IPv4/IPv6 双协议栈

    IPv4/IPv6 双协议栈能够将 IPv4 和 IPv6 地址分配给 和 Service

    如果你为 Kubernetes 集群启用了 IPv4/IPv6 双协议栈网络, 则该集群将支持同时分配 IPv4 和 IPv6 地址。

    在 Kubernetes 集群上启用 IPv4/IPv6 双协议栈可提供下面的功能:

    • 双协议栈 pod 网络 (每个 pod 分配一个 IPv4 和 IPv6 地址)
    • IPv4 和 IPv6 启用的服务
    • Pod 的集群外出口通过 IPv4 和 IPv6 路由

    先决条件

    为了使用 IPv4/IPv6 双栈的 Kubernetes 集群,需要满足以下先决条件:

    • Kubernetes 1.20 版本及更高版本,有关更早 Kubernetes 版本的使用双栈服务的信息,请参考那个版本的 Kubernetes 文档。
    • 提供商支持双协议栈网络(云提供商或其他提供商必须能够为 Kubernetes 节点提供可路由的 IPv4/IPv6 网络接口)
    • 支持双协议栈的网络插件(如 Kubenet 或 Calico)

    要启用 IPv4/IPv6 双协议栈,为集群的相关组件启用 IPv6DualStack , 并且设置双协议栈的集群网络分配:

    • kube-apiserver:
      • --feature-gates="IPv6DualStack=true"
      • --service-cluster-ip-range=<IPv4 CIDR>,<IPv6 CIDR>
    • kube-controller-manager:
      • --feature-gates="IPv6DualStack=true"
      • --cluster-cidr=<IPv4 CIDR>,<IPv6 CIDR> 例如 --cluster-cidr=10.244.0.0/16,fc00::/48
      • --service-cluster-ip-range=<IPv4 CIDR>,<IPv6 CIDR> 例如 --service-cluster-ip-range=10.0.0.0/16,fd00::/108
      • --node-cidr-mask-size-ipv4|--node-cidr-mask-size-ipv6 对于 IPv4 默认为 /24,对于 IPv6 默认为 /64
    • kubelet:
      • --feature-gates="IPv6DualStack=true"
    • kube-proxy:
      • --cluster-cidr=<IPv4 CIDR>,<IPv6 CIDR>
      • --feature-gates="IPv6DualStack=true"

    服务

    如果你的集群启用了 IPv4/IPv6 双协议栈网络,则可以使用 IPv4 或 IPv6 地址来创建 Service。 服务的地址族默认为第一个服务集群 IP 范围的地址族(通过 kube-controller-manager 的 --service-cluster-ip-range 参数配置) 当你定义服务时,可以选择将其配置为双栈。若要指定所需的行为,你可以设置 .spec.ipFamilyPolicy 字段为以下值之一:

    • SingleStack:单栈服务。控制面使用第一个配置的服务集群 IP 范围为服务分配集群 IP。
    • PreferDualStack
      • 仅当集群启用了双栈时使用。为服务分配 IPv4 和 IPv6 集群 IP。
      • 如果集群没有启用双堆栈,则此设置与 SingleStack 行为相同。
    • RequireDualStack:从 IPv4 和 IPv6 的地址范围分配服务的 .spec.ClusterIPs
      • 从基于在 .spec.ipFamilies 数组中第一个元素的地址族的 .spec.ClusterIPs 列表中选择 .spec.ClusterIP
      • 集群必须配置双栈网络

    如果你想要定义哪个 IP 族用于单栈或定义双栈 IP 族的顺序,可以通过设置服务上的可选字段 .spec.ipFamilies 来选择地址族。

    • ["IPv4"]
    • ["IPv6"]
    • ["IPv4","IPv6"] (双栈)

    你所列出的第一个地址族用于原来的 .spec.ClusterIP 字段。

    以下示例演示多种双栈服务配置场景下的行为。

    新服务的双栈选项

    1. 此服务规约中没有显式设定 .spec.ipFamilyPolicy。当你创建此服务时,Kubernetes 从所配置的第一个 service-cluster-ip-range 种为服务分配一个集群IP,并设置 .spec.ipFamilyPolicySingleStack。 (和 无头服务的行为方式 与此相同。)

    2. 此服务规约显式地将 .spec.ipFamilyPolicy 设置为 PreferDualStack。 当你在双栈集群上创建此服务时,Kubernetes 会为该服务分配 IPv4 和 IPv6 地址。 控制平面更新服务的 .spec 以记录 IP 地址分配。 字段 .spec.ClusterIPs 是主要字段,包含两个分配的 IP 地址;.spec.ClusterIP 是次要字段, 其取值从 .spec.ClusterIPs 计算而来。

      service/networking/dual-stack-preferred-svc.yaml IPv4/IPv6 双协议栈 - 图1

      1. apiVersion: v1
      2. kind: Service
      3. metadata:
      4.   name: my-service
      5.   labels:
      6.     app: MyApp
      7. spec:
      8.   ipFamilyPolicy: PreferDualStack
      10.     app: MyApp
      11.   ports:
      12.     - protocol: TCP
      13.       port: 80

