Kubernetes对外暴露与应用

最新推荐文章于 2022-11-03 16:02:17 发布
最新推荐文章于 2022-11-03 16:02:17 发布
阅读量1k 收藏
点赞数 1
分类专栏: kubernetes 文章标签: kubernetes 代理模式
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Gf19991225/article/details/122140086
版权
本文深入探讨Kubernetes Service,包括其作为微服务抽象的角色、VIP和代理模式(iptables、IPVS),解释为何不使用DNS轮询,以及Service的不同类型如ClusterIP、NodePort、LoadBalancer。此外,还讨论了Service代理模式的切换和实战应用。
摘要由CSDN通过智能技术生成

文章目录

一、Service

1.1 Service简介

Kubernetes Service定义了这样一种抽象:逻辑上的一组 Pod,一种能够访问它们的策略 —— 一般被称为微服务。这一组 Pod 可以被 Service 访问到,一般是经过 selector实现的。

举例:考虑一个图片处理 backend,它运行了3个副本。这些副本是可互换的 —— frontend 不需要关心它们调用了哪一个 backend 副本。 然而组成这一组 backend 程序的 Pod 实际上可能会发生变化,frontend 客户端不必知道,并且也不需要跟踪这一组 backend 的状态。Service 定义的抽象可以解耦这种关联。

Service能够提供负载均衡的能力,可是使用上存在以下限制:

  • 只能提供4层负载均衡能力,而没有7层功能。有时咱们可能须要更多的匹配规则来转发请求,这点上4层负载均衡是不支持的、
    如web访问的service服务示例图:

在这里插入图片描述

1.2 VIP和Service代理

在 Kubernetes 集群中,每一个 Node 运行一个 kube-proxy 进程。kube-proxy 负责为 Service 实现了一种 VIP(虚拟 IP)的形式,而不是 ExternalName 的形式。后端

从Kubernetes v1.0开始,已经可使用 userspace代理模式。Kubernetes v1.1添加了 iptables 代理模式,在 Kubernetes v1.2 中kube-proxy 的 iptables 模式成为默认设置。Kubernetes v1.8添加了 ipvs 代理模式。

1.3 不使用 DNS 轮询的原因

缘由以下:

  • DNS 实现的历史由来已久,它不遵照记录 TTL,而且在名称查找到结果后会对其进行缓存。

  • 有些应用程序仅执行一次 DNS 查找,并没有限期地缓存结果。

  • 即便应用和库进行了适当的从新解析,DNS 记录上的 TTL 值低或为零也可能会给 DNS 带来高负载,从而使管理变得困难。

由于有缓存,所以不合适。

1.4 iptables 代理模式

这种模式,kube-proxy 会监视 Kubernetes 控制节点对 Service 对象和 Endpoints 对象的添加和移除。 对每一个 Service,它会配置 iptables 规则,从而捕获到达该 Service 的 clusterIP 和端口的请求,进而将请求重定向到 Service 的一组 backend 中的某个上面。对于每一个 Endpoints 对象,它也会配置 iptables 规则,这个规则会选择一个 backend 组合。

默认的策略是,kube-proxy 在 iptables 模式下随机选择一个 backend。

使用 iptables 处理流量具备较低的系统开销,由于流量由 Linux netfilter 处理,而无需在用户空间和内核空间之间切换。 这种方法也可能更可靠。

若是 kube-proxy 在 iptables模式下运行,而且所选的第一个 Pod 没有响应,则链接失败。 这与userspace模式不一样:在这种状况下,kube-proxy 将检测到与第一个 Pod 的链接已失败,并会自动使用其余后端 Pod 重试。

咱们可使用 Pod readiness 探测器 验证后端 Pod 是否能够正常工做,以便 iptables 模式下的 kube-proxy 仅看到测试正常的后端。这样作意味着能够避免将流量经过 kube-proxy 发送到已知已失败的Pod。

在这里插入图片描述

1.5 IPVS 代理模式

在 ipvs 模式下,kube-proxy监视Kubernetes服务(Service)和端点(Endpoints),调用 netlink 接口相应地建立 IPVS 规则, 并按期将 IPVS 规则与 Kubernetes服务(Service)和端点(Endpoints)同步。该控制循环可确保 IPVS 状态与所需状态匹配。访问服务(Service)时,IPVS 将流量定向到后端Pod之一。

