跳到主要内容

Ubuntu 安装常用网络工具

· 阅读需 1 分钟

Centos 安装 bind-utils 可获得 dig

yum install bind-utils -y

安装 dnsutils 可获得 dig。


sudo apt install dnsutils

安装 netcat 可获得 nc。


sudo apt install netcat

安装 traceroute (由Dmitry Butskoy开发) 或 inetutils-traceroute (由自由软件基金会开发) 可获得 traceroute。


sudo apt install traceroute

# sudo apt install inetutils-traceroute

安装 net-tools 可获得 ifconfig。


sudo apt install net-tools

安装 iputils-ping 可获得 ping。


sudo apt install iputils-ping

安装procps可获得 ps。


sudo apt install procps

Lvs 学习与使用

· 阅读需 12 分钟

1. 核心内容

  • 负载均衡 lvs 负责对数据进行转发
    • 一次请求,一次响应
  • 反向代理 nginx/haproxy 负责代替用户找数据,找到后再发送给用户
    • 两次请求,两次响应

2. arp

  • DNS 为域名解析,将域名解析为IP地址
  • arp协议 为地址解析协议 将IP地址解析到mac地址
    • ip地址为网络层,3层
    • mac地址为2层
    • arp协议属于3层协议,但工作在2层

2.1 arp解析过程

  • 假如有A、B、C、D四台设备连接在同一个交换机上,A想连接B,A知道B的IP地址10.0.0.8,但 不知道B的mac地址,A将会发广播:Who has 10.0.0.8?Tell 10.0.0.7(谁知道10.0.0.8的mac地址?请告诉A10.0.0.7”),B、C、D设备都会接受到该广播,但C、D设备的IP地址都不是10.0.0.8,则会丢弃该广播,B设备收到广播后知道A是要自己的mac地址,则B会悄悄(一对一)的将自己的mac地址发送给A,A收到B返回的信息后会缓存一份数据,用于下次连接B的时候用。

2.2 linux的arp缓存查看命令

arp -n   # 若无此命令,则需要安装 net-tools

2.3 手动缓存其他设备的mac地址,只需手动在该设备上ping对应设备的IP地址

[root@lb01 ~]# arp -n
Address                  HWtype  HWaddress           Flags Mask            Iface
10.0.0.1                 ether   00:50:56:c0:00:08   C                     eth0
10.0.0.254               ether   00:50:56:f2:d4:34   C                     eth0
[root@lb01 ~]# ping 10.0.0.7
PING 10.0.0.7 (10.0.0.7) 56(84) bytes of data.
64 bytes from 10.0.0.7: icmp_seq=1 ttl=64 time=3.37 ms
64 bytes from 10.0.0.7: icmp_seq=2 ttl=64 time=1.27 ms
^C
--- 10.0.0.7 ping statistics ---
2 packets transmitted, 2 received, 0% packet loss, time 1002ms
rtt min/avg/max/mdev = 1.272/2.324/3.376/1.052 ms
[root@lb01 ~]# arp -n
Address                  HWtype  HWaddress           Flags Mask            Iface
10.0.0.1                 ether   00:50:56:c0:00:08   C                     eth0
10.0.0.7                 ether   00:0c:29:8e:5d:df   C                     eth0
10.0.0.254               ether   00:50:56:f2:d4:34   C                     eth0
[root@lb01 ~]#

2.4 通过抓包查看缓存mac地址过程

Vmware_86:09:1d	Broadcast	    ARP	60	Who has 10.0.0.7? Tell 10.0.0.5 #Broadcast为广播
Vmware_8e:5d:df	Vmware_86:09:1d	ARP	60	10.0.0.7 is at 00:0c:29:8e:5d:df
Vmware_c0:00:08	Vmware_86:09:1d	ARP	42	Who has 10.0.0.5? Tell 10.0.0.1
Vmware_86:09:1d	Vmware_c0:00:08	ARP	60	10.0.0.5 is at 00:0c:29:86:09:1d

5问:谁有7的mac地址?

