爱站程序员基地Linux bridge使用dummy接口调用IPVS的问题
在IPVS: How Kubernetes Services Direct Traffic to Pods一文中,作者给出了一个简单的组网(如下)来模拟kubernetes是如何使用IPVS进行通信的。
问题描述
当在
netns_leah
命名空间中测试通过VIP访问
netns_dustin
中的服务时,发现如果不创建一个类型为
dummy
,且IP为VIP(10.100.100.100)的接口时,访问是不通的。作者怀疑
bridge_home
接口并没有调用IPVS规则。
如下图,IPVS规则实际是iptables处理路径上挂载的钩子。
问题分析
按照原文的步骤,创建dummy接口之后就可以成功执行如下命令,从
netns_dustin
命名空间通过VIP访问
netns_dustin
中的服务:
sudo ip netns exec netns_dustin curl 10.100.100.100:8080
抓包发现执行逻辑如下:
如果不配置dummy接口,将不会执行上述第四步,即
bridge_home
不会发起到
netns_dustin
的ARP广播请求,由此可以怀疑,从
netns_leah
到
bridge_home
的SYNC报文并没有经过IPVS规则,由于无法解析VIP,
bridge_home
将根据默认路由转发目的地为VIP的报文。
本机的IP地址(
192.168.118.148
)和默认路由如下:
删除dummy接口,并在出接口
ens33
上抓包,发现
bridge_home
果然按照默认路由转发了报文。
总结
dummy接口相当于提供了一个让
bridge_home
进入iptables的机会,这样就可以使用IPVS规则处理报文。