IPVS代理模式基于相似于 iptables 模式的 netfilter 挂钩函数,可是使用哈希表做为基础数据结构,而且在内核空间中工做。 这意味着,与 iptables 模式下的 kube-proxy 相比,IPVS 模式下的 kube-proxy 重定向通讯的延迟要短,而且在同步代理规则时具备更好的性能。与其余代理模式相比,IPVS 模式还支持更高的网络流量吞吐量。

IPVS提供了更多选项来平衡后端Pod的流量。分别是:

  • rr: round-robin
  • lc: least connection (smallest number of open connections)
  • dh: destination hashing
  • sh: source hashing
  • sed: shortest expected delay
  • nq: never queue

注意: 要在 IPVS 模式下运行 kube-proxy,必须在启动 kube-proxy 以前使 IPVS Linux 在节点上可用。 当 kube-proxy 以 IPVS 代理模式启动时,它将验证 IPVS 内核模块是否可用。 若是未检测到 IPVS 内核模块,则 kube-proxy 将退回到以 iptables 代理模式运行。
在这里插入图片描述

二、Service存在的意义

service引入主要是解决Pod的动态变化,提供统一访问入口:

  • 防止Pod失联,准备找到提供同一个服务的Pod(服务发现)
  • 定义一组Pod的访问策略(负载均衡)

在这里插入图片描述

在这里插入图片描述

Pod与Service的关系:

  • Service通过标签关联一组Pod
  • Service使用iptables或者ipvs为一组Pod提供负载均衡能力

在这里插入图片描述

三、Service定义与创建

创建service:

  • kybectl apply -f service.yaml

查看service:

  • kubectl get service

实例:

[root@master ~]# docker images
REPOSITORY                                                        TAG       IMAGE ID       CREATED        SIZE
gaofan1225/httpd                                                  v0.2      f61bbd041ba4   12 days ago    89.2MB


[root@master ~]# cat test.yaml 
---
apiVersion: apps/v1
kind: Deployment
metadata: 
  name: httpd
  namespace: default
spec: 
  selector: 
    matchLabels: 
      name: httpd
  template: 
    metadata: 
      labels: 
        name: httpd
    spec: 
      containers: 
      - name: httpd
        image: gaofan1225/httpd:v0.2
        imagePullPolicy: IfNotPresent
        
// 应用        
[root@master ~]# kubectl apply -f test.yaml 
deployment.apps/httpd created

[root@master ~]# kubectl get pods
NAME                     READY   STATUS      RESTARTS   AGE
httpd-77bfff888c-4bfzv   1/1     Running     0          8s

// 暴露端口,本机访问映射端口80,容器内访问映射端口80
[root@master ~]# kubectl expose deployment httpd --port 80 --target-port 80
service/httpd exposed

// svc创建成功
[root@master ~]# kubectl get svc
NAME         TYPE        CLUSTER-IP      EXTERNAL-IP   PORT(S)   AGE
httpd        ClusterIP   10.105.163.84   <none>        80/TCP    5s
kubernetes   ClusterIP   10.96.0.1       <none>        443/TCP   3d23h

// 测试访问
[root@master ~]# curl 10.105.163.84:80
<html><body><h1>It works!</h1></body></html>

四、Service服务类型

4.1 ClusterIP:集群内部使用

默认类型,自动分配一个仅Cluster内部能够访问的虚拟IP
在这里插入图片描述
实例:

[root@master ~]# cat test3.yaml 
apiVersion: apps/v1
kind: Deployment
metadata: 
  name: mydeploy
  namespace: default
spec: 
  replicas: 2
  selector: 
    matchLabels: 
      app: amu2
      release: v1
  template: 
    metadata: 
      labels: 
        app: amu2
        release: v1
    spec: 
      containers: 
      - name: amu2
        image: gaofan1225/httpd:v0.2
        imagePullPolicy: IfNotPresent

---
apiVersion: v1
kind: Service
metadata: 
  name: mysvc
  namespace: default
spec: 
  type: ClusterIP			// 指定ClusterIP类型
  selector: 
    app: amu2
    release: v1
  ports: 
  - name: httpd
    port: 80
    targetPort: 80

[root@master ~]# kubectl apply -f test3.yaml 
deployment.apps/mydeploy created
service/mysvc created