7回:我有,地址是.......

7问:谁有5的mac地址?

5回:我有,地址是......

说明:第一次讯问为广播,一旦有回应之后,则进行缓存,下次再讯问则不是广播,而是直接按照缓存去一对一连接。

2.5 删除arp 缓存命令

# arp -d ip地址,例如:
arp -d 10.0.0.7

2.6 arp欺骗

  • 描述:A和B都连接与同一个交换机,并都通过这个交换机上网,即A和B也都缓存着这个交换机的mac地址,突然有一天B大量的发出广播“交换机的mac地址是我B设备的mac地址”,慢慢的其他设备会逐渐替换并缓存B广播的这个假消息,导致其他设备误认为B设备为交换机,导致不能上网了。

3. lvs

  • lvs专业名称为:linux virtual server 即linux虚拟服务器
  • 因为lvs处理请求支持的并发特别高,以至于lvs模块嵌入到了linux内核中,即 ip_vs
  • 管理 ip_vs 有两种方式:通过ipvsadm管理命令 和 keepalived(keepalived for lvs)

4. lvs的工作模式

  • dr direct routing 直接路由模式(使用较多)
  • nat (使用较多)
  • tun 隧道模式(使用少)
  • full nat(使用少)

4.1 预备知识

  • 名词
    • 用户
      • 用的IP地址为:CIP
    • 负载均衡
      • 负载均衡利用高可用软件生成的的IP地址为:VIP
      • 负载均衡设备本身的IP地址为:DIP
    • 真实服务器(RS服务器)
      • 真实服务器的IP地址为:RIP

4.2 nat模式

  • 用户访问过程:
    • 用户发出请求时携带源IP(CIP)、目标IP(VIP)到达复杂均衡服务器,lvs执行DNAT,将用户数据包的目标IP地址修改为RIP(网络设备会保存修改记录用于相同访问使用)发给RS服务器,RS服务器收到并处理后将RIP设为源IP、CIP设为目标IP发送给lvs,lvs执行SNAT,将RS服务器发来的源IP由RIP修改为VIP,即此时的数据包源IP为VIP,目标IP为CIP,由负载均衡发给用户。
    • 此过程只涉及IP地址,不涉及mac地址。
  • 特点:
    • lvs与RE服务器可以不再同一局域网
    • 用户访问端口和后端RS服务器响应的端口可以不一致
    • nat模式流量出入都要经过lvs,效率、性能不高

4.3 dr模式

  • 用户访问过程:

    • 用户发出请求时携带源IP(CIP)、目标IP(VIP)到达复杂均衡服务器,lvs将用户数据包的目标IP的mac地址修改为RS服务器的mac地址(随机选择任一台RS服务器)发给RS服务器,RS服务器收到后校对mac地址时发现与自己mac地址一致,所以接受并解封装数据包,因为所有RS服务器的lo网卡已经绑定了VIP,所以拆数据包时发现目标IP与自己绑定的VIP一致,所以RS服务器将处理结果直接发给用户。

      • 小知识:windows中删除arp缓存方法

        # 用管理员权限打开cmd
        arp -d

  • 为什么要做arp抑制

  • 因为所有RS服务器的lo回环网卡都绑定了VIP,所以lvs服务器以及所有RS服务器都有了VIP,当用户查询具有VIP的服务器的mac地址时,如果不做抑制,则lvs服务器以及所有RS服务器都会同时响应用户的请求,这样就发生混乱导致用户不能正常访问,给所有RS服务器做arp抑制之后,用户请求时,RS服务器不会响应,仅lvs服务器响应,则用户可以正常访问。

