在K8s中考虑源IP和源端口的粘滞会话

在Kubernetes（K8s）中，源IP和源端口的粘滞会话（Sticky Sessions）是一种机制，用于确保来自同一客户端的所有请求都被路由到同一个Pod上。这种机制在需要保持会话状态的应用程序中非常有用，例如Web应用程序中的用户会话。

基础概念

粘滞会话通常通过Kubernetes的Service资源实现，特别是通过使用sessionAffinity字段。当sessionAffinity设置为ClientIP时，Kubernetes会尝试将来自同一客户端IP的所有请求路由到同一个Pod。

优势

会话保持：确保用户在整个会话期间与同一个服务实例交互，有助于维护会话状态。
负载均衡：在多个服务实例之间分配请求，同时保持会话的连续性。

类型

ClientIP：基于客户端IP地址进行会话粘滞。
None：不使用会话粘滞。

应用场景

Web应用程序：需要保持用户会话的应用程序，如电子商务网站、在线游戏等。
分布式系统：在多个服务实例之间分配请求，同时保持会话的连续性。

遇到的问题及解决方法

问题：为什么粘滞会话没有生效？

原因：

Service配置错误：sessionAffinity字段未正确设置。
Pod调度问题：Pod可能被频繁调度到不同的节点上，导致会话中断。
网络配置问题：网络策略或防火墙规则可能阻止了基于IP的路由。

解决方法：

检查Service配置：
检查Service配置：
优化Pod调度：
- 使用Node Affinity或Pod Anti-Affinity来控制Pod的调度位置。
- 确保节点有足够的资源，减少Pod的频繁调度。

检查网络配置：
- 确保网络策略允许基于IP的路由。
- 检查防火墙规则，确保没有阻止基于IP的流量。

参考链接

通过以上配置和检查，可以确保在Kubernetes中实现有效的源IP和源端口的粘滞会话。

相关·内容

源目的IP和端口都相同的连接出现的原因

线上遇到了一个比较特殊的连接，它的源目的IP和端口完全相同，复现的场景是：同一个机器上的两个模块A和B通信，A模块会向B模块的监听套接字发起连接请求，B模块重启的时候就很容易出现这样的问题。...同时打开的情况是两个机器同时向另一个机器的已知端口发送SYN段，一个机器上发送的SYN段的目的IP和端口是另一个机器上发送SYN段的套接字的本地IP和端口（注意这两个机器上没有对应端口的监听套接字），状态迁移过程如下图所示...首先，sk向目的IP是192.168.56.101，目的端口是9090的服务器发送SYN段，在发送SYN段之前，协议栈会将sk这个套接字的目的地址设置为192.168.56.101，目的端口设置为9090...接收到这个SYN段后，会调用__inet_lookup()来查找对应的套接字。由于这个SYN段的源目的IP和端口信息和sk套接字的信息完全匹配，所以会由sk套接字来处理。...在SYN_RCVD状态下接收到SYN+ACK段，套接字的状态会迁移到ESTABLISHED。

2.6K5 0

浅谈负载均衡

OSI 的 7 层从上到下分别是物理层、数据链路层、网络层、传输层、会话层、表示层、应用层： ? 在这七层结构中，高层次都是依赖于低层次的。层次越高，使用起来越方便。...根据负载均衡技术实现在 OSI 七层模型的不同层次，是可以给负载均衡分类的。常见的实现方式中，主要可以在应用层、传输层、网络层和数据传输层做文章。...四层负载均衡四层负载均衡工作在 OSI 模型的传输层，由于在传输层，只有 TCP/UDP 协议，这两种协议中除了包含源 IP、目标 IP 以外，还包含源端口及目的端口。...四层负载均衡服务器在接受到客户端请求后，以后通过修改数据包的地址信息（IP+端口号）将流量转发到应用服务器。...Hash：根据 IP 地址进行 Hash 计算，得到 IP 地址，这种可以将来自同一 IP 地址的请求，同一会话期内，转发到同一服务器；实现会话粘滞。但目标服务器宕机后，会话也会随之丢失。

6193 1

业务表定义（在源和目标中定义一致的数据库）

解决方案使用mysql的FEDERATED，类似Oracle的dblink等，在汇总库中建立对各源库表的映射表，然后在汇总库中操作这些映射表，数据汇总。...实现步骤业务表定义（在源和目标中定义一致的数据库） CREATE TABLE `sample_record` ( `ID` varchar(36) COLLATE utf8mb4_unicode_ci...ENGINE=InnoDB DEFAULT CHARSET=utf8mb4 COLLATE=utf8mb4_unicode_ci ROW_FORMAT=DYNAMIC COMMENT='样品采集记录'; 源表在目标库中的映射表定义...在汇总数据库中建立各源数据库表的映射，映射为xxx_a\xxx_b\xxx_c等。...在汇总库中定义存储过程，按时间段抽取各源表的数据写入到目标表中，并删除源表中数据。

