Eine kleine Cloud-Netzwerk-Topologie

Unsere kleine Cloud-Netzwerk-Topologie nutzt nur einen einzigen VPC. Auf den ersten Blick mag das einschränkend erscheinen - kann ein einzelner VPC ausreichend skalieren? Ist diese Art von Topologie nur für die kleinsten Kunden geeignet, die nur wenige Workloads in der Public Cloud haben?

Wenn du über Skalierbarkeit nachdenkst, solltest du diese Dimensionen berücksichtigen:

IP-Adressierung

Wenn du eine VPC erstellst, musst du einen CIDR-Block (Classless Inter-Domain Routing) angeben. Es wird empfohlen, Blöcke aus den Bereichen zu verwenden, die in RFC 1918 und RFC 6598 angegeben sind. Die Größe des Blocks kann von einem /16 (mit bis zu 65.536 IP-Adressen) bis zu einem /28 (mit nur 16 IP-Adressen) reichen. Außerdem kannst du CIDR-Blöcke hinzufügen - bis zu vier zusätzliche, sich nicht überschneidende Blöcke, also insgesamt fünf CIDR-Blöcke in einem VPC - um noch mehr verfügbare IP-Adressen bereitzustellen. Fünf /16 CIDR-Blöcke würden über 300.000 IP-Adressen bereitstellen.

Bandbreite

AWS bietet zwei Mechanismen, um Arbeitslasten mit dem Internet zu verbinden. Für Arbeitslasten in einem öffentlichen Subnetz verwendest du ein Internet-Gateway. AWS beschreibt diese Komponente als "eine horizontal skalierte, redundante und hochverfügbare VPC-Komponente", die "keine Verfügbarkeitsrisiken oder Bandbreitenbeschränkungen verursacht"; siehe die Amazon VPC-Dokumentation. Für Workloads in einem privaten Subnetz verwendest du in der Regel ein NAT-Gateway, das laut AWS bis zu 100 Gbit/s skaliert. NAT steht für Network Address Translation (Netzwerkadressübersetzung) und bezeichnet den Prozess, bei dem private (nicht routingfähige) IP-Adressen auf öffentliche (routingfähige) IP-Adressen abgebildet werden.

Verfügbarkeit

Eine einzelne VPC kann sich über mehrere Verfügbarkeitszonen erstrecken, aber nicht über mehrere Regionen. Eine Region ist in der AWS-Sprache eine Gruppierung von Rechenzentren. Eine Verfügbarkeitszone(AZ) innerhalb einer Region ist ein physisch getrennter, isolierter logischer Cluster von Rechenzentren. Jede Verfügbarkeitszone verfügt über eine unabhängige Stromversorgung, Kühlung und redundante Netzwerkverbindungen. Die AZs innerhalb einer Region verfügen über Hochgeschwindigkeitsverbindungen mit geringer Latenzzeit untereinander. Der Gedanke hinter der Überbrückung mehrerer AZs ist, dass ein Ausfall in einer AZ einer Region in der Regel keine Auswirkungen auf andere AZs in einer Region hat und du so in der Lage bist, Ausfälle besser zu überstehen. Ein Subnetz ist auf eine einzelne AZ beschränkt und kann keine AZs überspannen.

Sicherheit

AWS bietet Mechanismen zur Verkehrsfilterung auf Netzwerkebene (sogenannte Netzwerk-Zugriffskontrolllisten) und Mechanismen zur Verkehrsfilterung auf Host-Ebene (sogenannte Sicherheitsgruppen). Netzwerk-Zugriffskontrolllisten (Network ACLs oder NACLs) sind zustandslos und funktionieren auf der Netzwerkebene (genauer gesagt auf der Subnetzebene). NACL-Regeln werden in der Reihenfolge der ihnen zugewiesenen Nummer abgearbeitet (betrachte die Nummer als Priorität: Die Regel mit der niedrigsten Nummer entscheidet zuerst oder hat die höchste Priorität). Sicherheitsgruppen hingegen sind zustandsbehaftet, arbeiten auf Instanzebene und werten alle Regeln aus, bevor sie entscheiden, ob sie den Verkehr zulassen. NACLs und Sicherheitsgruppen können - und sollten - zusammen verwendet werden, um die stärkste Kontrolle über die Arten von Datenverkehr zu ermöglichen, die zwischen den Workloads in einer VPC erlaubt oder nicht erlaubt sind.

Keiner dieser Bereiche stellt eine nennenswerte Einschränkung dar, was beweist, dass selbst ein Cloud-Netzwerkdesign, das eine einzelne VPC nutzt, auf Tausende von Workloads skaliert werden kann und dabei ausreichend Bandbreite, Verfügbarkeit und Sicherheit für die darin enthaltenen Workloads bietet.

In Abbildung 4-1 bringen wir all diese Konzepte zusammen, um ein typisches Single-VPC-Design in AWS zu erstellen.

Abbildung 4-1. Einzelne AWS VPC Netzwerktopologie

All diese Dinge könnten manuell erstellt und über die AWS Management Console miteinander verknüpft werden, aber die Chance für den Netzwerkingenieur besteht hier darin, diesen Prozess mit Hilfe von IaC-Tools und -Prozessen zu automatisieren. In "Netzwerkautomatisierung in der Cloud" besprechen wir die verfügbaren programmierbaren Optionen für die Verwaltung von Cloud-Ressourcen.

Eine mittlere Cloud-Netzwerk-Topologie

Obwohl eine einzelne VPC sehr skalierbar ist, gibt es Gründe, mehrere VPCs zu verwenden. Der offensichtlichste Grund ist, dass sich eine VPC nicht über eine AWS-Region erstrecken kann; jede VPC ist auf die Region beschränkt, in der sie erstellt wurde. Wenn du eine Netzwerktopologie entwerfen musst, die Arbeitslasten in mehreren Regionen aufnehmen kann, ist eine Multi-VPC-Topologie die richtige Wahl. Es gibt auch andere Gründe für die Verwendung mehrerer VPCs. Nur weil du Tausende von Arbeitslasten in einer einzigen VPC unterbringen kannst, heißt das nicht unbedingt, dass du das auch tun solltest.

Öffentliche Cloud-Provider konzipieren ihre Infrastruktur so, dass sie hochverfügbar ist, und drücken dies in Form von Verfügbarkeits- und Haltbarkeits-SLAs aus. Um über diese Angebote hinauszugehen, musst du deine eigenen Hochverfügbarkeitsarchitekturen schaffen, so wie wir es in unseren Rechenzentren vor Ort tun.

Sobald deine Topologie aus mehreren VPCs besteht, entstehen neue Herausforderungen für den Netzwerkingenieur:

Verwaltung des IP-Adressraums

Während jeder VPC identische, sich überschneidende CIDR-Blöcke haben kann, brauchst du, sobald du VPCs miteinander verbinden willst, nicht überschneidende CIDR-Blöcke. Du musst einen Plan erstellen, wie die IP-Adressen aufgeteilt und den VPCs in mehreren Regionen zugewiesen werden, und gleichzeitig zukünftiges Wachstum einplanen (in Bezug auf zukünftige Subnetze in bestehenden VPCs, zusätzliche VPCs in aktuellen Regionen und neue VPCs in ganz neuen Regionen).

