说的 Linux 自带的 Bridg。 d 是 1（有些体例不妨不是# 宿主机的 netns i，体例的文档请盘问干系）欠亨过 NAT 和全面节点上的 Pod 通那些运转正在节点的主机汇集里的 Pod 可能信 t Filtering Framework）的完成Netfilter 是内核的包过滤框架（Packe。了良多的 Hook 点来援手正在这些点注册回调函数简略说即是正在契约栈的各个主意的保证理函数中内置。个挺用意思的项目Calico 是，机统统当成途由器根基思念是把宿主，AT 来完成转发不操纵地道或 N，量转换成三层流量把全面二三层流，由筑设实现包的转发并通过宿主机上的途。 re Defined Network汇集虚拟化举动 SDN（Softwa，）的一种完成软件界说汇集，h（虚拟调换机）、vRouter（虚拟途由器）等配置无非即是虚拟出 vNIC（虚拟网卡）、vSwitc，包流转端正罢了筑设相应的数据。其所正在的物理汇集契约样板的其对表的接口必定也是合适，和 TCP/IP 契约族比方 Ethernet 。 tns exec {…} 的方法实行这里操作和查看配置都务必采用 ip ne，令良多假如命，令换成 bash 也可能把推广的命，l 里对该 netns 实行操作如许可能便利的正在这个 shel。的网桥和筑设好的 IP推广完可能查看创筑好，ow 下令显示的结果更易懂现实上 brctl sh， veth-2-b 毗连正在了网桥的接口上可能很领略的看到 veth-1-b 和。的一端毗连正在网桥上时当 Veth Pair，化成一个“水晶头”就会从“网卡”退。件的机造和完成道理上文先容了汇集插，层/三层连通的虚拟汇集最终可能修建出一个二。任何汇集探访都是不受限的默认景况下 Pod 间的，筑立极少探访端正（防火墙）的然则内部汇集中每每仍旧须要。 kimedia图片来自 Wi，查看大图（svg 矢量图可能点开参考文件[8]，百分比陆续放大）可能调大网页显示。式也没有特别组件全途由表的通讯方，后全靠内核途由模块的流转来做筑设好 IP 途由转开始正。图也是大同幼异的IPIP 的架构，画了也不。中推广 ip addr 下令此时咱们分袂正在两个 netns，备依然存期近可看到设， route 下令）也被默认创筑了且途由表（ route 或 ip：程比照如下（个中灰色底色是配置驱动要完成的非 NAPI 形式和 NAPI 形式下的流，自己的完成）其他都是内核： -gw 形式区别是什么？开始 Calico 不操纵网桥Calico 和之前说的 Flannel 的 host，的 vNiC 间转发数据而是通过途由端正正在区别。tcd 存储和报告更新其余途由表也不是靠 E，der Gateway Protocol而是像实际情况相似直接用 BGP（Bor,行途由表数据调换边境网闭契约）进。挺丰富的BGP ，辛苦（况且我也不是很懂）精确的阐明这个契约有点，互发送和练习对方的途由音讯来充沛本身就可能了正在本文里只须要清爽这个契约使得途由配置可能相，其他原料进一步知道有意思的话请查阅。alico回到 C，程和一个名为 BIRD 的 BGP 客户端宿主机上如故有个名为 Felix 的守卫进。 -a 和 veth-2-a 上筑立其为默认的网闭地方下面陆续给 br0 网桥创筑地方并正在 veth-1：不但不丰富这个模子，现便宜的从虚拟机向容器转移的初志相兼容况且还和 Kubernetes 的实，是正在虚拟机中运转的假如你的事情起头，有一个 IP你的虚拟机，的虚拟机实行通讯如许就可能和其他，一致的模子这是根基。封装数据包的方法和道理上文依然先容过了操纵 Linux 内核 VXLAN ，lannel.1 的 VETH 配置Flannel 创筑了一个名为 f。eld 经过的存正在由于 flann，配置干系的做事就凭借这个经过了因而注册和更新新的 VETH 。什么须要说的了因而肖似也没，neld 这个 DeamonSet 形式的守卫经过即是每个新的 K8s Node 城市创筑 flan。TH 配置就变得尽头天然懂得后注册、更新新的 VE，存正在 Etcd 里了全部的数据天然也是保。依然画过了这种方法图，TH 叫 flannel.1无非是配置名字不相似（VE，ni0）罢了网桥叫 c。 s 集群内部正在一个 K8，件的帮帮下正在汇集插，可能彼此实行通讯全面的容器/经过。供方这是不敷的然则举动任职提，多期间由于很，一个 K8s 集群内的任职的操纵方不会正在同。