在Kubernetes平台上,应对不同场景外部流量引入集群,这3种工具改如何选择?

最新推荐文章于 2024-05-13 16:26:32 发布
最新推荐文章于 2024-05-13 16:26:32 发布
阅读量3.8k 收藏
点赞数
分类专栏: kubernetes 网络 文章标签: kubernetes ingress 网络

https://mp.weixin.qq.com/s/wsURTN7eAng2HHofReBU3Q

作者:Sandeep Dinesh

翻译:狄卫华

原文:Kubernetes NodePort vs LoadBalancer vs Ingress? When should I use what?

原文链接:https://medium.com/google-cloud/kubernetes-nodeport-vs-loadbalancer-vs-ingress-when-should-i-use-what-922f010849e0



最近有人向我了解 NodePorts ,LoadBalancers 和 Ingress 之间的区别是怎么样的。 它们都是将外部流量引入群集的方式,适用的场景却各不相同。 本文接下来我们将介绍它们的工作原理以及适用的相关场景。


注意:文中所述内容适用于 GKE (Google Kubernetes Engine 注1)。 如果你在其他云平台上运行使用步骤略有不同,比如 minikube 或其他相关软件。 我也不打算过多深入技术细节, 如果你有兴趣了解更多,Kubernetes 官方文档(注2)会提供更多的有用资源!




ClusterIP


ClusterIP 服务是 Kubernetes 默认的服务类型。 如果你在集群内部创建一个服务,则在集群内部的其他应用程序可以进行访问,但是不具备集群外部访问的能力。


ClusterIP 服务的 YAML 文件看起来像这样:


apiVersion: v1

kind: Service

metadata:  

  name: my-internal-service

selector:    

  app: my-app

spec:

  type: ClusterIP

  ports:  

  - name: http

    port: 80

    targetPort: 80

    protocol: TCP



如果不能从互联网访问 ClusterIP 服务,我为什么要谈论它呢?事实上,你可以通过 Kubernetes 代理进行访问。


感谢 Ahmet Alp Balkan(注3)提供的图表


启动 Kubernetes 代理:


$ kubectl proxy --port=8080


现在,可以通过 Kubernetes API 通过以下的模式来访问这个服务:


http://localhost:8080/api/v1/proxy/namespaces/<NAMESPACE>/services/<SERVICE-NAME>:<PORT-NAME>/,


通过这种方式可以使用以下的地址来访问我们上述定义的服务:


http://localhost:8080/api/v1/proxy/namespaces/default/services/my-internal-service:http/



何时使用这种访问方式?


有以下几种场景,你可以使用 Kubernetes 代理的方式来访问服务:


1. 调试服务或者某些情况下通过笔记本电脑直接连接服务

2. 允许内部的通信,显示内部的仪表盘(dashboards)等


因为此种方式需要作为一个授权用户运行 kubectl,因此不应该用来暴露服务至互联网访问或者用于生产环境。





NodePort


NodePort 服务通过外部访问服务的最基本的方式。顾名思义,NodePort 就是在所有的节点或者虚拟机上开放特定的端口,该端口的流量将被转发到对应的服务。


从技术上层面,这不能算是最准确的图表,但我认为它能够直观展示了 NodePort 的工作方式。


NodePort 服务的 YAML 文件看起来像这样:


apiVersion: v1

kind: Service

metadata:  

  name: my-nodeport-service

selector:    

  app: my-app

spec:

  type: NodePort

  ports:  

  - name: http

    port: 80

    targetPort: 80

    nodePort: 30036

    protocol: TCP

从根本上讲,NodePort 方式的服务与 ClusterIP 方式的服务有两个区别。第一,类型是 NodePort,这需要指定一个称作 nodePort 的附加端口,并在所有节点上打开对应的端口。如果我们不具体指定端口,集群会选择一个随机的端口。大多数的情况下,我们都可以让 Kubernetes 帮我们选择合适的端口。正如 thockin(注4) 所描述的那样,有许多相关的注意事项(caveats)关于那些端口可供我们使用。



何时使用这种访问方式?


NodePort 方式有许多缺点:


1. 每个服务占用一个端口


2. 可以使用的  30000-32767 范围端口 (译者注:可以通过api-server启动参数service-node-port-range,指定限制范围,默认为30000-32767)


3. 如果节点/虚拟机IP地址发生更改,需要进行相关处理


由于上述原因,我不建议在生产环境中使用直接暴露服务。 如果运行的服务不要求高可用或者非常关注成本,这种方法则比较适合。 很好的例子就是用于演示或临时使用的程序。





LoadBalancer


LoadBalancer 服务是暴露服务至互联网最标准的方式。在 GKE 上,这将启动一个网络负载均衡器(注5),它会提供一个 IP 地址,以将所有流量转发到服务。


感谢 Ahmet Alp Balkan提供图表




何时使用这种访问方式?