  • 特点

    • lvs dr模式中,lvs只负责转发并修改用户请求的目标mac地址,称为dmact
    • lvs dr模式中,后端RS服务器处理完的数据直接响应给用户
    • lvs dr模式中,RS服务器也要有公网IP
    • lvs dr模式中,支持更高的并发数,几万甚至几十万
    • lvs dr模式中,lvs服务器和后端RS服务器必须在同一个局域网
    • lvs dr模式中,用户请求过来的端口是不能修改的,所以后端RS服务器就要开启用户访问的端口

4.4 dr模式环境准备

4.4.1 配置web01、web02
# web01要能够访问http://10.0.0.7/oldboy.html
# web02要能够访问http://10.0.0.8/oldboy.html
[root@web01 ~]# cat /etc/nginx/nginx.conf 
worker_processes  1;
events {
    worker_connections  1024;
}
http{
server {
    server_name www.oldboy.com;
    listen 80;
    root  /usr/share/nginx/html/ ;
 }
}

# 在oldboy.html中写入主机名
[root@web01 ~]# echo 'hostname' >/usr/share/nginx/html/oldboy.html

# 关闭nginx
[root@web01 ~]# pkill nginx

# 重启nginx
[root@web01 ~]# systemctl restart nginx
4.4.2 配置lb01、lb02
# 关闭lb01、lb02的keeplived  nginx负载均衡
[root@lb01 ~]# systemctl stop keepalived nginx
[root@lb01 ~]# systemctl disable keepalived nginx

# lb01安装ipvsadm
[root@lb01 ~]# yum install -y ipvsadm

# lb01手动添加vip
[root@lb01 ~]# ip addr add 10.0.0.3/24 dev eth0 label eth:0

# lb01手动添加池塘
[root@lb01 ~]# ipvsadm -A -t 10.0.0.3:80 -s wrr -p 20
#参数:-A 创建池塘(VIP:端口) -t tcp协议  -s 轮询算法  wrr 加强轮询  -p 会话保持时间,默认是300秒

# lb01手动添加RS服务器
[root@lb01 ~]# ipvsadm -a -t 10.0.0.3:80 -r  10.0.0.7:80 -g -w 1
[root@lb01 ~]# ipvsadm -a -t 10.0.0.3:80 -r 10.0.0.8:80 -g -w 1
# 参数:-a 添加RS服务器  -t tcp协议  -r 指定RS服务器(IP:端口)  -g dr模式  -w 权重

# lb01查看ipvs规则
[root@lb01 ~]# ipvsadm -Ln    #注意:与iptables进行区分(-nL)

# lb01查看ipvs规则及详细信息(查看具体流量信息)
[root@lb01 ~]# ipvsadm -Ln --stats

# 清空ipvs规则命令
[root@lb01 ~]# ipvsadm -C

# 设置tcp超时时间
[root@lb01 ~]# ipvsadm --set 30   # 常用超时时间为30  5  60

# 注意:ipvsadm是linux管理ip_vs的命令,无需启动操作,直接使用。
4.4.3 配置RS服务器(web)
# 所有RS服务器lo网卡绑定vip(永久)
[root@web01 ~]# cat /etc/sysconfig/network-scripts/ifcfg-lo:1
DEVICE=lo:1
IPADDR=10.0.0.3
NETMASK=255.255.255.255
ONBOOT=yes
NAME=loopback

# 所有RS服务器抑制arp解析
cat >>/etc/sysctl.conf<<EOF 
net.ipv4.conf.all.arp_ignore = 1 
net.ipv4.conf.all.arp_announce = 2 
net.ipv4.conf.lo.arp_ignore = 1 
net.ipv4.conf.lo.arp_announce = 2 EOF 

# 配置生效
sysctl -p

# RS服务器检查lo网卡
[root@web01 ~]# ip a s lo

# 注意:
	# 1. 不要在lvs服务器本地进行curl测试,会失败;
	# 2. lvs负载均衡当用户与访问量巨大的时候,才会使各个RS服务器的分配接近1:1,而平时测试访问量小的时			候,会长时间分配在同1台RS服务器上,要等1-2分钟才会变。
	
