K8S对象---service

最新推荐文章于 2024-08-28 15:38:04 发布
最新推荐文章于 2024-08-28 15:38:04 发布
阅读量611 收藏 1
点赞数
分类专栏: K8S学习 文章标签: kubernetes docker 容器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/liu_yongpeng/article/details/126732236
版权

学习目标:

  1. 了解service的概念
  2. 掌握service的类型和数据转发流程
  3. 掌握定位的思路和方式

学习内容:

Service的概念

kubernetes为service定义了这样一个抽象:一个Pod的逻辑分组,一种可以访问它们的策略—通常称为微服务,这一组Pod能够被service访问到,通常是通过Label Selector
在这里插入图片描述

优缺点

Service能够提供负载均衡的能力,但是在使用上有一下限制:
只提供四层负载均衡能力,而没有七层功能,但有时我们可能需要更多的匹配规则来转发请求,这点上四层负载均衡是不支持的

Service的类型

Service在K8S中有以下四种类型:

  1. ClusterIp:默认类型,自动分配一个仅Cluster内部可以访问的虚拟ip
  2. NodeIp:在ClusterIP基础上为Service在每台机器上绑定一个端口,这样就可以通过:NodePort来访问该服务
  3. LoadBalancer:在NodePort的基础上,借助cloud provider创建一个外部负载均衡,并将请求转发到:NodePort
  4. ExternalName:把集群外部的服务引入到集群内部来,在集群内部直接使用,没有任何类型代理被创建,这只有k8s 1.7或更高版本的kube-dns才支持
    在这里插入图片描述

步骤:
1、首先apiserver通过kube-proxy去监控服务和端点
2、kube-proxy负责去监控到匹配到信息的Pod,把这些信息写入到iptables规则中去
3、当客户端想要去访问SVC时,其实就是访问iptables规则
4、然后根据iptables规则被导向到后端的Pod,实现访问

VIP和Service代理

在K8S集群中,每个Node运行一个kube-proxy进程,kube-proxy负责为Service实现一种VIP(虚拟ip)的形式,在K8S v1.0版本,代理完全在userspace。K8S v1.1版本,新增了iptables代理,但不是默认的运行模式,从K8S v1.2起,默认就是iptables代理,在K8S v1.8.0-beta中,添加了IPVS代理
在K8S v1.14版本开始默认使用IPVS代理
在K8S v1.0版本,Service是四层概念,在K8S v1.1版本,新增了ingress API ,用来表示七层服务

ClusterIP

ClusterIP主要在每个Node节点使用iptables,将发向clusterIP对应端口的数据转发到kube-proxy中,然后kube-proxy自己内部实现有负载均衡的方法,并可以查询这个service下对应pod的地址和端口,进而把数据转发给对应的pod的地址和端口
在这里插入图片描述
为了实现图上的功能,主要需要以下几个组件的协同工作:
apiserver用户通过kubectl命令向apiserver发送创建service的命令,apiserver接收到请求后将数据存储到etcd中
k8s的每个节点中都有一个kube-proxy的进程,这个进程负责感知servce、pod的变化,并将变化的信息写入到本地的iptables规则中
iptables使用NAT等技术将virtualIP的流量转发至endpoint中

  • 样例:
    在这里插入图片描述
    在这里插入图片描述

Headless Service

有时不需要或不想要负载均衡;以及单独的Service IP,遇到这种情况,可以通过指定ClusterIP(spec.clusterIP)的值为"None"来创建Headless Service,这类Service并不会ClusterIP,kube-proxy不会处理他们,而且平台也不会为他们进行负载均衡和路由

  • 样例:
    在这里插入图片描述

NodePort

nodeport的原理在node上开了一个端口,将向该端口的流量导入到kube-proxy,然后由kube-proxy进一步给到对应的pod
在这里插入图片描述

查询流程

  1. iptables -t nat -nvL

    ##各参数的含义为:
-L表示查看当前表的所有规则,默认查看的是filter表,如果要查看nat表,可以加上-t nat参数
-n 表示不对ip地址进行反查,加上这个参数显示速度将会加快
-v 表示输出详细信息,包含通过该规则的数据包数量,总字节数以及相应的网络接口

  2. 域名解析nslookup和dig

[root@paas-core01 paas]# nslookup redisservice-server-headless.fst-manage.svc.cluster.local
Server:         10.247.0.20
Address:        10.247.0.20#53

Name:   redisservice-server-headless.fst-manage.svc.cluster.local
Address: 172.16.0.21
Name:   redisservice-server-headless.fst-manage.svc.cluster.local
Address: 172.16.0.9
Name:   redisservice-server-headless.fst-manage.svc.cluster.local
Address: 172.16.0.39