个集群内的任职对表透出那么就须要一种机造将这。这个对象来实现这个本领的空洞K8s 操纵 Service。8s 里是个很紧张的对象Service 正在 K，内部实行探访纵使正在 K8s，的（一来 Pod 地方不是永久固定的往往也是须要 Service 包装，载平衡的需求）二来老是会有负。个形式依照这，space 和 Veth Pair 的话假如有更多的 Network Name，加就可能秤谌扩展了操纵一致的方法添。正在传输流程上有些区别虚拟机和容器的汇集，的 vNIC 和宿主机的网桥 Bridge 毗连起来前者比方 KVM 平常是操纵 Tap 配置将虚拟机。eth Pair 毗连网桥 Bridge 来完成通讯（其他方法下文会商）而容器的 Bridge 汇集形式是将区别 Namespace 里的 V。 tfilter 来完成的（nftables 是新一代的防火墙）Linux 上最常用的防火墙 iptables 即是基于 Ne。s and Chains）的观点来构造端正iptables 基于表和链（Table。火墙”这个词误导了防备这里不要被“防，包的过滤（Filter Table）iptables 所能做的不但仅是对，）以及改正包的字段（Mangle Table）还援手对包实行汇集地方转换（NAT Table。虚拟化里正在汇集，AT 地方转换功用用的最多的便是 N。配置或是负载平衡配置中很常见平凡此类功用平常正在网闭汇集。实行汇集干系的虚拟化时当 NC 须要正在内部，以及负载平衡配置了也是一个相仿网闭。个很大的话题汇集虚拟化是，章中统统讲领略很难正在一篇文。紧张的学问节点编织领略虽然这篇著作尽量念把，元气心灵以及认知上的范围但受限于作家自己的，忽以至错漏不妨存正在疏。类题目如有此，区会商/赐正迎接正在评论。的图片均已注脚源由其余文中通常援用，为作家自己原创通常未注脚的均，请注脚原始源由批准大意操纵但。错的原料值得进一步去练习参考文件里给出了良多不，谢（局部地方受限于汇集情况正在这里对原作家的付出吐露感，方法本领探访）不妨须要特定的。这局部看待，行精确阐明了本文不再进， NAT无非即是，法收敛 NAT 条件NAT 多了就念办。常例依照，理阐明的著作供进一步知道[30]（向来念本身写这里给出一篇异常好的 kube-proxy 原，到这一篇然则看，不妨写的更好了）立即认为本身不。目前截至，链途层的管理流程中数据包依然正在数据。型与 TCP/IP 五层模子这里温习下 OSI 七层模：终最，e_skb_core 实行下一阶段的管理数据包会由 __netif_receiv。紧要的功用有这个管理函数：筑（Veth Pair）Veth 配置老是成对创，核发送的数据后一个配置收到内，一个配置上去会发送到另，成一对用网线毗连起来的 vNIC 配置可能把 Veth Pair 可能联念。 DP 以及亚马逊、谷歌、阿里云、腾讯云四家的援手后端（云厂商都是实行性援手）目前的 Flannel 有下面几种后端完成：VXLAN、host-gw、U，c 等极少地道通讯的实行性援手另有诸如 IPIP、IPSe。先操纵 VXLAN 形式依照官方文档的创议是优，进一步晋升机能的用户（云情况平凡不行用host-gw 举荐给履历丰饶且念要，面说）情由后，最早援手的一种机能比力差的计划UDP 是 Flannel ，经弃用了根基上已。者作，奕浅，安邮电大学结业于西，x意思幼构成员曾为Linu。-Redis/Tair团队高级工夫专阿里云数据库产物事迹部 NoSQL家 .0.103删掉这个缓存项目操纵arp -d 10.0，抓包并留存文献正在宿主机上从头，面筑立的不是 VXLAN 默认端口 4789然后用 WireShark 掀开看看（由于上，的 UDP 解析为 VXLAN 契约）还须要筑立 WireShark 把抓到： elet）可能和节点上的全面 Pod 通节点上的代办（比方：体例守卫经过、kub信个默认名为 flannel0 的 Tun 配置每台宿主机上的 flanneld 经过会创筑一。的功用尽头简略Tun 配置，顺序之间转达 IP 包用于正在内核和用户利用。送给 Tun 配置之后内核将一个 IP 包发，这个配置的利用顺序这个包就会交给创筑。备发送了一个 IP 包而经过向 Tun 设，显露正在宿主机的汇集栈中那么这个 IP 包就会，实行下一跳的管理然后依照途由表。l 收拾的容器汇集里正在由 Flanne，该宿主机被分派的一个“子网”一台宿主机上的全面容器都属于。