# 此时可以通过浏览器访问VIP网页测试
# 如访问失败,故障排查流程:
# 1. 浏览器通过负载均衡访问 10.0.0.3/oldboy.html
# 2. RS服务器通过ping/telnet连接负载均衡,查看是否成功
# 3. 在RS服务器上通过命令行curl 负载均衡vip网址
# 4. 浏览器单独访问RS服务器 RIP地址的网页,查看是否能正常访问
# 5. 查看RS服务器配置是否正确
4.4.4 lvs规则的备份与恢复
# 将ipvs规则打印到屏幕上
[root@lb01 ~]# ipvsadm-save -n

# 将ipvs规则保存到文件
[root@lb01 ~]# ipvsadm-save -n >/root/ipvsadm.conf

# 将ipvs规则从文件恢复
[root@lb01 ~]# ipvsadm-restore </root/ipvsadm.conf

5. lvs与keepalived配合使用

# 清除lb上手动添加的VIP,最简单的办法是重启网卡
systemctl restart network

# 配置lb01的keepalived配置文件(主)
[root@lb01 ~]# vim /etc/keepalived/keepalived.conf
global_defs {
   router_id lb01      #keepalived身份 id  每个keepalived 不同
}

vrrp_instance oldboy {    #实例名称   在同1对主备之间 要一致 
    state MASTER          #MASTER BACKUP
    interface eth0        #指定网卡 公网网卡 
    virtual_router_id 62  #虚拟路由id  同1对 主备之间要一致  在同1个keepalived文件中要不同
    priority 100          #优先级 主>备  相差50 
    advert_int 1          #interval 间隔 心跳间隔  秒   每隔1秒检查
    authentication {      #认证 方式 
        auth_type PASS    #简单认证 
        auth_pass 1234    #在同1对 主备之间一直 
    }
    virtual_ipaddress {   #vip
        10.0.0.3/24 dev eth0 label eth0:0
    }
}

virtual_server 10.0.0.3 80 { #创建组 池塘 
	delay_loop 6 
	lb_algo wrr #轮询算法
	lb_kind DR # lvs DR模式 
	nat_mask 255.255.255.0 #vip对应的子网掩码 
	persistence_timeout 50 #会话保持时间 -p 
	protocol TCP #协议 -t

	real_server 10.0.0.7 80 { #rs服务器的配置 
		weight 1 #权重 
		TCP_CHECK { #-t TCP_CHECK 检查 传输层 
		connect_timeout 8 
		nb_get_retry 3 #number of get retry 重试的次数 
		delay_before_retry 3 #每次检查之前 等待3秒 
		connect_port 80 #检查端口 
		} 
	}

	real_server 10.0.0.8 80 { 
		weight 1 
		TCP_CHECK {
		connect_timeout 8 
		nb_get_retry 3 
		delay_before_retry 3 
		connect_port 80 
		} 
	} 
}

# 重启lb01的keepalived,并查看ipvs规则
[root@lb01 ~]# systemctl restart keepalived.service
[root@lb01 ~]# ipvsadm -Ln

# 配置lb02的keepalived配置文件(备)
[root@lb02 ~]# vim /etc/keepalived/keepalived.conf
	#GLOBAL CONFIGURATION   全局定义部分
global_defs {
   router_id lb02      #keepalived身份 id  每个keepalived 不同
}
	#VRRPD CONFIGURATION  vrrp实例部分    虚拟路由冗余协议 
	##vrrp
vrrp_instance oldboy {    #实例名称   在同1对主备之间 要一致 
    state BACKUP          #MASTER BACKUP
    interface eth0        #指定网卡 公网网卡 
    virtual_router_id 62  #虚拟路由id  同1对 主备之间要一致  在同1个keepalived文件中要不同
    priority 50           #优先级 主>备  相差50 
    advert_int 1          #interval 间隔 心跳间隔  秒   每隔1秒检查
    authentication {      #认证 方式 
        auth_type PASS    #简单认证 
        auth_pass 1234    #在同1对 主备之间一直 
    }
    virtual_ipaddress {   #vip
        10.0.0.3/24 dev eth0 label eth0:0
        #ip addr add 10.0.0.3/24 dev eth0 label eth0:0 
    }
}