[root@paas-core01 paas]# dig @172.16.0.3 -p 5353 redisservice-server-headless.fst-manage.svc.cluster.local

; <<>> DiG 9.11.21-9.11.21-4.h15.eulerosv2r10 <<>> @172.16.0.3 -p 5353 redisservice-server-headless.fst-manage.svc.cluster.local
; (1 server found)
;; global options: +cmd
;; Got answer:
;; WARNING: .local is reserved for Multicast DNS
;; You are currently testing what happens when an mDNS query is leaked to DNS
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 21782
;; flags: qr aa rd; QUERY: 1, ANSWER: 3, AUTHORITY: 0, ADDITIONAL: 1
;; WARNING: recursion requested but not available

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
; COOKIE: dcfd7eb3bd3e1898 (echoed)
;; QUESTION SECTION:
;redisservice-server-headless.fst-manage.svc.cluster.local. IN A

;; ANSWER SECTION:
redisservice-server-headless.fst-manage.svc.cluster.local. 30 IN A 172.16.0.21
redisservice-server-headless.fst-manage.svc.cluster.local. 30 IN A 172.16.0.9
redisservice-server-headless.fst-manage.svc.cluster.local. 30 IN A 172.16.0.39

;; Query time: 18 msec
;; SERVER: 172.16.0.3#5353(172.16.0.3)
;; WHEN: Wed Sep 07 14:45:15 CST 2022
;; MSG SIZE  rcvd: 317
  1. iptables-save查看
[root@paas-core01 paas]# kubectl get svc -n fst-manage -owide|grep dns
kube-dns                                     ClusterIP   10.247.0.20      <none>                                         53/UDP,53/TCP                   34d   k8s-app=kube-dns
[root@paas-core01 paas]# iptables-save |grep 10.247.0.20
-A KUBE-SERVICES -d 10.247.0.20/32 -p udp -m comment --comment "fst-manage/kube-dns:dns cluster IP" -m udp --dport 53 -j KUBE-MARK-MASQ
-A KUBE-SERVICES -d 10.247.0.20/32 -p udp -m comment --comment "fst-manage/kube-dns:dns cluster IP" -m udp --dport 53 -j KUBE-SVC-ZK7UTMNBIKPQC3OG
-A KUBE-SERVICES -d 10.247.0.20/32 -p tcp -m comment --comment "fst-manage/kube-dns:dns-tcp cluster IP" -m tcp --dport 53 -j KUBE-MARK-MASQ
-A KUBE-SERVICES -d 10.247.0.20/32 -p tcp -m comment --comment "fst-manage/kube-dns:dns-tcp cluster IP" -m tcp --dport 53 -j KUBE-SVC-L3W4MN7I4JBGNVWH
[root@paas-core01 paas]# iptables-save |grep KUBE-SVC-L3W4MN7I4JBGNVWH
:KUBE-SVC-L3W4MN7I4JBGNVWH - [0:0]
-A KUBE-SERVICES -d 10.247.0.20/32 -p tcp -m comment --comment "fst-manage/kube-dns:dns-tcp cluster IP" -m tcp --dport 53 -j KUBE-SVC-L3W4MN7I4JBGNVWH
-A KUBE-SVC-L3W4MN7I4JBGNVWH -m comment --comment "fst-manage/kube-dns:dns-tcp" -m statistic --mode random --probability 0.50000000000 -j KUBE-SEP-UTBQF3HUMKK2MNPP
-A KUBE-SVC-L3W4MN7I4JBGNVWH -m comment --comment "fst-manage/kube-dns:dns-tcp" -j KUBE-SEP-2BMJE5TDC5EL54O4
[root@paas-core01 paas]# iptables-save |grep KUBE-SEP-UTBQF3HUMKK2MNPP
:KUBE-SEP-UTBQF3HUMKK2MNPP - [0:0]
-A KUBE-SEP-UTBQF3HUMKK2MNPP -s 172.16.0.32/32 -m comment --comment "fst-manage/kube-dns:dns-tcp" -j KUBE-MARK-MASQ
-A KUBE-SEP-UTBQF3HUMKK2MNPP -p tcp -m comment --comment "fst-manage/kube-dns:dns-tcp" -m tcp -j DNAT --to-destination 172.16.0.32:5353
-A KUBE-SVC-L3W4MN7I4JBGNVWH -m comment --comment "fst-manage/kube-dns:dns-tcp" -m statistic --mode random --probability 0.50000000000 -j KUBE-SEP-UTBQF3HUMKK2MNPP
[root@paas-core01 paas]# iptables-save |grep KUBE-SEP-2BMJE5TDC5EL54O4
:KUBE-SEP-2BMJE5TDC5EL54O4 - [0:0]
-A KUBE-SEP-2BMJE5TDC5EL54O4 -s 172.16.0.3/32 -m comment --comment "fst-manage/kube-dns:dns-tcp" -j KUBE-MARK-MASQ
-A KUBE-SEP-2BMJE5TDC5EL54O4 -p tcp -m comment --comment "fst-manage/kube-dns:dns-tcp" -m tcp -j DNAT --to-destination 172.16.0.3:5353
-A KUBE-SVC-L3W4MN7I4JBGNVWH -m comment --comment "fst-manage/kube-dns:dns-tcp" -j KUBE-SEP-2BMJE5TDC5EL54O4

