Kubernetes 将Service暴露到集群外部

已于 2022-02-28 21:53:05 修改
阅读量615 收藏 2
点赞数
文章标签: kubernetes docker 容器
于 2022-02-28 21:52:15 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_40172337/article/details/123191684
版权

Kubernetes 为Service 创建的CLusterIP 地址是对后端Pod列表的一层抽象,对于集群外部来说并没有意义,但有许多Service 是需要对集群外部提供服务的,Kubernetes提供了多种机制将Service 是暴露出去,供集群外部的客户端访问。这可以通过Service 资源对象的类型字段“type” 进行设置。

目前Service的类型如下:
(1)ClusterIP : Kubernetes 默认会自动设置Service 的 虚拟IP地址,仅可被集群内部的客户端应用访问,当然,用户也可手工指定一个ClusterIP 地址,不过需要确保该IP 在Kubernetes集群设置的ClusterIP 地址范围内(通过kube-apiserver服务的启动参数–service-cluster-ip-range设置),并且没有被其他Service 使用。
(2)NodePort: 将Service 的端口号映射到每个Node的一个端口号上,这样集群中的任意Node 都可以作为Service 的访问入口地址,即NodeIP:NodePort。
(3)LoadBalancer: 将Service 映射到一个已存在的负载均衡的IP 地址上,通常在公有云环境中使用。
(4)ExternalName: 将Service 映射为一个外部域名地址,通过externalName 字段进行设置。

1. NodePort类型
下面的例子设置Service的类型为NodePort,并且设置具体nodePort端口号为30002:

# webapp-svc-nodeport.yaml 
apiVersion: v1
kind: Service
metadata: 
  name: webapp
spec: 
  type: NodePort
  ports: 
  - port: 8080
    targetPort: 8080
    nodePort: 8081 -> 30002 # 这里我报错了,如下
  selector: 
    app: webapp

创建:

[root@k8s-master ~]# kubectl create -f webapp-svc-nodeport.yaml 
The Service "webapp" is invalid: spec.ports[0].nodePort: Invalid value: 8081: provided port is not in the valid range. The range of valid ports is 30000-32767

这是什么错误呢,是因为端口号受限了。

解决的办法:

#编辑 kube-apiserver.yaml文件
vim /etc/kubernetes/manifests/kube-apiserver.yaml
#找到 --service-cluster-ip-range 这一行,在这一行的下一行增加 如下内容
- --service-node-port-range=1-65535
#最后 重启 kubelet
systemctl daemon-reload
systemctl restart kubelet

在这里插入图片描述
这里说明一下,我换了一个端口号,将8081 改成30002

[root@k8s-master ~]# kubectl create -f webapp-svc-nodeport.yaml 
service/webapp created

r然后就可以通过任意一个node 的IP 地址和NodePort. 30002 端口号访问服务:

[root@k8s-master ~]# curl 172.16.185.161:30002
<!DOCTYPE html>
<html lang="en">
.....
[root@k8s-node-1 ~]# curl 172.16.185.162:30002
<!DOCTYPE html>
<html lang="en">
.....
[root@k8s-node-2 ~]# curl 172.16.185.163:30002
<!DOCTYPE html>
<html lang="en">
.....

在默认情况下,Node的kube-proxy 会在全部网卡(0.0.0.0)上绑定NodePort 端口号。

在很多数据中心环境中,一台主机会配置多块网卡,作用各不相同(例如存在业务网卡和管理网卡等)。从Kubernetes 1.10 版本开始,kube-proxy 可以通过设置特定的IP 地址将NodePort 绑定到特定的网卡上,而无须绑定再全部网卡上,其设置方式为配置启动参数,“–nodeport-addresses”,指定需要绑定的网卡IP地址,多个地址之间使用逗号分隔。例如仅在10.0.0.0和192.168.18.0 对应的网卡上绑定NodePort 端口号,对其他IP 地址对应的网卡不会进行绑定,配置如下:

--nodeport-addresses=10.0.0.0/8,192.168.18.0/24

另外,如果用户在Service 定义中不设置具体的nodePort 端口号,则Kubernetes 会自动分配一个NodePort 范围内的可用端口号。

2. LoadBalancer类型
通常在公有云环境中设置Service 的类型为“LoadBalancer” ,可以将Service 映射到公有云提供的某个负载均衡器的IP地址,客户端通过负载均衡器的IP 和 Servcie 的端口号就可以访问到具体的服务,无须再通过kube-proxy提供的负载均衡机制进行流量转发。公有云提供的LoadBalancer 可以直接将流量转发到后端Pod 上,而负载分发机制依赖于公有云服务商的具体实现。

下面的例子设置Service 的类型为LoadBalancer:

apiVersion: v1
kind: Service
metadata: 
  name: my-service
spec: 
  type: LoadBalancer
  selector: 
    app: MyApp
  ports: 
  - ptotocol: TCP
    port: 80
    targetPort: 9376
  clusterIP: 10.1.10.125


[root@k8s-master ~]# kubectl create -f loadBalancer.yaml 
service/my-service created