Konnektivität

AWS bietet eine Möglichkeit, VPCs über VPC-Peering miteinander zu verbinden. VPC-Peering bietet nicht-transitive Konnektivität zwischen zwei VPCs und erfordert, dass die VPC-Routentabellen explizit mit Routen zu den Peer-VPCs aktualisiert werden. Wenn die Zahl der VPCs klein ist, ist die Nutzung von VPC-Peering überschaubar, aber wenn die Zahl der VPCs wächst, steigt auch die Zahl der Verbindungen und die Zahl der zu aktualisierenden und zu pflegenden Routentabellen.

Verbrauchsabhängige Preise

Auch wenn du als Netzwerkingenieur eine Topologie entwerfen kannst, die die notwendige Konnektivität zwischen allen Workloads in allen VPCs in allen Regionen gewährleistet, wird deine Topologie diese Konnektivität auf die kosteneffizienteste Weise bereitstellen, wenn die Nutzung steigt? Das bedeutet, dass du die Gebühren für den Verkehr zwischen den VPCs, die Gebühren für den Verkehr zwischen den Regionen und die Egress-Gebühren für internetbasierte Ziele berücksichtigen musst (um nur einige zu nennen).

All diese Überlegungen kommen zu dem hinzu, was bereits für kleinere (einzelne VPC) Cloud-Netzwerktopologien erforderlich ist.

Eine große Cloud-Netzwerk-Topologie

In einer großen Cloud-Netzwerktopologie hast du es mit mehreren Dutzend VPCs in mehreren Regionen weltweit zu tun. VPC-Peering ist keine brauchbare Option mehr. Es gibt einfach zu viele Peering-Verbindungen, die verwaltet werden müssen, und nichttransitive Verbindungen sorgen für noch mehr Komplexität.

Es ergeben sich neue Überlegungen zur Gestaltung:

Zentralisierte Konnektivität

Mit Tools wie Transit-VPCs und Transit-Gateways kannst du von der nicht-transitiven VPC-Peering-Konnektivität zu einer vollständig gerouteten Lösung wechseln. Mit diesen Tools kannst du auch zusätzliche Optionen wie AWS Direct Connect (für dedizierte Konnektivität zurück zu lokalen Netzwerken) oder VPN-Funktionen integrieren. Auch die Implementierung eines zentralen Egresses - bei dem die "Spoke"-VPCs NAT-Gateways in der "Hub"-VPC für die Internetanbindung nutzen - ist möglich. In all diesen Fällen musst du eine Routing-Strategie wie statisches Routing oder ein dynamisches Routing-Protokoll wie BGP festlegen.

Architekturen mit mehreren Konten

In so großen Topologien ist es viel wahrscheinlicher, dass du auf Situationen triffst, in denen ganze VPCs zu verschiedenen AWS-Konten gehören. Deine Netzwerktopologie muss nun berücksichtigen, wie du eine sichere Verbindung zwischen Ressourcen herstellen kannst, die verschiedenen Unternehmen gehören.

Mit den erwähnten zentralisierten Konnektivitäts-Tools können wir Cloud-Netzwerke erweitern, um andere Cloud-Provider und lokale Netzwerke zu erreichen.

Eine hybride Cloud-Netzwerk-Topologie

Mit der zunehmenden Verbreitung von Cloud-Diensten werden neue Verbindungsszenarien immer häufiger. Zu diesen Szenarien gehören die Verbindung verschiedener Cloud-Provider (öffentlich oder privat) und die Verbindung dieser Cloud-Provider mit lokalen Netzwerken. Laut Flexeras 2023 State of the Cloud Report nutzen 87 % der befragten Unternehmen mehr als einen Cloud-Provider. Außerdem werden die Grenzen zwischen diesen Umgebungen immer unschärfer, da Cloud-Dienste auch in den Rechenzentren der Kunden vor Ort laufen können (z. B. AWS Outposts Service). Die Branche verwendet den Begriff Hybrid Cloud, um diese Szenarien zu beschreiben.

Abgesehen von den Herausforderungen bei der Verwaltung und Orchestrierung der verschiedenen Infrastrukturdienste (und der darauf aufbauenden Anwendungen), besteht die erste offensichtliche Herausforderung darin, wie all diese Umgebungen miteinander verbunden werden können.

Für die Hybrid-Cloud-Konnektivität gibt es keine Einheitslösung. Alle Public Cloud-Provider bieten Mechanismen an, um ihre Dienste mit lokalen Netzwerken zu verbinden. Diese Mechanismen basieren in der Regel auf VPN-Verbindungen oder speziellen Konnektivitätsdiensten (z. B. AWS Direct Connect oder Azure ExpressRoute). Abbildung 4-2 zeigt ein Beispiel für eine hybride Cloud-Netzwerktopologie: Ein lokales Netzwerk ist über dedizierte Transportdienste mit den AWS- und Azure-Clouds verbunden, und die Routing-Informationen werden über BGP ausgetauscht. Du könntest beide Cloud-Provider auch über das lokale Netzwerk verbinden.

Abbildung 4-2. Hybride Netzwerktopologie

Diese Konnektivitätsmechanismen sind jedoch nicht in der Lage, Cloud-Provider direkt miteinander zu verbinden. Um Cloud-Provider miteinander zu verbinden, musst du andere Lösungen nutzen, wie z. B. das Routing über ein lokales Netzwerk (siehe Abbildung 4-2 ) oder die Einrichtung eigener VPN-Verbindungen zwischen den Cloud-Providern, um ein Overlay-Netzwerk zu schaffen. Wenn dir die Verwaltung dieser Verbindungen zu mühsam wird, kannst du auf Drittanbieter zurückgreifen, die diese Verbindungen für dich orchestrieren. Zwei Beispiele für diese Anbieter sind Aviatrix und Alkira.

In jedem Fall musst du eine Netzwerktopologie entwerfen, die es ermöglicht, all diese Umgebungen mit einer einheitlichen Netzwerkadressierung und einem Routingplan zwischen den Netzwerksegmenten zu verbinden. Dies erfordert die Netzwerkkenntnisse, die du in deiner Karriere als Netzwerktechniker/in entwickelt hast.

Außerdem steigt mit zunehmender Komplexität auch der Bedarf an Automatisierung exponentiell an. Es gibt immer mehr "Dinge", die verwaltet und konfiguriert werden müssen, z. B. Transit-Gateway-Anhänge, VPN-Verbindungen oder separate Subnetze für bestimmte Arten von Verbindungen. Um sie effektiv zu verwalten, ist eine Form der Automatisierung erforderlich.

Nutzung der APIs des Cloud-Providers

Cloud-Provider bieten API-first-Plattformen an. Sie verfügen über eine Vielzahl von APIs, mit denen die Bereitstellung von Cloud-Ressourcen automatisiert werden kann. Jede andere Methode (d.h. CLI-Tools oder eigens entwickelte Tools) ist nur ein Wrapper um diese APIs.

Allerdings wirst du die APIs in der Regel nicht direkt nutzen. Selbst wenn du direkt auf die APIs zugreifen willst, wirst du wahrscheinlich eine Programmiersprache verwenden, die einen Wrapper um die API herum implementiert (d. h. ein Software Development Kit oder SDK). AWS unterhält zum Beispiel viele SDKs für verschiedene Programmiersprachen, wie Boto3 für Python und AWS SDK für Go. Die Verwendung eines SDKs macht die Interaktion mit der API einfacher, da du dich nicht um die HTTP-Anfragen und -Antworten kümmern musst.