1.1K2 0

局域网安全攻防

，交换机会把PC1的MAC地址和PC1连接的端口记录到交换机的mac表中，但是交换机的mac地址表中并没有PC2的mac地址信息和端口绑定，所以交换机会将数据帧向全网发送广播，当主机收到数据帧后会把目的...mac-address sticky #启用mac地址粘滞性，粘滞性可以将端口配置为动态获得MAC地址，然后将这些MAC地址保存到运行配置中，如果禁止Port Security特性，粘滞安全mac地址仍保留在运行配置中...户的源MAC 地址和源IP 地址信息，当AM使能的时候，AM模块会拒绝所有的IP报文通过(只允许IP地址池内的成员源地址通过) arp欺骗攻击与防护 ARP协议 ARP（地址解析协议）是在网络协议包中通过解析网络层地址来找寻数据链路层地址的一个在网络协议包中极其重要的网络传输协议...在以太网协议中规定，同一局域网中的一台主机要和另一台主机进行直接通信，必须要知道目标主机的MAC地址。而在TCP/IP协议中，网络层和传输层只关心目标主机的IP地址。...该表中保存这网络中各个电脑的IP地址和MAC地址的映射关系。

1.1K3 1

一文搞懂各种场景下的数据路由转发（二）——云厂商篇

：比如在四层转发的情况下，转发服务更像是一个路由器，只修改报文目标地址等内容，不获取报文内容，然后根据算法进行转发，实际上还是原来的TCP连接，同时转发主要是修改目标IP和端口而在七层转发服务中：转发服务更像是一个代理服务器...TKE，可以理解为腾讯云版K8S从TKE官方文档中看，在 TKE 中，默认的外部负载均衡器为腾讯云负载均衡作为服务流量的访问首入口，而在获取客户端IP的方式上，有四种方式1.通过 Service...缺点：需要在集群工作节点上加载 TOA 内核模块，且需在服务端通过函数调用获取携带的源 IP 及端口信息，配置使用较复杂。...对于 UDP 传输方式，会对每个数据包改造添加 option 数据（源 IP 和源端口），带来网络传输通道性能损耗。...的值进行赋值，那打印一下日志看下：$remote_addr的值在STGW和TGW两种CLB服务下结果是不同的在TGW服务中，是正常，在STGW服务中，变成了内网IP同时在日志中，还发现，X-Forwarded-For

6353 0

k8s 网络转发问题记录

问题概述环境：内网服务器k8s上部署了服务端、openresty前端，通过公网服务器转发到内网的nginx对应端口。问题：公网ip进行发送请求，后端拿取请求头源IP地址丢失。...思考：考虑是k8s 自带负载均衡进行了转发到不同的Node。...在中间相当于在node2中进行了网络转换，源ip信息被遗失掉了。...流程2：（使用Local）在k8s 中，提供了保留源IP 信息的功能，即设置externalTrafficPolicy=Local 为Local时的网络流程 client...node1 把包路由到对应的pod，那么pod 就可以拿到正确的客户端源IP地址总结即使用Local模式，在请求过来的时候，如果node没有对应pod，则会将tcp的包丢弃掉。

7011 0

Kubernetes(K8s) —— 容器编排管理技术

在 Pod 中，所有容器都被统一安排和调度。 Pod 中的容器有两个特点。共享网络：Pod 中的所有容器共享同一个网络命名空间，包括 IP 地址和网络端口。...在 k8s 中有以下四种类型的 Service: ClusterIP 默认类型，自动分配一个仅集群内部可以访问的虚拟 IP NodePort 在 ClusterlP 基础上为 Service...集群的部署：创建 Master 节点 kubeadm init 将 Node 节点加入到 Master 节点中 kubeadm join 1....最上方工具栏的查看 -> 撰写 -> 撰写窗格中打开选择全部会话, 即可将当前打开的所有会话窗口都执行一样的命令 ?...NodePort 方式最大的缺点是每个 service 都要暴露端口，在部署微服务时会暴露大量端口加大管理难度，所以在生产环境中不推荐使用这种方式来直接发布服务. ?

