IPv4/IPv6 双协议栈
Kubernetes v1.23 [stable]
IPv4/IPv6 双协议栈网络能够将 IPv4 和 IPv6 地址分配给 Pod 和 Service。
从 1.21 版本开始,Kubernetes 集群默认启用 IPv4/IPv6 双协议栈网络, 以支持同时分配 IPv4 和 IPv6 地址。
支持的功能
Kubernetes 集群的 IPv4/IPv6 双协议栈可提供下面的功能:
- 双协议栈 Pod 网络(每个 Pod 分配一个 IPv4 和 IPv6 地址)
- IPv4 和 IPv6 启用的 Service
- Pod 的集群外出口通过 IPv4 和 IPv6 路由
先决条件
为了使用 IPv4/IPv6 双栈的 Kubernetes 集群,需要满足以下先决条件:
- Kubernetes 1.20 版本或更高版本,有关更早 Kubernetes 版本的使用双栈 Service 的信息, 请参考对应版本的 Kubernetes 文档。
- 提供商支持双协议栈网络(云提供商或其他提供商必须能够为 Kubernetes 节点提供可路由的 IPv4/IPv6 网络接口)。
- 支持双协议栈的网络插件。
配置 IPv4/IPv6 双协议栈
如果配置 IPv4/IPv6 双栈,请分配双栈集群网络:
- kube-apiserver:
--service-cluster-ip-range=<IPv4 CIDR>,<IPv6 CIDR>
- kube-controller-manager:
--cluster-cidr=<IPv4 CIDR>,<IPv6 CIDR>
--service-cluster-ip-range=<IPv4 CIDR>,<IPv6 CIDR>
--node-cidr-mask-size-ipv4|--node-cidr-mask-size-ipv6
对于 IPv4 默认为 /24, 对于 IPv6 默认为 /64
- kube-proxy:
--cluster-cidr=<IPv4 CIDR>,<IPv6 CIDR>
- kubelet:
--node-ip=<IPv4 IP>,<IPv6 IP>
- 裸机双栈节点(未使用
--cloud-provider
标志定义云平台的节点)需要此选项。 如果你使用了某个云平台并选择覆盖云平台所选择的节点 IP,请设置--node-ip
选项。 - (传统的内置云平台实现不支持双栈
--node-ip
。)
- 裸机双栈节点(未使用
说明:
IPv4 CIDR 的一个例子:10.244.0.0/16
(尽管你会提供你自己的地址范围)。
IPv6 CIDR 的一个例子:fdXY:IJKL:MNOP:15::/64
(这里演示的是格式而非有效地址 - 请看 RFC 4193)。
Service
你可以使用 IPv4 或 IPv6 地址来创建 Service。
Service 的地址族默认为第一个服务集群 IP 范围的地址族(通过 kube-apiserver 的
--service-cluster-ip-range
参数配置)。
当你定义 Service 时,可以选择将其配置为双栈。若要指定所需的行为,你可以设置
.spec.ipFamilyPolicy
字段为以下值之一:
SingleStack
:单栈 Service。控制面使用第一个配置的服务集群 IP 范围为 Service 分配集群 IP。PreferDualStack
:启用双栈时,为 Service 同时分配 IPv4 和 IPv6 集群 IP 地址。 如果双栈未被启用或不被支持,则会返回到单栈行为。RequireDualStack
:启用双栈时,同时从 IPv4 和 IPv6 的地址范围中分配 Service 的.spec.clusterIPs
。 如果双栈未被启用或不被支持,则 Service API 对象创建失败。- 从基于在
.spec.ipFamilies
数组中第一个元素的地址族的.spec.clusterIPs
列表中选择.spec.clusterIP
- 从基于在
如果你想要定义哪个 IP 族用于单栈或定义双栈 IP 族的顺序,可以通过设置
Service 上的可选字段 .spec.ipFamilies
来选择地址族。
说明:
.spec.ipFamilies
字段修改是有条件的:你可以添加或删除第二个 IP 地址族,
但你不能更改现有 Service 的主要 IP 地址族。
你可以设置 .spec.ipFamily
为以下任何数组值:
["IPv4"]
["IPv6"]
["IPv4","IPv6"]
(双栈)["IPv6","IPv4"]
(双栈)
你所列出的第一个地址族用于原来的 .spec.clusterIP
字段。
双栈 Service 配置场景
以下示例演示多种双栈 Service 配置场景下的行为。
新 Service 的双栈选项
-
此 Service 规约中没有显式设定