Loadbalancer

loadbalancer和nodeport其实是同一种方式,区别在于loadbalancer比nodeport多了一步,就是可以调用cloud provider去创建LB访问节点导流
在这里插入图片描述

ExternalName

这种类型的service通过返回CNAME和它的值,可以将服务映射到externalname字段的内容。ExternalName Service是Service的特例,它没有selector,也没有定义任何的端口和endpoint,相反的,对于运行在集群外部的服务,它通过返回该外部服务的别名这种方式来提供服务
在这里插入图片描述
当查询主机my-service.defalut.svc.cluster.local(SVC_NAME.NAMESPACE.svc.cluster.local)时,集群的DNS服务将返回一个值my.database.example.com的CNAME记录,访问这个服务的工作方式和其他的相同,唯一不同的是重定向发生在DNS层,而且不会进行代理和转发

努力变强的小刘
关注
专栏目录
K8S系列】深入解析Service
颜淡慕潇
04-24 3万+
KubernetesService是一种抽象,用于定义一组Pods的访问方式。Service可以为Pods提供稳定的网络终结点,以便其他应用程序可以通过Service来访问这些Pods。总结一下Kubernetes Service知识点: Service类型:Kubernetes支持多种Service类型,包括ClusterIP、NodePort、LoadBalancer和ExternalName。每种Service类型都有不同的用途和特点,可以根据实际需求进行选择。 Service端口:Service
k8s集群网络(5)-service之iptable node port实现原理
weixin_46073333的博客
12-19 1759
在上一篇文章中我们主要介绍了集群内cluster ip service的实现原理,当然是基于iptable的nat的模式,也就是说利用OS的网络内核来完成负载均衡。在这里我们主要介绍no...
k8s ServiceNodePort
学亮编程手记
06-14 746
82、k8sservice-NodePort端口开放和生命周期
最新发布
m0_74149099的博客
08-28 1270
#没加自定义命名空间,进入不了容器-------------------以上纯属看错误--------------------[root@master01 ~]# kubectl exec -it -n xy102 nginx1-654cb56c4-7plg2 bash ##自定义命令空间,需要添加命令空间,进入pod的容器NodePortservice根据标签来匹配对应的pod,只要标签匹配,都能转发到指定的pod内的容器
Kubernetes-service-Nodeport
咸鱼很闲
12-12 2030
Nodeport类型的service(相当于映射) 在之前的样例中,创建的Service的ip地址只有集群内部才可以访问,如果希望将Service暴露给集群外部使用,那么就要使用到另外一种类型的Service,称为NodePort类型。NodePort的工作原理其实就是将service的端口映射到Node的一个端口上,然后就可以通过NodeIp:NodePort来访问service了。 apiVersion: v1 kind: Service metadata: name: nodeport na
Kubernetes----NodePort类型的Service
redrose2100的博客
04-05 2051
一、NodePort类型的Service简介 ClusterIP类型和Headless类型的Service都只能在集群环境内部访问,如果想开放给集群环境以外访问,那就需要使用NodePort类型,NodePort的工作原理其实就是将service的端口映射到Node的端口上,然后通过NodeIP:NodePort 来访问Service 二、环境准备 编写deployment.yaml文件,内容如下: apiVersion: v1 kind: Namespace metadata: name: dev
K8s Service原理介绍
weixin_30616969的博客
08-02 1246
Service的工作方式有三种:  第一种: 是Userspace方式   如下图描述, Client Pod要访问Server Pod时,它先将请求发给本机内核空间中的service规则,由它再将请求,   转给监听在指定套接字上的kube-proxy,kube-proxy处理完请求,并分发请求到指定Server Pod后,再将请求 ...
k8s实践(12)--K8s service服务详解
热门推荐
黄规速博客:学如逆水行舟,不进则退
06-30 1万+
一、集群的服务分类 在K8S运行的服务,从简单到复杂可以分成三类:无状态服务、普通有状态服务和有状态集群服务。下面分别来看K8S是如何运行这三类服务的。 1、无状态服务(Stateless Service): 1)定义:是指该服务运行的实例不会在本地存储需要持久化的数据,并且多个实例对于同一个请求响应的结果是完全一致的。 2)随意扩容和缩容:这些节点可以随意扩容或者缩容,只要简单的增...
k8s service服务发现详解:ipvs代理模式、服务类型
学亮编程手记
02-04 1168
目录 k8s服务发现Service 理解 Service的实现模型 userspace代理模式 iptables代理模式 ipvs代理模式 Service定义 Service配置清单重要字段 创建ClusterIP类型Service 创建NodePort类型Service Pod的会话保持 Headless无头Service 参考资料 Kubernetes之(十)服务发现Service 理解 Service是对一组提供相同功能的Pods的抽象,并为它们提供一个统一的入口。借助Se
K8S 快速入门(七)网络通信原理:外部接入网络(下)
语雀同名:犬豪 yuque.com/qhao
12-06 2801