2.6K4 0

IETF (RFC 4787) 定义的 NAT 行为要求 - 第 1 部分：映射行为

）内部地址和内部端口：内部端点（主机A）发送的数据包的源IP（10.1.1.1）和源端口（5000）外部地址和外部端口：经过NAT转换后发送到外部端点（主机B）的数据包的源IP（5.5.5.1）和源端口...任意IP地址分配：这类NAT对于内部端点发出的数据包，即使它们源自相同的源IP地址，只要其会话（即{源IP、源端口、目标IP、目标端口}的组合）不同，就会分配不同的外部IP地址。...配对IP地址分配：配对NAT（Paired NATs）对于内部端点发出的数据包，即使它们的会话（即{源IP、源端口、目标IP、目标端口}的组合）不同，只要源自相同的源IP地址，也会分配相同的外部IP地址...在VPP的NAT-ED模式下申请公网ip地址和端口号时，就使用报文src ip地址做hash选择一个公网ip。...这是因为该端口范围大小为16,384（65535 - 49152 + 1），考虑到全双工通信（每个会话需要占用一对端口，一进一出），所以大约能支持16,000个会话。

1581 0

IETF (RFC 4787) 定义的 NAT 行为要求 - 第 2 部分：过滤行为

这次，我们重点关注 NAT 在收到入站数据包时如何根据数据包的源 IP 和源端口值（上图蓝线框中的值）过滤数据包，并确定是否将其传递到内部网络。...此过滤机制仅检查由外部端点发送的入站数据包的目标IP和目标端口，以决定是否放行，而不考虑外部端点的源IP或源端口号换句话说，对于入站数据包，其外部端点信息（源IP和源端口）不予考虑。...在VPP的NAT-EI模式中，我们查询过会话表i2o及o2i表的信息。其中i2o就是绑定条目，o2i就是过滤条目。...在VPP的NAT-ED模式中，我们查询过会话表i2o及o2i表的信息。其中i20就是绑定条目，o2i就是过滤条目。...内部源 IP 地址和端口再次考虑主机 A 发送到主机 B（并由 NAT 接收）的相同数据包。当NAT收到报文后，根据绑定表进行如下修改后将报文传递给Host B。

1511 0

k8s集群网络(7)-service之ipvs cluster ip实现原理

在之前文章中我们介绍了基于iptable方式实现的k8s集群中cluster ip类型和node port类型service的负载均衡。...，把service的cluster ip和端口DNAT成pod的ip和端口。...ipset是linux的内核数据结构，可以存储一些ip和端口的信息，ipvs模式的集群通过在iptable中匹配ipset，这样减少了iptable中的entry数量。...这时源ip为pod ip，源端口为随机端口，目标ip为映射选择的pod ip，目标port为映射选择的port。...这时源ip为下一跳路由所使用网路设备的ip，源端口为随机端口，目标ip为映射选择的pod ip，目标port为映射选择的port。

4.6K4 0

如何在集群的负载均衡过程保留请求源IP

引言应用部署不一定总是简单的安装和运行, 有时候还需要考虑网络的问题....本文将介绍如何在k8s集群中使服务能获取到请求的源IP.应用提供服务一般依赖输入信息, 输入信息如果不依赖五元组(源 IP, 源端口, 目的 IP, 目的端口, 协议), 那么该服务和网络耦合性低, 不需要关心网络细节..., 因而可以多个子网 IP 共用一个公网 IP, 在端口上区分不同的服务....我们可以在云产品中看到负载均衡器这个商品单独品类, 它在网络中的位置不同于普通的应用服务器.K8S 操作指导以whoami项目为例进行部署.创建 Deployment首先创建服务:apiVersion:...(Reverse Proxy), 负载均衡(Load Balance)会导致源 IP 丢失.为防止源 IP 丢失, 可以代理服务器转发时将真实 IP 设置在 HTTP 头部字段X-REAL-IP中, 通过代理服务传递

1550 0

深度好文：源 NAT 类型的防火墙

防火墙和路由器一样，可以部署 NAT 功能来进行地址转换，但相比路由器，防火墙的NAT功能提供了更丰富的选择，让管理员可以更灵活地使用NAT功能。在本文中，我们将讨论源 NAT 功能中的防火墙。...管理员在配置NAT No-PAT时，需要指定NAT地址池，设备在对用户消息进行源地址转换时，会从地址池中选择一个IP地址，替换消息中的源IP地址，创建server-map表项和会话表项，然后发送消息。...Easy IP模式将报文的源IP地址替换为出口接口的IP地址，省去了指定NAT地址池的过程，这使得 PPPoE 场景中的地址转换成为可能。...这是因为其他的源NAT模式都是在5元组NAT模式下进行的，可能会有不同的私网用户共享同一个公网IP的同一个端口号，比如：假设 NAT 地址为 1.1.1.1，当源地址 10.1.1.1 访问 2.2.2.2...5 元组 NAT 中的端口重用：也就是说，当防火墙用五元组（源端口、目的端口、源地址、目的地址、协议号）标记会话时，即使替换后的源地址和源端口重复，只要目的端口或目的IP地址不一样，防火墙可以区分这两个会话