virtual_server 10.0.0.3 80 { #创建组 池塘 
	delay_loop 6 
	lb_algo wrr #轮询算法
	lb_kind DR # lvs DR模式 
	nat_mask 255.255.255.0 #vip对应的子网掩码 
	persistence_timeout 50 #会话保持时间 -p 
	protocol TCP #协议 -t

	real_server 10.0.0.7 80 { #rs服务器的配置 
		weight 1 #权重 
		TCP_CHECK { #-t TCP_CHECK 检查 传输层 
		connect_timeout 8 
		nb_get_retry 3 #number of get retry 重试的次数 
		delay_before_retry 3 #每次检查之前 等待3秒 
		connect_port 80 #检查端口 
		} 
	}

	real_server 10.0.0.8 80 { 
		weight 1 
		TCP_CHECK {
		connect_timeout 8 
		nb_get_retry 3 
		delay_before_retry 3 
		connect_port 80 
		} 
	} 
}

# 重启lb02的keepalived,并查看ipvs规则
[root@lb02 ~]# systemctl restart keepalived.service
[root@lb02 ~]# ipvsadm -Ln

了解k8s架构及工作流程

· 阅读需 6 分钟

kubernetes架构及工作流程

本章学习kubernetes的架构及工作流程,重点介绍如何使用Workload管理业务应用的生命周期,实现服务不中断的滚动更新,通过服务发现和集群内负载均衡来实现集群内部的服务间访问,并通过ingress实现外部使用域名访问集群内部的服务。

学习过程中会逐步对Django项目做k8s改造,从零开始编写所需的资源文件。通过本章的学习,学员会掌握高可用k8s集群的搭建,同时Django demo项目已经可以利用k8s的控制器、服务发现、负载均衡、配置管理等特性来实现生命周期的管理。

纯容器模式的问题

  1. 业务容器数量庞大,哪些容器部署在哪些节点,使用了哪些端口,如何记录、管理,需要登录到每台机器去管理?
  2. 跨主机通信,多个机器中的容器之间相互调用如何做,iptables规则手动维护?
  3. 跨主机容器间互相调用,配置如何写?写死固定IP+端口?
  4. 如何实现业务高可用?多个容器对外提供服务如何实现负载均衡?
  5. 容器的业务中断了,如何可以感知到,感知到以后,如何自动启动新的容器?
  6. 如何实现滚动升级保证业务的连续性?
  7. ......

容器调度管理平台

Docker Swarm Mesos Google Kubernetes

2017年开始Kubernetes凭借强大的容器集群管理功能, 逐步占据市场,目前在容器编排领域一枝独秀

https://kubernetes.io/

架构图

分布式系统,两类角色:管理节点和工作节点

图片

核心组件

  • ETCD:分布式高性能键值数据库,存储整个集群的所有元数据

  • ApiServer: API服务器,集群资源访问控制入口,提供restAPI及安全访问控制

  • Scheduler:调度器,负责把业务容器调度到最合适的Node节点

  • Controller Manager:控制器管理,确保集群资源按照期望的方式运行

    • Replication Controller
    • Node controller
    • ResourceQuota Controller
    • Namespace Controller
    • ServiceAccount Controller
    • Token Controller
    • Service Controller
    • Endpoints Controller

