Enrutando el tráfico utilizando servicios

Clase 17 de 33 • Curso de Kubernetes (2019)

Walter Lensinas

student•

Si estas usando minikube tenes que entrar al cluster por ssh para poder ver las reglas de iptables.

Cuando inicias minikube minikube start --nodes 5 -p cluster_name luego de -p es el profile de tu cluster, pone el nombre que creas conveniente. Ejemplo minikube start --nodes 5 -p test

Luego entras por ssh minikube ssh -p cluster_name en mi caso minikube ssh -p test

Adentro revisas las reglas de iptables con los comandos que paso el profesor:

sudo iptables -t nat -L OUTPUT

output

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination         
KUBE-SERVICES  all  --  anywhere             anywhere             /* kubernetes service portals */
DOCKER_OUTPUT  all  --  anywhere             host.minikube.internal 
DOCKER     all  --  anywhere            !localhost/8          ADDRTYPE match dst-type LOCAL

sudo iptables -t nat -nL KUBE-SERVICES

output

Chain KUBE-SERVICES (2 references)
target     prot opt source               destination         
KUBE-MARK-MASQ  tcp  -- !10.244.0.0/16        10.96.0.1            /* default/kubernetes:https cluster IP */ tcp dpt:443
KUBE-SVC-NPX46M4PTMTKRN6Y  tcp  --  0.0.0.0/0            10.96.0.1            /* default/kubernetes:https cluster IP */ tcp dpt:443
KUBE-MARK-MASQ  udp  -- !10.244.0.0/16        10.96.0.10           /* kube-system/kube-dns:dns cluster IP */ udp dpt:53
KUBE-SVC-TCOU7JCQXEZGVUNU  udp  --  0.0.0.0/0            10.96.0.10           /* kube-system/kube-dns:dns cluster IP */ udp dpt:53
KUBE-MARK-MASQ  tcp  -- !10.244.0.0/16        10.96.0.10           /* kube-system/kube-dns:dns-tcp cluster IP */ tcp dpt:53
KUBE-SVC-ERIFXISQEP7F7OF4  tcp  --  0.0.0.0/0            10.96.0.10           /* kube-system/kube-dns:dns-tcp cluster IP */ tcp dpt:53
KUBE-MARK-MASQ  tcp  -- !10.244.0.0/16        10.96.0.10           /* kube-system/kube-dns:metrics cluster IP */ tcp dpt:9153
KUBE-SVC-JD5MR3NA4I4DYORP  tcp  --  0.0.0.0/0            10.96.0.10           /* kube-system/kube-dns:metrics cluster IP */ tcp dpt:9153
KUBE-MARK-MASQ  tcp  -- !10.244.0.0/16        10.107.149.250       /* default/httpenv cluster IP */ tcp dpt:8888
KUBE-SVC-6ZVPY37LGINYSSPR  tcp  --  0.0.0.0/0            10.107.149.250       /* default/httpenv cluster IP */ tcp dpt:8888
KUBE-NODEPORTS  all  --  0.0.0.0/0            0.0.0.0/0            /* kubernetes service nodeports; NOTE: this must be the last rule in this chain */ ADDRTYPE match dst-type LOCAL

