IPv4/IPv6 双栈
Kubernetes v1.23 [稳定]IPv4/IPv6 双栈网络允许为Pod和服务分配 IPv4 和 IPv6 地址。
从 1.21 版本开始,Kubernetes 集群默认启用 IPv4/IPv6 双栈网络,允许同时分配 IPv4 和 IPv6 地址。
支持的特性
Kubernetes 集群上的 IPv4/IPv6 双栈网络提供以下特性
- 双栈 Pod 网络(每个 Pod 分配一个 IPv4 和 IPv6 地址)
- 支持 IPv4 和 IPv6 的服务
- Pod 通过 IPv4 和 IPv6 接口离开集群的出口路由(例如互联网)
先决条件
为了利用 IPv4/IPv6 双栈 Kubernetes 集群,需要满足以下先决条件
Kubernetes 1.20 或更高版本
有关在早期 Kubernetes 版本中使用双栈服务的信息,请参阅该 Kubernetes 版本的文档。
提供商对双栈网络的支持(云提供商或其他提供商必须能够为 Kubernetes 节点提供可路由的 IPv4/IPv6 网络接口)
一个支持双栈网络的网络插件。
配置 IPv4/IPv6 双栈
要配置 IPv4/IPv6 双栈,请设置双栈集群网络分配
- kube-apiserver
--service-cluster-ip-range=<IPv4 CIDR>,<IPv6 CIDR>
- kube-controller-manager
--cluster-cidr=<IPv4 CIDR>,<IPv6 CIDR>--service-cluster-ip-range=<IPv4 CIDR>,<IPv6 CIDR>--node-cidr-mask-size-ipv4|--node-cidr-mask-size-ipv6对于 IPv4 默认为 /24,对于 IPv6 默认为 /64
- kube-proxy
--cluster-cidr=<IPv4 CIDR>,<IPv6 CIDR>
- kubelet
--node-ip=<IPv4 IP>,<IPv6 IP>- 对于裸机双栈节点(未用
--cloud-provider标志定义云提供商的节点),此选项是必需的。如果您正在使用云提供商并选择覆盖云提供商选择的节点 IP,请设置--node-ip选项。 - (传统的内置云提供商不支持双栈
--node-ip。)
- 对于裸机双栈节点(未用
注意
IPv4 CIDR 的示例:10.244.0.0/16(尽管您将提供自己的地址范围)
IPv6 CIDR 的示例:fdXY:IJKL:MNOP:15::/64(这显示了格式,但不是有效的地址 - 请参阅 RFC 4193)
服务
您可以创建可以使用 IPv4、IPv6 或两者的服务。
服务的地址族默认为第一个服务集群 IP 范围的地址族(通过 kube-apiserver 的 --service-cluster-ip-range 标志配置)。
当您定义服务时,您可以选择将其配置为双栈。要指定所需的行为,请将 .spec.ipFamilyPolicy 字段设置为以下值之一
SingleStack:单栈服务。控制平面为服务分配一个集群 IP,使用第一个配置的服务集群 IP 范围。PreferDualStack:当启用双栈时,为服务分配 IPv4 和 IPv6 集群 IP。如果未启用或不支持双栈,则回退到单栈行为。RequireDualStack:当启用双栈时,从 IPv4 和 IPv6 地址范围分配服务.spec.clusterIPs。如果未启用或不支持双栈,则服务 API 对象创建失败。- 根据
.spec.ipFamilies数组中第一个元素的地址族,从.spec.clusterIPs列表中选择.spec.clusterIP。
- 根据
如果您想定义用于单栈的 IP 地址族,或者定义双栈的 IP 地址族顺序,您可以通过在服务上设置可选字段 .spec.ipFamilies 来选择地址族。
注意
.spec.ipFamilies 字段是条件可变的:您可以添加或删除辅助 IP 地址族,但不能更改现有服务的主 IP 地址族。您可以将 .spec.ipFamilies 设置为以下任何数组值
["IPv4"]["IPv6"]["IPv4","IPv6"](双栈)["IPv6","IPv4"](双栈)
您列出的第一个地址族用于传统的 .spec.clusterIP 字段。
双栈服务配置场景
这些示例演示了各种双栈服务配置场景的行为。
新服务的双栈选项
此服务规范未显式定义
.spec.ipFamilyPolicy。当您创建此服务时,Kubernetes 从第一个配置的service-cluster-ip-range为服务分配一个集群 IP,并将.spec.ipFamilyPolicy设置为SingleStack。(没有选择器的服务和有选择器的无头服务的行为方式相同。)apiVersion: v1 kind: Service metadata: name: my-service labels: app.kubernetes.io/name: MyApp spec: selector: app.kubernetes.io/name: MyApp ports: - protocol: TCP port: 80此服务规范在
.spec.ipFamilyPolicy中显式定义了PreferDualStack。当您在双栈集群上创建此服务时,Kubernetes 会为服务分配 IPv4 和 IPv6 地址。控制平面更新服务的.spec以记录 IP 地址分配。字段.spec.clusterIPs是主字段,包含两个已分配的 IP 地址;.spec.clusterIP是一个辅助字段,其值根据.spec.clusterIPs计算得出。- 对于
.spec.clusterIP字段,控制平面会记录与第一个服务集群 IP 范围的地址族相同的 IP 地址。 - 在单栈集群上,
.spec.clusterIPs和.spec.clusterIP字段都仅列出一个地址。 - 在启用双栈的集群上,在
.spec.ipFamilyPolicy中指定RequireDualStack的行为与PreferDualStack相同。
apiVersion: v1 kind: Service metadata: name: my-service labels: app.kubernetes.io/name: MyApp spec: ipFamilyPolicy: PreferDualStack selector: app.kubernetes.io/name: MyApp ports: - protocol: TCP port: 80- 对于
此服务规范在
