# 从 Linux 网络到 Kubernetes 网络：彻底理解 Pod 是如何通信的

很多人学习 Kubernetes 网络时，一上来就接触：

Pod
Service
Ingress
CNI
Flannel
Calico

结果越学越乱。

真正的问题在于：

Kubernetes 网络并不是一个独立体系，而是建立在 Linux 网络之上的一层抽象。

如果不了解 Linux 网络，那么 Pod、Service、VXLAN 这些概念都会变成黑盒。

一、网络世界只有三个核心概念

整个网络可以抽象成三件事：

CodeBlock Loading...

对应：

CodeBlock Loading...

二、MAC 与 IP

MAC 地址

MAC 是二层地址。

CodeBlock Loading...

作用是在同一个局域网内定位设备。

IP 地址

IP 是三层地址。

CodeBlock Loading...

作用是跨网络定位设备。

三、交换机、ARP、路由器

交换机工作在二层，只看 MAC 地址，不看 IP、TCP、HTTP。

ARP 负责：

CodeBlock Loading...

路由器工作在三层：

CodeBlock Loading...

路由表示例：

CodeBlock Loading...

含义：

CodeBlock Loading...

四、NAT

私网地址不能直接在公网路由：

CodeBlock Loading...

所以路由器会做 SNAT：

CodeBlock Loading...

并通过 conntrack 记录连接映射，用于回包恢复。

五、Linux Network Namespace

Namespace 是 Linux 的隔离机制。

Network Namespace 隔离的是一整套网络栈：

CodeBlock Loading...

所以容器不是虚拟机，而是：

CodeBlock Loading...

六、veth Pair

Namespace 之间需要连接，Linux 提供了 veth pair。

CodeBlock Loading...

它像一根虚拟网线：

CodeBlock Loading...

七、Linux Bridge

Bridge 是软件交换机。

CodeBlock Loading...

它和物理交换机一样：

CodeBlock Loading...

八、Docker 网络

Docker 默认网络结构：

CodeBlock Loading...

其中 docker0 是 Linux Bridge，同时被 Docker 配置了 IP：

CodeBlock Loading...

所以 docker0 既是交换机，也是容器默认网关。

Docker 自己维护 IPAM：

CodeBlock Loading...

容器 IP 通常由 Docker 分配：

CodeBlock Loading...

九、Pod 是什么

Pod 不是容器。

一个 Pod 里可以有多个容器：

CodeBlock Loading...

真正持有网络命名空间的是 pause container。

CodeBlock Loading...

所以同一个 Pod 内多个容器共享：

CodeBlock Loading...

十、Kubernetes 单节点网络

很多 CNI 会在 Node 上创建类似 docker0 的网桥，比如：

CodeBlock Loading...

结构：

CodeBlock Loading...

同节点 Pod 通信时：

CodeBlock Loading...

这个过程本质是二层交换。

十一、CNI 是什么

Kubernetes 本身不直接实现网络。

它通过 CNI 插件处理 Pod 网络。

常见 CNI：

CodeBlock Loading...

CNI 负责：

CodeBlock Loading...

Pod IP 通常由 CNI 的 IPAM 模块分配，不是 Kubernetes 或 Linux 自动分配。

十二、跨节点 Pod 通信

假设：

CodeBlock Loading...

PodA 访问 PodB：

CodeBlock Loading...

问题是：

CodeBlock Loading...

这就是 CNI 要解决的问题。

十三、VXLAN

VXLAN 是：

CodeBlock Loading...

意思是：

CodeBlock Loading...

原始 Pod 包：

CodeBlock Loading...

经过 VXLAN 封装：

CodeBlock Loading...

包结构：

CodeBlock Loading...

中间物理网络只看到：

CodeBlock Loading...

Node2 收到后解 VXLAN，再把原始 Pod 包送给 PodB。

十四、flannel.1 是什么

flannel.1 不是进程。

它是 Linux VXLAN 网络设备。

类似：

CodeBlock Loading...

