kubernetes的service、pod间的网络通信、ingress-nginx

最新推荐文章于 2024-09-02 23:34:33 发布
最新推荐文章于 2024-09-02 23:34:33 发布
阅读量974 收藏 1
点赞数 1
分类专栏: 运维企业实战篇 kubernetes
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45090453/article/details/113930083
版权
本文深入探讨了Kubernetes中的Service概念,包括ClusterIP、NodePort、LoadBalancer和Headless Service。此外,详细阐述了Pod间的通信,特别是Flannel的vxlan模式。还介绍了Ingress服务的部署、配置,以及Ingress的证书加密、用户认证和地址重写功能。
摘要由CSDN通过智能技术生成

kubernetes的service、pod间的网络通信、ingress-nginx

k8s网络通信

k8s通过CNI接口接入其他插件来实现网络通讯。目前比较流行的插件有flannel(只解决网络通信,不能解决网络策略),calico等。
CNI插件存放位置:# cat  /etc/cni/net.d/10-flannel.conflist  
插件使用的解决方案如下:
	虚拟网桥,虚拟网卡,多个容器共用一个虚拟网卡进行通信。
	多路复用:MacVLAN,多个容器共用一个物理网卡进行通信。
	硬件交换:SR-LOV,一个物理网卡可以虚拟出多个接口,这个性能最好。
容器间通信:同一个pod内的多个容器间的通信,通过lo即可实现;
pod之间的通信:
	同一节点的pod之间通过cni网桥转发数据包。(brctl show可以查看)
	不同节点的pod之间的通信需要网络插件支持。
pod和service通信: 通过iptables或ipvs实现通信,ipvs取代不了iptables,因为ipvs只能做负载均衡,而做不了nat转换。
pod和外网通信:iptables的MASQUERADE。
Service与集群外部客户端的通信;(ingress、nodeport、loadbalancer)

service

简介

Service可以看作是一组提供相同服务的Pod对外的访问接口。借助Service,应用可以方便地实现服务发现和负载均衡。
service默认只支持4层负载均衡能力,没有7层功能。(可以通过Ingress实现)
service的类型:(前三种是集群外部访问内部资源)
	ClusterIP:默认值,k8s系统给service自动分配的虚拟IP,只能在集群内部访问。
	NodePort:将Service通过指定的Node上的端口暴露给外部,访问任意一个NodeIP:nodePort都将路由到ClusterIP。
	LoadBalancer:在 NodePort 的基础上,借助 cloud provider 创建一个外部的负载均衡器,并将请求转发到 <NodeIP>:NodePort,此模式只能在云服务器上使用。
	ExternalName:将服务通过 DNS CNAME 记录方式转发到指定的域名(通过 spec.externlName 设定)。[集群内部访问外部,通过内部调用外部资源]

Service 是由 kube-proxy 组件,加上 iptables 来共同实现的.
kube-proxy 通过 iptables 处理 Service 的过程,需要在宿主机上设置相当多的 iptables 规则,如果宿主机有大量的Pod,不断刷新iptables规则,会消耗大量的CPU资源。
IPVS模式的service,可以使K8s集群支持更多量级的Pod。

ClusterIP

[root@server2 ~]# kubectl apply -f rs.yml  
deployment.apps/deployment created
[root@server2 ~]# cat rs.yml 
apiVersion: apps/v1
kind: Deployment
metadata:
  name: deployment
spec:
  replicas: 3
  selector:
    matchLabels:
      app: nginx
  template:
    metadata:
      labels:
        app: nginx
    spec:
      containers:
      - name: nginx
        image: myapp:v1

[root@server2 ~]# kubectl  expose deployment deployment --port=80
service/deployment exposed
[root@server2 ~]# kubectl  get svc
NAME         TYPE        CLUSTER-IP      EXTERNAL-IP   PORT(S)   AGE
deployment   ClusterIP   10.104.98.119   <none>        80/TCP    7s
kubernetes   ClusterIP   10.96.0.1       <none>        443/TCP   9d
[root@server2 ~]# kubectl describe svc deployment 
Name:              deployment
Namespace:         default
Labels:            <none>
Annotations:       <none>
Selector:          app=nginx
Type:              ClusterIP
IP Families:       <none>
IP:                10.104.98.119
IPs:               10.104.98.119
Port:              <unset>  80/TCP
TargetPort:        80/TCP
Endpoints:         10.244.1.71:80,10.244.1.72:80,10.244.1.73:80
Session Affinity:  None
Events:            <none>


