Service
- Kubernetes Service定义了这样一种抽象
- 一个Pod的逻辑分组,一种可以访问它们的策略 —— 通常称为微服务
- 这一组Pod能够被Service访问到,通常是通过Label SelectorService能够提供负载均衡的能力,但是在使用上有限制:
- 只提供 4 层负载均衡能力,而没有 7 层功能
- 但有时我们可能需要更多的匹配规则来转发请求,这点上 4 层负载均衡是不支持的
1、这里通过deployment创建Pod之后,再创建一个SVC,SVC中指定Pod的匹配条件
2、每次Pod中的标签发生改变(新建、重启),SVC会重新记录Pod的信息
3、通过SVC匹配Pod的方式,我们就不需要去监控Pod的状态和信息了
VIP 和 Service 代理
在 Kubernetes 集群中,每个 Node 运行一个kube-proxy进程
kube-proxy负责为Service实现了一种VIP(虚拟 IP)的形式,而不是ExternalName的形式
在 Kubernetes v1.0 版本,代理完全在 userspace
在 Kubernetes v1.1 版本,新增了 iptables 代理,但并不是默认的运行模式
从 Kubernetes v1.2 起,默认就是iptables 代理
在 Kubernetes v1.8.0-beta.0 中,添加了 ipvs 代理
在 Kubernetes v1.14 版本开始默认使用ipvs 代理
在 Kubernetes v1.0 版本,Service是 “4层”(TCP/UDP over IP)概念
在 Kubernetes v1.1 版本,新增了Ingress API(beta 版),用来表示 “7层”(HTTP)服务!
为何不使用 round-robin DNS?
代理模式的分类
userspace 代理模式
iptables 代理模式
ipvs 代理模式
- 这种模式,kube-proxy 会监视 Kubernetes Service对象和Endpoints
- 调用netlink接口以相应地创建ipvs 规则并定期与 Kubernetes Service对象和Endpoints对象同步 ipvs 规则,以确保 ipvs 状态与期望一致。访问服务时,流量将被重定向到其中一个后端 Pod
- 与 iptables 类似,ipvs 于 netfilter 的 hook 功能,但使用哈希表作为底层数据结构并在内核空间中工作。这意味着 ipvs 可以更快地重定向流量,并且在同步代理规则时具有更好的性能。
- 此外,ipvs 为负载均衡算法提供了更多选项,例如:
- rr:轮询调度
- lc:最小连接数
- dh:目标哈希
- sh:源哈希
- sed:最短期望延迟
- nq:不排队调度
ClusterIP
默认类型,自动分配一个仅集群内部可以访问的虚拟IP
其他的Pod可以通过这个虚拟IP访问到这个IP
clusterIP 主要在每个 node 节点使用 iptables,将发向 clusterIP 对应端口的数据,转发到 kube-proxy 中。
然后 kube-proxy 自己内部实现有负载均衡的方法,并可以查询到这个 service 下对应 pod 的地址和端口,进而把数据转发给对应的 pod 的地址和端口
为了实现图上的功能,主要需要以下几个组件的协同工作:
- 用户通过kubectl命令向apiserver发送创建service的命令,apiserver接收到请求后将数据存储到etcd中
- kube-proxy kubernetes的每个节点中都有一个叫做kube-porxy的进程,这个进程负责感知service、pod的变化,并将变化的信息写入本地的iptables规则中
- iptables 使用NAT等技术将virtualIP的流量转至endpoint中
创建 myapp-deploy.yaml 文件
# vim myapp-deploy.yaml
apiVersion: apps/v1
kind: Deployment
metadata:
name: myapp-deploy
namespace: default
spec:
replicas: 3
selector:
matchLabels:
app: myapp
release: stabel
template:
metadata:
labels:
app: myapp
release: stabel
env: test
spec:
containers:
- name: myapp
image: wangyanglinux/myapp:v2
imagePullPolicy: IfNotPresent
ports:
- name: http
containerPort: 80
创建 Service 信息
# vim myapp-service.yaml
apiVersion: v1
kind: Service
metadata:
name: myapp
namespace: default
spec:
type: ClusterIP
selector:
app: myapp
release: stabel
ports:
- name: http
port: 80
targetPort: 80
Headless Service
有时不需要或不想要负载均衡,以及单独的 Service IP
遇到这种情况,可以通过指定 ClusterIP(spec.clusterIP) 的值为 “None” 来创建 Headless Service
这类 Service 并不会分配 Cluster IP, kube-proxy 不会处理它们,而且平台也不会为它们进行负载均衡和路由
# vim myapp-svc-headless.yaml
apiVersion: v1
kind: Service
metadata:
name: myapp-headless
namespace: default
spec:
selector:
app: myapp
clusterIP: "None"
ports:
- port: 80
targetPort: 80
# dig -t A myapp-headless.default.svc.cluster.local. @10.96.0.10
NodePort
在 ClusterIP 基础上为 Service 在每台机器上绑定一个端口,这样就可以通过 NodePort 来访问该服务
通过绑定的端口,访问到机器中的Pod上的服务
nodePort 的原理在于在 node 上开了一个端口,将向该端口的流量导入到 kube-proxy
然后由 kube-proxy 进一步到给对应的 pod
# vim myapp-service.yaml
apiVersion: v1
kind: Service
metadata:
name: myapp
namespace: default
spec:
type: NodePort
selector:
app: myapp
release: stabel
ports:
- name: http
port: 80
targetPort: 80
# iptables -t nat -nvL # 查询流程
LoadBalancer
在NodePort 的基础上,借助 cloud provider 创建一个外部负载均衡器,并将请求转发到NodePort
借用云服务器,在不同的机器之间实现负载均衡