路由表里：

CodeBlock Loading...

意思是：

CodeBlock Loading...

然后 Linux 内核负责 VXLAN 封装。

flanneld 才是进程，它负责：

CodeBlock Loading...

十五、Service 的本质

Service 提供稳定访问入口。

例如：

CodeBlock Loading...

但这个 IP 通常不是某张真实网卡上的 IP。

Service 本质是：

CodeBlock Loading...

十六、kube-proxy

kube-proxy 监听：

CodeBlock Loading...

然后生成转发规则。

例如：

CodeBlock Loading...

所以访问 Service 时，真实过程是：

CodeBlock Loading...

十七、CoreDNS

Pod 内访问服务名：

CodeBlock Loading...

解析过程：

CodeBlock Loading...

十八、Ingress

Ingress 是规则，不是真正的网关进程。

真正处理流量的是 Ingress Controller，比如：

CodeBlock Loading...

外部请求链路：

CodeBlock Loading...

Ingress Controller 通常是七层反向代理，会解析：

CodeBlock Loading...

十九、完整链路总结

Linux 网络基础：

CodeBlock Loading...

容器网络基础：

CodeBlock Loading...

Kubernetes 网络：

CodeBlock Loading...

二十、最终结论

Kubernetes 网络不是凭空出现的新体系。

它本质是：

CodeBlock Loading...

更具体地说：

CodeBlock Loading...

理解 Kubernetes 网络，正确路径不是先背 Pod、Service、Ingress，而是先理解：

CodeBlock Loading...

很多人学习 Kubernetes 网络时，一上来就接触：

Pod
Service
Ingress
CNI
Flannel
Calico

结果越学越乱。

真正的问题在于：

Kubernetes 网络并不是一个独立体系，而是建立在 Linux 网络之上的一层抽象。

如果不了解 Linux 网络，那么 Pod、Service、VXLAN 这些概念都会变成黑盒。

一、网络世界只有三个核心概念

整个网络可以抽象成三件事：

TEXT

设备
地址
转发

CodeBlock Loading...

对应：

TEXT

设备：
网卡
交换机
路由器

地址：
MAC
IP

转发：
交换
路由
NAT

CodeBlock Loading...

二、MAC 与 IP

MAC 地址

MAC 是二层地址。

TEXT

00:11:22:33:44:55

CodeBlock Loading...

作用是在同一个局域网内定位设备。

IP 地址

IP 是三层地址。

TEXT

192.168.1.10
10.244.1.2
8.8.8.8

CodeBlock Loading...

作用是跨网络定位设备。

三、交换机、ARP、路由器

交换机工作在二层，只看 MAC 地址，不看 IP、TCP、HTTP。

ARP 负责：

TEXT

IP -> MAC

CodeBlock Loading...

路由器工作在三层：

TEXT

查看目标 IP
↓
查路由表
↓
决定下一跳

CodeBlock Loading...

路由表示例：

BASH

ip route

CodeBlock Loading...

TEXT

192.168.1.0/24 dev eth0
default via 192.168.1.1

CodeBlock Loading...

含义：

TEXT

同网段直接发送
其他流量交给默认网关

CodeBlock Loading...

四、NAT

私网地址不能直接在公网路由：

TEXT

192.168.x.x
172.16.x.x
10.x.x.x

CodeBlock Loading...

所以路由器会做 SNAT：

TEXT

SRC 192.168.1.10
↓
SRC 公网 IP

CodeBlock Loading...

并通过 conntrack 记录连接映射，用于回包恢复。

五、Linux Network Namespace

Namespace 是 Linux 的隔离机制。

Network Namespace 隔离的是一整套网络栈：

TEXT

网卡
IP
路由表
ARP 表
iptables
端口空间

CodeBlock Loading...

所以容器不是虚拟机，而是：

TEXT

普通 Linux 进程
+
Namespace 隔离
+
Cgroups 限制
+
RootFS 文件系统

CodeBlock Loading...

