"/>
侧边栏壁纸
博主头像
PySuper博主等级

千里之行,始于足下

  • 累计撰写 204 篇文章
  • 累计创建 14 个标签
  • 累计收到 2 条评论

目 录CONTENT

文章目录

Kubernetes | Service

PySuper
2021-05-24 / 0 评论 / 0 点赞 / 21 阅读 / 11382 字
温馨提示:
所有牛逼的人都有一段苦逼的岁月。 但是你只要像SB一样去坚持,终将牛逼!!! ✊✊✊

Service

  • Kubernetes Service定义了这样一种抽象
  • 一个Pod的逻辑分组,一种可以访问它们的策略 —— 通常称为微服务
  • 这一组Pod能够被Service访问到,通常是通过Label SelectorService能够提供负载均衡的能力,但是在使用上有限制:
    • 只提供 4 层负载均衡能力,而没有 7 层功能
    • 但有时我们可能需要更多的匹配规则来转发请求,这点上 4 层负载均衡是不支持的
Service

1、这里通过deployment创建Pod之后,再创建一个SVC,SVC中指定Pod的匹配条件

2、每次Pod中的标签发生改变(新建、重启),SVC会重新记录Pod的信息

3、通过SVC匹配Pod的方式,我们就不需要去监控Pod的状态和信息了

VIP 和 Service 代理

在 Kubernetes 集群中,每个 Node 运行一个kube-proxy进程

kube-proxy负责为Service实现了一种VIP(虚拟 IP)的形式,而不是ExternalName的形式

在 Kubernetes v1.0 版本,代理完全在 userspace

在 Kubernetes v1.1 版本,新增了 iptables 代理,但并不是默认的运行模式

从 Kubernetes v1.2 起,默认就是iptables 代理

在 Kubernetes v1.8.0-beta.0 中,添加了 ipvs 代理

在 Kubernetes v1.14 版本开始默认使用ipvs 代理

在 Kubernetes v1.0 版本,Service是 “4层”(TCP/UDP over IP)概念

在 Kubernetes v1.1 版本,新增了Ingress API(beta 版),用来表示 “7层”(HTTP)服务!

为何不使用 round-robin DNS?

代理模式的分类

userspace 代理模式

iptables 代理模式

iptables

ipvs 代理模式

ipvs
  • 这种模式,kube-proxy 会监视 Kubernetes Service对象和Endpoints
  • 调用netlink接口以相应地创建ipvs 规则并定期与 Kubernetes Service对象和Endpoints对象同步 ipvs 规则,以确保 ipvs 状态与期望一致。访问服务时,流量将被重定向到其中一个后端 Pod
  • 与 iptables 类似,ipvs 于 netfilter 的 hook 功能,但使用哈希表作为底层数据结构并在内核空间中工作。这意味着 ipvs 可以更快地重定向流量,并且在同步代理规则时具有更好的性能。
  • 此外,ipvs 为负载均衡算法提供了更多选项,例如:
    • rr:轮询调度
    • lc:最小连接数
    • dh:目标哈希
    • sh:源哈希
    • sed:最短期望延迟
    • nq:不排队调度

ClusterIP

默认类型,自动分配一个仅集群内部可以访问的虚拟IP

其他的Pod可以通过这个虚拟IP访问到这个IP

ClusterIP

clusterIP 主要在每个 node 节点使用 iptables,将发向 clusterIP 对应端口的数据,转发到 kube-proxy 中。

然后 kube-proxy 自己内部实现有负载均衡的方法,并可以查询到这个 service 下对应 pod 的地址和端口,进而把数据转发给对应的 pod 的地址和端口

为了实现图上的功能,主要需要以下几个组件的协同工作:

  • 用户通过kubectl命令向apiserver发送创建service的命令,apiserver接收到请求后将数据存储到etcd中
  • kube-proxy kubernetes的每个节点中都有一个叫做kube-porxy的进程,这个进程负责感知service、pod的变化,并将变化的信息写入本地的iptables规则中
  • iptables 使用NAT等技术将virtualIP的流量转至endpoint中

创建 myapp-deploy.yaml 文件

# vim myapp-deploy.yaml

apiVersion: apps/v1
kind: Deployment
metadata:
  name: myapp-deploy
  namespace: default
spec:
  replicas: 3
  selector:
    matchLabels:
      app: myapp
      release: stabel
      template:
        metadata:
          labels:
            app: myapp
              release: stabel
              env: test
        spec:
          containers:
            - name: myapp
              image: wangyanglinux/myapp:v2
              imagePullPolicy: IfNotPresent
              ports:
              - name: http
                containerPort: 80

创建 Service 信息

# vim myapp-service.yaml

apiVersion: v1
kind: Service
metadata:
  name: myapp
  namespace: default
  spec:
    type: ClusterIP
    selector:
      app: myapp
      release: stabel
    ports:
      - name: http
        port: 80
        targetPort: 80

Headless Service

有时不需要或不想要负载均衡,以及单独的 Service IP

遇到这种情况,可以通过指定 ClusterIP(spec.clusterIP) 的值为 “None” 来创建 Headless Service

这类 Service 并不会分配 Cluster IP, kube-proxy 不会处理它们,而且平台也不会为它们进行负载均衡和路由

# vim myapp-svc-headless.yaml

apiVersion: v1
kind: Service
metadata:
  name: myapp-headless
  namespace: default
spec:
  selector:
    app: myapp
  clusterIP: "None"
  ports:
  - port: 80
    targetPort: 80
   