三、外部接入网络 1. NodePort 先提前强调一下,NodePortK8s将内部服务对外暴露的基础,后面的LoadBalancer底层有赖于NodePort。 如下图所示,首先不妨思考一下,K8s集群中有哪一个角色,即掌握Service网络的所有信息,可以和Service网络以及Pod网络互通互联,同时又可以和节点网络打通? 答案是Kube-Proxy。上面我们提到Kube-Proxy是K8s内部服务发现的一个关键组件,事实上,它还是K8s将内部服务暴露出去的关键组件。Kube-Proxy在K8s
k8s service管理之对外发布应用NodePort、Ingress服务
m0_67252568的博客
07-03 1644
k8s service管理之对外发布应用NodePort、Ingress服务
3.Kubernetes—pod通信网络原理
weixin_45246215的博客
04-07 3844
4、外部网络和 pod 之间通信容器中 pod 共享同一个 IP 地址。故同一个 Pod 中 Container 可以做到直接通过 localhost 直接通信。pause 容器启动之前,会为容器创建虚拟一对 ethernet 接口,一个保留在宿主机 vethxxx(插在网桥上),一个保留在容器网络命名空间内,并重命名为eth0。两个虚拟接口的两端,从一端进入,另一端出来。任何 Pod 连接到该网桥的 Pod 都可以收发数据。
k8s安装与配置NodePort暴露ServiceV2
码农的专栏
10-17 1433
一、NodePort暴露Service原理 二、物理机192.168.1.111上部属nginx 生成 SSL 证书 mkdir -p /etc/nginx/cert/ cd /etc/nginx/cert/ 1.创建服务器证书密钥文件 server.key: openssl genrsa -des3 -out server.key 1024 输入密码,确认密码,自己随便定义,但是要记住,后面会用到。 2.创建服务器证书的申请文件 server.csr openssl req -new -key.
K8S】外部访问请求原理流程(service、kube-proxy、pod的关系)
qq_46021810的博客
10-29 2592
提供网络代理和负载均衡,是实现 service 的通信与负载均衡机制的重要组件,kube-proxy 负责为 Pod 创建代理服务,从 apiserver 获取所有 service 信息,并根据 service 信息创建代理服务,对虚拟IP的请求按策略转发给后端,通过不同的工作模式设置不同的转发规则,实现 service 到 Pod 的请求路由和转发,从而实现 Kubernetes层级的虚拟转发网络,将到service 的请求转发到后端的 pod 上。文章链接。
Kubernetes service之iptables规则以及Coredns
小楼一夜听春雨,深巷明朝卖杏花
12-28 3337
K8s当中的service是如何工作的呢?实际上由Kube-proxy进行工作的。 Service代理模式 访问cluster还是nodeport通过iptables帮你转发。转发方式有两种,一种是iptable还有一种是ipvs,默认使用的是iptables的模式。 Service的底层实现主要有iptables和ipvs二种网络模式,决定了如何转发流量。 可以看到kube-proxy里面显示转发使用的是itpables [root@k8s-master ~]# kubectl l.
k8s里面Service中ClusterIP和NodePort的使用
taw19960426的博客
06-17 6801
介绍了常用的Service中ClusterIP和NodePort的使用
kubernetes service的作用、类型、关系和工作原理ClusterIp、NodePort、LoadBalance、ExternalName
软件工程小施同学 的专栏
11-09 2211
一、关系图 二、路由图 三、service类型 1. ClusterIp 默认类型,每个Node分配一个集群内部的Ip,这是私有ip ,内部可以互相访问,外部无法访问集群内部。 clusterIP主要在每个node节点使用iptables,将发向clusterIP对应端口的数据,转发到kube-proxy中。 然后kube-proxy自己内部实现有负载均衡的方法,并可以查询到这个service下对应pod的地址和端口,进而把数据转发给对应的pod的地址和端口。 ...
云原生系列「二」Kubernetes网络详解
qq_35789269的博客
02-21 4447
前言 K8s是一个强大的平台,但它的网络比较复杂,涉及很多概念,例如Pod网络,Service网络,Cluster IPs,NodePort,LoadBalancer和Ingress等等,这么多概念足以让新手望而生畏。但是,只有深入理解K8s网络,才能为理解和用好K8s打下坚实基础。为了帮助大家理解,模仿TCP/IP协议栈,我把K8s的网络分解为四个抽象层,从0到3,除了第0层,每一层都是构建于前一层之上,如下图所示: 第0层Node节点网络比较好理解,也就是保证K8s节点(物理或虚拟机)之间能够正
kubernetes servicenodePortport、targetPort、containerPort详解
爱死亡机器人
09-08 6701
nodePort nodePort提供了集群外部客户端访问service的一种方式,:nodePort提供了集群外部客户端访问service的端口,即nodeIP:nodePort提供了外部流量访问k8s集群中service的入口。 比如外部用户要访问k8s集群中的一个Web应用,那么我们可以配置对应service的type=NodePortnodePort=30001。其他用户就可以通过浏览器http://node:30001访问到该web服务。 而数据库等服务可能不需要被外界访问,只需被内部服务访问即
k8s yml --help
06-02
