当前位置: 首页 > 创领中心 > 网络优化

K8S中的Service的存无理由

  • 网络优化
  • 2024-11-14

前言

Kubernetes Pod是有生命周期的,它们可以被创立,也可以被销毁,但是一旦被销毁生命就永远完结。经过ReplicationController能够灵活地创立和销毁Pod(例如,须要启动扩缩容,或许口头滚动更新)。 每个 Pod 都会失掉它自己的 IP地址,可一旦销毁后,从新创立后,IP地址会发生扭转。 这会造成一个疑问:在 Kubernetes 集群中,假设一组 Pod(称为 backend)为其它 Pod(称为 frontend)提供服务,一旦backend的Pod从新创立,那么frontend的Pod该如何发现,并衔接到这组 Pod 中的哪些 backend呢?

Service资源用于为pod对象提供一个固定、一致的访问接口及负载平衡的才干,并借助新一代DNS系统的服务发现性能,处置客户端发现并访问容器化运行的疑问。

留意:service只是在k8s集群外部起作用,集群外部访问是有效的

成功原理

Service经过关注定义出多个POD对象组合而成的逻辑汇合,以及访问这组POD的战略,Service关联POD须要标签选用器成功,其基于标签选用器将一组POD定义成一个逻辑汇合,并经过自己的IP地址和端口调度代理恳求至后端POD之上。

上方的例子服务a-service关联着label为【app:pod-label】的pod,这时刻另一个服务B可以访问跟a-service服务绑定的service,service消息是固定的提早通知B就行了,service经过LabelSelector跟a服务的pod绑定,无论a的pod如何变化对b来说都是透明的。

虚构IP

service对象的IP地址称为clusterIP,位于K8S集群性能指定的公用IP地址范畴内,其是一种虚构IP地址,其在service对象创立后坚持不变,并且能够被同一集群中的POD资源访问,service端口接受客户端的恳求并将其转发至后端POD中的相应端口,因此,其又被称为四层代理,因其上班在TCP/IP层。

一个service对象就是上班节点上的一些iptables或ipvs,用于将抵达service对象的IP地址的流量转发到相应的endpoint对象指定的IP地址和端口上,kube-proxy组件经过api-server继续监控着各个service及其关系的POD对象,并将其创立或变化实时反映到上班节点的iptable或ipvs上

服务代理

k8s群集中的每个节点都运转一个kube-proxy的组件,kube-proxy其实是一个代理层担任成功service

userspace形式

客户端访问ServiceIP(clusterIP)恳求会先从用户空间到内核中的iptables,然后回到用户空间kube-proxy,kube-proxy担任代理上班。

详细细节:

恳求抵达service后,其被转发到内核,经由套接字送往用户空间的kube-proxy,然后经由kube-proxy送回内核空间,并调度至后端POD,其传输形式效率太低。在1.1版本之前,其是自动的转发战略。

iptables形式

客户端访问ServiceIP(clusterIP)恳求会由iptables间接重定向到后端

详细细节:

客户端IP恳求时,间接恳求本地内核service ip,依据iptables的规定间接将恳求转发到到各pod上,由于经常使用iptableNAT来成功转发,也存在无法漠视的性能损耗。另外,假设集群中存在上万的Service/Endpoint,那么Node上的iptablesrules将会十分宏大,性能还会再打折扣

Kubernetesv1.2之前自动是userspace之后是iptables形式,iptables形式性能和牢靠性更好,但是iptables形式依赖肥壮审核,在没有肥壮审核的状况下假设一个pod不照应,iptables形式不会切换另一个pod上

ipvs模型

此模型跟踪API service上的service和endpoints对象的变化,据此来调用netlink接口创立IPVS规定,并确保APIserver中的变化坚持同步,其流量调度战略在IPVS中成功,其他的在iptables中成功。

ipvs 允许泛滥调度算法,如rr、lc、dh、sh、sed和nq 等。

集群外部访问

咱们如何在集群外访问service呢?k8s提供了几种形式

经过每个 Node 上的 IP 和静态端口(NodePort)泄露服务。NodePort 服务会路由到 ClusterIP 服务,这个 ClusterIP服务会智能创立。经过恳求 NodeIP:Port,可以从集群的外部访问一个 NodePort 服务。

这时要访问这个Service的话,只要要经过访问

<任何一台宿主机器的IP>:Port

LoadBalancer

在NodePort基础上,Kubernetes可以恳求底层云平台cloud provider创立一个外部的负载平衡器,并将恳求转发到每个Node作为后端,启动服务散发。

该形式须要底层云平台(例如GCE、AWS)允许。

ExternalName

创立一个dns别名指到service name上,重要是防止service name出现变化,要配合dns插件经常使用。经过前往 CNAME和它的值,可以将服务映射到 externalName 字段的内容。

这只要 Kubernetes 1.7 或更高版本的 kube-dns 才允许

上方咱们提到几种形式,但是当集群服务很多的时刻,NodePort形式最大的缺陷是会占用很多集群机器的端口;LB形式最大的缺陷则是每个service一个LB又有点糜费和费事,并且须要k8s之外的允许;而ingress则只要要一个NodePort或许一个LB就可以满足一切service对外服务的需求。上班机制大抵可以用下图示意:

Ingress是基于service成功7层路由转发才干的

  • 关注微信

本网站的文章部分内容可能来源于网络和网友发布,仅供大家学习与参考,如有侵权,请联系站长进行删除处理,不代表本网站立场,转载联系作者并注明出处:https://www.clwxseo.com/wangluoyouhua/4769.html

猜你喜欢

热门资讯

关注我们

微信公众号