Kubernetes从零到精通(10-服务Service)

于 2024-09-13 17:32:24 发布
阅读量689 收藏 4
点赞数 18
分类专栏: Kubernetes/K8S 文章标签: kubernetes 容器 云原生
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/fzw1030/article/details/142214416
版权

Service简介

        Deployment这种工作负载能管理我们应用Pod的副本数,并实现动态的创建和销毁,所以Pod本身是临时资源(IP随时可能变化)。现在如果某组Pod A需要访问另一组Pod B,A就需要在应用的配置参数里动态跟踪并更改B的ip和端口,把这种需求放在业务端去实现显然是非常不合理的。Kubernetes给我们提供了解决方案:Kubernetes Service。

        Kubernetes Service的一个关键目标是让你无需修改现有应用以使用某种不熟悉的服务发现机制。Service是Kubernetes集群中用来提供负载均衡、服务发现和通信的关键组件,能够让Pod之间以及外部流量和内部应用进行稳定通信。

Service底层工作原理

ClusterIP和kube-proxy组件

        Service的核心机制依赖于Kubernetes的虚拟IP概念和kube-proxy组件(除非我们已经部署了自己的替换组件来替代kube-proxy)。每个Service都会分配一个ClusterIP,作为服务的固定入口。kube-proxy在每个节点上运行,负责维护IP关系表,将到达ClusterIP的流量转发到对应的Pod。

iptables和IPVS

        kube-proxy负责设置网络规则,常用的机制有:

iptables:通过添加大量的NAT规则来进行流量转发,但当服务数量增大时,性能下降较明显。

IPVS:相比iptables,IPVS提供了更高效的流量转发机制。IPVS使用更高效的哈希表来存储转发规则,具有更高的性能,适合大规模集群中的服务发现和负载均衡。

忘记Linux中iptables和IPVS概念的小伙伴可以到这里了解:

Linux技术03-Netfilter、Iptables、Nftables、Firewalld

Linux技术04-IPVS

EndpointSlice

        Service本身并不直接维护Pod的IP地址,而是通过EndpointSlice对象记录符合Service选择器的Pod列表。每当符合条件的Pod发生变更,Kubernetes控制器会更新EndpointSlice,对应的kube-proxy也会随之调整路由规则,并操作iptables或IPVS。

负载均衡

        Service提供了默认的轮询负载均衡(Round Robin),即将流量均匀分配到后端Pod。具体的流量分配方式依赖于kube-proxy的转发机制,如iptables或IPVS。

Service示例

        定义一个Deployment和一个Service:

apiVersion: apps/v1
kind: Deployment
metadata:
  name: my-app
spec:
  replicas: 3
  selector:
    matchLabels:
      app: my-app
  template:
    metadata:
      labels:
        app: my-app
    spec:
      containers:
      - name: my-app-container
        image: my-app:latest
        ports:
        - containerPort: 8080
---
apiVersion: v1
kind: Service
metadata:
  name: my-app-service
spec:
  selector:
    app: my-app
  ports:
  - protocol: TCP
    port: 80
    targetPort: 8080
  type: ClusterIP
  • Deployment 定义了应用Pod的副本数(replicas),并通过标签选择器 app:my-app进行匹配。
  • Service 定义了一个ClusterIP类型的服务,通过标签选择器 app:my-app将流量分发到符合条件的Pod。Service使用端口80对外提供服务,并将流量转发到Pod内部8080端口。

Service 类型

ClusterIP

        仅在集群内部可以访问,提供一个虚拟IP地址供集群中的其他Pod访问,如上面的示例。

NodePort

        在每个节点上暴露一个固定端口,并通过该端口访问服务。例如管理员需要访问监控组件prometheus的web ui,可以通过这种方式。

apiVersion: v1
kind: Service
metadata:
  name: my-app-nodeport-service
spec:
  type: NodePort
  selector:
    app: my-app
  ports:
  - protocol: TCP
    port: 80
    targetPort: 8080
    nodePort: 30007