六、veth Pair

Namespace 之间需要连接，Linux 提供了 veth pair。

TEXT

vethA <====> vethB

CodeBlock Loading...

它像一根虚拟网线：

TEXT

从 vethA 发出的包，会从 vethB 出来
从 vethB 发出的包，会从 vethA 出来

CodeBlock Loading...

七、Linux Bridge

Bridge 是软件交换机。

TEXT

ContainerA
   |
 Bridge
   |
ContainerB

CodeBlock Loading...

它和物理交换机一样：

TEXT

学习 MAC
查 MAC 表
转发数据帧

CodeBlock Loading...

八、Docker 网络

Docker 默认网络结构：

TEXT

Container
  eth0
    │
veth
    │
docker0
    │
Host

CodeBlock Loading...

其中 docker0 是 Linux Bridge，同时被 Docker 配置了 IP：

TEXT

docker0 = 172.17.0.1

CodeBlock Loading...

所以 docker0 既是交换机，也是容器默认网关。

Docker 自己维护 IPAM：

TEXT

172.17.0.0/16

CodeBlock Loading...

容器 IP 通常由 Docker 分配：

TEXT

172.17.0.2
172.17.0.3
172.17.0.4

CodeBlock Loading...

九、Pod 是什么

Pod 不是容器。

一个 Pod 里可以有多个容器：

TEXT

Pod
├── app
└── sidecar

CodeBlock Loading...

真正持有网络命名空间的是 pause container。

TEXT

pause container
└── Network Namespace

app
└── 加入 pause 的 Network Namespace

sidecar
└── 加入 pause 的 Network Namespace

CodeBlock Loading...

所以同一个 Pod 内多个容器共享：

TEXT

IP
localhost
端口空间

CodeBlock Loading...

十、Kubernetes 单节点网络

很多 CNI 会在 Node 上创建类似 docker0 的网桥，比如：

TEXT

cni0

CodeBlock Loading...

结构：

TEXT

PodA
  |
veth
  |
cni0
  |
veth
  |
PodB

CodeBlock Loading...

同节点 Pod 通信时：

TEXT

PodA ARP 查询 PodB MAC
↓
cni0 广播
↓
PodB 回复
↓
cni0 根据 MAC 表转发

CodeBlock Loading...

这个过程本质是二层交换。

十一、CNI 是什么

Kubernetes 本身不直接实现网络。

它通过 CNI 插件处理 Pod 网络。

常见 CNI：

TEXT

Flannel
Calico
Cilium

CodeBlock Loading...

CNI 负责：

TEXT

创建 veth
配置 IP
配置路由
接入 Bridge 或其他数据平面
维护跨节点通信

CodeBlock Loading...

Pod IP 通常由 CNI 的 IPAM 模块分配，不是 Kubernetes 或 Linux 自动分配。

十二、跨节点 Pod 通信

假设：

TEXT

Node1
PodA = 10.244.1.2

Node2
PodB = 10.244.2.2

CodeBlock Loading...

PodA 访问 PodB：

TEXT

10.244.1.2 -> 10.244.2.2

CodeBlock Loading...

问题是：

TEXT

Node1 怎么知道 10.244.2.0/24 在 Node2？

CodeBlock Loading...

这就是 CNI 要解决的问题。

十三、VXLAN

VXLAN 是：

TEXT

L2 Overlay over L3

CodeBlock Loading...

意思是：

TEXT

把二层网络封装到三层 IP 网络里面

CodeBlock Loading...

原始 Pod 包：

TEXT

SRC 10.244.1.2
DST 10.244.2.2

CodeBlock Loading...

经过 VXLAN 封装：

TEXT

Outer IP:
SRC Node1IP
DST Node2IP

UDP

VXLAN Header

Inner IP:
SRC 10.244.1.2
DST 10.244.2.2

CodeBlock Loading...

包结构：

TEXT

Outer Ethernet
Outer IP
UDP
VXLAN
Inner Ethernet
Inner IP
TCP
HTTP

CodeBlock Loading...