  • kubelet:运行在每个节点上的主要的“节点代理”,脏活累活

    • pod 管理:kubelet 定期从所监听的数据源获取节点上 pod/container 的期望状态(运行什么容器、运行的副本数量、网络或者存储如何配置等等),并调用对应的容器平台接口达到这个状态。
    • 容器健康检查:kubelet 创建了容器之后还要查看容器是否正常运行,如果容器运行出错,就要根据 pod 设置的重启策略进行处理.
    • 容器监控:kubelet 会监控所在节点的资源使用情况,并定时向 master 报告,资源使用数据都是通过 cAdvisor 获取的。知道整个集群所有节点的资源情况,对于 pod 的调度和正常运行至关重要

  • kube-proxy:维护节点中的iptables或者ipvs规则

  • kubectl: 命令行接口,用于对 Kubernetes 集群运行命令 https://kubernetes.io/zh/docs/reference/kubectl/

工作流程

  1. 用户准备一个资源文件(记录了业务应用的名称、镜像地址等信息),通过调用APIServer执行创建Pod
  2. APIServer收到用户的Pod创建请求,将Pod信息写入到etcd中
  3. 调度器通过list-watch的方式,发现有新的pod数据,但是这个pod还没有绑定到某一个节点中
  4. 调度器通过调度算法,计算出最适合该pod运行的节点,并调用APIServer,把信息更新到etcd中
  5. kubelet同样通过list-watch方式,发现有新的pod调度到本机的节点了,因此调用容器运行时,去根据pod的描述信息,拉取镜像,启动容器,同时生成事件信息
  6. 同时,把容器的信息、事件及状态也通过APIServer写入到etcd中

架构设计的几点思考

  1. 系统各个组件分工明确(APIServer是所有请求入口,CM是控制中枢,Scheduler主管调度,而Kubelet负责运行),配合流畅,整个运行机制一气呵成。
  2. 除了配置管理和持久化组件ETCD,其他组件并不保存数据。意味除ETCD外其他组件都是无状态的。因此从架构设计上对kubernetes系统高可用部署提供了支撑。
  3. 同时因为组件无状态,组件的升级,重启,故障等并不影响集群最终状态,只要组件恢复后就可以从中断处继续运行。
  4. 各个组件和kube-apiserver之间的数据推送都是通过list-watch机制来实现。

实践--集群安装

k8s集群主流安装方式对比分析
  • minikube
  • 二进制安装
  • kubeadm等安装工具

kubeadm https://kubernetes.io/zh/docs/reference/setup-tools/kubeadm/kubeadm/

《Kubernetes安装手册(非高可用版)》

核心组件

静态Pod的方式:

## etcd、apiserver、controller-manager、kube-scheduler
$ kubectl -n kube-system get po

systemd服务方式:

$ systemctl status kubelet

kubectl:二进制命令行工具

理解集群资源

组件是为了支撑k8s平台的运行,安装好的软件。

资源是如何去使用k8s的能力的定义。比如,k8s可以使用Pod来管理业务应用,那么Pod就是k8s集群中的一类资源,集群中的所有资源可以提供如下方式查看:

$ kubectl api-resources

如何理解namespace:

命名空间,集群内一个虚拟的概念,类似于资源池的概念,一个池子里可以有各种资源类型,绝大多数的资源都必须属于某一个namespace。集群初始化安装好之后,会默认有如下几个namespace:

$ kubectl get namespaces
NAME                   STATUS   AGE
default                Active   84m
kube-node-lease        Active   84m
kube-public            Active   84m
kube-system            Active   84m
kubernetes-dashboard   Active   71m

  • 所有NAMESPACED的资源,在创建的时候都需要指定namespace,若不指定,默认会在default命名空间下
  • 相同namespace下的同类资源不可以重名,不同类型的资源可以重名
  • 不同namespace下的同类资源可以重名
  • 通常在项目使用的时候,我们会创建带有业务含义的namespace来做逻辑上的整合
kubectl的使用

类似于docker,kubectl是命令行工具,用于与APIServer交互,内置了丰富的子命令,功能极其强大。 https://kubernetes.io/docs/reference/kubectl/overview/

$ kubectl -h
$ kubectl get -h
$ kubectl create -h
$ kubectl create namespace -h