// 查看pod、svc
[root@master ~]# kubectl get pods,svc
NAME                            READY   STATUS    RESTARTS      AGE
pod/httpd-77bfff888c-4bfzv      1/1     Running   1 (21h ago)
最低0.47元/天 解锁文章
阿木690
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
kubernetes 中的service 对外暴露端口
zhaoyangjian724的专栏
12-18 669
kubernetes
Kubernetes核心-对外暴露应用Ingress
爱是与世界平行
11-26 1206
Kubernetes-对外暴露应用Ingress1、Ingress1.1 Ingress和Pod关系1.2 Ingress工作流程1.3 使用ingress步骤1.4 使用ingress对外暴露应用 1、Ingress Ingress不是Kubernetes内置的,需要单独安装应用,来做负载均衡。 将端口号对外暴露,通过IP+端口号进行访问。 使用Service里面的NodePort可以实现。 NodePort缺陷: 在每个节点上都会起到端口,在访问时候通过任何节点,通过节点ip+暴露端口号实现访问。
kubernets对外暴露服务端口
sense_jw的博客
07-14 3315
1、进入/root目录,编辑对应的yaml文件 2、修改/增加spec/template/spec/containers/ports节点,增加以下内容 [code="java"]- containerPort: 8080 protocol: TCP[/code] 3、增加服务的yaml文件,通常以xxxx-srv.yaml方式命名,xxxx为服务名。内容如下: [co...
Kubernetes 安全系列之 API Server 端口暴露
SRE进阶之路
03-12 998
一个DevOps同事发现集群中的任何容器都可以无限制地查询Kubernetes API Server。了解攻击者如何利用这种错误配置来窃取集群中其他pod的密钥,导致了一个安全事件
kubernetes 使用kubectl port-forward 暴露端口访问应用
会哭的雨@的博客
07-20 5792
转发一个本地端口到 Pod 端口 kubectl port-forward允许使用资源名称 (例如 pod 名称)来选择匹配的 pod 来进行端口转发。 # Change mongo-75f59d57f4-4nd6q to the name of the Pod kubectl port-forward mongo-75f59d57f4-4nd6q 28015:27017 这相当于 kubectl port-forward pods/mongo-75f59d57f4-4nd6q 2.
Kubernetes快速进阶与实战-实践手册
10-27
5. **Ingress**:Ingress为外部访问Kubernetes服务提供了一种统一的入口,它可以配置基于路径的路由规则,实现对外暴露服务。 **实战与集成工具** 本手册结合了其他相关技术,如LVS、Prometheus、Grafana、GitLab...
kubernetes学习:学习kubernetes应用程序部署
02-19
NodePort、LoadBalancer和Ingress等服务类型提供了对外暴露应用的策略。 7. **部署过程**:在Kubernetes上部署应用通常涉及编写YAML或JSON格式的配置文件,这些文件描述了所需的资源。`kubectl apply -f <filename>...
kubernetes 部署giltab
08-24
同样,创建一个Service暴露PostgreSQL服务,方便GitLab应用与其通信。 三、部署 GitLab 服务 GitLab 是一个开源的Git仓库管理平台,集成了代码托管、持续集成、问题跟踪等功能。部署GitLab需要配置一个...
Kubernetes-Best-Practices
最新发布
03-08
2. **Ingress控制器**:配置Ingress资源,对外暴露服务并进行路径路由。 四、版本控制与持续集成/持续部署(CI/CD) 1. **使用GitOps**:将集群状态和配置存入Git,实现版本控制和团队协作。 2. **Jenkins或Tekton*...
kubernetes源码20221231
12-31
- **Service网络**:通过Cluster IP提供服务发现,对外暴露服务可以使用NodePort、LoadBalancer或Ingress。 4. **扩展机制** - **Custom Resources Definitions (CRDs)**:允许用户自定义资源类型,扩展...
Kubernetes网络之对外暴露方案(3)
ryanlll3的博客
02-06 585
Kubernetes网络之NodePort vs LoadBalancer vs Ingress(3)回顾K8S服务发现NodePortLoadBalancerIngressKubectl Proxy & Port Forward小结 上一篇:Kubernetes网络之Service网络(2) 回顾K8S服务发现 回顾K8S服务发现原理(Kubernetes网络之Service网络(2)),kube-proxy这个角色掌握了service网络所有的信息,也可以跟Pod网络互通互联,同时又和节点网
kubernetes 系列之 - 暴露运行的服务端口