In den folgenden Kapiteln lernst du etwas über Programmiersprachen (Kapitel 6 und 7) sowie über HTTP-APIs(Kapitel 10). Deshalb werden wir hier keine Beispiele für die Nutzung von APIs behandeln. Beispiele für die Verwendung von REST-APIs, wie die von AWS, findest du in Kapitel 10. Dort lernst du, wie du mit verschiedenen Methoden wie cURL, Postman, Python und Go mit den APIs interagieren kannst. Auch wenn diese Beispiele nicht spezifisch für die Bereitstellung von Cloud-Diensten sind, gelten für alle APIs die gleichen Prinzipien, sodass du das Wissen auf den Anwendungsfall der Bereitstellung von Cloud-Diensten anwenden kannst.

Verwendung des CLI-Tools des Cloud-Providers

Die Befehlszeilenschnittstelle ist eine weitere Benutzeroberfläche, um mit den APIs des Cloud-Providers zu interagieren. Das CLI-Tool, das von vielen Cloud-Providern angeboten wird, ist oft nur ein Wrapper für die Standard-APIs des Anbieters, was die Interaktion mit ihnen erleichtert. Das AWS CLI-Tool nutzt zum Beispiel ein Python-SDK, um diese Benutzeroberfläche bereitzustellen.

Das CLI-Tool kann manuell von einem Betreiber verwendet werden, um die Cloud-Dienste zu verwalten, oder es kann auf automatisierte Weise eingesetzt werden. Zum Beispiel kannst du das CLI-Tool in einem Shell-Skript verwenden. In Kapitel 12 findest du Beispiele (mit der notwendigen Konfiguration) für die Verwendung des AWS CLI-Tools zur Interaktion mit der AWS-Cloud. In der Zwischenzeit zeigen wir dir anhand eines Beispiels aus dem AWS CLI-Repository, wie du das AWS CLI-Tool zur Erstellung einer VPC verwendest:

$ aws ec2 create-vpc \                                                  
    --cidr-block 10.0.0.0/16 \                                          
    --tag-specification ResourceType=vpc,Tags=[{Key=Name,Value=MyVpc}]` 

{                                                                       
    "Vpc": {
        "CidrBlock": "10.0.0.0/16",
        "DhcpOptionsId": "dopt-5EXAMPLE",
        "State": "pending",
        "VpcId": "vpc-0a60eb65b4EXAMPLE",
        "OwnerId": "123456789012",
        "InstanceTenancy": "default",
        "Ipv6CidrBlockAssociationSet": [],
        "CidrBlockAssociationSet": [
            {
                "AssociationId": "vpc-cidr-assoc-07501b79ecEXAMPLE",
                "CidrBlock": "10.0.0.0/16",
                "CidrBlockState": {
                    "State": "associated"
                }
            }
        ],
        "IsDefault": false,
        "Tags": [
            {
                "Key": "Name",
                "Value": MyVpc"
            }
        ]
    }
}

aws ec2 create-vpc ist der Befehl zum Erstellen einer VPC; ec2 ist der AWS-Servicetyp, und create-vpc ist die spezifische Aktion.

Jede AWS-Ressource hat obligatorische und optionale Argumente. Für die VPC ist nur der CIDR-Block obligatorisch.

Tagsoder Metadaten, ist ein gemeinsamer Parameter für alle Cloud-Ressourcen, um weitere Dimensionen hinzuzufügen und die Klassifizierung der Ressourcen zu verbessern.

Die Ausgabe des Befehls ist ein JSON-Objekt mit den Details der erstellten VPC, das direkt aus der AWS API-Antwort stammt.

Die vollständige Dokumentation des AWS CLI-Tools findest du online.

Verwendung eines Tools, das speziell für die Automatisierung der Cloud entwickelt wurde

Zusätzlich zu den APIs des Cloud-Providers wurden spezielle Tools entwickelt, um die Cloud zu automatisieren. Diese Tools werden in der Regel als Infrastruktur-als-Code-Tools bezeichnet, weil sie es dir ermöglichen, deine Infrastruktur als Code zu definieren (in einem deklarativen Ansatz) und sie dann entsprechend zu verwalten.

Du könntest die Cloud auch automatisieren, indem du einen imperativen Ansatz verwendest (z. B. mit Ansible), aber wir halten das für ein Antipattern für die Bereitstellung von Diensten und empfehlen es daher für das Konfigurationsmanagement. Beide Ansätze können nebeneinander bestehen, da du einige Dienste nach der Bereitstellung konfigurieren musst. In Kapitel 12 gehen wir näher auf dieses Thema ein.

Um die Tools, die einen deklarativen Ansatz umsetzen, zu klassifizieren, müssen wir zwei Dimensionen berücksichtigen: ob sie cloud-spezifisch oder multicloud sind und ob sie eine Programmiersprache oder eine domänenspezifische Sprache (DSL) verwenden, um die Infrastruktur zu definieren.

In Tabelle 4-1 verwenden wir diese beiden Dimensionen, um einige der beliebtesten Tools zu klassifizieren.

Du solltest das am besten geeignete Tool für deinen Kontext wählen. In Kapitel 12 erklären wir, wie du Terraform und seine DSL verwendest, denn es ist das beliebteste Tool für Multicloud-Umgebungen.

Nach dieser kurzen Einführung in die Cloud-Vernetzung gehen wir nun auf die Beziehung zwischen Containern und Cloud-Diensten ein.

Linux Netzwerk Namensräume

Namensräume sind ein Isolationsmechanismus; sie schränken ein, was Prozesse in dem Namensraum "sehen" können. Der Linux-Kernel stellt mehrere Namensräume zur Verfügung; für die Netzwerkarbeit sind vor allem die Netzwerk-Namensräume von Bedeutung. Netzwerk-Namensräume können verwendet werden, um mehrere separate Routing-Tabellen oder mehrere separate iptables-Konfigurationen zu unterstützen oder um die Sichtbarkeit von Netzwerkschnittstellen einzuschränken. In mancher Hinsicht sind sie wahrscheinlich am ehesten mit VRF-Instanzen in der Netzwerkwelt verwandt.

Einige Anwendungsfälle für Linux-Netzwerk-Namensräume sind die folgenden:

Pro-Prozess-Routing

Wenn du einen Prozess in seinem eigenen Netzwerk-Namensraum laufen lässt, kannst du das Routing pro Prozess konfigurieren.

Aktivieren von VRF-Konfigurationen

Wir haben zu Beginn dieses Abschnitts erwähnt, dass Netzwerk-Namensräume wahrscheinlich am engsten mit VRF-Instanzen in der Netzwerkwelt verwandt sind.

Unterstützung für sich überschneidende IP-Adressräume

Du könntest auch Namensräume im Netzwerk verwenden, um überlappende IP-Adressräume zu unterstützen, in denen dieselbe Adresse (oder derselbe Adressbereich) für verschiedene Zwecke verwendet wird und unterschiedliche Bedeutungen hat. Im Großen und Ganzen müsstest du dies wahrscheinlich mit Overlay-Netzwerken und/oder NAT kombinieren, um einen solchen Anwendungsfall vollständig zu unterstützen.

Container-Vernetzung

Netzwerk Namensräume sind auch ein wichtiger Bestandteil der Art und Weise, wie Container mit einem Netzwerk verbunden sind. Container-Laufzeiten verwenden Netzwerk-Namensräume, um die Netzwerkschnittstellen und Routing-Tabellen einzuschränken, die der containerisierte Prozess sehen oder nutzen darf.

In dieser Diskussion über Netzwerk-Namensräume liegt der Schwerpunkt auf dem letzten Anwendungsfall, der Vernetzung von Containern, und darauf, wie Netzwerk-Namensräume verwendet werden. Außerdem wird nur erörtert, wie die Docker-Container-Laufzeitumgebung Netzwerk-Namensräume nutzt. Und schließlich werden wir, wie bereits erwähnt, nur Linux-Container besprechen und keine Container auf anderen Betriebssystemen.