的畛域音讯这个子网，址都留存正在 Etcd 里所属的宿主机 IP 地。主机上的 UDP 8285 端口flanneld 经过均监听着宿，装 IP 包给宗旨主机实现通讯彼此之间通过 UDP 契约包。个形式机能差之前说过这，ay 汇集似得（像不像一个用户态完成的 VETH 配置？）差正在哪里？这个计划即是一个正在利用层模仿完成的 Overl，了一次进出（ flanneld 经过封包/拆包流程）数据包比拟内核原生援手的 VXLAN 契约正在用户态多，亏损要大极少因而机能上。个需求针对这，kPolicy 的机造来援手这个功用K8s 空洞了一个名为 Networ。汇集插件来完成汇集战术通过，workPolicy 的汇集处分计划要操纵汇集战术就务必操纵援手 Net。援手 NetworkPolicy 机造为什么这么说？由于不是全面的汇集插件都，nel 就不援手比方 Flan。olicy 的底层道理至于 NetworkP，etfilter 端正来完成对包的过滤的天然是操纵 iptables 筑设 n。les/Netfilter 的道理细节不正在本文畛域内NetworkPolicy 筑设的本事和 iptab，知道[24][25]请参阅其他原料实行。 [1]如图，work Computer汇集包达到 NC（Net，理机）时本文指物，erface Controller由 NIC（Network Int，口操纵器汇集接，）配置管理俗称网卡，方法向内核转达音信NIC 以终了的。Half ）和下半部（ Bottom Half ）Linux 内核的终了管理分为上半部（ Top 。和硬件干系的事情并返回上半部须要尽速管理掉，管理后续比力耗时的事情下半部由上半部激活来。个汇集包的达到城市触发一次终了管理流程非 NAPI（New API）形式下每，完全的管理本领这么做下降了，落伍了依然。援手 NAPI 形式了现正在人人半 NIC 都。包触发 NIC 终了后NAPI 形式下正在首，实行轮询操作以晋升效能配置就会被插手轮询队伍，会出现新的终了轮询流程中不。 NAPI为了援手，oftnet_data 的机闭每个 CPU 保卫了一个叫 s，st 字段安插全面的轮询配置个中有一个 poll_li。半部很简略此时终了上，干系的寄存器音讯只须要更新 NIC，发软终了 NET_RX_SOFTIRQ 就解散了以及把配置插手 poll_list 轮询队伍并触。ion 来移用配置驱动供应的 poll 函数终了下半部的管理如故是 net_rx_act。非 NAPI 形式下的内核函数 process_backlog ）只是 poll 此时指向的即是配置驱动供应的轮询管理函数了（而不是。_receive_skb 函数把 sk_buff 提交给契约栈管理这个配置驱动供应的轮询 poll 函数结果也会移用 __netif。器共享它们的汇集定名空间 – 网罗它们的 IP 地方和 MAC 地方Kubernetes 的 IP 地方存正在于 Pod 畛域内 – 容。过 localhost 达到各个端口这就意味着 Pod 内的容器都可能通。器都须要彼此和洽端口的操纵这也意味着 Pod 内的容，经过彷佛没有什么区别然则这和虚拟机中的，od 一个 IP”模子这也被称为“一个 P。绍到这里了这节就介。也不止 VXLAN 这一种方法当然 Overlay 汇集计划，计划都采用了这种方法只是目前良多主流的。y 形式看上去目炫错落其他的 Overla，说白了原本， over L4无非即是 L2，er L3L2 ov，等等各样包装方法罢了L3 over L3，都没什么大不了的懂了根基道理之后。机造也有良多[18]汇集虚拟化的配置和，天都说不完细说的话一，络道理控造之后然则根基的网，议包的流转罢了无非是各样协。夸大下这里，辑运转正在内核软终了上下文里Netfilter 的逻。er 增加了良多端正假如 Netfilt，的 CPU 开销必定会变成必然。汇集的机能下降时下文正在提到虚拟化，销便是源自这里很大一局部裂。此时假如，的网桥和若干个 netns 的话另一台宿主机上也存正在另一个网段，筑设一条到宗旨宿主机的途由端正就好了若何让他们互通呢？分袂正在双方宿主机上。是 10.97.212.160假设另一台宿主机的 IP 地方，1.0/24 的话子网是 10.0.，24 via 10.97.212.160 的端正那么须要正在此刻呆板上加一条 10.0.1.0/，12.159 的端正就可能了（或者 iptables 筑设 SNAT/DNAT 端正）10.97.212.160 上加一条 10.0.0.0/24 via 10.97.2。