qq_36465337的博客
12-07 1484
在这一步如果之前的发布操作有不清楚的请查看博客 之前的kubernetes发布springboot项目 kubernetes 运行springboot 并且暴露端口 一:查看k8s的deployment kubectl get deployment # 如下显示 NAME READY UP-TO-DATE AVAILABLE AGE springbo...
k8s 使用 Service 控制器对外暴露服务
smile_tianya的博客
03-27 2668
Service 引入主要是解决 Pod 的动态变化,提供统一访问入口:防止 Pod 失联,准备找到提供同一个服务的 Pod (服务发现);并定义一组 Pod 的访问策略 (负载均衡)。
K8s暴露端口与代理方式
西北连天一片云,乌鸦落在凤凰群
12-25 1185
K8s暴露端口与代理方式 文章目录K8s暴露端口与代理方式kubernetes暴露端口的方式kubernetes代理方式代理模式:userspace代理模式:iptablesservice的类型实践操作 kubernetes暴露端口的方式 方式1:clusterIP 此类型会提供一个集群内部的虚拟IP(与pod不在同一网段),以供集群内部的pod之间通信使用。clusterIP也是kubernetes service的默认类型 主要需要以下几个组件的协同工作 apiservice:在创建service时,a
k8s---Kubectl 命令管理
Cpureman的博客
10-11 812
文章目录什么是kubectl:kubectl基本命令:创建 :kubectl run命令删除:kubectl detele命令项目周期:一.创建资源二.发布资源三.更新资源版本信息四.回滚资源版本信息五.删除资源信息六.查看具体资源的详细信息 什么是kubectl: ●kubectl是管理k8s集群的命令行工具,通过生成的json格式传递给apiserver进行创建,查看,管理的操作 ●帮助操作: [root@master02 ~]# kubectl --help kubectl controls the
Kubectl 常用命令
qq_36155136的博客
06-14 236
Kubectl 常用命令记录
Kubectl
Drw_Dcm的博客
11-03 6490
Kubectl
实战:ingress-nginx-2022.1.3
weixin_39246554的博客
01-03 1201
实战:ingress-nginx-2022.1.3 目录 文章目录实战:ingress-nginx-2022.1.3目录实验环境实验软件ingress-nginx1、运行原理2、安装3、第一个示例注意???? 问题:如何安装helm & 如何是用helm安装ingress-nginx(已解决)????? 学习这部分内容,如果能熟悉nginx知识点,还是非常不错的。关于我最后 实验环境 实验环境: 1、win10,vmwrokstation虚机; 2、k8s集群:3台centos7.6 1810虚机
calico网络原理分析
lionzl的专栏
08-29 527
最近在搭建k8s生产环境的时候,采用了calico作为网络插件。于是写篇博客记录一下。 一、Calico基本介绍 Calico是一个纯三层的协议,为OpenStack虚机和Docker容器提供多主机间通信。Calico不使用重叠网络比如flannel和libnetwork重叠网络驱动,它是一个纯三层的方法,使用虚拟路由代替虚拟交换,每一台虚拟路由通过BGP协议传播可达信息(路由)到剩余数据中心。 二、Calico结构组成 Calico不使用重叠网络比如flannel和libnetwork重叠网络驱动,它
kubectl 对外暴露端口
07-28
kubectl对外暴露端口的方法有多种。其中一种方法是通过创建Service来实现。在创建Service时,可以指定Service的类型为LoadBalancer或NodePort。如果选择LoadBalancer类型,Kubernetes将会在云平台上创建一个负载均衡器,并将外部流量路由到Service上。如果选择NodePort类型,Kubernetes将会在每个节点上打开一个固定的端口,并将外部流量路由到这些端口上。这样,通过节点的IP地址和指定的端口,就可以访问到Service。另外,还可以使用Ingress来实现对外暴露端口,Ingress是一种将外部流量路由到集群内部的服务的方法。通过配置Ingress规则,可以将外部流量路由到指定的Service上。总之,kubectl提供了多种方式来对外暴露端口,可以根据具体需求选择合适的方法。\[1\]\[2\]\[3\] #### 引用[.reference_title] - *1* *2* [Kubernetes对外暴露应用](https://blog.csdn.net/Gf19991225/article/details/122140086)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insertT0,239^v3^insert_chatgpt"}} ] [.reference_item] - *3* [Kubernetes Service 对外暴露应用](https://blog.csdn.net/weixin_46634416/article/details/122154406)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insertT0,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值