[root@k8s-master ~]# kubectl get svc
NAME         TYPE           CLUSTER-IP     EXTERNAL-IP   PORT(S)          AGE
my-service   LoadBalancer   10.1.10.125    <pending>     80:30357/TCP     10m

可以看到的是状态一直都是 pending。

我们先查看详情有没有报错:

[root@k8s-master ~]# kubectl describe svc my-service
Name:                     my-service
Namespace:                default
Labels:                   <none>
Annotations:              <none>
Selector:                 app=MyApp
Type:                     LoadBalancer
IP Family Policy:         SingleStack
IP Families:              IPv4
IP:                       10.1.10.125
IPs:                      10.1.10.125
Port:                     <unset>  80/TCP
TargetPort:               9376/TCP
NodePort:                 <unset>  30357/TCP
Endpoints:                <none>
Session Affinity:         None
External Traffic Policy:  Cluster
Events:                   <none>

问题原因:
查看了官方文档,自己搭建的k8s集群 (公有云环境除外),是没有LB能力的。
在这里插入图片描述

3.ExternalName 类型
ExternalName类型的服务用于将集群外的服务定义为Kubernetes 的集群的Service,并且通过externalName 字段指定外部服务的地址,可以使用域名或IP 格式,集群内的客户端应用通过访问这个Service 就能访问外部服务了。这种类型Service 没有后端Pod,所以无须设置Label Selector ,例如:

apiVersion: v1
kind: Service
metadata: 
  name: my-service
  namespace: prod
spec: 
  type: ExternalName
  externalName: my.database.example.com

在本例中设置的服务名为my-service,所在namspace 为prod ,客户端访问服务地址my-service.prod.svc.cluster.local时,系统将自动指向外部域名my.database.example.com。