.spec.ipFamilies中显式定义了IPv6和IPv4,并在.spec.ipFamilyPolicy中定义了PreferDualStack。当 Kubernetes 在.spec.clusterIPs中分配 IPv6 和 IPv4 地址时,.spec.clusterIP将设置为 IPv6 地址,因为它是.spec.clusterIPs数组中的第一个元素,会覆盖默认值。apiVersion: v1 kind: Service metadata: name: my-service labels: app.kubernetes.io/name: MyApp spec: ipFamilyPolicy: PreferDualStack ipFamilies: - IPv6 - IPv4 selector: app.kubernetes.io/name: MyApp ports: - protocol: TCP port: 80
现有服务的双栈默认值
这些示例演示了在集群上新启用双栈时,现有服务的默认行为。(将现有集群升级到 1.21 或更高版本将启用双栈。)
在集群上启用双栈时,控制平面会将现有服务(无论是
IPv4还是IPv6)配置为将.spec.ipFamilyPolicy设置为SingleStack,并将.spec.ipFamilies设置为现有服务的地址族。现有服务的集群 IP 将存储在.spec.clusterIPs中。apiVersion: v1 kind: Service metadata: name: my-service labels: app.kubernetes.io/name: MyApp spec: selector: app.kubernetes.io/name: MyApp ports: - protocol: TCP port: 80你可以使用 kubectl 检查现有服务来验证此行为。
kubectl get svc my-service -o yamlapiVersion: v1 kind: Service metadata: labels: app.kubernetes.io/name: MyApp name: my-service spec: clusterIP: 10.0.197.123 clusterIPs: - 10.0.197.123 ipFamilies: - IPv4 ipFamilyPolicy: SingleStack ports: - port: 80 protocol: TCP targetPort: 80 selector: app.kubernetes.io/name: MyApp type: ClusterIP status: loadBalancer: {}在集群上启用双栈时,具有选择器的现有无头服务会被控制平面配置为将
.spec.ipFamilyPolicy设置为SingleStack,并将.spec.ipFamilies设置为第一个服务集群 IP 范围的地址族(通过 kube-apiserver 的--service-cluster-ip-range标志配置),即使.spec.clusterIP设置为None。apiVersion: v1 kind: Service metadata: name: my-service labels: app.kubernetes.io/name: MyApp spec: selector: app.kubernetes.io/name: MyApp ports: - protocol: TCP port: 80你可以使用 kubectl 检查具有选择器的现有无头服务来验证此行为。
kubectl get svc my-service -o yamlapiVersion: v1 kind: Service metadata: labels: app.kubernetes.io/name: MyApp name: my-service spec: clusterIP: None clusterIPs: - None ipFamilies: - IPv4 ipFamilyPolicy: SingleStack ports: - port: 80 protocol: TCP targetPort: 80 selector: app.kubernetes.io/name: MyApp
在单栈和双栈之间切换服务
可以将服务从单栈更改为双栈,也可以从双栈更改为单栈。
要将服务从单栈更改为双栈,请根据需要将
.spec.ipFamilyPolicy从SingleStack更改为PreferDualStack或RequireDualStack。当你将此服务从单栈更改为双栈时,Kubernetes 会分配缺失的地址族,以便该服务现在具有 IPv4 和 IPv6 地址。编辑服务规范,将
.spec.ipFamilyPolicy从SingleStack更新为PreferDualStack。之前
spec: ipFamilyPolicy: SingleStack之后
spec: ipFamilyPolicy: PreferDualStack要将服务从双栈更改为单栈,请将
.spec.ipFamilyPolicy从PreferDualStack或RequireDualStack更改为SingleStack。当你将此服务从双栈更改为单栈时,Kubernetes 仅保留.spec.clusterIPs数组中的第一个元素,并将.spec.clusterIP设置为该 IP 地址,并将.spec.ipFamilies设置为.spec.clusterIPs的地址族。
没有选择器的无头服务
对于没有选择器的无头服务,并且没有显式设置 .spec.ipFamilyPolicy,则 .spec.ipFamilyPolicy 字段默认为 RequireDualStack。
Service 类型 LoadBalancer
要为你的服务配置双栈负载均衡器
- 将
.spec.type字段设置为LoadBalancer - 将
.spec.ipFamilyPolicy字段设置为PreferDualStack或RequireDualStack
注意
要使用双栈LoadBalancer 类型服务,你的云提供商必须支持 IPv4 和 IPv6 负载均衡器。出口流量
如果你想启用出口流量,以便从使用非公开路由 IPv6 地址的 Pod 到达集群外的目的地(例如公共互联网),则你需要启用 Pod 通过透明代理或 IP 伪装等机制使用可公开路由的 IPv6 地址。ip-masq-agent 项目支持在双栈集群上进行 IP 伪装。
注意
确保你的CNI 提供商支持 IPv6。Windows 支持
Windows 上的 Kubernetes 不支持单栈“仅 IPv6”的网络。但是,支持具有单地址族服务的 Pod 和节点的双栈 IPv4/IPv6 网络。
你可以将 IPv4/IPv6 双栈网络与 l2bridge 网络一起使用。
注意
Windows 上的 Overlay (VXLAN) 网络不支持双栈网络。你可以在Windows 上的网络主题中阅读有关 Windows 不同网络模式的更多信息。