En mi caso voy a ver las reglas de la ip del servicio 10.107.149.250

sudo iptables -t nat -nL sudo iptables -t nat -nL KUBE-SVC-6ZVPY37LGINYSSPR

output

Chain KUBE-SVC-6ZVPY37LGINYSSPR (1 references)
target     prot opt source               destination         
KUBE-SEP-UTACH3V2EFGNGWSL  all  --  0.0.0.0/0            0.0.0.0/0            /* default/httpenv */ statistic mode random probability 0.10000000009
KUBE-SEP-OBKCIYINKH75NNAU  all  --  0.0.0.0/0            0.0.0.0/0            /* default/httpenv */ statistic mode random probability 0.11111111101
KUBE-SEP-2BAZO7KUFC5W4VUP  all  --  0.0.0.0/0            0.0.0.0/0            /* default/httpenv */ statistic mode random probability 0.12500000000
KUBE-SEP-H2O72PL5EVFXTZBK  all  --  0.0.0.0/0            0.0.0.0/0            /* default/httpenv */ statistic mode random probability 0.14285714272
KUBE-SEP-BZIDQWP33MHSLDLW  all  --  0.0.0.0/0            0.0.0.0/0            /* default/httpenv */ statistic mode random probability 0.16666666651
KUBE-SEP-U4OA2VHREJS6ZEJF  all  --  0.0.0.0/0            0.0.0.0/0            /* default/httpenv */ statistic mode random probability 0.20000000019
KUBE-SEP-ZN5OKFENC7VMGVKJ  all  --  0.0.0.0/0            0.0.0.0/0            /* default/httpenv */ statistic mode random probability 0.25000000000
KUBE-SEP-KUCY6OLHFSCAHRUH  all  --  0.0.0.0/0            0.0.0.0/0            /* default/httpenv */ statistic mode random probability 0.33333333349
KUBE-SEP-2L47EJAEPVOMIKY7  all  --  0.0.0.0/0            0.0.0.0/0            /* default/httpenv */ statistic mode random probability 0.50000000000
KUBE-SEP-AOU4T5P455EZE2YM  all  --  0.0.0.0/0            0.0.0.0/0            /* default/httpenv */

Veo alguna regla para revisar

sudo iptables -t nat -nL KUBE-SEP-UTACH3V2EFGNGWSL

output

Chain KUBE-SEP-UTACH3V2EFGNGWSL (1 references)
target     prot opt source               destination         
KUBE-MARK-MASQ  all  --  10.244.1.3           0.0.0.0/0            /* default/httpenv */
DNAT       tcp  --  0.0.0.0/0            0.0.0.0/0            /* default/httpenv */ tcp to:10.244.1.3:8888

Roberto Palacios

student•

Genial, me ayudo, muchas gracias

DAVID EDUARDO BAEZ SANCHEZ

student•

Listo

sudo iptables -t nat -L OUTPUT
sudo iptables -t nat -nL KUBE-SERVICES
sudo iptables -t nat -nL KUBE-SVC-WHBE4CO6OW2LBOXF
sudo iptables -t nat -nL KUBE-SEP-ISQ22OJBOFERAA4G
kubectl get pods -o wide
kubectl describe service httpenv
kubectl describe endpoints httpenv 
kubectl get endpoints httpenv -o yaml

Matías Luzzani

student•

Con ++kubectl get service++ anotamos el cluster ip del servicio. Vamos a ver las reglas de ip-table (Iptables tiene diferentes tablas: nat, filtros, ro, etc.) del equipo local para ver como hace k8s para anotar este trafico: ++sudo iptables –t nat –L OUTPUT++. Con esto vamos a listar las reglas (el chain) de output. Vamos a ver que tenemos dos targets: DOCKER (esto lo genera docker internamente) y KUBE-SERVICES (hace las reglas de enrutado outbound salientes de k8s) Para ver las reglas del chain KUBE-SERVICES: ++sudo iptables –t nat –nL KUBE-SERVICES++ (Vamos a ver muchas reglas y el que administra todas esas reglas es KUBE-PROXY cada vez que creamos un pod o un servicio en nuestro nodo.) Lo importante es que busques la ip que se asigno al servicio cuando se creo y anotar el target del servicio (es el código que esta mas a la izquierda) ++sudo iptables –t nat –nL EL_TARGET_QUE_ANOTAMOS++ nos muestra varios chain enrutados y cada una de las derivaciones de estos son una probabilidad estadística. Cuando se quiere enrutar el trafico, iptables lo hace de manera probabilística. Para ver hacia donde se dirige este trafico vamos a agarrar uno de los target de los chains: ++sudo iptables –t nat –nL EL_TARGET_QUE_ANOTAMOS++. Esto hace un mascarade y me dice que todo el trafico que yo quiero mandar a esa ip virtual que habíamos copiado tiene que ir al nodo que aparece mas a la derecha y esa es la ip privada de nuestro nodo de k8s que esta registrado.

