IPv4/IPv6 双栈
Kubernetes v1.23 [稳定]IPv4/IPv6 双栈网络允许为 Pod 和 服务 分配 IPv4 和 IPv6 地址。
从 1.21 开始,您的 Kubernetes 集群默认情况下启用 IPv4/IPv6 双栈网络,允许同时分配 IPv4 和 IPv6 地址。
支持的功能
您的 Kubernetes 集群上的 IPv4/IPv6 双栈提供了以下功能
- 双栈 Pod 网络(每个 Pod 分配一个 IPv4 和 IPv6 地址)
- 启用 IPv4 和 IPv6 的服务
- 通过 IPv4 和 IPv6 接口进行 Pod 集群外出口路由(例如,互联网)
先决条件
为了使用 IPv4/IPv6 双栈 Kubernetes 集群,需要满足以下先决条件
Kubernetes 1.20 或更高版本
有关在早期 Kubernetes 版本中使用双栈服务的更多信息,请参阅该 Kubernetes 版本的文档。
对双栈网络的支持(云提供商或其他必须能够为 Kubernetes 节点提供可路由的 IPv4/IPv6 网络接口)
一个 网络插件,它支持双栈网络。
配置 IPv4/IPv6 双栈
要配置 IPv4/IPv6 双栈,请设置双栈集群网络分配
- kube-apiserver
--service-cluster-ip-range=<IPv4 CIDR>,<IPv6 CIDR>
- kube-controller-manager
--cluster-cidr=<IPv4 CIDR>,<IPv6 CIDR>--service-cluster-ip-range=<IPv4 CIDR>,<IPv6 CIDR>--node-cidr-mask-size-ipv4|--node-cidr-mask-size-ipv6默认情况下,IPv4 为 /24,IPv6 为 /64
- kube-proxy
--cluster-cidr=<IPv4 CIDR>,<IPv6 CIDR>
- kubelet
--node-ip=<IPv4 IP>,<IPv6 IP>- 此选项对于裸机双栈节点(未通过
--cloud-provider标志定义云提供商的节点)是必需的。如果您使用的是云提供商,并选择覆盖云提供商选择的节点 IP,请设置--node-ip选项。 - (传统的内置云提供商不支持双栈
--node-ip。)
- 此选项对于裸机双栈节点(未通过
注意
IPv4 CIDR 的示例:10.244.0.0/16(尽管您需要提供自己的地址范围)
IPv6 CIDR 的示例:fdXY:IJKL:MNOP:15::/64(这显示了格式,但不是有效的地址 - 请参阅 RFC 4193)
服务
您可以创建 服务,这些服务可以使用 IPv4、IPv6 或两者。
服务的地址族默认情况下与第一个服务集群 IP 范围(通过 --service-cluster-ip-range 标志配置到 kube-apiserver)的地址族相同。
定义服务时,您可以选择将其配置为双栈。要指定所需的行为,请将 .spec.ipFamilyPolicy 字段设置为以下值之一
SingleStack:单栈服务。控制平面使用第一个配置的服务集群 IP 范围为服务分配集群 IP。PreferDualStack:当启用双栈时,为服务分配 IPv4 和 IPv6 集群 IP。如果未启用或不支持双栈,则回退到单栈行为。RequireDualStack:当启用双栈时,从 IPv4 和 IPv6 地址范围分配服务.spec.clusterIPs。如果未启用或不支持双栈,则服务 API 对象创建失败。- 根据
.spec.ipFamilies数组中第一个元素的地址族,从.spec.clusterIPs列表中选择.spec.clusterIP。
- 根据
如果您想定义要用于单栈的 IP 族或定义双栈的 IP 族顺序,您可以通过设置一个可选字段 .spec.ipFamilies 来选择地址族,该字段位于服务上。
注意
.spec.ipFamilies 字段是有条件可变的:您可以添加或删除辅助 IP 地址族,但不能更改现有服务的首要 IP 地址族。您可以将 .spec.ipFamilies 设置为以下任何数组值
["IPv4"]["IPv6"]["IPv4","IPv6"](双栈)["IPv6","IPv4"](双栈)
您列出的第一个族用于传统的 .spec.clusterIP 字段。
双栈服务配置场景
这些示例演示了各种双栈服务配置场景的行为。
新服务上的双栈选项
此服务规范没有明确定义
.spec.ipFamilyPolicy。创建此服务时,Kubernetes 从第一个配置的service-cluster-ip-range为服务分配集群 IP,并将.spec.ipFamilyPolicy设置为SingleStack。(没有选择器的服务 和带有选择器的 无头服务 的行为将相同。)apiVersion: v1 kind: Service metadata: name: my-service labels: app.kubernetes.io/name: MyApp spec: selector: app.kubernetes.io/name: MyApp ports: - protocol: TCP port: 80此服务规范在
.spec.ipFamilyPolicy中明确定义了PreferDualStack。在双栈集群上创建此服务时,Kubernetes 为服务分配 IPv4 和 IPv6 地址。控制平面更新服务的.spec以记录 IP 地址分配。.spec.clusterIPs是主要字段,包含两个分配的 IP 地址;.spec.clusterIP是次要字段,其值根据.spec.clusterIPs计算得出。- 对于
.spec.clusterIP字段,控制平面记录与第一个服务集群 IP 范围具有相同地址族的 IP 地址。 - 在单栈集群上,
.spec.clusterIPs和.spec.clusterIP字段只列出一个地址。 - 在启用了双栈的集群上,在
.spec.ipFamilyPolicy中指定RequireDualStack的行为与PreferDualStack相同。
apiVersion: v1 kind: Service metadata: name: my-service labels: app.kubernetes.io/name: MyApp spec: ipFamilyPolicy: PreferDualStack selector: app.kubernetes.io/name: MyApp ports: - protocol: TCP port: 80- 对于
此服务规范在