[root@server2 ~]# iptables -t nat -nL | grep :80
DNAT       tcp  --  0.0.0.0/0            0.0.0.0/0            /* default/deployment */ tcp to:10.244.1.71:80
DNAT       tcp  --  0.0.0.0/0            0.0.0.0/0            /* default/deployment */ tcp to:10.244.1.72:80
DNAT       tcp  --  0.0.0.0/0            0.0.0.0/0            /* default/deployment */ tcp to:10.244.1.73:80
KUBE-MARK-MASQ  tcp  -- !10.244.0.0/16        10.104.98.119        /* default/deployment cluster IP */ tcp dpt:80
KUBE-SVC-ZBZTQJVIH62KRRHU  tcp  --  0.0.0.0/0            10.104.98.119        /* default/deployment cluster IP */ tcp dpt:80

开启kube-proxy的ipvs模式

yum install -y ipvsadm 	#所有节点
$ kubectl edit cm kube-proxy -n kube-system	#修改ipvs模式
mode: "ipvs"
$ kubectl get pod -n kube-system |grep kube-proxy | awk '{system("kubectl delete pod "$1" -n kube-system")}'
#更新kube-proxy pod

在这里插入图片描述


kube-proxy pod
可以观察到建立的副本数,当文件里面 的副本数发生改变的时候,可以直接在此处观察到,lvs负载均衡器
kube-proxy通过linux的IPVS模块,以rr轮询方式调度service中的Pod

ipvs模式负载均衡

[root@server2 ~]# cat service.yml rs.yml > demo.yml
[root@server2 ~]# vim demo.yml 
[root@server2 ~]# kubectl get pod -L app
[root@server2 ~]# vim demo.yml 
---
apiVersion: v1
kind: Service
metadata:
  name: myservice
spec:
  selector:
    app: myapp
  ports:
  - protocol: TCP
    port: 80
    targetPort: 80
  #clusterIP: None
  #type: NodePort     ##改为NodePort
  #type: LoadBalancer
  #externalIPs:
  #  - 192.168.0.10
---

apiVersion: apps/v1
kind: Deployment
metadata:
  name: demo2
spec:
  replicas: 3
  selector:
    matchLabels:
      app: myapp
  template:
    metadata:
      labels:
        app: myapp
    spec:
      containers:
      - name: myapp
        image: myapp:v2
[root@server2 ~]# kubectl apply -f demo.yml    ##创建services和pod
service/myservice created
deployment.apps/demo2 created
[root@server2 ~]# kubectl get svc  ##查看服务
[root@server2 ~]# kubectl describe svc myservice
[root@server2 ~]# ip addr
[root@server2 ~]# ipvsadm -ln   ##查看对应的负载均衡
[root@server2 ~]# curl 10.108.244.104/hostname.html
demo2-67f8c948cf-qv8cl
[root@server2 ~]# curl 10.108.244.104/hostname.html
demo2-67f8c948cf-wcrlp
[root@server2 ~]# curl 10.108.244.104/hostname.html
demo2-67f8c948cf-f2zxw




k8s提供的dns服务插件

为整个集群提供dns解析

[root@server2 ~]# kubectl get services kube-dns --namespace=kube-system
NAME       TYPE        CLUSTER-IP   EXTERNAL-IP   PORT(S)                  AGE
kube-dns   ClusterIP   10.96.0.10   <none>        53/UDP,53/TCP,9153/TCP   28d

[root@server2 ~]# kubectl attach demo -it    ##如果有demo就直接进
[root@server2 ~]# kubectl  run demo --image=busyboxplus -it  ##没有demo创建demo