Wenn du einen Container startest, erstellt Docker in der Regel einen Netzwerk-Namensraum für diesen Container. Du kannst dieses Verhalten beobachten, indem du den Befehl lsns verwendest. Wenn du zum Beispiel lsns -t net ausführst, um die Netzwerk-Namensräume auf einem Ubuntu-Linux-System anzuzeigen, auf dem keine Container laufen, siehst du nur einen einzigen Netzwerk-Namensraum.

Wenn du jedoch einen Docker-Container auf demselben System mit docker run --name nginxtest -p 8080:80 -d nginx startest, wird lsns -t net etwas anderes anzeigen. Hier ist die Ausgabe von lsns -t net -J, die die Namensräume des Netzwerks als JSON serialisiert auflistet:

{
  "namespaces": [
    {
      "ns": 4026531840,                                       
      "type": "net",
      "nprocs": 132,
      "pid": 1,
      "user": "root",
      "netnsid": "unassigned",
      "nsfs": null,
      "command": "/sbin/init"
    },
    {
      "ns": 4026532233,                                       
      "type": "net",
      "nprocs": 5,
      "pid": 15422,
      "user": "root",
      "netnsid": "0",
      "nsfs": "/run/docker/netns/b87b15b217e8",
      "command": "nginx: master process nginx -g daemon off;" 
    }
  ]
}

Der Host- (oder Root- oder Standard-) Namensraum, der auf jedem Linux-System vorhanden ist. Wenn wir mit Netzwerkschnittstellen, Routing-Tabellen oder anderen Netzwerkkonfigurationen interagieren, arbeiten wir in der Regel mit dem Standard-Namensraum.

Der Namensraum, der von Docker erstellt wurde, als wir den Container ausgeführt (erstellt) haben. Es gibt mehrere Möglichkeiten, um festzustellen, ob es sich um den von Docker erstellten Namensraum handelt, aber in diesem Fall verrät es das Feld command.

In manchen Fällen - wie im vorangegangenen Beispiel - ist es einfach zu erkennen, welcher Netzwerk-Namensraum welcher ist. Für eine konkretere Bestimmung kannst du die folgenden Schritte verwenden:

1. Verwende den Befehl docker container ls, um die Container-ID des betreffenden Containers zu erhalten.

2. Verwende den docker container inspect container-id um die Docker-Laufzeitumgebung dazu zu bringen, detaillierte Informationen über den angegebenen Container zu liefern. Dabei wird eine Menge Ausgabe in JSON erzeugt; du kannst diese Informationen leichter verarbeiten, wenn du sie durch ein Dienstprogramm wie jq leitest.

3. Suche nach der Eigenschaft SandboxKey. Sie gibt einen Pfad an, wie /var/run/docker/netns/b87b15b217e8. Vergleiche das mit der Ausgabe von lsns und seiner Eigenschaft nsfs. Mit Ausnahme des Präfixes /var stimmen die Werte überein, wenn du dir denselben Container ansiehst.

Der Befehl ip (aus dem Paket iproute2 ), der in Kapitel 3 ausführlich behandelt wird, verfügt auch über einen Unterbefehl ip netns, mit dem der Benutzer Netzwerk-Namensräume erstellen, manipulieren und löschen kann. Die von Docker und anderen Container-Laufzeiten erstellten Netzwerk-Namensräume sind jedoch in der Regel für den Benutzer nicht sichtbar, selbst wenn er mit sudo erweiterte Rechte erhält. Der in diesem Abschnitt verwendete Befehl lsns zeigt jedoch Netzwerk-Namensräume an , die von Docker oder einer anderen Container-Laufzeitumgebung erstellt wurden. (Obwohl wir hier nur von Netzwerk-Namensräumen sprechen, kann lsns alle Arten von Namensräumen anzeigen, nicht nur Netzwerk-Namensräume).

Netzwerk-Namensräume können nicht nur in Containern verwendet werden. Einen detaillierteren Einblick in die Arbeit mit Netzwerk-Namensräumen, die nicht in Containern verwendet werden, findest du in den zusätzlichen Online-Inhalten zu diesem Buch. Dort findest du Beispiele dafür, wie du mit dem Befehl ip netns die Netzwerkkonfiguration eines Linux-Hosts manipulieren kannst, z. B. indem du Schnittstellen zu einem Netzwerk-Namensraum hinzufügst oder daraus entfernst.

Linux-Namensräume sind eine wichtige Komponente für die Vernetzung von Containern, aber ohne einen Mechanismus, der das Verhalten einer echten Netzwerkschnittstelle simuliert, wären die Möglichkeiten unserer Systeme, Container mit dem Netzwerk zu verbinden, stark eingeschränkt. Tatsächlich könnten wir nur so viele Container betreiben, wie wir physische Netzwerkschnittstellen im Host unterbringen können. Virtuelle Ethernet-Schnittstellen sind die Lösung für diese Einschränkung.

Virtuelle Ethernet-Schnittstellen

So wie der Linux-Kernel mit Hilfe von Namensräumen eine Netzwerkisolierung ermöglicht, kannst du mit virtuellen Ethernet-Schnittstellen (auch Veth-Schnittstellen genannt) diese Isolierung absichtlich durchbrechen. Veth-Schnittstellen sind logische Schnittstellen; sie entsprechen keiner physischen Netzwerkkarte oder anderen Hardwarekomponenten. Daher kannst du viel mehr Veth-Schnittstellen haben als physische Schnittstellen.

Außerdem gibt es Veth-Schnittstellen immer in Paaren: Der Verkehr, der an einer Schnittstelle des Paares eingeht, kommt an der anderen Schnittstelle des Paares wieder heraus. Aus diesem Grund werden sie auch als Veth-Paare bezeichnet. Wie andere Arten von Netzwerkschnittstellen kann auch eine Veth-Schnittstelle einem Netzwerk-Namensraum zugewiesen werden. Wenn eine Veth-Schnittstelle - ein Mitglied eines Veth-Paars - einer Netzwerkschnittstelle zugewiesen wird, hast du gerade zwei Netzwerk-Namensräume miteinander verbunden (weil der Verkehr, der in eine Veth-Schnittstelle in einem Namensraum eintritt, die andere Veth-Schnittstelle im anderen Namensraum verlässt).

Dieses Verhalten - ein Mitglied eines Veth-Paares in einen Netzwerk-Namensraum zu legen und die andere Schnittstelle im Host- (oder Standard-) Namensraum zu belassen - ist der Schlüssel zum Container-Netzwerk. So funktionieren alle grundlegenden Container-Netzwerke.

Mit dem gleichen Docker-Container, der im vorherigen Abschnitt erstellt wurde (ein einfacher nginx-Container, der mit dem Befehl docker run --name nginxtest -p 8080:80 -d nginx gestartet wurde), wollen wir uns nun ansehen, wie das Netzwerk dieses Containers gehandhabt wird.

Zunächst kennst du bereits den Netzwerk-Namensraum, den der nginx-Container verwendet; du hast ihn mit lsns -t net und docker container inspect ermittelt und die Eigenschaften nsfs und SandboxKey der beiden Befehle abgeglichen.