.spec.ipFamilyPolicy
。当你创建此 Service 时,Kubernetes 从所配置的第一个service-cluster-ip-range
中为 Service 分配一个集群 IP,并设置.spec.ipFamilyPolicy
为SingleStack
。 (无选择算符的 Service 和无头服务(Headless Service)的行为方式与此相同。)apiVersion: v1 kind: Service metadata: name: my-service labels: app.kubernetes.io/name: MyApp spec: selector: app.kubernetes.io/name: MyApp ports: - protocol: TCP port: 80
-
此 Service 规约显式地将
.spec.ipFamilyPolicy
设置为PreferDualStack
。 当你在双栈集群上创建此 Service 时,Kubernetes 会为此 Service 分配 IPv4 和 IPv6 地址。 控制平面更新 Service 的.spec
以记录 IP 地址分配。 字段.spec.clusterIPs
是主要字段,包含两个分配的 IP 地址;.spec.clusterIP
是次要字段, 其取值从.spec.clusterIPs
计算而来。- 对于
.spec.clusterIP
字段,控制面记录来自第一个服务集群 IP 范围对应的地址族的 IP 地址。 - 对于单协议栈的集群,
.spec.clusterIPs
和.spec.clusterIP
字段都 仅仅列出一个地址。 - 对于启用了双协议栈的集群,将
.spec.ipFamilyPolicy
设置为RequireDualStack
时,其行为与PreferDualStack
相同。
apiVersion: v1 kind: Service metadata: name: my-service labels: app.kubernetes.io/name: MyApp spec: ipFamilyPolicy: PreferDualStack selector: app.kubernetes.io/name: MyApp ports: - protocol: TCP port: 80
- 对于
-
下面的 Service 规约显式地在
.spec.ipFamilies
中指定IPv6
和IPv4
,并将.spec.ipFamilyPolicy
设定为PreferDualStack
。 当 Kubernetes 为.spec.clusterIPs
分配一个 IPv6 和一个 IPv4 地址时,.spec.clusterIP
被设置成 IPv6 地址,因为它是.spec.clusterIPs
数组中的第一个元素, 覆盖其默认值。apiVersion: v1 kind: Service metadata: name: my-service labels: app.kubernetes.io/name: MyApp spec: ipFamilyPolicy: PreferDualStack ipFamilies: - IPv6 - IPv4 selector: app.kubernetes.io/name: MyApp ports: - protocol: TCP port: 80
现有 Service 的双栈默认值
下面示例演示了在 Service 已经存在的集群上新启用双栈时的默认行为。 (将现有集群升级到 1.21 或者更高版本会启用双协议栈支持。)
-
在集群上启用双栈时,控制面会将现有 Service(无论是
IPv4
还是IPv6
)配置.spec.ipFamilyPolicy
为SingleStack
并设置.spec.ipFamilies
为 Service 的当前地址族。apiVersion: v1 kind: Service metadata: name: my-service labels: app.kubernetes.io/name: MyApp spec: selector: app.kubernetes.io/name: MyApp ports: - protocol: TCP port: 80
你可以通过使用 kubectl 检查现有 Service 来验证此行为。
kubectl get svc my-service -o yaml
apiVersion: v1 kind: Service metadata: labels: app.kubernetes.io/name: MyApp name: my-service spec: clusterIP: 10.0.197.123 clusterIPs: - 10.0.197.123 ipFamilies: - IPv4 ipFamilyPolicy: SingleStack ports: - port: 80 protocol: TCP targetPort: 80 selector: app.kubernetes.io/name: MyApp type: ClusterIP status: loadBalancer: {}