这是公开服务的默认的方法。指定的端口上流量都将被转发到对应的服务,不经过过滤和其他路由等操作。这种方式意味着转发几乎任何类型的流量,如HTTP,TCP,UDP,Websockets,gRPC或其他。


这种方式最大的缺点是,负载均衡器公开的每个服务都将获取独立 IP 地址,而我们则必须为每个暴露的服务对应的负载均衡器支付相关费用,这可能会变得非常昂贵!





Ingress


和上述讨论的服务方式不同,Ingress 实际上并不是服务类型中的一种。相反,它位于多个服务的前端充当一个智能路由或者集群的入口点。


你可以使用 Ingress 做很多不同的事情,并且不同类型的 Ingress 控制也具备不同的能力。


GKE 默认的 Ingress 控制器将启动一个 HTTP(S) 的负载均衡器。则将使我们可以基于访问路径和子域名将流量路由到后端服务。例如,你可以将 `foo.yourdomain.com` 下的流量转发到 foo 服务,将  `yourdomain.com/bar/` 路径下的流量转发到 bar 服务。


感谢 Ahmet Alp Balkan提供图表


在 GKE 上定义 L7层 HTTP 负载均衡器的 Ingress 对象定义的 YAML 看起来像这样:


apiVersion: extensions/v1beta1

kind: Ingress

metadata:

  name: my-ingress

spec:

  backend:

    serviceName: other

    servicePort: 8080

  rules:

  - host: foo.mydomain.com

    http:

      paths:

      - backend:

          serviceName: foo

          servicePort: 8080

  - host: mydomain.com

    http:

      paths:

      - path: /bar/*

        backend:

          serviceName: bar

          servicePort: 8080



何时使用这种方式?

Ingress 方式可能是暴露服务的最强大的方式,但也最复杂。现在有不同类型的 Ingress 控制器,包括 Google 云 负载均衡器(注6), Nginx(注7), Contour(注8), Istio(注9)等。此外,还有 Ingress 控制器的许多插件,比如 cert-manager(注10)可以用来自动为服务提供 SSL 证书。


如果希望在同一个IP地址下暴露多个服务,并且它们都使用相同的 L7 协议(通常是HTTP),则 Ingress 方式最有用。 如果使用本地 GCP 集成,则只需支付一台负载平衡器费用,并且是“智能”性 Ingress ,可以获得许多开箱即用的功能(如SSL,Auth,路由等)。



资源:

  1. Kubernetes:https://medium.com/tag/kubernetes?source=post

  2. Microservices:https://medium.com/tag/microservices?source=post

  3. Services:https://medium.com/tag/services?source=post

  4. Load Balancing:https://medium.com/tag/load-balancing?source=post

  5. Ingress:https://medium.com/tag/ingress?source=post



1、https://cloud.google.com/gke

2、https://kubernetes.io/docs/concepts/services-networking/service/

3、https://medium.com/@ahmetb

4、(https://medium.com/@thockin)