Mit diesen Informationen kannst du nun den Befehl nsenter verwenden, um andere Befehle innerhalb des Namensraums des nginx-Docker-Containers auszuführen. (Ausführliche Informationen über den Befehl nsenter findest du unter man nsenter.) Das Flag nsenter, mit dem du einen Befehl im Netzwerk-Namensraum eines anderen Prozesses ausführen kannst, lautet -n oder --net. Mit diesem Flag gibst du den Netzwerk-Namensraum für den nginx-Container an, wie in Beispiel 4-1 gezeigt.

ubuntu2004:~$ sudo nsenter --net=/run/docker/netns/b87b15b217e8 ip link list
1: lo: LOOPBACK,UP,LOWER_UP mtu 65536 qdisc noqueue state UNKNOWN mode DEFAULT
 group default qlen 1000
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
4: eth0@if5: BROADCAST,MULTICAST,UP,LOWER_UP mtu 1500 qdisc noqueue state UP  
 mode DEFAULT group default
    link/ether 02:42:ac:11:00:02 brd ff:ff:ff:ff:ff:ff link-netnsid 0

Vergleiche das mit der Ausgabe von ip link list im Netzwerk-Namensraum host (default) aus Beispiel 4-2.

ubuntu2004:~$ ip link list
1: lo: LOOPBACK,UP,LOWER_UP mtu 65536 qdisc noqueue state UNKNOWN mode DEFAULT
 group default qlen 1000
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
2: ens5: BROADCAST,MULTICAST,UP,LOWER_UP mtu 9001 qdisc mq state UP mode DEFAULT
 group default qlen 1000
    link/ether 02:95:46:0b:0f:ff brd ff:ff:ff:ff:ff:ff
    altname enp0s5
3: docker0: BROADCAST,MULTICAST,UP,LOWER_UP mtu 1500 qdisc noqueue state UP mode
 DEFAULT group default
    link/ether 02:42:70:88:b6:77 brd ff:ff:ff:ff:ff:ff
5: veth68bba38@if4: BROADCAST,MULTICAST,UP,LOWER_UP mtu 1500 qdisc noqueue master 
 docker0 state UP mode DEFAULT group default
    link/ether a6:e9:87:46:e7:45 brd ff:ff:ff:ff:ff:ff link-netnsid 0

Die Verbindung zwischen den beiden Ausgängen ist das Suffix @ifX. Bei der Schnittstelle mit dem Index 5 (das ist die Schnittstelle veth68bba38 im Host-Namensraum) zeigt das Suffix auf die Schnittstelle, deren Index 4 ist. Die Schnittstelle mit dem Index 4 ist eth0 im Netzwerk-Namensraum des nginx-Containers (siehe Beispiel 4-1), und ihr Suffix zeigt auf den Schnittstellenindex 5 (siehe Beispiel 4-2).

So kannst du Veth-Paare bestimmen. In diesem Fall siehst du, dass Docker ein Veth-Paar für diesen Container erstellt hat. Ein Teil des veth-Paares befindet sich im Netzwerk-Namensraum des nginx-Containers, der andere Teil des veth-Paares bleibt im Host-Namensraum. In dieser Konfiguration wird der Datenverkehr, der in eth0@if5 im Netzwerk-Namensraum des nginx-Containers eingeht, veth68bba38@if4 im Host-Namensraum verlassen und somit von einem Namensraum in einen anderen Namensraum wechseln.

Veth-Schnittstellen ermöglichen es dem Container-Verkehr, aus seinem eigenen Netzwerk-Namensraum in den Netzwerk-Namensraum des Hosts zu gelangen (vorausgesetzt, der Container wurde nicht mit dem --network=host Flag gestartet). Aber wie kommt der Verkehr von der Veth-Schnittstelle im Host-Namensraum in das physische Netzwerk? Wenn du auf eine Bridge tippst, hast du richtig geraten! (Um fair zu sein, wurden Bridges am Anfang dieses Abschnitts als Bestandteil des Container-Netzwerks aufgeführt).

Der Schlüssel in Beispiel 4-2, wie in "Bridging (Switching)" beschrieben , ist das Auftauchen von master docker0 in Verbindung mit veth68bba38@if4. Das Vorhandensein dieses Textes zeigt an, dass die angegebene Schnittstelle Mitglied der docker0 Linux-Bridge ist. Wenn du dir die übrigen Schnittstellen ansiehst, wirst du jedoch feststellen, dass keine von ihnen Mitglied der docker0 Bridge ist. Wie kommt der Datenverkehr dann tatsächlich in das physische Netzwerk? An dieser Stelle kommt das IP-Masquerading ins Spiel, das letzte Teil des Puzzles, wie sich Docker-Container auf einem Linux-Host mit einem Netzwerk verbinden.

IP-Masquerading

Bei der Erkundung von Container-Netzwerken hast du bisher gesehen, wie Container-Laufzeitsysteme wie Docker Netzwerk-Namensräume nutzen, um eine Isolierung zu gewährleisten - um zu verhindern, dass ein Prozess in einem Container Zugriff auf die Netzwerkinformationen eines anderen Containers oder des Hosts hat. Du hast auch gesehen, wie Veth-Schnittstellen (auch als Veth-Paare bezeichnet) verwendet werden, um den Netzwerk-Namensraum eines Containers mit dem Netzwerk-Namensraum des Hosts zu verbinden. Aufbauend auf die ausführliche Behandlung von Schnittstellen, Bridging und Routing in Kapitel 3 hast du auch gesehen, wie eine Linux-Bridge in Verbindung mit den veth-Schnittstellen im Host-Namensraum verwendet wird. Jetzt fehlt nur noch ein Teil: Der Containerverkehr muss aus dem Host heraus und in das Netzwerk gelangen. Hier kommt das IP-Masquerading ins Spiel.

MitIP-Masquerading kann Linux so konfiguriert werden, dass es NAT ausführt. Wie du wahrscheinlich weißt, ermöglicht NAT einem oder mehreren Computern, sich unter einer anderen Adresse mit einem Netzwerk zu verbinden. Beim IP-Masquerading verbinden sich ein oder mehrere Computer mit einem Netzwerk, indem sie die IP-Adresse des Linux-Servers verwenden. RFC 2663 bezeichnet diese Form von NAT als Network Address Port Translation(NAPT); sie wird auch als One-to-Many NAT, Many-to-One NAT, Port Address Translation(PAT) und NAT Overload bezeichnet.

Bevor wir weitermachen, sollten wir erwähnen, dass Docker verschiedene Arten von Netzwerken unterstützt:

Brücke

Dies ist die Standard-Vernetzung. Sie nutzt Veth-Schnittstellen, eine Linux-Bridge und IP-Masquerading, um Container mit physischen Netzwerken zu verbinden.

Gastgeber

Bei der Verwendung von Netzwerken im Host-Modus wird der Docker-Container nicht in seinem eigenen Netzwerk-Namensraum isoliert, sondern verwendet den Netzwerk-Namensraum des Hosts (Standard). Die offenen Ports des Containers sind über die IP-Adresse des Hosts verfügbar.

Overlay

Overlay-Netzwerke schaffen ein verteiltes Netzwerk, das mehrere Docker-Hosts umfasst. Die Overlay-Netzwerke werden mit VXLAN aufgebaut, das in RFC 7348 definiert ist. Diese Art der Vernetzung ist direkt mit dem Container-Orchestrierungsmechanismus von Docker, Swarm, verbunden.

IPvlan und macvlan

Bei IPvlan-Netzwerken können sich mehrere IP-Adressen dieselbe MAC-Adresse einer Schnittstelle teilen, während bei macvlan-Netzwerken einer Schnittstelle mehrere MAC-Adressen zugewiesen werden. Vor allem letzteres funktioniert in der Regel nicht in Cloud-Provider-Netzwerken. Sowohl IPvlan- als auch macvlan-Netzwerke sind weniger verbreitet als andere Netzwerktypen.