        示例中这个服务会在每个node节点的30007端口暴露服务,我们通过任一node的IP和30007端口即可从外部访问服务。

LoadBalancer

        使用外部负载均衡器,在云服务提供商上动态创建。在支持 LoadBalancer的云环境中,这种服务类型可以自动创建负载均衡器(依赖相关的cloud-controller-manager组件),并为其分配一个外部IP地址供外部访问。

apiVersion: v1
kind: Service
metadata:
  name: nginx-service
  annotations:
    service.beta.kubernetes.io/aws-load-balancer-type: "nlb" # 使用AWS Network Load Balancer (可选)
spec:
  type: LoadBalancer
  selector:
    app: nginx
  ports:
  - port: 80
    targetPort: 80
    protocol: TCP

ExternalName

        映射到外部服务的DNS名称,而不是映射到Kubernetes内部的Pod。该映射将集群的DNS服务器配置为返回具有该外部主机名值的cname记录;集群不会为之创建任何类型代理。

        例如Pod需要访问位于集群外的数据库、API 或者其他第三方服务;为外部的服务创建一个集群内部的别名,以便简化服务调用。

apiVersion: v1
kind: Service
metadata:
  name: google-service
spec:
  type: ExternalName
  externalName: www.google.com

Headless Services(无头服务)

        有时我们并不需要负载均衡,也不需要单独的Service IP。遇到这种情况,可以通过显式设置 集群 IP(spec.clusterIP)的值为"None" 来创建无头服务(Headless Service)。

        无头Service不会获得集群 IP,kube-proxy不会处理这类Service, 而且平台也不会为它们提供负载均衡或路由支持。

        无头Service通过内部DNS记录报告各个Pod的端点IP地址,这些DNS记录是由集群的DNS服务所提供的。

        无头Service一个常见的使用场景是StatefulSet管理的有状态服务。其他应用的Pod,需要直接访问各个节点DNS(例如kafka-0,kafka-1,kafka-2)。