5、https://cloud.google.com/compute/docs/load-balancing/network/

6、https://cloud.google.com/kubernetes-engine/docs/tutorials/http-balancer

7、https://github.com/kubernetes/ingress-nginx

8、https://github.com/heptio/contour

9、https://istio.io/docs/tasks/traffic-management/ingress.html

10、https://github.com/jetstack/cert-manager
liukuan73
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Kubernetes引入NodePort服务
编程故事的地方
01-27 1220
摘要 在本文中,您将学习Kubernetes Pods的剖析以及在Pods中运行容器的NodePort Service示例。 豆荚介绍 Kubernetes围绕豆荚旋转。 因此,您必须知道这些吊舱是什么。 Pod是我们用来部署应用程序的运行时环境。 它是Kubernetes中调度的基本单位。 一起部署在单个主机上的一个或多个容器称为Pod。 我们将看到如何在Kubernetes集群中部署和...
实战案例——原生Kubernetes容器云平台应用部署
ZeroOne`Blog
11-17 623
通过在原生Kubernetes上部署WordPress应用以及优化应用来实践学习在K8S中如何部署应用及其优化步骤。
kubernetes】容器编排平台的介绍
最新发布
十七拾的博客
05-13 901
本文主要介绍云原生的相关知识和深入探讨Kubernetes的概念、架构以及工作原理,进行全面了解这一先进的容器编排平台,希望对你有帮助!
Kubernetes Service NodePort 外网访问、LoadBalancer
小楼一夜听春雨,深巷明朝卖杏花
10-09 9491
除了 Cluster 内部可以访问 Service,很多情况我们也希望应用的 Service 能够暴露给 Cluster 外部Kubernetes 提供了多类型的 Service,默认是 ClusterIP。 ClusterIP Service 通过 Cluster 内部的 IP 对外提供服务,只有 Cluster 内的节点和 Pod 可访问,这是默认的 Service 类型。 NodePort Service 通过 Cluster 节点的静态端口对外提供服务。Cluster 外部可以通过&l...
Kubernetes网络三部曲之三 ~ NodePort vs LoadBalancer vs Ingress
meser88的博客
06-15 4608
在上一篇《Kubernetes网络三部曲~Service网络》中,波波讲解了K8s的4层网络栈中的第2层Service网路。有了Service网络,K8s集群内的应用可以通过服务名/ClusterIP进行统一寻址和访问,而不需要关心应用集群中到底有多少个Pods,Pod的IP是什么,会不会变化,以及如何以负载均衡方式去访问等问题。但是,K8s的Service网络只是一个集群内部网络集群外部是无法直接访问的。而我们发布的应用,有些是需要暴露出去,要让外网甚至公网能够访问的,这样才能对外输出业务价值。
Kubernetes基础(二十七)-nodePort/targetPort/port/containerPort/hostPort
sre救赎之路
03-04 937
port和nodePort都是service的端口,前者暴露给集群内客户访问服务,后者暴露给集群外客户访问服务。从这两个端口到来的数据都需要经过反向代理kube-proxy流入后端pod的targetPod,从而到达pod上的容器内。
Kubernetes网络的应用场景分析.pdf
11-27
NodePort允许外部流量通过每个Node的特定端口访问Service,而LoadBalancer则由云提供商提供,创建一个外部负载均衡器将流量引入集群Kubernetes网络设计的关键在于实现扁平的网络模型,使得Pod之间的通信如同在同...
读书摘要系列之《kubernetes权威指南·第四版》第一章:kubernetes入门
01-20
Kubernetes的资源管理是通过API进行的,kubectl是命令行工具,允许用户对资源对象进行增删查,并将这些变更持久化存储在etcd数据库中。资源对象如Deployments、ReplicaSets、DaemonSets、StatefulSets、Jobs等,...
2022年 kubernetes k8s 最新版 完整教学视频
06-25
在2022年的最新版中,Kubernetes持续进了其功能和性能,使其成为现代云原生应用的核心平台。本教学视频将深入浅出地介绍Kubernetes的各个方面,旨在帮助学习者全面掌握这一强大的工具。 首先,视频教程可能会涵盖...
7. Kubernetes容器持久化存储1
08-03
Kubernetes(k8s)集群中,容器的持久化存储是确保数据在容器或Pod重启后仍能保留的关键技术。传统的本地存储如emptyDir和hostPath虽然简单易用,但它们不能提供跨节点的持久性,这在需要长期保存数据的场景下显得...
ThoughtWorks林帆-白话Kubernetes网络
10-31
此外,Kubernetes引入Ingress资源,用于管理外部网络到Service的入站流量Ingress控制器可以根据配置规则,如路径、主机名等,将HTTP/HTTPS请求路由到相应的Service,实现反向代理和负载均衡功能。 在实际应用...
kubernetes service 的nodePort、port、targetPort、containerPort详解