In diesem Abschnitt über die Vernetzung von Containern ging es vor allem um die Vernetzung im Bridge-Modus mit Docker.

Bei der Verwendung von Netzwerken im Bridge-Modus mit Docker verwendet die Container-Laufzeit einen Netzwerk-Namensraum, um den Container zu isolieren, und ein Veth-Paar, um den Netzwerk-Namensraum des Containers mit dem Host-Namensraum zu verbinden. Im Host-Namensraum ist eine der Veth-Schnittstellen mit einer Linux-Bridge verbunden. Wenn du mehrere Container im gleichen Docker-Netzwerk startest, werden sie mit der gleichen Linux-Bridge verbunden und du hast sofortige Container-zu-Container-Verbindungen auf dem gleichen Docker-Host. So weit, so gut.

Wenn ein Container versucht, sich mit etwas zu verbinden, das sich nicht im selben Docker-Netzwerk befindet, hat Docker bereits eine IP-Masquerading-Regel konfiguriert, die den Linux-Kernel anweist, für alle Container in diesem Docker-Netzwerk Many-to-One-NAT durchzuführen. Diese Regel wird erstellt, wenn das Docker-Netzwerk erstellt wird. Docker erstellt bei der Installation ein Standardnetzwerk und du kannst mit dem Befehl docker network create weitere Netzwerke erstellen.

Werfen wir zunächst einen Blick auf das Standard-Docker-Netzwerk. Wenn du docker network ls aufrufst, wird eine Liste der erstellten Docker-Netzwerke angezeigt. Auf einem frisch installierten System werden nur drei Netzwerke aufgelistet (die aufgeführten Netzwerk-IDs variieren):

ubuntu2004:~$ docker network ls
NETWORK ID     NAME      DRIVER    SCOPE
b4e8ea1af51b   bridge    bridge    local
add089049cda   host      host      local
fbe6029ce9f7   none      null      local

Mit dem Befehl docker network inspect werden alle Details über das angegebene Netzwerk angezeigt. Hier ist die Ausgabe von docker network inspect b4e8ea1af51b, die mehr Informationen über das Standard-Bridge-Netzwerk anzeigt (einige Felder wurden der Kürze halber ausgelassen oder entfernt):

[
    {
        "Name": "bridge",
        "Id": "b4e8ea1af51ba023a8be9a09f633b316f901f1865d37f69855be847124cb3f7c",
        "Created": "2023-04-16T18:27:14.865595005Z",
        "Scope": "local",
        "Driver": "bridge",
        "EnableIPv6": false,
        "IPAM": {
            "Driver": "default",
            "Options": null,
            "Config": [
                {
                    "Subnet": "172.17.0.0/16"                         
                }
            ]
        },
        "Options": {
            "com.docker.network.bridge.default_bridge": "true",
            "com.docker.network.bridge.enable_icc": "true",
            "com.docker.network.bridge.enable_ip_masquerade": "true", 
            "com.docker.network.bridge.host_binding_ipv4": "0.0.0.0",
            "com.docker.network.bridge.name": "docker0",              
            "com.docker.network.driver.mtu": "1500"
        },
        "Labels": {}
        # output omitted for brevity
    }
]

Das von Containern verwendete Subnetz ist 172.17.0.0/16.

Docker erstellt automatisch die notwendigen IP-Masquerading-Regeln für dieses Netzwerk.

Der Name der Bridge für dieses Netzwerk ist docker0 (zu finden unter Options ).

Du kannst diese Informationen mit den Linux-Netzwerkbefehlen überprüfen, die in Kapitel 3 und in diesem Abschnitt behandelt werden. Um z.B. die IP-Adresse des nginx-Docker-Containers zu sehen, den du zuvor gestartet hast, verwendest du eine Kombination aus nsenter und ip addr list, etwa so:

ubuntu2004:~$ sudo nsenter --net=/run/docker/netns/b87b15b217e8 ip addr list eth0
4: eth0@if5: BROADCAST,MULTICAST,UP,LOWER_UP mtu 1500 qdisc noqueue state UP
 group default
    link/ether 02:42:ac:11:00:02 brd ff:ff:ff:ff:ff:ff link-netnsid 0
    inet 172.17.0.2/16 brd 172.17.255.255 scope global eth0 
       valid_lft forever preferred_lft forever

Überprüft, ob der Container eine Adresse aus dem 172.17.0.0/16 Netzwerk verwendet

Ebenso zeigt die Ausführung von ip -br link list (das -br Flag steht für brief und zeigt eine verkürzte Ausgabe an), dass die von Docker erstellte Bridge tatsächlich docker0 heißt:

ubuntu2004:~$ ip -br link list
lo               UNKNOWN  00:00:00:00:00:00 LOOPBACK,UP,LOWER_UP
ens5             UP       02:95:46:0b:0f:ff BROADCAST,MULTICAST,UP,LOWER_UP
docker0          UP       02:42:70:88:b6:77 BROADCAST,MULTICAST,UP,LOWER_UP
veth68bba38@if4  UP       a6:e9:87:46:e7:45 BROADCAST,MULTICAST,UP,LOWER_UP

Der letzte Teil ist die IP-Masquerading-Regel, die du mit dem Befehl iptables überprüfen kannst. Die Verwendung von iptables ist ein Thema, für das es ein eigenes Buch geben könnte, und das es auch gibt - siehe Linux iptables Pocket Reference von Gregor N. Purdy (O'Reilly). Wir können das Thema nicht bis ins kleinste Detail behandeln, aber wir können einen Überblick geben und erklären, wie die IP-Masquerading-Regel von Docker dazu passt.

Iptables bietet mehrere Tabellen, wie die Filtertabelle, die NAT-Tabelle und die Mangle-Tabelle. Außerdem gibt es mehrere Ketten, wie PREROUTING, INPUT, OUTPUT, FORWARD und POSTROUTING. Jede Kette ist eine Liste von Regeln, und nicht jede Tabelle hat jede Kette. Die Regeln in einer Kette passen den Datenverkehr anhand von Eigenschaften wie Quelladresse, Zieladresse, Protokoll, Quellport oder Zielport an. Jede Regel gibt ein Ziel an, wie ACCEPT, DROP oder REJECT.

Mit diesen zusätzlichen Informationen in der Hand, schauen wir uns den Befehl iptables an. In Beispiel 4-3 verwenden wir diesen Befehl, um dir alle Ketten und Regeln in der NAT-Tabelle zu zeigen.

ubuntu2004:~$ iptables -t nat -L -n                  
...output omitted...
Chain POSTROUTING (policy ACCEPT)
target      prot  opt source               destination
MASQUERADE  all   --  172.17.0.0/16        0.0.0.0/0   
...output omitted...

Wenn der Verkehr auf die Kette POSTROUTING in der NAT-Tabelle trifft, wurde das Routing bereits festgelegt (weitere Informationen zur Funktionsweise von Linux-Routing findest du unter "Routing als Endhost" und "Routing als Router") und die ausgehende Schnittstelle wurde bereits anhand der Routing-Konfiguration des Hosts ausgewählt. Das Ziel MASQUERADE weist iptables an, die IP-Adresse der Ausgangsschnittstelle als Adresse für den Datenverkehr zu verwenden, der der Regel entspricht - in diesem Fall der Datenverkehr aus dem Subnetz des Docker-Netzwerks, der an einen beliebigen Ort gerichtet ist. Auf diese Weise gelangt der Verkehr bei der Verwendung eines Docker-Bridge-Netzwerks tatsächlich in das Netzwerk: Der Linux-Host bestimmt anhand seiner Routing-Tabelle eine Route und eine ausgehende Schnittstelle und sendet den Docker-Container-Verkehr an diese Schnittstelle. Die Regel in der POSTROUTING Kette der NAT-Tabelle fängt diesen Datenverkehr ab und führt ein Mann-zu-Mann-NAT unter Verwendung der IP-Adresse der ausgewählten Schnittstelle durch.

