Linux bridge使用dummy接口调用IPVS的问题

Linux bridge使用dummy接口调用IPVS的问题

在IPVS: How Kubernetes Services Direct Traffic to Pods一文中，作者给出了一个简单的组网(如下)来模拟kubernetes是如何使用IPVS进行通信的。

image

问题描述

当在netns_leah命名空间中测试通过VIP访问netns_dustin中的服务时，发现如果不创建一个类型为dummy，且IP为VIP(10.100.100.100)的接口时，访问是不通的。作者怀疑bridge_home接口并没有调用IPVS规则。

如下图，IPVS规则实际是iptables处理路径上挂载的钩子。

image

问题分析

按照原文的步骤，创建dummy接口之后就可以成功执行如下命令，从netns_dustin命名空间通过VIP访问netns_dustin中的服务：

sudo ip netns exec netns_dustin curl 10.100.100.100:8080

抓包发现执行逻辑如下：

image

image

如果不配置dummy接口，将不会执行上述第四步，即bridge_home不会发起到netns_dustin的ARP广播请求，由此可以怀疑，从netns_leah到bridge_home的SYNC报文并没有经过IPVS规则，由于无法解析VIP，bridge_home将根据默认路由转发目的地为VIP的报文。

本机的IP地址(192.168.118.148)和默认路由如下：

image

删除dummy接口，并在出接口ens33上抓包，发现bridge_home果然按照默认路由转发了报文。

image

总结

dummy接口相当于提供了一个让bridge_home进入iptables的机会，这样就可以使用IPVS规则处理报文。