7314 0

F5 LTM 负载均衡基础理论

会话保持在大多数后台应用系统的设计中，没有实际考虑到将被应用于负载均衡的环境中，为了保持在用户访问时与单机运行环境的一致，因此，在BIG-IP LTM上必须采用会话保持功能。...在四层负载均衡的概念中，连接是四层负载均衡的最小元素，一个连接包含：源端口：通常是在客户端的一个随机产生的端口。源IP：发起请求的源IP地址。目的端口：通常是四层负载均衡上的虚拟服务端口。...BIG-IP LTM将一个会话里的多个连接认为是同一个用户发起的，是为同一个用户服务的。在BIG-IP LTM的概念中，一个Session通常就是会话保持表中的一条记录所对应的所有连接。...比如当我们选择源地址会话保持的时候，会话保持表里面的每个记录对应一个源IP地址，则所有从这个源IP地址发起针对一个VS的连接都认为是一个Session。...源地址（source_addr）：当我们选择源地址会话保持的时候，会话保持表里面的每个记录对应一个源IP地址，则所有从这个源IP地址发起针对一个VS的连接都认为是一个Session。

5.6K3 0

一次Kubernetes网络不通争吵引发的思考

以下都是针对svc的internalTrafficPolicy都是Cluster或者缺省的情况，这个ServiceInternalTrafficPolicy特性在1.22的K8s中默认开启，具体参考service-traffic-policy...在1.24之后的K8s集群里，当节点上没有对应service的Endpoint的时候，ipvs规则里的nodePort/CLB IP后端会挂载所有的Endpoint的IP，这时候集群内访问会丢失源IP，...集群外访问NodePort 1.24 Kubernetes之前版本访问有Endpoint的节点的NodePort，可以通，可以保留源IP Nginx分布在cn-hongkong.10.0.4.174和...-8vctc 10.0.2.78返回源，源在接受这个链路后，会发现和自己的五元组不匹配，直接丢弃，三次握手必然失败，所以建连失败。...flannel网络：可以通，但是保留不了源IP Nginx分布在cn-hongkong.10.0.2.86。从外部访问cn-hongkong.10.0.4.176的31218端口，可以访问成功。

2521 0

通过 Vagrant 一键初始化 K8S 集群

MIRROR: K8S所用的A镜像，除了apt源和yum源，还有k8s集群所需要的docker镜像，目前仅支持阿里云（唯一提供免费k8s镜像源）。如果为空，则会去查找官方镜像。...MIRROR: K8S所用的A镜像，除了apt源和yum源，还有k8s集群所需要的docker镜像，目前仅支持阿里云（唯一提供免费k8s镜像源）。如果为空，则会去查找官方镜像。...install.sh有两个参数：K8S 版本和安装包镜像。安装包镜像可以为空，采用默认的packages.k8s.io或阿里云镜像源。...工作节点配置脚本 /facility/k8s/setup-work-node.sh 说明 setup-work-node.sh的脚本比较简单，除了通过firewall-cmd打开所需端口以外，就是下载并执行控制面上的加入集群脚本...从 MVP 开始由于目前这是最小可用集群，如果你想增加自定义脚本可以在facility里自动化安装增加并且在solution自动化配置。

7343 0

大话蜜罐日志分析

数据段关键字：单位时间内攻击源数量、单位时间内新增加的攻击源数量 (CDF)、每个时间间隔内给攻击源分配的时间、特定IP段中的攻击源数量组合攻击源和频率的另一个度量是将IP地址的数量作为每个地址的攻击次数的函数...这意味着，它是预配置在哪个速率的客户端蜜罐进行通信请求。所以只考虑利用。使用的另一个过程是数据的会话化。在一个时间帧内从同一源接收的或不触发超时的所有分组应该属于同一攻击会话。...会话之间的时间也值得考虑，因为它显示活动会话之间的暂停。...基本流基于基本IP流，并且由源和目的地IP地址，源和目的地端口，协议类型组成的5元组来描述。...左垂直线表示源IP地址，0.0.0.0在底部，255.255.255.255在顶部。右垂直线表示目的端口，端口0在底部，端口65535在顶部。彩色线连接那些垂直线，每个分组一行。