蓝颜~岁月
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
kubernetes-cd-plugin:一个将部署到Kubernetes集群的Jenkins插件
05-17
Kubernetes Continuous Deploy插件 一个Jenkins插件,用于将资源配置部署到Kubernetes集群。 它提供以下功能: 通过SSH从主节点获取群集凭据。 您也可以手动配置它。 资源配置的变量替换,使您可以进行动态资源部署。 私有Docker注册表的Docker登录凭证管理。 无需在Jenkins从节点上安装kubectl工具。 1.0.0版中的重大更改 该插件取决于 。 要在此插件中应用Kubernetes的更多功能,我们必须升级sdk的版本。 但是新版本的sdk不再支持某些旧版Kubernetes api版本。 如果要升级到1.0.0版,请更新您的Kubernetes资源文件。 以下API对象不再是支持扩展组,请将其更改为apps组。 守护程序集 部署方式 复制集 先决条件 Kubernetes集群 要部署的Kubernetes资源配置。 配置
基于kubernetes构建Docker集群管理详解
03-03
Kubernetes是Google开源的容器集群管理系统,基于Docker构建一个容器的调度服务,提供资源调度、均衡容灾、服务注册、动态扩缩容等功能套件,目前最新版本为0.6.2。本文介绍如何基于Centos7.0构建Kubernetes平台,在正式介绍之前,大家有必要先理解Kubernetes几个核心概念及其承担的功能。以下为Kubernetes的架构设计图:在Kubernetes系统中,调度的最小颗粒不是单纯的容器,而是抽象成一个Pod,Pod是一个可以被创建、销毁、调度、管理的最小的部署单元。比如一个或一组容器。ReplicationController是Kubernetes系统中最有用
rancher-rke2 修改--service-cluster-ip-range
最新发布
博然的宝藏库
04-21 405
因为需要部署新版本的ingress-nginx,而部署ingress-nginx的时候需要使用hostnetowrk以及nodeport的端口为80和443,service-node-port-range 默认为30000开始,部署会报错。1、api-servier的配置文件位置。默认是没有的,需要手动创建。
K8s Kubernetes从入门到集群架构视频教程
04-20
K8s Kubernetes从入门到集群架构视频教程,集群搭建,教程,教学资料,Kubernetes视频教程
Kubernetes集群部署
02-27
Kubernetes集群部署
k3s文档翻译
weixin_41603832的博客
03-14 1762
前言 最近因为毕业设计的原因需要精简以及裁剪k8s使其能够在树莓派上运行,于是找到了k3s。 k3s官网 github 因为文档以后很有可能会有变动,故留下翻译日期: 2019.3.14 正文 K3s-比k8s少5个方面 k3s使轻量班的kubernetes.比起k8s,它方便安装,只占用一半的内存,所有组件都在一个小于40mb的二进制文件里 对于以下5方面更加优异: Edge IoT CI A...
k8s集群ClusterIP网络扩容
最美dee时光的博客
05-26 3902
本篇目录链接背景现象原因分析step1:通过终端报错,显然提示svc的网络已经用尽,无法分配ipstep2:查看apiserver中定义的svc网络(--service-cluster-ip-range) 背景 应领导要求,要 现象 Error from server (InternalError): error when creating "deployment-evaluation-api.yaml": Internal error occurred: failed to allocate a serv
K8S 集群安全设置
liao__ran的博客
03-12 1264
集群的安全设置 kubectl同时支持CA双向认证和基于HTTP Base,Token简单认证模式与API Server通信,其他客户端只能配置CA双向安全认证或非安全模式与API Server通信 1.基于CA签名的双向数字证书认证方式 1.1.设置kube-apiserver的CA证书相关的文件和启动参数 [root@kubernetes ~]# mkdir -p /var/lib/kub...
kube-apiserver启动命令参数解释
小云的博客
03-07 3760
在apiserver启动时候会有很多参数来配置启动命令,有些时候不是很明白这些参数具体指的是什么意思。我的kube-apiserver启动命令参数:cat > /usr/lib/sy...
k8s集群搭建-(三)—master节点的搭建
Ay_Ly的博客
06-20 648
1、部署apiserver [root@zoutt-master kubernetes]# cd /opt/kubernetes/ssl [root@zoutt-master kubernetes]# vim kubernetes-csr.json 10.61.66.202换为自己的内网ip地址 { "CN": "kubernetes", "hosts": [ "127...
k8s SVC负载均衡机制、服务暴露、服务发现
weixin_49497353的博客
03-28 1315
k8s SVC负载均衡机制、服务暴露、服务发现
Kubernetesservice服务暴露
01-07
serviceIP地址仅在集群内部可达,然而,总会有些服务需要暴露外部网络中接受各类客户端的访问,此时就需要在集群的边缘为其添加一层转发机制,以实现外部流量进入到集群service的资源之上,这种操作称为服务...
Kubernetes 集群外用 Service 暴露应用(Step1)
qq_45492289的博客
03-10 134
KubernetesService 是一个抽象层,它定义了一组 Pod 的逻辑集,并为这些 Pod 支持外部流量暴露、负载平衡和服务发现。
纯手工搭建k8s集群
y19910825的博客
06-14 523
序 https://www.kubernetes.org.cn/3786.html 初衷 自从kubernetes(k8s)出现以来,安装复杂、部署困难就一直被业内吐槽,同时也把很多初学者挡在门外。虽然官方也有专门用来入门的单机部署方案:Minikube,和用来搭建集群的Kubeadm,但国内绿色的网络环境让官方的方案变得异常复杂。所以社区也涌现出很多专门用于部署k8s的项目,像使用ansible脚本方式的kubeasz,在github上已经有500多star;还有各种k8s相关的网站也有很多专门针对
k8s nodepoet 端口修改_限定k8s的nodeport只在固定主机上开放
weixin_32516271的博客
02-17 1190
isunkubernetes浏览:1,145八月 6, 2020默认情况下kubernetes会在集群所有主机上开放nodeport,我们可以限制nodeport端口只在固定几台主机上开放,这几台主机作为专用的集群流量入口,这样便于管理,也避免了node节点上端口的浪费。通过kube-proxy –help命令可以查看kube-proxy支持的参数其中–nodeport-address参数可以用来...
Kuberbetes--将Service暴露集群外部
GaoChuang_的博客
11-14 1074
一、Service作用 KubernetesService创建的ClusterIP地址是对后端Pod列表的一层抽象,对于集群外部来说没有任何意意义,但有很多Service需要对外部提供服务,Kubernetes提供多种机制将Service暴露出去,供客户端访问。可以通过Service对象的类型字段"type"进行设置。 Service类型: ClusterIPKubernetes默认会自动设置Service的虚拟IP地址,仅可供集群内部的客户端应用访问,可以手动设置一个ClusterIP..
K8s基础8——svc基础使用、应用暴露iptables代理、ipvs代理
百慕卿君博客
05-08 4765
1、service概念和基础使用,支持协议类型。 2、应用暴露ClusterIp、NodePort、LoadBalancer。 3、svc负载均衡之iptables代理、ipvs代理。
Kubernetes 安全系列之 API Server 端口暴露
SRE进阶之路
03-12 984
一个DevOps同事发现集群中的任何容器都可以无限制地查询Kubernetes API Server。了解攻击者如何利用这种错误配置来窃取集群中其他pod的密钥,导致了一个安全事件
k8s(四)serviceIPVS,kube-dns,无头服务,集群外部访问)
weixin_44992260的博客
07-29 2062
service 先启动仓库,然后输入变量,查看kubectl的状态; [root@server1 ~]# cd harbor/ [root@server1 harbor]# docker-compose start [root@server2 ~]# export KUBECONFIG=/etc/kubernetes/admin.conf [root@server2 ~]# kubectl get pod -n kube-system 安装ipvsadm 软件,server2,3,4同样操作 serve
k8s访问集群service有哪几种方式,每种方式的使用场景是什么详细描述出来
06-12
另外,还有一种比较特殊的方式是 ExternalName,它将 Service 暴露集群外部的 DNS 条目。适用于需要将 Service 映射到集群外部的 DNS 域名的场景。 总的来说,选择哪种方式取决于你的具体场景和需求。如果你想在...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

蓝颜~岁月

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值