IPv4/IPv6 双协议栈
Kubernetes v1.23 [stable]IPv4/IPv6 双栈网络能够为 Pod 和 Service 分配 IPv4 和 IPv6 地址。
从 Kubernetes 1.21 版本开始,IPv4/IPv6 双栈网络默认对你的 Kubernetes 集群启用,允许同时分配 IPv4 和 IPv6 地址。
支持的特性
在你的 Kubernetes 集群上,IPv4/IPv6 双栈提供以下特性:
- 双栈 Pod 网络(每个 Pod 分配一个 IPv4 和一个 IPv6 地址)
- 支持 IPv4 和 IPv6 的 Service
- 通过 IPv4 和 IPv6 接口进行 Pod 离集群出口路由(例如,互联网)
前提条件
为了使用 IPv4/IPv6 双栈 Kubernetes 集群,需要满足以下前提条件:
Kubernetes 1.20 或更高版本
关于在早期 Kubernetes 版本中使用双栈 Service 的信息,请参考该版本的 Kubernetes 文档。
供应商支持双栈网络(云供应商或其他方式必须能够为 Kubernetes 节点提供可路由的 IPv4/IPv6 网络接口)
支持双栈网络的网络插件。
配置 IPv4/IPv6 双栈
要配置 IPv4/IPv6 双栈,请设置双栈集群网络分配:
- kube-apiserver
--service-cluster-ip-range=<IPv4 CIDR>,<IPv6 CIDR>
- kube-controller-manager
--cluster-cidr=<IPv4 CIDR>,<IPv6 CIDR>--service-cluster-ip-range=<IPv4 CIDR>,<IPv6 CIDR>--node-cidr-mask-size-ipv4|--node-cidr-mask-size-ipv6对于 IPv4 默认为 /24,对于 IPv6 默认为 /64
- kube-proxy
--cluster-cidr=<IPv4 CIDR>,<IPv6 CIDR>
- kubelet
--node-ip=<IPv4 IP>,<IPv6 IP>- 对于裸金属双栈节点(未使用
--cloud-provider标志定义云供应商的节点),此选项是必需的。如果你正在使用云供应商并选择覆盖云供应商选择的节点 IP,请设置--node-ip选项。 - (旧的内置云供应商不支持双栈
--node-ip。)
- 对于裸金属双栈节点(未使用
注意
IPv4 CIDR 示例:10.244.0.0/16(但你需要提供自己的地址范围)
IPv6 CIDR 示例:fdXY:IJKL:MNOP:15::/64(这仅展示了格式,但不是有效地址 - 参见 RFC 4193)
Service
你可以创建可以使用 IPv4、IPv6 或同时使用两者的 Service。
Service 的地址族默认为第一个 Service 集群 IP 范围的地址族(通过 kube-apiserver 的 --service-cluster-ip-range 标志配置)。
定义 Service 时,你可以选择将其配置为双栈。要指定所需的行为,可以将 .spec.ipFamilyPolicy 字段设置为以下值之一:
SingleStack:单栈 Service。控制平面使用第一个配置的 Service 集群 IP 范围为 Service 分配一个集群 IP。PreferDualStack:在双栈启用时为 Service 分配 IPv4 和 IPv6 集群 IP。如果双栈未启用或不支持,则回退到单栈行为。RequireDualStack:在双栈启用时从 IPv4 和 IPv6 地址范围为 Service 分配.spec.clusterIPs。如果双栈未启用或不支持,则 Service API 对象创建失败。- 根据
.spec.ipFamilies数组中第一个元素的地址族,从.spec.clusterIPs列表中选择.spec.clusterIP。
- 根据
如果你想定义单栈使用哪个 IP 族,或者定义双栈的 IP 族顺序,可以通过设置 Service 上的可选字段 .spec.ipFamilies 来选择地址族。
注意
.spec.ipFamilies 字段是条件可变的:你可以添加或移除辅助 IP 地址族,但不能更改现有 Service 的主要 IP 地址族。你可以将 .spec.ipFamilies 设置为以下任何数组值:
["IPv4"]["IPv6"]["IPv4","IPv6"](双栈)["IPv6","IPv4"](双栈)
你列出的第一个族将用于传统的 .spec.clusterIP 字段。
双栈 Service 配置场景
这些示例演示了各种双栈 Service 配置场景的行为。
新建 Service 的双栈选项
此 Service 规约未显式定义
.spec.ipFamilyPolicy。创建此 Service 时,Kubernetes 会从第一个配置的service-cluster-ip-range为 Service 分配一个集群 IP,并将.spec.ipFamilyPolicy设置为SingleStack。(没有选择器的 Service 和带有选择器的无头 Service 将采用相同的方式。)apiVersion: v1 kind: Service metadata: name: my-service labels: app.kubernetes.io/name: MyApp spec: selector: app.kubernetes.io/name: MyApp ports: - protocol: TCP port: 80此 Service 规约在
.spec.ipFamilyPolicy中显式定义了PreferDualStack。在双栈集群上创建此 Service 时,Kubernetes 会为 Service 分配 IPv4 和 IPv6 地址。控制平面会更新 Service 的.spec以记录 IP 地址分配。字段.spec.clusterIPs是主字段,包含两个分配的 IP 地址;.spec.clusterIP是一个辅助字段,其值从.spec.clusterIPs计算得出。- 对于
.spec.clusterIP字段,控制平面会记录与第一个 Service 集群 IP 范围具有相同地址族的 IP 地址。 - 在单栈集群上,
.spec.clusterIPs和.spec.clusterIP字段都只列出一个地址。 - 在启用了双栈的集群上,在
.spec.ipFamilyPolicy中指定RequireDualStack的行为与PreferDualStack相同。
apiVersion: v1 kind: Service metadata: name: my-service labels: app.kubernetes.io/name: MyApp spec: ipFamilyPolicy: PreferDualStack selector: app.kubernetes.io/name: MyApp ports: - protocol: TCP port: 80- 对于
此 Service 规约在