Viele Linux-Distributionen bieten auch den Befehl iptables-save an, der die iptables-Regeln in einem etwas anderen Format anzeigt. So zeigt iptables-save die von Docker erstellte Regel für das Masquerading eines Brückennetzwerks an:

ubuntu2004:~$ sudo iptables-save -t nat
...output omitted...
-A POSTROUTING -s 172.17.0.0/16 ! -o docker0 -j MASQUERADE
...output omitted...

In diesem Format siehst du deutlich die angegebene Quelle (-s 172.17.0.0/16), und ! -o docker0 ist eine Abkürzung, die anzeigt, dass die ausgehende Schnittstelle nicht die docker0 Bridge ist. Mit anderen Worten: Der Verkehr, der von 172.17.0.0/16 kommt, ist nicht an ein Ziel auf der docker0 Bridge gebunden. Das Ziel wird durch -j MASQUERADE angegeben.

Bevor wir zum nächsten Abschnitt übergehen, zeigen wir dir in Abbildung 4-3 eine visuelle Zusammenfassung der vorherigen Beispiele. Du kannst sehen, dass der Container in einem Netzwerk-Namensraum läuft (andere Namensräume können im selben Host existieren), der über eine Veth-Schnittstelle mit dem Standard-Namensraum (Host) verbunden ist. Die Veth-Schnittstelle ist mit der docker0 Bridge verbunden, die wiederum mit der physischen Schnittstelle des Hosts und schließlich über IP-Masquerading mit dem Rest des Netzwerks verbunden ist.

Abbildung 4-3. Zusammenfassung der Container-Netzwerke

Jetzt ist es an der Zeit, zu Kubernetes überzugehen, einem beliebten Tool zur Container-Orchestrierung. Obwohl viele der in diesem Abschnitt vorgestellten Konzepte immer noch gelten - schließlich arbeitet Kubernetes mit Containern - gibt es doch einige bemerkenswerte Unterschiede. Der nächste Abschnitt befasst sich mit diesen Unterschieden und baut auf dem auf, was du bereits über Container-Netzwerke weißt.

Pods

Ein Pod ist eine Sammlung von Containern, die sich den Netzwerkzugang und die Speicherung teilen. Ein Pod kann aus einem oder mehreren Containern bestehen. Unabhängig von der Anzahl der Container innerhalb eines Pods bleiben jedoch bestimmte Dinge gleich:

• Alle Container innerhalb eines Pods werden gemeinsam geplant, erstellt und zerstört. Pods sind die atomare Einheit der Zeitplanung.

• Alle Container innerhalb eines Pods teilen sich die gleiche Netzwerkidentität (IP-Adresse und Hostname). Kubernetes erreicht dies, indem sich mehrere Container denselben Netzwerk-Namensraum teilen - das heißt, sie haben dieselbe Netzwerkkonfiguration und dieselbe Netzwerkidentität. Das bringt einige Einschränkungen mit sich: Zwei Container in einem Pod können zum Beispiel nicht denselben Port verwenden. Die Grundlagen, wie sich diese Container mit der Außenwelt verbinden, bleiben wie in "Container" beschrieben , mit ein paar kleinen Änderungen.

• Die Netzwerkidentität eines Pods (IP-Adresse und Hostname) ist flüchtig; sie wird dynamisch zugewiesen, wenn der Pod erstellt wird, und wieder freigegeben, wenn der Pod zerstört wird oder stirbt. Daher solltest du niemals Systeme oder Architekturen aufbauen, die sich auf die direkte Adressierung von Pods verlassen; denn was ist, wenn du mehrere Pods betreiben musst? Oder was passiert, wenn ein Pod stirbt und mit einer anderen Netzwerkidentität neu erstellt wird?

• Alle Container innerhalb eines Pods teilen sich dieselben Speicher-Volumes und Mounts. Dies wird dadurch erreicht, dass die Container sich den Namensraum teilen, der für die Verwaltung der Volumes und Mounts zuständig ist.

• Kubernetes bietet übergeordnete Mechanismen zur Verwaltung des Lebenszyklus von Pods. Mit Deployments verwaltet Kubernetes zum Beispiel ReplicaSets, die wiederum Gruppen von Pods verwalten, um sicherzustellen, dass immer die angegebene Anzahl von Pods im Cluster läuft.

Um einen Pod zu erstellen, verwendet ein Clusternutzer oder -betreiber normalerweise eine YAML-Datei, die den Pod für den Kubernetes-API-Server beschreibt. Diese YAML-Dateien werden als Manifeste bezeichnet und an den API-Server übermittelt (in der Regel über das Kubernetes-Befehlszeilentool kubectl oder ein entsprechendes Tool). Beispiel 4-4 zeigt ein Manifest für einen einfachen Pod.

apiVersion: v1     
kind: Pod          
metadata:          
  name: assets
  labels:
    app.kubernetes.io/name: zephyr
spec:
  containers:      
    - name: assets
      image: nginx 
      ports:       
        - name: http-alt
          containerPort: 8080
          protocol: TCP

Bei der Erstellung von Pods erstellt Kubernetes die Container nicht selbst, sondern überlässt diese Aufgabe der Container-Runtime. Kubernetes interagiert mit der Container-Laufzeitumgebung über eine Standardschnittstelle, das Container Runtime Interface (CRI). Ähnliche Standardschnittstellen gibt es für die Speicherung (Container Storage Interface, CSI) und die Vernetzung (Container Network Interface, CNI). CNI ist ein wichtiger Teil des Kubernetes-Netzwerks, aber bevor wir auf CNI eingehen, werfen wir einen Blick auf die Kubernetes-Dienste.

Dienstleistungen

Wenn du dich nicht direkt mit einem Pod verbinden kannst, wie können dann Anwendungen, die in Pods laufen, über das Netzwerk kommunizieren? Dies ist eine der wichtigsten Neuerungen von Kubernetes gegenüber früheren Netzwerkmodellen. Wenn du mit VMs arbeitest, ist die Netzwerkidentität der VM (IP-Adresse und/oder Hostname) in der Regel langlebig, und du kannst dich darauf verlassen, dass du dich mit der VM verbinden kannst, um auf die Anwendungen zuzugreifen, die auf dieser VM laufen. Wenn du zu Containern und Kubernetes übergehst, gilt das nicht mehr. Die Netzwerkidentität eines Pods ist flüchtig. Und was ist, wenn es mehrere Replikate eines Pods gibt? Mit welchem Pod soll sich eine andere Anwendung oder ein anderes System verbinden?

Anstatt sich mit einem Pod (oder einer Gruppe von Pods) zu verbinden, verwendet Kubernetes einen Service(Beispiel 4-5 zeigt ein Manifest für einen einfachen Service). Ein Service erfüllt zwei wichtige Aufgaben:

• Zuweisung einer stabilen Netzwerkidentität an eine bestimmte Untergruppe von Pods. Wenn ein Dienst erstellt wird, wird ihm eine Netzwerkidentität (IP-Adresse und Hostname) zugewiesen. Diese Netzwerkidentität bleibt für die gesamte Lebensdauer des Dienstes stabil.