[root@server2 ~]# yum install bind-utils -y   ##安装dig工具
[root@server2 ~]# dig myservice.default.svc.cluster.local. @10.96.0.10  ##通过dig进行测试

Headless Service “无头服务”

  • Headless Service不需要分配一个VIP,而是直接以DNS记录的方式解析出被代理Pod的IP地址。
  • 域名格式:$(servicename).$(namespace).svc.cluster.local
[root@server2 ~]# vim demo.yml 
  clusterIP: None  ##无头服务
   replicas: 6
[root@server2 ~]# kubectl apply
最低0.47元/天 解锁文章
tst8023ryq
关注
专栏目录
Kubernetes(k8s)集群部署七、k8s网络通信+service扩展ingress(TLS,认证,地址重写)calico网络插件(允许指定pod访问服务,禁止其他namespace访问服务)
ninimino的博客
03-03 1106
k8s网络通信k8s网络通信1.容器通信2.pod的通信2.1同一节点的pod2.2不同节点的pod的通信flannel网络原理flannel支持多种后端:3.podservice通信4.pod和外网通信5.Service与集群外部客户端的通信ingress创建ingress服务:Ingress TLS 配置Ingress 认证配置(认证之前做好加密)Ingress地址重写calico网络插件:能够解决策略 k8s网络通信 k8s通过CNI接口接入其他插件来实现网络通讯。目前比较流行的插件有fl
k8s Ingress
weixin_43753680的博客
02-23 431
k8s Ingress Ingress 访问方案 以nginx 解决方案为例 ingress 必须保证域名,一个或对个域名 访问域名都会访问到我们的 nginx nginx再通过反向代理或者负载均衡访问到后端服务 nginx 配置文件中会有反向代理得区域 可以理解成 ingress 帮我们部署了一个 nginx,但是我们访问nginx 的时候并不需要在其内部添加配置文件,修改的时候也是这样 nginx的部署方案仍是我们常见的 nodeport 部署方案,暴露给外部服务供其访问 nginx 内部工作方案
12、Kubernetes中KubeProxy实现之iptables和ipvs_ipvs和iptables
最新发布
2401_86444443的博客
09-02 976
iptables和ipvs其实都是依赖的一个共同的Linux内核模块:Netfilter。Netfilter是Linux 2.4.x引入的一个子系统,它作为一个通用的、抽象的框架,提供一整套的hook函数的管理机制,使得诸如数据包过滤、网络地址转换(NAT)和基于协议类型的连接跟踪成为了可能。Netfilter的架构就是在整个网络流程的若干位置放置了一些检测点(HOOK),而在每个检测点上登记了一些处理函数进行处理。
深入理解k8s之Service
myIddddd的博客
04-23 492
首先我们来了解一下,在Kubernetes中,Service是一种抽象,用于定义一组Pod的访问方式。它可以提供负载均衡、服务发现等功能,使得应用程序可以通过一个固定的地址和端口来访问这组Pod,而不需要关心Pod的具体IP地址和端口号。Service通常用于前台服务、中台服务等场景。API Server是Kubernetes集群中的核心组件之一,它提供了Kubernetes API的访问接口。
k8s中podserviceingress的关系
weixin_42715225的博客
11-18 5690
前言 当应用服务需要通过域名访问时,会经过pod–>service–>ingress的部署流程,实现所需要的功能 Pod 直接访问Pod资源,存在的缺陷 1.Pod会随时被Deployment这样的控制器删除重建,访问Pod的结果就会变得不可预知 2.Pod的地址是在Pod启动后才被分配,在启动之前并不知道Pod的IP地址 3.应用往往都是由多个运行相同镜像的一组Pod组成,一个个Pod的访问变得不现实 Service k8s中Service对象是用来解决上述Pod访问的问题 注 Serv
nginx-ingress部署+跨命名空转发
大新新大浩浩的博客
03-01 3617
k8s 1.23部署nginx-ingress并配置跨namespace访问
KubernetesIngress-nginx部署使用
看清所以看轻
08-23 2557
一、Ingress简介 在Kubernetes中,服务和Pod的IP地址仅在集群内部网络内部使用,对于集群的应用是不可见的。 为了使外部的应用能够访问集群内的服务,在Kubernetes目前提供了以下几种方案: 1)NodePort 2)LoadBalancer 3)Ingress 1)Ingress组成 Ingress 是反向代理规则,用来规定 HTTP/S 请求应该被转发到哪个 Service 上,比如根据请求中不同的 Host 和 url 路径让请求落到不同的 Service 上; Ingress