炸裂狸花猫
关注
专栏目录
服务service mesh解决方案Istio从入门到精通-学习必备
02-17
### 微服务Service Mesh解决方案Istio从入门到精通-学习必备 #### 一、Istio概述 Istio 是一个由 Google、IBM 和 Lyft 共同开发的服务网格(Service Mesh)开源项目,旨在为现代微服务架构提供一套统一的服务治理...
服务网格化Service Mesh入门到精通.pdf
03-12
### 服务网格化Service Mesh入门到精通 #### 1. Service Mesh 概念与背景 - **服务网格**(Service Mesh)是一种独立的基础架构层,它专注于管理服务间的通信问题,尤其是在复杂的云原生环境中。现代云原生应用...
k8s从入门到精通资料
05-24
- "容器集群k8s从入门到精通资料day02":可能涉及Pod、Service和Deployments的详细操作。 - "容器集群k8s从入门到精通资料day05":可能讲解更高级主题,如自定义资源、Helm包管理器等。 通过这些资料,你可以逐步...
Mastering-ServiceMesh:深入浅出服务网格,从入门到精通Istio
04-09
《Mastering ServiceMesh:深入浅出服务网格,从入门到精通Istio》是一本旨在帮助读者全面理解和掌握服务网格技术的专业书籍,尤其侧重于Istio这一热门的服务网格实现。服务网格作为现代云原生架构中的关键组件,它...
K8s实战案例总结-从入门到精通
07-15
### K8s实战案例总结-从入门到精通 #### 基础集群环境搭建 Kubernetes(简称K8s)是Google开源的一个容器集群管理系统,它可以帮助用户自动部署、管理和扩展容器化的应用。本文档旨在提供K8s基础集群环境搭建的...
k8s Helm
巧克力人生的博客
09-08 1054
了解HelmHelm是kubernetes中查找、分享、构建应用的最佳方式。Helm是一个Kubernetes应用的包管理工具,用来管理chart(一种预先配置好的安装包资源),有点类似于Ubuntu 的APT和CentOS/Rocky中的YUM。因此,helm的出现解决了k8s应用管理能力缺失的问题。另外Helm也是dev和ops的桥梁,运维人员在使用Helm的时候,一方面不需要理解大量在Chart中的各种k8s元素,只需要配置少量的环境变量即可安装;
k8s API资源对象
巧克力人生的博客
09-06 730
如果想直接通过k8s节点的IP直接访问到service对应的资源,可以使用NodePort,Nodeport对应的端口范围:30000-32767。这种方式,需要配合公有云资源比如阿里云、亚马逊云来实现,这里需要一个公网IP作为入口,然后来负载均衡所有的Pod。该方式为默认类型,即,不定义type字段时(如上面service的示例),就是该类型。说明:Taint叫做污点,如果某一个节点上有污点,则不会被调度运行pod。使用yaml文件来配置、部署资源对象。作用:对外提供访问端口。
StreamPark集成k8s运行Flink
weixin_45249411的博客
09-08 544
1.然后在有docekr的机器上登录。2.设置下命名空间(左侧)
Kubernetes】K8s 的鉴权管理(二):基于属性 / 节点 / Webhook 的访问控制
书山有路,学海无涯。记录成长,追逐梦想
09-10 1250
基于属性的访问控制(Attribute-Based Access Control,ABAC)通过将属性组合在一起来定义用户可以访问的范围。其策略文件是一个具有多行 JSON 格式的文件,该文件中的每一行都是一个策略(即一个 JSON 对象)。
培训第九周(部署k8s基础环境)
weixin_70693880的博客
09-07 1524
添加sandbox_image = "registry.cn-hangzhou.aliyuncs.com/google_containers/pause:3.9"(第128行)之前采⽤初始化安装⽅式,所有的系统组件均以容器的⽅式运⾏ 并且在 kube-system 命名空间内,此时可以查看 Pod(容器 组)状态。overlay # ⽤于⽀持Overlay⽹络⽂件系统的模块,它可以在现有的⽂件系统之上创建叠加层,以实现虚拟化、隔离和管理等功能。设置为0表示不产⽣panic,设置为1表示产⽣panic。
k8s HPA
巧克力人生的博客
09-07 639
HPA可以基于CPU利用率对replication controller、deployment和replicaset中的pod数量进行自动扩缩容(除了CPU利用率,也可以基于其他应用程序提供的度量指标custom metrics进行自动扩缩容)。将image: k8s.gcr.io/metrics-server/metrics-server:v0.6.2 修改为 image: aminglinux/metrics-server:v0.6.2。pod自动缩放不适用于无法缩放的对象,比如daemonsets。
14.2 k8s中我们都需要监控哪些组件
福大大架构师每日一题
09-08 926
指标类型采集源应用举例发现类型grafana截图容器基础资源指标kubelet 内置cadvisor metrics接口查看容器cpu、mem利用率等k8s_sd node级别直接访问node_ip容器基础资源k8s对象资源指标(简称ksm)具体可以看看pod状态如pod waiting状态的原因数个数如:查看node pod按namespace分布情况通过coredns访问域名k8s对象资源指标k8s服务组件指标服务组件 metrics接口。
kubeadm 初始化 k8s 证书过期解决方案
Richardlygo的博客
09-08 447
在使用 kubeadm 初始化的 Kubernetes 集群中,默认情况下证书的有效期为一年。当证书过期时,集群中的某些组件可能会停止工作,导致集群不可用。本文将详细介绍如何解决 kubeadm 初始化的 Kubernetes 集群证书过期的问题,并提供一种实用的方法来延长证书的有效期。
k8s dashboard token 生成/获取
最新发布
牛奔的博客