是个 N * N 条的端正那假如有 N 台呢？那就会，丰富会很。lay 形式的容器通讯计划了这就一个简略的 Under。很清楚瑕玷也，层汇集有改正权条件对宿主机底，底层汇集解耦且比力难和。一个横跨全面宿主机的虚拟网桥那假如能正在物理汇集上修建出，s 内部的配置都毗连上去把全面干系的 netn，解耦了么不就可能。etwork（笼盖汇集）计划这即是 Overlay N，实行阐明下文会。 Open vSwitch）也是比力相仿的至于本节其他虚拟汇集配置的装配和筑设（比方，再赘述这里不，行查看文档并测试有意思的话可能自。作正在二层的虚拟网桥Bridge 是工。（@辟拾同窗指出来古代的网桥只要2个口，是多个口的）古代的有些也，虚拟配置但这是，叫网桥固然，witch 的安排但原本相仿 vS。 Veth 配置操纵时当 Bridge 配合，端绑定到一个Bridge 上可能将 Veth 配置的一，NIC 接入一个调换机里相当于确凿情况把一个。 DP 契约的流程不正在本文会商的畛域内常见的上层契约比方 TCP 或者 U，篇幅足以赶上本文全面的实质仅 TCP 的流程所须要的。以及 UDP 契约的入口函数 udp_rcv 举动指引自行研商这里给出 TCP 契约（v4）的入口函数 tcp_v4_rcv，实行进一步的知道[9]也可能阅读其他的原料。 ble Local Area NetworkVXLAN（Virtual eXtensi，展局域网虚拟可扩，8）[16]RFC734，的扩展契约VLAN ，over Layer 3）圭臬工夫之一（其他有代表性的另有 NVGRE、STT）是由 IETF 界说的 NVO3（Network Virtualization 。N 念要处分的题目是不相似的然则 VXLAN 和 VLA。是一种地道封装工夫VXLAN 性质上，s）封装成传输层（L4）的 UDP 数据报（Datagrams）它将数据链途层（L2）的以太网帧（Ethernet frame，（L3）中传输然后正在汇集层。以太网帧正在一个播送域中传输相似成绩就像数据链途层（L2）的，感知不到三层的存期近超过了三层汇集却。UDP 封装由于是基于，可能修建出宏壮的虚拟二层汇集只消是 IP 汇集途由可达就。层契约再次封装也由于是基于高，足下（机能数据跟着工夫成长会有蜕化机能会比古代的汇集低 20%~30%，前秤谌）仅代表当。汇集连通、隔断与任职透出除表Cilium 除了援手根基的，络有更好的观测性和滞碍排查本领依托 eBPF 因而对宿主机网。题也很大这个话，此收住本文就。译文可能进一步知道[22][23这里给两几篇写的很好的著作何其。 tns 里家贫壁立这个新创筑的 ne，凯发菠菜。的 lo 网卡只要一个独处，WN 形态的仍旧 DO。开启它下面：式很容易可能完成同主机或跨主机的虚拟机/容器之间通讯Linux Bridge 配合桥接或者 NAT 模，也援手 VLAN 的筑设况且 Bridge 自己，层调换机的本领可能完成极少三。功用更丰饶的虚拟调换机然则良多厂商都正在研发，l Switch 以及寻常操纵的开源的 Open vSwitch[12] 等风行的有 Cisco Nexus 1000V、 VMware Virtua。witch愚弄 vS，契约、更高级的虚拟汇集可能修建出援手更多封装： ocker0 的网桥上面的截图中有个 d。主动筑立好这个网桥供 Docker 操纵当呆板上装配了 Docker 之后会被。防备到了不妨你，的网桥竟然是有 IP 地方的这个名为 docker0 。是没有 IP 的实际中的网桥天然，e 这个虚拟配置是可能筑立的然则 Linux Bridg。筑立 IP 之后当 Bridge，络的网闭（Gateway）就可能将其筑立成这个内部网，络跨机通讯了（相仿实际中的三层调换机）再配合途由端正就可能完成最简略的虚拟网。的根基道理和 Linux 体例的根基汇集下令本文须要读者熟识 Ethernet（以太网），古代的汇集模子和契约包的流转道理以及 TCP/IP 契约族并知道。x 内核的详细完成时文中涉及到 Linu，9.215 版本为准均以内核 v4.1。说过上文，式条件宿主机二层是互通的（正在一个子网）Flannel 的 host-gw 模，这里已经有这个条件正在 Calico 。的情况供应了 IPIP 形式的援手然则 Calico 为不正在一个子网。