.spec.ipFamilies中显式定义了IPv6和IPv4,并在.spec.ipFamilyPolicy中定义了PreferDualStack。当 Kubernetes 在.spec.clusterIPs中分配一个 IPv6 和一个 IPv4 地址时,由于 IPv6 是.spec.clusterIPs数组的第一个元素,.spec.clusterIP会被设置为 IPv6 地址,这覆盖了默认行为。apiVersion: v1 kind: Service metadata: name: my-service labels: app.kubernetes.io/name: MyApp spec: ipFamilyPolicy: PreferDualStack ipFamilies: - IPv6 - IPv4 selector: app.kubernetes.io/name: MyApp ports: - protocol: TCP port: 80
现有 Service 的双栈默认行为
这些示例演示了在已存在 Service 的集群上新启用双栈时的默认行为。(将现有集群升级到 1.21 或更高版本将启用双栈。)
在集群上启用双栈时,控制平面会将现有 Service(无论是
IPv4还是IPv6)配置为设置.spec.ipFamilyPolicy为SingleStack,并设置.spec.ipFamilies为现有 Service 的地址族。现有的 Service 集群 IP 将存储在.spec.clusterIPs中。apiVersion: v1 kind: Service metadata: name: my-service labels: app.kubernetes.io/name: MyApp spec: selector: app.kubernetes.io/name: MyApp ports: - protocol: TCP port: 80你可以使用 kubectl 检查现有 Service 来验证此行为。
kubectl get svc my-service -o yamlapiVersion: v1 kind: Service metadata: labels: app.kubernetes.io/name: MyApp name: my-service spec: clusterIP: 10.0.197.123 clusterIPs: - 10.0.197.123 ipFamilies: - IPv4 ipFamilyPolicy: SingleStack ports: - port: 80 protocol: TCP targetPort: 80 selector: app.kubernetes.io/name: MyApp type: ClusterIP status: loadBalancer: {}在集群上启用双栈时,控制平面会将现有带有选择器的无头 Service 配置为设置
.spec.ipFamilyPolicy为SingleStack,并设置.spec.ipFamilies为第一个 Service 集群 IP 范围的地址族(通过 kube-apiserver 的--service-cluster-ip-range标志配置),即使.spec.clusterIP设置为None。apiVersion: v1 kind: Service metadata: name: my-service labels: app.kubernetes.io/name: MyApp spec: selector: app.kubernetes.io/name: MyApp ports: - protocol: TCP port: 80你可以使用 kubectl 检查现有带选择器的无头 Service 来验证此行为。
kubectl get svc my-service -o yamlapiVersion: v1 kind: Service metadata: labels: app.kubernetes.io/name: MyApp name: my-service spec: clusterIP: None clusterIPs: - None ipFamilies: - IPv4 ipFamilyPolicy: SingleStack ports: - port: 80 protocol: TCP targetPort: 80 selector: app.kubernetes.io/name: MyApp
在单栈和双栈 Service 之间切换
Service 可以从单栈更改为双栈,也可以从双栈更改为单栈。
要将 Service 从单栈更改为双栈,请根据需要将
.spec.ipFamilyPolicy从SingleStack更改为PreferDualStack或RequireDualStack。当你将此 Service 从单栈更改为双栈时,Kubernetes 会分配缺失的地址族,以便 Service 现在拥有 IPv4 和 IPv6 地址。编辑 Service 规约,将
.spec.ipFamilyPolicy从SingleStack更新为PreferDualStack。之前
spec: ipFamilyPolicy: SingleStack之后
spec: ipFamilyPolicy: PreferDualStack要将 Service 从双栈更改为单栈,请将
.spec.ipFamilyPolicy从PreferDualStack或RequireDualStack更改为SingleStack。当你将此 Service 从双栈更改为单栈时,Kubernetes 只会保留.spec.clusterIPs数组中的第一个元素,并将.spec.clusterIP设置为该 IP 地址,同时将.spec.ipFamilies设置为.spec.clusterIPs的地址族。
没有选择器的无头 Service
对于没有选择器且未显式设置 .spec.ipFamilyPolicy 的无头 Service,.spec.ipFamilyPolicy 字段默认为 RequireDualStack。
Service 类型 LoadBalancer
为你的 Service 配置双栈负载均衡器:
- 将
.spec.type字段设置为LoadBalancer - 将
.spec.ipFamilyPolicy字段设置为PreferDualStack或RequireDualStack
注意
要使用双栈LoadBalancer 类型 Service,你的云供应商必须支持 IPv4 和 IPv6 负载均衡器。出口流量
如果你想启用出口流量,以便从使用非公开可路由 IPv6 地址的 Pod 访问集群外部目的地(例如,公共互联网),你需要通过透明代理或 IP 伪装等机制使 Pod 使用公开可路由的 IPv6 地址。ip-masq-agent 项目支持在双栈集群上进行 IP 伪装。
注意
确保你的 CNI 供应商支持 IPv6。Windows 支持
Windows 上的 Kubernetes 不支持单栈“仅 IPv6”网络。但是,支持 Pod 和节点的双栈 IPv4/IPv6 网络以及单族 Service。
你可以在 l2bridge 网络中使用 IPv4/IPv6 双栈网络。
注意
Windows 上的 Overlay (VXLAN) 网络不支持双栈网络。你可以在Windows 网络主题中阅读更多关于 Windows 不同网络模式的信息。