怎么访问k8spod，怎么访问别人的空间不留痕迹

k8s网络模式详解

1、K8s（Kubernetes）网络模式主要包括基础通行层、服务发现层、K8s网络通信模型以及“扁平网络”的三种典型实现方式。基础通行层 同一Pod内容器通信：容器共享同一个网络命名空间，相当于同一房间的室友，性能损耗为0%。同节点pod通信：数据通过Linux网桥传输，延时低，但需注意默认Docker0网段可能冲突。

2、K8s（kubernetes）网络模式主要包括基础通行层、服务发现层、K8s网络通信模型以及“扁平网络”的实现方式。基础通行层 同一POD内容器通信：容器共享同一个网络命名空间，相当于同一房间的室友，性能损耗为0%。同节点Pod通信：数据通过linux网桥传输，延时极小，但需注意默认docker0网段可能冲突。

3、覆盖网络模式（Overlay Network）采用 IPIP 或 VXLAN 协议对底层网络数据报文进行封装，然后通过上层覆盖网络通信。适用场景：如果集群 Node 节点处于不同的二层网络中，可能由于到达目标主机的跳数太多导致性能下降，建议采用该模式。

4、FlAnnel：两种实现（UDP和VXLAN），分别涉及TUN设备或VXLAN隧道，以及Host-gw的三层解决方案。 Calico：非IPIP模式利用BGP维护路由，无网桥的直接路由规则；IPIP模式通过IP隧道解决跨子网通信问题。最后，CNI网络插件是K8S的核心组件，负责在Pod创建时设置网络环境，如网络命名空间的配置和路由规则的设定。

5、在Kubernetes集群中使用Flannel插件配置VXLAN网络，以实现节点之间的通信。Flannel是Kubernetes的网络插件，本文通过kubeadm工具安装Kubernetes版本19，网络模式设定为VXLAN。Flannel通过下载并配置`flannel.yml`文件进行安装，之后通过检查安装结果来确认配置成功。

6、通过修改配置，将 CALICO_IPV4POOL_IPIP 值设置为 off，可以将 Calico 网络模式从 IPIP 更改为 BGP。在 BGP 网络中，数据包直接从网卡发送到目的地，无需经过 tunl0 设备，效率更高。

内网k8s机群pod如何上网

1、内网K8s机群中的Pod上网可以通过配置Kubernetes的Service和Endpoints、使用HostNetwork、nodePort或ExternalIPs等方式实现。

2、考虑到Pod网络实现技术众多，为了简化集成，K8S支持CNI（容器网络接口）这样一个标准。不同的网络技术可以通过CNI以插件的形式和K8S进行集成。K8S中的kubelet通过CNI接口去操作Pod网络（如删除或添加网络接口），从而无需关心Pod网络的底层具体实现细节。

3、若办公网络至交换机间有多个网关，需在这些网关上设置合适的路由。至此，基本打通了外部直接访问Pod IP的能力。然而，Cluster IP访问存在限制，通常Calico并未广播Service IP。可通过检查交换机接收到的IP段确认。解决方案是打开相关设置。为了在无需记忆IP的情况下访问服务，将K8s内部DNS暴露出来。

4、NodePort：每个Node分配静态端口，外部流量可通过访问任意Node的该端口访问Service，但需注意安全风险。LoadBalancer：使用云厂商提供的负载均衡器分发外部流量，但需注意成本问题。Ingress：Ingress控制器负责将外部http（S）流量路由到集群内的Service。

5、hostNetwork的基本配置 当Pod的spec中设置了hostNetwork： true时，Pod就会使用宿主机的网络。这意味着Pod内的容器将能够直接访问宿主机的网络配置，包括IP地址、端口等。同时，Pod也将使用宿主机的dns配置，除非通过DNS策略进行修改。DNS策略配置 在hostNetwork模式下，Pod默认会使用宿主机的DNS配置。

6、Pod和Pod在同一个node通过docker0网桥直接通信。Pod和Pod在不同的node需要满足IP分配无冲突，并通过机制关联POD IP和NODE IP。Pod通过ClusterIP访问Service，Service负责分发请求。Service与集群外部客户端的通信通过Ingress、NodePort和Loadbalance实现。

k8s启动pod读不到ETC/profile

1、**挂载问题**：检查Pod的挂载配置，确保/etc/profile所在的文件系统被正确挂载到Pod中。可能需要调整挂载路径或权限设置。 **环境变量设置**：确认Pod的环境变量配置是否正确，某些环境变量可能会影响对/etc/profile的读取。