• Dient als Load Balancer für eine bestimmte Untergruppe von Pods. Der an den Dienst gesendete Verkehr wird auf die Untergruppe der Pods verteilt, die zum Dienst gehören.

apiVersion: v1
kind: Service
metadata:
  name: zephyr-assets
spec:
  selector:            
    app.kubernetes.io/name: zephyr
  ports:
    - protocol: TCP
      port: 80         
      targetPort: 8080 

Dieses Beispiel zeigt, wie die Beziehung zwischen einem Pod und einem Dienst verwaltet wird. Mithilfe von Label-Selektoren wählt der Dienst dynamisch passende Pods aus. Wenn ein Pod mit den Labels übereinstimmt, ist er "Teil" des Dienstes und erhält den an den Dienst gesendeten Verkehr. Pods, die nicht mit der Definition des Dienstes übereinstimmen, werden nicht in den Dienst aufgenommen.

Labels, wie das im vorangegangenen Beispiel, sind einfach Schlüssel-Wert-Paare, wie app.kubernetes.io/name: zephyr. Labels können willkürlich sein, aber es sollten aufkommende Standards für Labels verwendet werden, und Kubernetes hat Regeln für die Länge der Schlüssel und Werte in einem Label.

Kubernetes unterstützt verschiedene Arten von Diensten:

ClusterIP-Dienst

Bei diesem Standarddienst wird dem Dienst eine virtuelle IP-Adresse zugewiesen, die nur innerhalb des Clusters gültig ist. Es wird auch ein entsprechender DNS-Name erstellt, und sowohl die IP-Adresse als auch der DNS-Name bleiben konstant, bis der Dienst gelöscht wird. ClusterIP-Dienste sind von außerhalb des Clusters nicht zu erreichen.

NodePort Dienst

Er stellt den Dienst an einem bestimmten Port zur Verfügung. Der an die IP-Adresse eines Knotens an diesem Port gesendete Verkehr wird dann an die ClusterIP des Dienstes weitergeleitet, die wiederum den Verkehr an die Pods verteilt, die Teil des Dienstes sind. NodePort-Dienste ermöglichen es dir, den Dienst über einen externen oder manuellen Prozess bereitzustellen, z. B. indem du eine externe HAProxy-Instanz auf den definierten NodePort des Dienstes verweist.

LoadBalancer Dienst

Dazu ist eine Art Controller erforderlich, der weiß, wie man einen externen Load Balancer bereitstellt. Dieser Controller kann Teil des Cloud-Providers von Kubernetes sein, der die Integration mit den zugrundeliegenden Cloud-Plattformen unterstützt, oder er kann eine separate Software sein, die du auf dem Cluster installierst. In jedem Fall richtet Kubernetes einen NodePort Service ein und konfiguriert dann den externen LoadBalancer so, dass er den Datenverkehr an den zugewiesenen NodePort weiterleitet. LoadBalancer-Dienste sind die wichtigste Methode, um Dienste außerhalb eines Kubernetes-Clusters bereitzustellen.

Dienste arbeiten auf Schicht 4 des OSI-Modells (auf der TCP/UDP-Schicht). Daher kann ein Dienst nicht zwischen den Hostnamen unterscheiden, die z. B. in einer HTTP-Anfrage verwendet werden. Da so viele Unternehmen Kubernetes nutzen, um webbasierte Anwendungen über HTTP/HTTPS auszuführen, wurde dies zu einer Einschränkung der Services. Als Reaktion darauf hat die Kubernetes-Gemeinschaft Ingresses entwickelt.

Ingresses

Ein Ingress wird für das Layer 7 (HTTP)-Routing verwendet, das auf verschiedenen Eigenschaften einer HTTP-Anfrage basiert. Ein Ingress wird von einem Ingress-Controller verwaltet. Dabei handelt es sich um eine spezielle Software, die in deinem Kubernetes-Cluster eingesetzt wird, um die erforderlichen Funktionen auszuführen. Es gibt zahlreiche Ingress-Controller, unter anderem den ginx Ingress-Controller, den HAProxy Ingress-Controller, den Traefik Ingress-Controller und verschiedene Envoy Proxy-basierte Ingress-Controller (wie Ambassador, Contour und Gloo). Der genaue Funktionsumfang dieser verschiedenen Ingress-Controller variiert, aber alle erfüllen dieselbe Grundfunktion: Sie empfangen Ingress-Definitionen von der Kubernetes-API und führen auf Basis dieser Definitionen HTTP-Routing durch.

Eine Ingress-Definition (oder ein Ingress-Objekt) enthält eine Reihe von Regeln, die festlegen, wie das HTTP-Routing vom Ingress-Controller durchgeführt werden soll. Nehmen wir zum Beispiel an, dass Dienst A API-Anfragen an die /users API bearbeitet, während Dienst B API-Anfragen an die /devices API bearbeitet. api.company.com Du könntest ein Ingress-Objekt mit mehreren Regeln haben, das den an /users gesendeten Datenverkehr an Dienst A (in diesem Fall an einen Kubernetes-Dienst) und den an /devices gesendeten Datenverkehr an Dienst B weiterleitet.

Alternativ könntest du auch ein Ingress-Objekt haben, das Regeln auf der Grundlage des FQDN in der Anfrage definiert und den Datenverkehr auf der Grundlage dieses FQDN an verschiedene Dienste weiterleitet. Beispiel 4-6 zeigt ein Ingress-Manifest.

apiVersion: networking.k8s.io/v1 
kind: Ingress
metadata:
  name: minimal-ingress
  annotations:
    nginx.ingress.kubernetes.io/rewrite-target: /
spec:
  ingressClassName: nginx-example
  rules:                         
  - http:
      paths:
      - path: /testpath          
        pathType: Prefix
        backend:
          service:               
            name: test
            port:
              number: 80

Andere Netzwerkkonstrukte

Pods, Services und Ingresses bilden den Großteil dessen, was regelmäßig verwendet wird, um zu definieren, wie Kubernetes Workloads offenlegen und verbinden soll. Ein paar andere Konstrukte sind es jedoch wert, kurz erwähnt zu werden:

NetworkPolicies

Mit NetworkPolicies können Nutzer/innen kontrollieren, welcher Datenverkehr in Pods hinein oder aus Pods heraus erlaubt ist. Sie sind im Grunde genommen Pod-Firewalls. Der Vergleich mit einer Firewall ist zwar praktisch, aber NetworkPolicies verhalten sich anders als die meisten Firewalls: Es gibt z. B. keine Verweigerung und keinen Sinn für die Priorität oder Reihenfolge von Regeln.

Namensräume

Nicht zu verwechseln mit den Namensräumen auf der Linux-Kernel-Ebene, bieten Kubernetes Namensräume eine logische Trennung von API-Objekten wie Pods und Services. Namensräume wirken sich auch auf die automatische DNS-basierte Service-Erkennung aus, die Kubernetes für alle Services durchführt.

Bisher hast du einige der übergeordneten Kubernetes-API-Objekte kennengelernt, die die Bausteine des Kubernetes-Netzwerks bilden. Es gibt jedoch eine Schlüsselkomponente, die eine Ebene tiefer sitzt und dafür verantwortlich ist, dass die übergeordneten Konstrukte funktionieren. Es handelt sich dabei um die CNI, die bereits in diesem Kapitel vorgestellt wurde und die einen Standardmechanismus für die Einbindung verschiedener Netzwerkmodelle in Kubernetes bietet.