loadBalancer 和 nodePort 其实是同一种方式
区别在于 loadBalancer 比 nodePort 多了一步,就是可以调用cloud provider 去创建 LB 来向节点导流
ExternalName
返回集群外部的地址信息
把集群外部的服务引入到集群内部来,在集群内部直接使用
没有任何类型代理被创建(只有 kubernetes 1.7 或更高版本的 kube-dns 才支持)
apiserver:通过kube-proxy,监听服务和端点
kuber-proxy:监听匹配到的Pod上的信息,将其写入到Iptables规则中
这种类型的 Service 通过返回 CNAME 和它的值,可以将服务映射到 externalName 字段的内容
ExternalName Service 是 Service 的特例,它没有 selector,也没有定义任何的端口和Endpoint
相反的,对于运行在集群外部的服务,它通过返回该外部服务的别名这种方式来提供服务
kind: Service
apiVersion: v1
metadata:
name: my-service-1
namespace: default
spec:
type: ExternalName
externalName: hub.atguigu.com
当查询主机 my-service.defalut.svc.cluster.local ( SVC_NAME.NAMESPACE.svc.cluster.local )时
集群的DNS 服务将返回一个值 my.database.example.com 的 CNAME 记录
访问这个服务的工作方式和其他的相同,唯一不同的是重定向发生在 DNS 层,而且不会进行代理或转发
Ingress-Nginx
部署Ingress-Nginx
# kubectl apply -f mandatory.yaml
# kubectl apply -f service-nodeport.yaml
Ingress HTTP 代理访问
# deployment、Service、Ingress Yaml 文件
apiVersion: extensions/v1beta1
kind: Deployment
metadata:
name: nginx-dm
spec:
replicas: 2
template:
metadata:
labels:
name: nginx
spec:
containers:
- name: nginx
image: wangyanglinux/myapp:v1
imagePullPolicy: IfNotPresent
ports:
- containerPort: 80
---
apiVersion: v1
kind: Service
metadata:
name: nginx-svc
spec:
ports:
- port: 80
targetPort: 80
protocol: TCP
selector:
name: nginx
---
apiVersion: extensions/v1beta1
kind: Ingress
metadata:
name: nginx-test
spec:
rules:
- host: www1.atguigu.com
http:
paths:
- path: /
backend:
serviceName: nginx-svc
servicePort: 80
Ingress HTTPS 代理访问
# 创建证书,以及 cert 存储方式
# openssl req -x509 -sha256 -nodes -days 365 -newkey rsa:2048 -keyout tls.key -out tls.crt -subj"/CN=nginxsvc/O=nginxsvc"
# kubectl create secret tls tls-secret --key tls.key --cert tls.crt
# deployment、Service、Ingress Yaml 文件
apiVersion: extensions/v1beta1
kind: Ingress
metadata:
name: nginx-test
spec:
tls:
- hosts:
- foo.bar.com
secretName: tls-secret
rules:
- host: foo.bar.com
http:
paths:
- path: /
backend:
serviceName: nginx-svc
servicePort: 80
Nginx 进行 BasicAuth
# yum -y install httpd
# htpasswd -c auth foo
# kubectl create secret generic basic-auth --from-file=auth
apiVersion: extensions/v1beta1
kind: Ingress
metadata:
name: ingress-with-auth
annotations:
nginx.ingress.kubernetes.io/auth-type: basic
nginx.ingress.kubernetes.io/auth-secret: basic-auth
nginx.ingress.kubernetes.io/auth-realm: 'Authentication Required - foo'
spec:
rules:
- host: foo2.bar.com
http:
paths:
- path: /
backend:
serviceName: nginx-svc
servicePort: 80
Nginx 进行重写
| 名称 | 描述 | 值 |
|---|---|---|
| nginx.ingress.kubernetes.io/rewrite-target | 必须重定向流量的目标URI | 串 |
| nginx.ingress.kubernetes.io/ssl-redirect | 指示位置部分是否仅可访问SSL(当Ingress包含证书时默认为True) | 布尔 |
| nginx.ingress.kubernetes.io/force-ssl-redirect | 即使Ingress未启用TLS,也强制重定向到HTTPS | 布尔 |
| nginx.ingress.kubernetes.io/app-root | 定义Controller必须重定向的应用程序根,如果它在’/'上下文中 | 串 |
| nginx.ingress.kubernetes.io/use-regex | 指示Ingress上定义的路径是否使用正则表达式 | 布尔 |
apiVersion: extensions/v1beta1
kind: Ingress
metadata:
name: nginx-test
annotations:
nginx.ingress.kubernetes.io/rewrite-target: http://foo.bar.com:31795/hostname.html
spec:
rules:
- host: foo10.bar.com
http:
paths:
- path: /
backend:
serviceName: nginx-svc
servicePort: 80
评论区