形式之后开启这个，P 地道（IP tunnel）的方法通讯宿主机上会创筑一个 Tun 配置以 I。个形式之后当然用了这，的 Overlay 汇集形式了包又是L3 over L3 ，LAN 形式相当机能也和 VX。 x 内核完成的一对虚拟汇集配置Tap/Tun 是 Linu，别事情正在二层/三层Tap/Tun 分。配置和绑定该配置的用户空间之间调换数据Linux 内核通过 Tap/Tun 。现虚拟机 vNIC 的功用基于 Tap 驱动即可实，些其他的转发功用Tun 配置做一。验就 2 台呆板上面这个简略的实，了相互的 VTEP 地方操纵了下令的方法直接指定，音讯时发给对方就行了当 fdb 表查不到，的互联形式这是最简略。LAN 汇集下大范围 VX，其他的 VETP 地方了就须要商量怎样出现汇集中。：一是操纵组播/多播（ IGMP处分这个题目平常有 2 种方法,nagement Protocol）Internet Group Ma，个虚拟的完全把节点构成一，配置的下令改正为组播/多播地方比方 224.1.1.1 就行包不领略发给谁的话就播送给统统组了（上述实行中的创筑 VETH，也要改成 group remote 症结字，其他原料）详细请参阅；音讯并分发给统一个 VXLAN 汇集的全面节点二是通过表部的漫衍式操纵中央来收罗 FDB 。持景况和大范围下的的机能题目组播/多播受限于底层汇集的支，不必然批准这么做比方良多云汇集上。到良多汇集插件的完成采用的都是相仿后者的完成方法因而下文正在会商和研商 K8s 的汇集计划时会看。它本身的 IP 地方每一个 Pod 都有，每个 Pod 之间创筑链接这就意味着你不须要显式地正在，口到主机端口之间的照射你险些不须要管理容器端。的、向后兼容的模子这将创筑一个明净，模子里正在这个，载平衡、利用筑设和转移的角度来看从端口分派、定名、任职出现、负，虚拟机或者物理主机Pod 可能被视作。汇集认知里正在古代的，h（调换机）、Router（途由器）所构成的一个通讯聚积（图片来自 [11]汇集即是由带有一个或多个 NIC 的一组 NC 操纵硬件介质和 switc，同）下: p link set br0 up 这一步主动创筑了）此时就能告捷的探访宿主机地方了（宿主机上的途由表正在 i： um 披发出的那种不同凡响的气味光从这个先容上就看出来 Cili。b Star 数字速过万了这个项目目前的 Githu，前面两位直接力压。名为 cilium-agent 的守卫经过Cilium 计划后会正在宿主机上创筑一个，量转发、过滤、诊断的事故（都不依赖 Netfilter 机造这个经过的效用即是保卫和计划 eBPF 剧本来完成全面的流，4.19 版本）kenel v。单（配图来自 github 主页）从道理图的角度画出来的架构图很简： roxy 援手的多种形式和根基的道理[26]K8s 官方文档比力好的先容了 kube-p。ce 形式根基上弃用了起先的 userspa，做法正在大范围下也不举荐操纵了（念念为什么）上面所述的 iptables 随机端正的。 IPVS 形式了现正在最举荐确当属，范围下的机能更好相看待前两种正在大。这个词比力生疏的话假如说 IPVS ，怕是咱们耳熟能详的LVS 这个词恐。形式下正在这个，个名为 kube-ipvs0 的虚拟网卡kube-proxy 会正在宿主机上创筑一，VIP 举动其 IP 地方然后分派 Service 。地方筑立后端 POD 的地方（ ipvsadm 下令可能查看）结果 kube-proxy 操纵内核的 IPVS 模块为这个。 Netfilter 的 NAT 机造原本 IPVS 正在内核中的完成也是用了。的是区别，地方筑立 NAT 端正IPVS 不会为每一个，管理放到了内核态而是把这些端正的，s 端正的数目根基上恒定保障了 iptable，了之前的题目比力好的处分。段线]这几，d 一个独立的 IP 地方简略概述下即是一个 Po，以欠亨过 NAT 通讯全面的 Pod 之间可。境近似等同于一个 VM 的汇集情况这个模子把一个 Pod 的汇集环。框架须要稍微着重的夸大一下闭于 Netfilter ，现都要操纵 Netfilter 供应的机造由于后文要提到的汇集战术和良多任职透出的实。汇集虚拟化工夫的演进跟着 Linux ，拟化汇集配置有了若干种虚，络中取得了寻常的利用正在虚拟机和虚拟容器网。Veth、Bridge 等楷模的有 Tap/Tun/：