kube-proxy

kube-proxy，负责为Service提供集群内部的服务发现和负载均衡。 1 介绍 了解不同网络组件的工作原理有助于正确设计和配置它们，以满足你的应用程序需求。 在Kubernetes网络的背后，有一个在幕后工作的组件。它将你的服务（Services）转化为一些可用的网络规则。这个组件被称为 K ......

通过使用kube-proxy暴露未授权访问的服务或组件，可能会形成外部攻击入口点，从而导致集群被入侵。 （1）攻击场景 使用kubectl proxy命令设置API server接收所有主机的请求。 kubectl --insecure-skip-tls-verify proxy --accept- ......

--masquerade-all参数 true表示所有访问Service的数据包被SNAT。false（默认情况）表示源地址不属于Pod网段的数据包访问Service被SNAT。 转发场景分析 如果pod发送的响应包源地址不是client发送的请求包目的地址，那么直接丢弃。 client访问clus ......

前言 在kubernets集群的每个节点上都运行着kube-proxy进程，负责实现Kubernetes中service组件的虚拟IP服务。目前kube-proxy有如下三种工作模式： User space 模式 iptables 模式 IPVS 模式 User space模式 在这种模式下，kub ......

IPVS 是专门为LB设计的。它用hash table管理service，对service的增删查找都是O(1)的时间复杂度。不过IPVS内核模块没有SNAT功能，因此借用了iptables的SNAT功能。IPVS针对报文做DNAT后，将连接信息保存在nf_conntrack中，iptables据此 ......

kube-proxy 三种模式分析 kubernetes 上面的 service 资源的实现方式是由 kube-proxy 提供的模式决定的 kube-proxy 提供三种模式：userspace （Kubernetes1.2版本之前）、iptables、ipvs（推荐的） 如果不满足ipvs时，会 ......

kube-proxy使用IPVS的主要原因是为了提高kubernetes集群中服务的可靠性和性能。 IPVS是Linux内核中的一个功能强大的网络负载均衡器，能够根据不同的负载均衡算法将流量分配到不同的后端Pod上，从而实现高可用性和高性能的服务。 与Kube-proxy默认使用的iptables相 ......

Cilium Cilium是一个开源的网络安全和服务发现解决方案，它基于Linux内核的eBPF（extended Berkeley Packet Filter）技术，提供了一种高效、灵活、可扩展的网络隔离和安全机制。 网络隔离：Cilium通过eBPF技术实现了高效的包过滤和转发，可以在网络层面为 ......

https://kubernetes.io/zh/docs/reference/access-authn-authz/rbac/ #使用RBAC鉴权 RBAC是基于角色的访问控制(Role-Based Access Control) https://kubernetes.io/zh/docs/ref ......