.spec.ipFamilies中明确定义了IPv6和IPv4,并在.spec.ipFamilyPolicy中定义了PreferDualStack。当 Kubernetes 在.spec.clusterIPs中分配 IPv6 和 IPv4 地址时,.spec.clusterIP被设置为 IPv6 地址,因为它是.spec.clusterIPs数组中的第一个元素,从而覆盖了默认值。apiVersion: v1 kind: Service metadata: name: my-service labels: app.kubernetes.io/name: MyApp spec: ipFamilyPolicy: PreferDualStack ipFamilies: - IPv6 - IPv4 selector: app.kubernetes.io/name: MyApp ports: - protocol: TCP port: 80
现有服务上的双栈默认值
这些示例演示了在集群上新启用双栈时,现有服务(无论是 IPv4 还是 IPv6)的默认行为。(将现有集群升级到 1.21 或更高版本将启用双栈。)
在集群上启用双栈时,控制平面配置现有服务(无论是
IPv4还是IPv6)以将.spec.ipFamilyPolicy设置为SingleStack,并将.spec.ipFamilies设置为现有服务的地址族。现有服务集群 IP 将存储在.spec.clusterIPs中。apiVersion: v1 kind: Service metadata: name: my-service labels: app.kubernetes.io/name: MyApp spec: selector: app.kubernetes.io/name: MyApp ports: - protocol: TCP port: 80您可以使用 kubectl 检查现有服务来验证此行为。
kubectl get svc my-service -o yamlapiVersion: v1 kind: Service metadata: labels: app.kubernetes.io/name: MyApp name: my-service spec: clusterIP: 10.0.197.123 clusterIPs: - 10.0.197.123 ipFamilies: - IPv4 ipFamilyPolicy: SingleStack ports: - port: 80 protocol: TCP targetPort: 80 selector: app.kubernetes.io/name: MyApp type: ClusterIP status: loadBalancer: {}在集群上启用双栈时,控制平面配置现有 无头服务(带有选择器)以将
.spec.ipFamilyPolicy设置为SingleStack,并将.spec.ipFamilies设置为第一个服务集群 IP 范围的地址族(通过--service-cluster-ip-range标志配置到 kube-apiserver),即使.spec.clusterIP设置为None。apiVersion: v1 kind: Service metadata: name: my-service labels: app.kubernetes.io/name: MyApp spec: selector: app.kubernetes.io/name: MyApp ports: - protocol: TCP port: 80您可以使用 kubectl 检查现有带有选择器的无头服务来验证此行为。
kubectl get svc my-service -o yamlapiVersion: v1 kind: Service metadata: labels: app.kubernetes.io/name: MyApp name: my-service spec: clusterIP: None clusterIPs: - None ipFamilies: - IPv4 ipFamilyPolicy: SingleStack ports: - port: 80 protocol: TCP targetPort: 80 selector: app.kubernetes.io/name: MyApp
在单栈和双栈之间切换服务
服务可以从单栈更改为双栈,也可以从双栈更改为单栈。
要将服务从单栈更改为双栈,请将
.spec.ipFamilyPolicy从SingleStack更改为PreferDualStack或RequireDualStack(根据需要)。将此服务从单栈更改为双栈时,Kubernetes 会分配缺少的地址族,以便服务现在具有 IPv4 和 IPv6 地址。编辑服务规范,将
.spec.ipFamilyPolicy从SingleStack更新为PreferDualStack。之前
spec: ipFamilyPolicy: SingleStack之后
spec: ipFamilyPolicy: PreferDualStack要将服务从双栈更改为单栈,请将
.spec.ipFamilyPolicy从PreferDualStack或RequireDualStack更改为SingleStack。将此服务从双栈更改为单栈时,Kubernetes 仅保留.spec.clusterIPs数组中的第一个元素,并将.spec.clusterIP设置为该 IP 地址,并将.spec.ipFamilies设置为.spec.clusterIPs的地址族。
无头服务(无选择器)
对于 没有选择器的无头服务 并且没有明确设置 .spec.ipFamilyPolicy,.spec.ipFamilyPolicy 字段默认为 RequireDualStack。
服务类型 LoadBalancer
要为您的服务预配双栈负载均衡器
- 将
.spec.type字段设置为LoadBalancer - 将
.spec.ipFamilyPolicy字段设置为PreferDualStack或RequireDualStack
注意
要使用双栈LoadBalancer 类型服务,您的云提供商必须支持 IPv4 和 IPv6 负载均衡器。出口流量
如果要启用出站流量以从使用非公网可路由 IPv6 地址的 Pod 访问集群外目的地(例如公共互联网),您需要通过透明代理或 IP 伪装等机制启用 Pod 使用公网路由 IPv6 地址。 ip-masq-agent 项目支持在双栈集群上进行 IP 伪装。
注意
确保您的 CNI 提供程序支持 IPv6。Windows 支持
Windows 上的 Kubernetes 不支持单栈“仅 IPv6”网络。但是,支持单族服务 Pod 和节点的双栈 IPv4/IPv6 网络。
您可以使用 IPv4/IPv6 双栈网络与 l2bridge 网络。
注意
Windows 上的覆盖网络 (VXLAN) **不支持** 双栈网络。您可以在 Windows 上的网络 主题中阅读有关 Windows 不同网络模式的更多信息。