ENDPOINTS son las direcciones ip de un servicio a las que necesitaríamos acceder en caso de que quisiéramos llegar a ese servicio. Podemos encontrarlos con ++kubectl describe service NOMBRE_DEL_SERVICIO++ Ahí va a aparecer la opción ENDPOINTS donde vamos ver cada una de las direcciones ip de nuestros pods. Para ver mas datos: ++kubectl describe endpoints NOMBRE_DEL_SERVICIO++ Tambien se puede ver con: ++kubectl get endpoints NOMBRE_DEL_SERVICIO –o yaml++

Juan Camilo Sarmiento Reyes

student•

Al comienzo sentí este curso super persado. Pero poco a poco se ha ido dando muy muy bien

Rodrigo Ramos Xochiteotzin

student•

¿Te quedaste con dudas sobre qué es IPTABLES?

Acá algo de info: 👇 Iptables es un firewall que se ocupa de controlar el tráfico de datos en nuestra red. Esta utilidad está habilitada como comando en el kernel de linux. Hay tres reglas muy importantes para el filtrado de datos que tienes que tener en cuenta:

Input: paquetes de datos que entran a nuestra red
Output: paquetes de datos que salen de nuestra red
Forward: paquetes de datos que se redireccionan desde nuestra red

Dentro de cada una puedes habilitar o bloquear tráfico en protocolos de transporte como UDP/TCP (de acuerdo con el modelo OSI). . Les dejo algo de información para que chequen por ustedes mismxs.👇

Yanpieer Josue Romero Salazar

student•

Endpoints: Es un recurso de kubernetes que representa las direcciones ip de un servicio a las cuales necesitariamos acceder en el caso de que quisieramos llegar a ese servicio. Además, endpoints es el único recurso en k8s que esta en plural.

JHON ANDERSON CARRILLO FLOREZ

student•

Un poco complicado por todos los comandos

Usuario anónimo

user•

excelente explicación :)

Sebastian Arca

student•

Para eliminar el servicio creado el comando seria en este caso: kubectl delete svc httpenv o con remplazando "svc" por service, son alias y es lo mismo.

Cecilia N

student•

El NodePort también habilita el puerto en el Master?

Jair Sebastian Lozano Moron

student•

Los master en kubernetes sólo se ocupan de la administración dentro del clúster, por lo que NodePort solo habilita comunicación con los puertos de los workers, ya que estos son los únicos expuestos al exterior.

GUSTAVO ADOLFO ARAQUE

student•

Con el enrutado de tráfico se cierra la comprensión sobre el tema de exposición de servicios. Gracias...!!!

Enrutando el tráfico utilizando servicios

Introducción a Kubernetes

Introducción a Kubernetes: conceptos y aplicación práctica

Repaso de contenedores e introducción a k8s

De pods a contenedores

¿Cómo funciona la arquitectura de red de Kubernetes?

Modelos declarativos e imperativos

Visión general del modelo de red

Recomendaciones

Introducción a aplicación de prueba

Instalando nuestro primer cluster con Minikube, Kubeadm

Instalando nuestro primer cluster con Kubeadm

Desplegando el Cluster en AWS con EKS

Desplegando una aplicación de prueba con EKS

Primer contacto con un cluster de kubernetes

Usando kubectl

Creación y manejo de pods

Deployments y replica sets

Balanceo de carga y service discovery

Accediendo a nuestros PODS a través de servicios

Enrutando el tráfico utilizando servicios

Desplegando nuestra app en k8s

Escalando nuestra aplicación

Exponiendo servicios interna y externamente (kubectl-proxy)

Kubernetes dashboard

Balanceo de carga y Daemon sets

Despliegues controlados

Healthchecks

Optimizando el uso de nuestro cluster

Gestionar stacks con Helm

Gestionando la configuración aplicativas utilizando Config Maps

Volúmenes

Autorización y Namespaces

Introducción a namespaces

Despliegue múltiples instancias de la misma aplicación en un solo cluster.

Autenticación y autorización

Service account tokens

RBAC

Fin del curso

Recomendaciones para implementar Kubernetes en tu organización o proyectos

Bonus

Clase en vivo: workflows de Kubernetes usando git