在 `kubectl` 命令行工具中,你可以使用 `--help` 参数来查看命令的帮助文档,包括 YAML 文件的格式要求和示例。例如,使用 `kubectl create --help` 命令可以查看如下内容: ``` Create a resource from a file or from stdin. JSON and YAML formats are accepted. Usage: kubectl create (-f FILENAME | --filename=FILENAME) [options] kubectl create (-k DIRECTORY | --kustomize=DIRECTORY) [options] kubectl create clusterrolebinding NAME --clusterrole=ROLE [--user=USER] kubectl create clusterrole NAME --verb=verb --resource=resource.group [--resource-name=resource.name] kubectl create configmap NAME [--from-literal=key1=value1] [--from-literal=key2=value2] [--from-file=[key=]source] [--dry-run=server|client|none] [--output=wide|yaml|json] [options] kubectl create cronjob NAME --image=image [--schedule=''] --command -- [COMMAND] [args...] [options] kubectl create deployment NAME --image=image [--dry-run=server|client|none] [--output=wide|yaml|json] [options] kubectl create job NAME --image=image --command -- [COMMAND] [args...] [options] kubectl create namespace NAME [--dry-run=server|client|none] [--output=wide|yaml|json] [options] kubectl create secret generic NAME [--from-literal=key1=value1] [--from-literal=key2=value2] [--from-file=[key=]source] [--dry-run=server|client|none] [--output=wide|yaml|json] [options] kubectl create service NAME --tcp=port1,port2,... [--dry-run=server|client|none] [--output=wide|yaml|json] [options] kubectl create serviceaccount NAME [--dry-run=server|client|none] [--output=wide|yaml|json] [options] Examples: # Create a pod using the data in pod.json. kubectl create -f ./pod.json # Create a pod based on the JSON passed into stdin. cat pod.json | kubectl create -f - # Edit the data in EDITOR (default vim). kubectl create configmap my-config --from-file=config.json --edit # Create a new namespace named my-namespace kubectl create namespace my-namespace Options: -f, --filename='': Filename, directory, or URL to files to use to create the resource -k, --kustomize='': Process a kustomization directory. This flag can't be used together with -f or -R. --edit=false: Edit the data in $EDITOR --force=false: Create resource even if it already exists --dry-run='none': Must be "none", "server", or "client". If client strategy, only print the object that would be sent, without sending it. If server strategy, submit server-side request without persisting the resource. -o, --output='': Output format. One of: yaml, json, wide, name, go-template-file, go-template, jsonpath-file, jsonpath. If unspecified, will default to yaml for standalone objects and table for lists. --record=false: Record current kubectl command in the resource annotation. If set to false, do not record the command. If set to true, record the command. If not set, default to updating the existing annotation value only if one already exists. ``` 在这个帮助文档中,你可以看到 `kubectl create` 命令支持不同类型的资源对象,包括 Pod、Deployment、Service、Secret 等。对于每个资源对象类型,文档都提供了示例和参数说明。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值