-
在集群上启用双栈时,带有选择算符的现有 无头服务 由控制面设置
.spec.ipFamilyPolicy
为SingleStack
并设置.spec.ipFamilies
为第一个服务集群 IP 范围的地址族(通过配置 kube-apiserver 的--service-cluster-ip-range
参数),即使.spec.clusterIP
的设置值为None
也如此。apiVersion: v1 kind: Service metadata: name: my-service labels: app.kubernetes.io/name: MyApp spec: selector: app.kubernetes.io/name: MyApp ports: - protocol: TCP port: 80
你可以通过使用 kubectl 检查带有选择算符的现有无头服务来验证此行为。
kubectl get svc my-service -o yaml
apiVersion: v1 kind: Service metadata: labels: app.kubernetes.io/name: MyApp name: my-service spec: clusterIP: None clusterIPs: - None ipFamilies: - IPv4 ipFamilyPolicy: SingleStack ports: - port: 80 protocol: TCP targetPort: 80 selector: app.kubernetes.io/name: MyApp
在单栈和双栈之间切换 Service
Service 可以从单栈更改为双栈,也可以从双栈更改为单栈。
-
要将 Service 从单栈更改为双栈,根据需要将
.spec.ipFamilyPolicy
从SingleStack
改为PreferDualStack
或RequireDualStack
。 当你将此 Service 从单栈更改为双栈时,Kubernetes 将分配缺失的地址族, 以便现在此 Service具有 IPv4 和 IPv6 地址。 编辑 Service 规约将.spec.ipFamilyPolicy
从SingleStack
改为PreferDualStack
。之前:
spec: ipFamilyPolicy: SingleStack
之后:
spec: ipFamilyPolicy: PreferDualStack
- 要将 Service 从双栈更改为单栈,请将
.spec.ipFamilyPolicy
从PreferDualStack
或RequireDualStack
改为SingleStack
。 当你将此 Service 从双栈更改为单栈时,Kubernetes 只保留.spec.clusterIPs
数组中的第一个元素,并设置.spec.clusterIP
为那个 IP 地址, 并设置.spec.ipFamilies
为.spec.clusterIPs
地址族。
无选择算符的无头服务
对于不带选择算符的无头服务,
若没有显式设置 .spec.ipFamilyPolicy
,则 .spec.ipFamilyPolicy
字段默认设置为 RequireDualStack
。
LoadBalancer 类型 Service
要为你的 Service 提供双栈负载均衡器:
- 将
.spec.type
字段设置为LoadBalancer
- 将
.spec.ipFamilyPolicy
字段设置为PreferDualStack
或者RequireDualStack
说明:
为了使用双栈的负载均衡器类型 Service,你的云驱动必须支持 IPv4 和 IPv6 的负载均衡器。
出站流量
如果你要启用出站流量,以便使用非公开路由 IPv6 地址的 Pod 到达集群外地址 (例如公网),则需要通过透明代理或 IP 伪装等机制使 Pod 使用公共路由的 IPv6 地址。 ip-masq-agent项目 支持在双栈集群上进行 IP 伪装。
说明:
确认你的 CNI 驱动支持 IPv6。
Windows 支持
Windows 上的 Kubernetes 不支持单栈“仅 IPv6” 网络。 然而, 对于 Pod 和节点而言,仅支持单栈形式 Service 的双栈 IPv4/IPv6 网络是被支持的。
你可以使用 l2bridge
网络来实现 IPv4/IPv6 双栈联网。
说明:
Windows 上的 Overlay(VXLAN)网络不支持双栈网络。
关于 Windows 的不同网络模式,你可以进一步阅读 Windows 上的网络。