    3. 下面的服务规约显式地在 .spec.ipFamilies 中指定 IPv6IPv4,并 将 .spec.ipFamilyPolicy 设定为 PreferDualStack。 当 Kubernetes 为 .spec.ClusterIPs 分配一个 IPv6 和一个 IPv4 地址时, .spec.ClusterIP 被设置成 IPv6 地址,因为它是 .spec.ClusterIPs 数组中的第一个元素, 覆盖其默认值。

      1. apiVersion: v1
      2. kind: Service
      3. metadata:
      4.   name: my-service
      5.   labels:
      6.     app: MyApp
      7. spec:
      8.   ipFamilyPolicy: PreferDualStack
      9.   ipFamilies:
      10.   - IPv6
      11.   - IPv4
      12.   selector:
      13.     app: MyApp
      14.   ports:
      15.     - protocol: TCP
      16.       port: 80

    现有服务的双栈默认值

    下面示例演示了在服务已经存在的集群上新启用双栈时的默认行为。

    1. 在集群上启用双栈时,控制面会将现有服务(无论是 IPv4 还是 IPv6)配置 .spec.ipFamilyPolicy 设置为 SingleStack 并设置 .spec.ipFamilies 为服务的当前地址族。

      service/networking/dual-stack-default-svc.yaml IPv4/IPv6 双协议栈 - 图2

      1. kubectl get svc my-service -o yaml
      1. apiVersion: v1
      2. kind: Service
      3. metadata:
      4.   labels:
      5.     app: MyApp
      6.   name: my-service
      7. spec:
      8.   clusterIPs:
      9.   - 10.0.197.123
      10.   ipFamilies:
      11.   - IPv4
      12.   ipFamilyPolicy: SingleStack
      13.   ports:
      14.   - port: 80
      15.     protocol: TCP
      16.     targetPort: 80
      17.   selector:
      19.   type: ClusterIP
      20. status:
      21.   loadBalancer: {}

    2. 在集群上启用双栈时,带有选择算符的现有 由控制面设置 .spec.ipFamilyPolicySingleStack 并设置 .spec.ipFamilies 为第一个服务群集 IP 范围的地址族(通过配置 kube-controller-manager 的 --service-cluster-ip-range 参数),即使 .spec.ClusterIP 的设置值为 None 也如此。

      service/networking/dual-stack-default-svc.yaml

      你可以通过使用 kubectl 检查带有选择算符的现有无头服务来验证此行为。

      1. kubectl get svc my-service -o yaml
      1. apiVersion: v1
      2. kind: Service
      3. metadata:
      4.   labels:
      5.     app: MyApp
      6.   name: my-service
      7. spec:
      8.   clusterIP: None
      9.   clusterIPs:
      10.   - None
      11.   ipFamilies:
      12.   - IPv4
      13.   ipFamilyPolicy: SingleStack
      14.   ports:
      15.   - port: 80
      16.     protocol: TCP
      17.     targetPort: 80
      18.   selector:
      19.     app: MyApp

    在单栈和双栈之间切换服务

    服务可以从单栈更改为双栈,也可以从双栈更改为单栈。

    1. 要将服务从单栈更改为双栈,根据需要将 .spec.ipFamilyPolicySingleStack 改为 PreferDualStackRequireDualStack。 当你将此服务从单栈更改为双栈时,Kubernetes 将分配缺失的地址族,以便现在该服务具有 IPv4 和 IPv6 地址。 编辑服务规约将 .spec.ipFamilyPolicySingleStack 改为 PreferDualStack

      之前:

      之后:

      1. spec:
      2.   ipFamilyPolicy: PreferDualStack

    2. 要将服务从双栈更改为单栈,请将 .spec.ipFamilyPolicyPreferDualStackRequireDualStack 改为 SingleStack。 当你将此服务从双栈更改为单栈时,Kubernetes 只保留 .spec.ClusterIPs 数组中的第一个元素,并设置 .spec.ClusterIP 为那个 IP 地址, 并设置 .spec.ipFamilies.spec.ClusterIPs 地址族。

    对于, 若没有显式设置 .spec.ipFamilyPolicy,则 .spec.ipFamilyPolicy 字段默认设置为 RequireDualStack

    要为你的服务提供双栈负载均衡器:

    • .spec.type 字段设置为 LoadBalancer
    • .spec.ipFamilyPolicy 字段设置为 PreferDualStack 或者

    接下来