# dig -t A myapp-headless.default.svc.cluster.local. @10.96.0.10

NodePort

在 ClusterIP 基础上为 Service 在每台机器上绑定一个端口,这样就可以通过 NodePort 来访问该服务

通过绑定的端口,访问到机器中的Pod上的服务

nodePort 的原理在于在 node 上开了一个端口,将向该端口的流量导入到 kube-proxy

然后由 kube-proxy 进一步到给对应的 pod

# vim myapp-service.yaml

apiVersion: v1
kind: Service
metadata:
  name: myapp
  namespace: default
spec:
  type: NodePort
  selector:
    app: myapp
    release: stabel
  ports:
  - name: http
    port: 80
    targetPort: 80

# iptables -t nat -nvL # 查询流程

LoadBalancer

在NodePort 的基础上,借助 cloud provider 创建一个外部负载均衡器,并将请求转发到NodePort

借用云服务器,在不同的机器之间实现负载均衡

loadBalancer 和 nodePort 其实是同一种方式

区别在于 loadBalancer 比 nodePort 多了一步,就是可以调用cloud provider 去创建 LB 来向节点导流

LoadBalancer

ExternalName

返回集群外部的地址信息

把集群外部的服务引入到集群内部来,在集群内部直接使用

没有任何类型代理被创建(只有 kubernetes 1.7 或更高版本的 kube-dns 才支持)

apiserver:通过kube-proxy,监听服务和端点

kuber-proxy:监听匹配到的Pod上的信息,将其写入到Iptables规则中

ExternalName-Sercer

这种类型的 Service 通过返回 CNAME 和它的值,可以将服务映射到 externalName 字段的内容

ExternalName Service 是 Service 的特例,它没有 selector,也没有定义任何的端口和Endpoint

相反的,对于运行在集群外部的服务,它通过返回该外部服务的别名这种方式来提供服务

kind: Service
apiVersion: v1
metadata:
  name: my-service-1
  namespace: default
spec:
  type: ExternalName
  externalName: hub.atguigu.com

当查询主机 my-service.defalut.svc.cluster.local ( SVC_NAME.NAMESPACE.svc.cluster.local )时

集群的DNS 服务将返回一个值 my.database.example.com 的 CNAME 记录

访问这个服务的工作方式和其他的相同,唯一不同的是重定向发生在 DNS 层,而且不会进行代理或转发

Ingress-Nginx

Ingress-Nginx

部署Ingress-Nginx

# kubectl  apply -f mandatory.yaml

# kubectl  apply -f service-nodeport.yaml

Ingress HTTP 代理访问

# deployment、Service、Ingress Yaml 文件

apiVersion: extensions/v1beta1
kind: Deployment
metadata:
  name: nginx-dm
spec:
  replicas: 2
  template:
    metadata:
      labels:
        name: nginx
    spec:
      containers:
      - name: nginx
        image: wangyanglinux/myapp:v1
        imagePullPolicy: IfNotPresent
        ports:
          - containerPort: 80
         
---
apiVersion: v1
kind: Service
metadata:
  name: nginx-svc
spec:
  ports:
  - port: 80
    targetPort: 80
    protocol: TCP
  selector:
    name: nginx

---
apiVersion: extensions/v1beta1
kind: Ingress
metadata:
  name: nginx-test
spec:
  rules:
  - host: www1.atguigu.com
  http:
    paths:
    - path: /
      backend:
        serviceName: nginx-svc
        servicePort: 80

Ingress HTTPS 代理访问

# 创建证书,以及 cert 存储方式

# openssl req -x509 -sha256 -nodes -days 365 -newkey rsa:2048 -keyout tls.key -out tls.crt -subj"/CN=nginxsvc/O=nginxsvc"

# kubectl create secret tls tls-secret --key tls.key --cert tls.crt
# deployment、Service、Ingress Yaml 文件

apiVersion: extensions/v1beta1
kind: Ingress
metadata:
  name: nginx-test
spec:
  tls:
  - hosts:
    - foo.bar.com
    secretName: tls-secret
  rules:
  - host: foo.bar.com
    http:
      paths:
      - path: /
        backend:
        serviceName: nginx-svc
        servicePort: 80

Nginx 进行 BasicAuth

# yum -y install httpd

# htpasswd -c auth foo

# kubectl create secret generic basic-auth --from-file=auth
apiVersion: extensions/v1beta1
kind: Ingress
metadata:
  name: ingress-with-auth
  annotations:
    nginx.ingress.kubernetes.io/auth-type: basic
    nginx.ingress.kubernetes.io/auth-secret: basic-auth
    nginx.ingress.kubernetes.io/auth-realm: 'Authentication Required - foo'
spec:
  rules:
  - host: foo2.bar.com
    http:
      paths:
      - path: /
        backend:
          serviceName: nginx-svc
          servicePort: 80

Nginx 进行重写

名称 描述
nginx.ingress.kubernetes.io/rewrite-target 必须重定向流量的目标URI
nginx.ingress.kubernetes.io/ssl-redirect 指示位置部分是否仅可访问SSL(当Ingress包含证书时默认为True) 布尔
nginx.ingress.kubernetes.io/force-ssl-redirect 即使Ingress未启用TLS,也强制重定向到HTTPS 布尔
nginx.ingress.kubernetes.io/app-root 定义Controller必须重定向的应用程序根,如果它在’/'上下文中
nginx.ingress.kubernetes.io/use-regex 指示Ingress上定义的路径是否使用正则表达式 布尔
apiVersion: extensions/v1beta1
kind: Ingress
metadata:
  name: nginx-test
  annotations:
    nginx.ingress.kubernetes.io/rewrite-target: http://foo.bar.com:31795/hostname.html
spec:
  rules:
  - host: foo10.bar.com
    http:
      paths:
        - path: /
          backend:
            serviceName: nginx-svc
            servicePort: 80

0

评论区