中间物理网络只看到：

TEXT

Node1IP -> Node2IP

CodeBlock Loading...

Node2 收到后解 VXLAN，再把原始 Pod 包送给 PodB。

十四、flannel.1 是什么

flannel.1 不是进程。

它是 Linux VXLAN 网络设备。

类似：

TEXT

eth0
docker0
cni0
vethxxx

CodeBlock Loading...

路由表里：

TEXT

10.244.2.0/24 dev flannel.1

CodeBlock Loading...

意思是：

TEXT

去 10.244.2.0/24 的流量
交给 flannel.1 这个 VXLAN 设备处理

CodeBlock Loading...

然后 Linux 内核负责 VXLAN 封装。

flanneld 才是进程，它负责：

TEXT

创建 flannel.1
写路由表
维护 Node 和 PodCIDR 的映射

CodeBlock Loading...

十五、Service 的本质

Service 提供稳定访问入口。

例如：

TEXT

Service IP = 10.96.0.10

CodeBlock Loading...

但这个 IP 通常不是某张真实网卡上的 IP。

Service 本质是：

TEXT

虚拟 IP
+
iptables / IPVS 转发规则

CodeBlock Loading...

十六、kube-proxy

kube-proxy 监听：

TEXT

Service
Endpoint / EndpointSlice

CodeBlock Loading...

然后生成转发规则。

例如：

TEXT

10.96.0.10:8080
↓ DNAT
10.244.1.2:8080

CodeBlock Loading...

所以访问 Service 时，真实过程是：

TEXT

访问 Service IP
↓
iptables / IPVS 命中规则
↓
DNAT 到某个后端 Pod IP
↓
通过 CNI 网络转发到目标 Pod

CodeBlock Loading...

十七、CoreDNS

Pod 内访问服务名：

BASH

curl user-service

CodeBlock Loading...

解析过程：

TEXT

user-service
↓
CoreDNS
↓
Service ClusterIP
↓
kube-proxy
↓
Pod IP

CodeBlock Loading...

十八、Ingress

Ingress 是规则，不是真正的网关进程。

真正处理流量的是 Ingress Controller，比如：

TEXT

Nginx Ingress Controller
Traefik
APISIX
Kong

CodeBlock Loading...

外部请求链路：

TEXT

Browser
↓
LoadBalancer / NodePort
↓
Ingress Controller
↓
Service
↓
Pod

CodeBlock Loading...

Ingress Controller 通常是七层反向代理，会解析：

TEXT

Host
Path
TLS
HTTP Header

CodeBlock Loading...

十九、完整链路总结

Linux 网络基础：

TEXT

MAC
↓
ARP
↓
交换机
↓
路由器
↓
路由表
↓
NAT

CodeBlock Loading...

容器网络基础：

TEXT

Namespace
↓
veth
↓
Bridge
↓
IPAM
↓
Docker 网络

CodeBlock Loading...

Kubernetes 网络：

TEXT

Pod
↓
CNI
↓
PodCIDR
↓
cni0 / route / eBPF
↓
VXLAN / BGP
↓
Service
↓
CoreDNS
↓
Ingress

CodeBlock Loading...

二十、最终结论

Kubernetes 网络不是凭空出现的新体系。

它本质是：

TEXT

Linux 网络能力
+
CNI 自动化
+
Kubernetes 声明式编排

CodeBlock Loading...

更具体地说：

TEXT

Kubernetes 网络
=
Namespace
+
veth
+
Bridge
+
Route
+
NAT
+
iptables / IPVS
+
VXLAN / BGP / eBPF
+
CNI

CodeBlock Loading...

理解 Kubernetes 网络，正确路径不是先背 Pod、Service、Ingress，而是先理解：

TEXT

Linux 如何转发一个包
容器如何拥有自己的网络栈
Pod 如何通过 CNI 接入网络
跨节点 Pod 如何通过 VXLAN 或路由互通
Service 如何通过 DNAT 找到后端 Pod
Ingress 如何作为七层入口转发流量

CodeBlock Loading...