bridge-nf-call-iptables = 1 net.bridge.bridge-nf-call-arptables = 1 net.ipv4.ip_forward = 1 EOF #前3行表示bridge设备在二层转发时也去调用iptables配置的三层规则（包含 conntrack） # sysctl -p #加载配置 ⑧防火墙放行端口 TCP: 6443， 里，虽然底层是vxlan隧道，所有的pod处于一个overlay网络里，但为了避免二 层的广播流量占用大量的网络带宽，所以k8s把pod网段进一步细分了，各服务 器占一个子网段，然后各pod子网之间是走路由转发的，路由下一跳为flannel.1 设备，它再进行vxlan封装。 ★veth-pair虚拟网络接口 veth pair是成对的虚拟网络设备，一端连接自己的namespace的tcp/ip协议栈， ，它是由 kube-proxy组件实现的，创建一个service资源时，先注册此服务的dns条目，让 服务名称解析到service-ip，kube-proxy会想办法让访问service-ip的流量转发到真 实pod里面去，如果一个service服务后端对应多个pod，则kube-proxy会使用负 载均衡机制。 ★每创建一个service资源，就会创建一个同名的EndPoints Endpo