2K9 0

网络地址转换 (NAT) 概述 (RFC 30222663)

，通过源IP、源端口、目的IP和目的端口四元组唯一标识每一个TCP/UDP会话。...（参考RFC 2663）在RFC 3022和RFC 2663中定义了两种类型的NAT：基本NAT和网络地址端口转换（NAPT）。...、TU 源端口、TCP/UDP 标头校验和入站流量：目标 IP 地址、IP 标头校验和、TU 目标端口、TCP/UDP 标头校验和会话中的三个翻译阶段地址绑定：当具有私有IP地址的设备发送出站流量时...，NAPT将公有IP地址和TU源端口与设备的私有IP地址和TU源端口绑定（1:N映射）。...然后，NAPT 在 NAT 绑定表中为该流量生成一个会话条目。

6421 0

防火墙基础

主要基于数据包中的源目IP地址，源目端口号，IP表示和报文传递的方向等信息。...防火墙转发原理包过滤技术传统的包过滤防火墙对于需要转发的报文，会先获取报文头信息，包括报文的源IP地址、目的IP地址、IP层所承载的.上层协议的协议号、源端口号和目的端口号等，然后和预先设定的过滤规则进行匹配...QQ/MSN等协议中，当用户登录之后，用户的IP地址和端口就固定下来了，可是会向该用户发起对话的另-方的IP地址和端口号是不固定的。...在使用NAT Server功能时，外网的用户向内部服务器主动发起访问请求，该用户的IP地址和端口号都是不确定的，唯一可以确定的是内部服务器的IP地址和所提供服务的端口号。...端口映射在使用ACL过滤报文时，使用报文的目的IP地址去匹配基本ACL中配置的源IP地址。端口映射功能只对安全域间的数据流动生效，因此在配置端口映射时，也必须配置安全区域和安全域间。

1.4K1 0

k8s生产实践之获取客户端真实IP

，例如将用户真实ip取到之后对用户做白名单访问限制、将用户ip记录到数据库日志中对用户的操作做审计等等在vm时代是一个比较容易解决的问题，但当一切云原生化（容器化）之后变得稍微复杂了些 k8s中运行的应用通过...Service抽象来互相查找、通信和与外部世界沟通，在k8s中是kube-proxy组件实现了Service的通信与负载均衡，流量在传递的过程中经过了源地址转换SNAT，因此在默认的情况下，常常是拿不到用户真实的...以DaemonSet方式部署并使用hostNetwork模式接收并处理到达宿主机的80、443端口流量关于https证书的配置，一般有以下两种可选方式：配置在负载设备（负载类型如果只考虑七层负载）...Ingress资源上，如果用户通过https形式访问，流量经过的流程是：用户端——>负载80端口——>服务端(k8s node)的80端口——>服务端(k8s node)的443端口但是为了获取用户的真实...，k8s集群中的应用获取用户ip的相关实现逻辑及关键处理，希望能帮助到大家 See you ~

3.9K2 0

Python自动化运维之LVS

：会话粘滞会话复制会话共享 2 LVS快速入门 2.1 LVS基础 2.1.1 防火墙回顾五表五链 filter 包过滤 nat 网络地址转换...保存规则 ipvsadm-save -n ipvsadm -Sn 关键点：保存的时候，规则中的ip和主机名解析相关，端口和协议相关清空规则 ipvsadm...，首先对后端主机有一个前提的了解 fo 优先考虑权重最高主机 hash sh dh mh sh 数据包中的源地址 dh 数据包中的目标地址 mh web主机进行优先级排序...2.5.4 原理详解模型原理整个过程，数据包中的网络层信息(源IP和目标IP)没有发生变化变化的是mac地址数据包分析 tcpdump -i eth0 port80...TUN lvs主机和RS主机是基于ip隧道技术进行通信整个过程，数据包的源ip和目标ip未发生变化模型分析客户端-lvs主机外网网段 lvs主机-RS主机隧道网段

8972 0

点击加载更多

扫码

添加站长进交流群

领取专属 10元无门槛券

手把手带您无忧上云

在K8s中考虑源IP和源端口的粘滞会话

基础概念

优势

类型

应用场景

遇到的问题及解决方法

问题：为什么粘滞会话没有生效？

参考链接

社区

活动

资源

关于

腾讯云开发者

热门产品

热门推荐

更多推荐