09-11 285
创建示例用户 在本指南中,我们将了解如何使用 Kubernetes服务帐户机制创建新用户、授予该用户管理员权限并使用与该用户绑定的承载令牌登录仪表板。 对于以下每个和的代码片段ServiceAccount,ClusterRoleBinding您都应该将它们复制到新的清单文件(如)中,dashboard-adminuser.yaml并使用kubectl apply -f dashboard-...
Linux系统【RockyLinux9.4】下K8S集群【1.31.0】安装部署指南
最爱嫣夜来
09-09 920
公司之前一直使用的是CentOS系统作为测试、开发、生产环境的基础系统镜像,由于最近的CentOS的镜像彻底终止维护之后,我们在为后续项目的基础系统镜像选型进行的调研, 最好是可以平替的进行类似系统的移植, 经过多番对比, 决定使用Rocky Linux系统来完成我们开发测试环境的系统移植,系统镜像的下载、安装、部署都比较简单, 基本跟CentOS发现版都很类似, 这里就不进行详细讲解说明了, 下面我们主要演示在Rocky Linux系统下完成K8S集群开发测试环境搭建的整个过程。
k8s的配置管理
Alone8046的博客
09-09 1048
1》service-account-token:k8s集群自建的,用来访问APIserver的secret,pod默认使用这种secret和APIserver进行通信,默认自动挂载到pod/run/secrets/kubenets.io/serviceaccount这个目录下。定义两个环境变量,名称分别叫user1、password1,user1及password1的值由secret2中的username和password文件给的,所以user=username,password1=password。
iptables防火墙的通俗理解,和k8s中的iptables策略使用
2401_84019227的博客
09-06 1003
但是从k8s集群内部看,不同名称空间的资源是完全独立的,比如网络ip,文件系统,挂载,持久卷,用户和组,进程id,消息队列,信号量,主机名,这些如果不在同一个名称空间下,是看不到别的名称空间的这些资源的。所以,在用kubectl管理k8s集群的时候,如果没有指定名称空间,比如kubectl get pods,看一下有哪些pod,这个是默认看的是default名称空间下的pod,如果要看lucky名称空间下的pod,就需要用kubectl -n lucky get pods来查看。
Kubernetes知识点问答题】资源配额 / 访问控制
Songyaxuan075118的博客
09-06 1069
ResourceQuota Service Account Role ClusterRole NetworkPolicy 在 K8s 中控制跨 Namespace 的 Pod 访问的方式 跨 Namespace 的 Pod 访问
在OpenEuler(欧拉)系统上用kubeadm部署(k8s)Kubernetes集群
Richardlygo的博客
09-07 1564
一、OpenEuler(欧拉) 系统简介openEuler 是开放原子开源基金会(OpenAtom Foundation)孵化及运营的开源项目;openEuler作为一个操作系统发行版平台,每两年推出一个LTS版本。该版本为企业级用户提供一个安全稳定可靠的操作系统。具体的介绍可以参考官网https://www.openeuler.org/zh/二、Kubernetes 1.24版本发布及改动。
如何获取k8s拓扑_k8s从安装到精通--Service 拓扑介绍
05-23
Kubernetes中获取拓扑信息可以通过以下方式: 1.使用 kubectl 命令 使用 `kubectl get` 命令可以获取Kubernetes中各种资源的信息,例如: - 获取节点信息:`kubectl get nodes` - 获取服务信息:`kubectl get svc` - 获取Pod信息:`kubectl get pods` 2.使用 Kubernetes Dashboard Kubernetes Dashboard是一个Web UI,可以用于查看Kubernetes中的资源信息,包括拓扑信息。可以通过以下步骤访问Kubernetes Dashboard: - 部署Kubernetes Dashboard:`kubectl apply -f https://raw.githubusercontent.com/kubernetes/dashboard/v2.0.0-beta8/aio/deploy/recommended.yaml` - 创建Dashboard管理员账户:`kubectl apply -f https://raw.githubusercontent.com/kubernetes/dashboard/v2.0.0-beta8/aio/deploy/recommended.yaml` - 启动代理:`kubectl proxy` - 访问Dashboard:浏览器中访问 `http://localhost:8001/api/v1/namespaces/kubernetes-dashboard/services/https:kubernetes-dashboard:/proxy/` 3.使用第三方工具 还有一些第三方工具可以用于获取Kubernetes拓扑信息,例如: - kubetop:用于查看Kubernetes集群资源使用情况和拓扑结构的命令行工具。 - Octant:用于查看Kubernetes资源和拓扑信息的Web UI。 对于Service拓扑介绍,可以通过以下方式了解: - 使用 `kubectl describe svc <service-name>` 命令查看Service的详细信息,包括Endpoints和Selector等信息。 - 在Kubernetes Dashboard中可以查看Service的拓扑信息,包括Service和对应的Pod的关系图。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

炸裂狸花猫

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值