理解Kubernetes的NodePort、LoadBalancer和Ingress

这三个东西都可以实现将集群内的服务暴露到集群外,那么它们到底有什么不同,要如何正确地使用这些组件,希望通过这篇文章,可以给大家一些启示。首先明确一点,NodePort和LoadBalancer指Kubernetes Service组件的两种类型。
在正式开始之前,有必要对Service做简单介绍。Service是一组Pod的抽象,虽然在集群中Pod可以通过IP直达,但是Pod不稳定,它可能会经常死掉,这时集群会重新启动一个Pod,这是一个全新的Pod,它的IP地址会发生变化,这样不利于客户端访问。为了解决这个问题,Kubernetes引入了Service组件,从Pod创建之初到人为删除这段时间,为其创建的Service访问方式都是稳定的,即它的访问IP不变,再配合集群内置的DNS服务,客户端可以利用不变的Service名称或Service IP访问到目标Pods,而且Service还实现了简单的负载均衡功能。
到这里,还有一个很重要的问题没有解决,在Kubernetes集群外如何访问集群内的服务,这就引出了标题中列举的三个对象,下面逐一介绍。
NodePort
Nodeport是Service的三种类型之一(ExternalName不常用故除外),其他两种是ClusterIP和LoadBalancer。当Service工作在NodePort类型时,默认每个Node会在全部网络接口开启一个端口来转发对集群内服务的请求。当请求到来时,Node会转发请求到集群中的服务。这样就带来一个问题,请求的目标Node可能会Down掉或其他别的原因导致网络不能访问,NodePort还有一个问题就是对外暴露的端口有限制,默认端口范围是30,000-32,767。这就限制了可以对外暴露服务的个数,使用这些不易记录的端口访问服务也是让人头疼的问题,这就引入了下一个Service类型:LoadBalancer。
LoadBalancer
大多数公有云平台都支持创建这种类型的服务,每个服务可以支持多种协议和多个端口,使用单个IP来访问。因为需要在集群外访问内部服务,所以这个IP地址是公有的,这会产生额外的费用。如果暴露的服务很多,使用时需要慎重。在私有云环境中,不能创建此类的服务,可以创建NodePort类型的服务然后使用HAproxy来充当Load Balancer,这样和公有云平台的LoadBalancer差别不大。Service的三种类型:ClusterIP、NodePort、LoadBalancer,后一种是前一种的增强,NodePort类型Service会创建ClusterIP类型Service,LoadBalancer类型Service会创建NodePort和ClusterIP类型Service。Service组件依赖操作系统中的iptables或ipvs,这是Service的灵魂。有一点需要注意,当使用NodePort类型的服务时,请求会直接转发给实际的Pod而不用转发给Service的Cluster IP(kube-proxy工作在iptables模式),具体实现方法可以在搜索引擎上搜“NodePort类型Service的工作原理”。
Ingress
前面介绍的内容都围绕Service,主要解决网络层的问题,Ingress的出现主要是解决应用层的问题。Ingress实际上充当一个反向代理的角色,和Nginx的功能很类似。Kubernetes中广泛使用的Nginx Ingress其本质就是一个Nginx服务。Ingress依赖LoadBalancer类型的Service,因为它自己没有暴露集群内服务到外部的能力。这里以Nginx Ingress为例,介绍它的工作原理,其他类型的Ingress可以参考其官方文档介绍。

通过Ingress暴露集群内服务(图片采集官网)

Nginx Ingress主要包含两个部分:Ingress Controller和Nginx,Controller通过Watch的方式访问API服务,从中采集它感兴趣的资源更新,例如Ingress资源,然后操作Nginx,修改配置文件nginx.conf,更新证书、重启Nginx等。它就像是一个Nginx的管理者,工程师发送指令到集群,Controller从API服务器接收到工程师发送的指令,然后操作Nginx。大体工作流程就是这样。
上图中有一个“Public Endpoint”组件,它可以通过LoadBalancer类型的Service来实现,下面yaml片段来自阿里云上真实的nginx-ingress服务(IP地址和端口做了脱敏操作):

......
spec:
  clusterIP: 172.14.13.67
  externalTrafficPolicy: Cluster
  ports:
  - name: http
    nodePort: 31800
    port: 80
    protocol: TCP
    targetPort: 80
  - name: https
    nodePort: 31700
    port: 443
    protocol: TCP
    targetPort: 443
  selector:
    app: ingress-nginx
  sessionAffinity: None
  type: LoadBalancer
status:
  loadBalancer:
    ingress:
    - ip: 47.215.177.38

集群部署Ingress资源后,进入集群流量的第一站就是Nginx Ingress中的Nginx服务,由它做HTTP层的负载均衡,还有TLS终结等工作。
总结
文章对NodePort和LoadBalancer类型的Service做了简单介绍,在测试环境中如果需要快速将服务从集群内暴露出来,可以使用NodePort类型的Service,生产环境,如果使用了阿里云或腾讯云可以使用LoadBalancer类型的Service并配合Ingress,如果没有也可以使用NodePort类型的Service并配置Haproxy等来实现负载均衡。

©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 214,377评论 6 496
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 91,390评论 3 389
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 159,967评论 0 349
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 57,344评论 1 288
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 66,441评论 6 386
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 50,492评论 1 292
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 39,497评论 3 412
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 38,274评论 0 269
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 44,732评论 1 307
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 37,008评论 2 328
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 39,184评论 1 342
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 34,837评论 4 337
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 40,520评论 3 322
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 31,156评论 0 21
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 32,407评论 1 268
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 47,056评论 2 365
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 44,074评论 2 352

推荐阅读更多精彩内容