爱死亡机器人
09-08 6519
nodePort nodePort提供了集群外部客户端访问service的一方式,:nodePort提供了集群外部客户端访问service的端口,即nodeIP:nodePort提供了外部流量访问k8s集群中service的入口。 比如外部用户要访问k8s集群中的一个Web应用,那么我们可以配置对应service的type=NodePort,nodePort=30001。其他用户就可以通过浏览器http://node:30001访问到该web服务。 而数据库等服务可能不需要被外界访问,只需被内部服务访问即
搭建kubernetes集群管理平台
菜鸟、上路
11-15 4086
一、 kubernetes和相关组件介绍 1、 kubernetes概述 Kubernetes是google开源的容器集群管理系统,基于docker构建一个容器的调度服务,提供资源调度、均衡容灾、服务注册、动态扩展等功能套件。基于容器的云平台 Kubernetes基于docker容器的云平台,简称k8s openstack基于kvm的容器云平台 2、 kubernetes架构设计图 3、 kub...
k8s-kubernetes--网络策略、flannel网络插件和calico网络插件
Gong_yz的博客
03-12 4085
网络策略通过网络插件来实现。要使用网络策略,你必须使用支持 NetworkPolicy 的网络解决方案。 创建一个 NetworkPolicy 资源对象而没有控制器来使它生效的话,是没有任何作用的。(Flannel不支持 NetworkPolicy,所以使用Flannei网络插件是不会隔离pod的)
Kubernetes 学习总结(19)—— Kubernetes 集群管理平台如何选择?Rancher vs KubeSphere
科技D人生
02-09 5999
前言 Kubernetes(K8s)集群管理平台都是基于 Kubernetes 提供功能,可以说他们是在 K8s 的基础上封装了一层更为友好的操作方式。他们都是为了降低 k8s 集群运维复杂度,降低运维成本,使开发者可以尽快上手、部署服务。目前主流的 Kubernetes 集群管理平台就是 Kubesphere 和 Rancher,它们都是基于 K8s 提供功能,但形态有很大不同,那么我们该如何在他们之间进行抉择呢? Rancher 介绍 Rancher 是一个开源的企业级容器管理平台。...
Kubernetes——使用NodePort的方式让外部访问Tomcat集群
卑微小韩
11-22 2349
文章目录使用NodePort的方式外部访问Tomcat集群一、通过NodePort的方式1.1 引入服务概念1.2 yml中写一个service1.2.1 关于port、targetPort、nodePort的解释1.3 部署service1.3.1 创建service1.3.2 查看service状态1.3.3 查看service详细状态1.3.4 访问测试Kubernetes其他文档列表 使用NodePort的方式外部访问Tomcat集群 一、通过NodePort的方式 1.1 引入服务概念 此时,
在云计算平台上部署Kubernetes:无缝管理和弹性扩展
weixin_65175398的博客
10-24 188
无论您选择使用Google Cloud Platform(GCP)、Amazon Web Services(AWS)、Microsoft Azure或其他云计算提供商,Kubernetes都为您提供了一灵活、可移植且可扩展的方式来管理容器化应用程序。无论您是寻求自托管还是托管服务,Kubernetes都可以满足您的需求,为应用程序提供弹性、可靠性和可扩展性。不同的云计算平台提供了各Kubernetes部署选项,根据您的需求和技术栈,可以选择最适合您的平台。安装Kubernetes的主节点和工作节点。
在 GOOGLE 云平台上使用 **Docker** 和 **Kubernetes** 部署 AI 模型的分步指南
hscing的博客
09-17 457
在 GOOGLE 云平台上使用和部署 AI 模型
kubernetes集群上成功部署rainbond平台
05-01
Rainbond是一个基于Kubernetes的企业级云原生平台,它的部署和管理都非常复杂,需要对Kubernetes有深入的理解和掌握。 在Kubernetes集群上成功部署Rainbond平台,需要经过以下步骤: 1. 环境准备:在Kubernetes集群上安装并配置必要的组件,如Docker、Etcd、Flannel等,确保集群正常运行。 2. 安装Rainbond平台:通过官方提供的安装脚本,在Kubernetes集群中部署Rainbond平台。 3. 配置Rainbond平台:根据实际需求,修Rainbond平台的配置文件,包括集群配置、节点配置、网络配置、存储配置等。 4. 部署应用程序:使用Rainbond平台提供的应用商店,选择需要部署的应用程序,并按照指引进行安装和配置。 5. 运维和监控:通过Rainbond平台提供的运维和监控工具,对应用程序进行管理和监控。 在成功部署Rainbond平台后,可以享受到如下的优势: 1. 云原生:采用Kubernetes架构,支持跨多个云平台和数据中心的管理和部署。 2. 简单易用:通过Rainbond平台提供的应用商店和自动化工具,快速构建和部署应用程序。 3. 高可用性:提供高可用性的架构和容错机制,确保应用程序的持续运行。 4. 灵活可扩展:支持动态扩容和缩容,根据业务需求弹性调整资源。 在Kubernetes集群上成功部署Rainbond平台,可以极大地提高企业应用程序的管理和部署效率,降低运维和管理成本,是一项非常有价值的技术工作。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值