2、当K8s启动Pod读不到/etc/profile时，可能有以下几种情况及解决办法。 **权限问题**：检查容器内运行的用户对/etc/profile文件是否有足够的读取权限。比如确保运行容器的用户有相应的读权限，若权限不足，可调整文件权限。 **文件不存在**：确认容器镜像中是否包含完整的/etc/profile文件。

3、原因： K8s配置问题：运维在K8s配置中虽然设置了Spring.profiles.active=uat命令行参数，但该参数可能未正确传递到Spring Boot应用中，导致profiles未生效。 环境变量缺失：在Docker容器中，缺少必要的环境变量SPRING_PROFILES_ACTIVE=uat，这也是导致profiles不生效的原因之一。

4、memory profile内存占用和K8s Pod统计不一致的问题可能由Kubernetes的内存管理机制、系统缓存和Buffer、Swap空间、监控工具的问题以及Pod的内存配置等多种因素造成。 Kubernetes的内存管理机制：K8s使用cgroup机制限制和监控容器资源，但这种机制可能不完全反映实际内存使用情况。

5、网络问题：检查Calico等网络插件的状态，确保网络通信正常。存储问题：Pod挂载的共享存储连接不上可能导致Pod启动异常。此时，需要检查共享存储和存储卷的状态是否正常。代码问题：应用程序代码在容器启动后失败。需要排查应用程序代码，确保其能在容器环境中正确运行。

6、检查/etc/resolv.conf文件：在某些情况下，CoreDNS无法启动可能是因为宿主机的/etc/resolv.conf文件中没有配置naMEServer。确保该文件配置正确，或者CoreDNS的配置文件中不依赖于宿主机的/etc/resolv.conf文件。

如何在集群外部通过ip直连Pod?

如果要在集群外部访问pod，通常可以使用三种方式：NodePort，HostPort和LoadBalancer。其中NodePort最为常用，在每个kube-proxy节点上开启代理端口以供外部访问。除此之外有没有别的办法可以在集群直接访问到Pod呢？答案是有的。

首先，确保办公网段与Kubernetes集群网段不同，实现网络连接的关键在于路由方案。建议选择三层路由方案或Host-GW，避免因数据包封包解包过程中路由方向丢失。我所用的集群是Calico，且关闭了IPIP模式。具体IP配置需依据Calico文档。选择Calico的Route Reflectors（RR）或Full-mesh模式时，需权衡资源消耗。

通过将外部服务抽象为Kubernetes Service，并手动指定Endpoints（如果外部服务的IP地址是固定的），Pod可以像访问集群内部服务一样访问外部服务。这种方法需要一定的配置工作，但能够提供较为灵活和可靠的网络访问。使用HostNetwork 让Pod共享节点的网络，这样Pod可以直接访问节点的IP地址，从而访问外部网络。

在同一个节点中，Pod通过veth pairs和网桥进行二层通信；在不同节点上，Pod之间的通信则需要通过节点的网络接口和外部网络进行传输。这种网络通信模型确保了Kubernetes集群中Pod之间的高效、可靠的网络连接，为集群内部的应用提供了稳定的网络通信环境。

OpenShift中存在三层IP地址概念，要从集群外部访问Pod中的应用，通常有两种方式。使用Ansible默认配置部署OpenShift集群时，在集群Infra节点上运行的HAProxy Pod会监听170.0.1上的10443和10444端口。Router服务的部署需要在集群Infra节点上实现，端口只能被占用一次。

K8S网络之Pod网络

1、K8S网络之Pod网络 K8S（Kubernetes）网络中的Pod网络是保证K8S集群中所有Pod能够相互进行IP寻址和通信的关键部分。Pod是K8S基本的调度单位，相当于K8S云平台所提供的虚拟机。Pod网络构建于节点网络之上，又是上层Service网络的基础。

2、内网K8s机群中的Pod上网可以通过配置Kubernetes的Service和Endpoints、使用HostNetwork、NodePort或ExternalIPs等方式实现。配置Kubernetes的Service和Endpoints 通过将外部服务抽象为Kubernetes Service，并手动指定Endpoints（如果外部服务的IP地址是固定的），Pod可以像访问集群内部服务一样访问外部服务。

3、基于k8s multuscni插件实现灵活指定Pod网络类型的实践如下：单独Calico网络配置：部署Calico：使用Calico v8版本，并遵循官方部署指南进行安装。安装multuscni：基于v2版本进行安装。修改配置文件：确保/etc/cni/net.d/00multus.conf中netcalico网络配置正确。