k8s-------ingress-nginx(七层)
2401_84049088的博客
05-05 732
metadata:spec:port: 80selector:再创建 Ingress 将服务暴露到外部kind: Ingress # 类型metadata:name: nginx-test # 名字spec:rules: # 规则,List,可配置多个域名。
k8s-ingress-nginx 本地demo部署
create
06-08 806
首先介绍下ingress是什么? Ingress 是对集群中服务的外部访问进行管理的 API 对象,典型的访问方式是 HTTP。 Ingress 可以提供负载均衡、SSL 终结和基于名称的虚拟托管。
kubernetes负载均衡资源-Ingress
weixin_42816196的博客
03-27 1019
Ingress其实就是Kubernetes中的一种资源,它主要是用来定义流量转发规则。但Ingress资源自身并不能实现流量的转发和调度,它仅仅是一组流量路由的规则集合,这些规则要真正发挥作用还需要使用到Ingress控制器,由Ingress控制器读取对应的Ingress规则,然后完成流量的路由或转发Ingress的底层知识是通过Nginx进行封装。配置规则也是跟Nginx类似Ingress日定义Nginx配置annotations:局部: Server {} 认证;限速;等等。
mandatory.yml
04-28
Free.K8S nginx配置:mandatory.yml
【博客542】k8s使用EndpointSlices扩展大规模service后端服务数量
qq_43684922的博客
11-26 1189
端点切片(EndpointSlices) 提供了一种简单的方法来跟踪 Kubernetes 集群中的网络端点(network endpoints)。它们为 Endpoints 提供了一种可扩缩和可拓展的替代方案。
K8S 创建 Service
一直被模仿,从未被超越
10-28 5933
1、创建 deployment kubectl run nginx --image=nginx --replicas=2 2、创建 service kubectl expose deployment nginx --type=ClusterIP --target-port=80 --port=80 expose 创建 service --type=ClusterIP 指定 service 类型 --target-port=80 指定 pod容器端口 --port=80 指定 servic
KubernetesService
you_fathe的博客
01-02 987
k8s service 的概念和使用方法
根据namespace使用多个ingress controller
mogutourongruixue的博客
06-03 4820
默认情况下,我们一个k8s环境所有的namespace使用的是同一个ingress-control,为了满足每个namespace使用不同的ingress-control,我们怎么做呢? 参考1 参考2 参考3 参考4 修改和注意的点有: 创建ingress-control的时期启动参数args里面加上配置ingress.class配置,名字自取: spec: template: ...
k8s开发基础-配置ingress+tls
longway111的博客
03-24 2013
1.创建证书,web和web1分别对应一个独立的tls证书: (weops) [root@node201 tls]# openssl genrsa -out web-ingress.key 2048 Generating RSA private key, 2048 bit long modulus ......................................+++ ...............................................+++ e is 65537 (
阿里云k8s ingress配置tls并设置自动跳转https
Merandღ的博客
10-27 4619
1.上传证书,在配置管理->保密字典创建tls证书,把申请证书的crt文件和key文件复制到对应的地方 2.在网络->路由创建Ingress,域名填写自己的域名,服务选择创建的service,开启tls并选择上传的对应的证书 设置http自动跳转https,添加ingress-nginx类型注解,nginx.ingress.kubernetes.io/ssl-redirect,值为true,设置后就会强制跳转到https了。 3.默认情况ingress是通过308重定向跳转..
K8S数据传输解析:ingressservice与网络架构
K8S的数据传输过程涉及多个层次的网络组件和策略,包括IngressServicePod IP、Cluster IP以及底层的Docker0和Flannel网络方案。理解这些组件的工作原理对于优化和调试K8S集群中的服务通信至关重要。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值