6.1 服务的本质是什么

K8s集群的服务，其实就是负载均衡或反向代理。这跟阿里云的负载均衡有很多类似的地方、和负载均衡一样，服务有它的IP地址以及前端端口，同时服务后面会挂载多个容器组作为其“后端服务器”，这些“后端服务器”有自己的IP地址以及监听端口。如下图所示。

当这样的负载均衡和后端的架构与K8s集群结合的时候，我们可以想到的最直观的实现方式，就是集群中某一个节点专门做负载均衡（类似Linux虚拟服务器）的角色，见图6-2，而其他节点则用来承载后端容器组。

这样的实现方法有一个巨大的缺陷，就是单点问题。K8s集群是Google多年来自动化运维实践的结晶，这样的实现显然与其自动化运维的哲学背离。

6.2 自带通信员

边车（sidecar）模式是微服务领域的核心概念。边车模式换一个通俗一点的说法，就是自带通信员模式。如图6-3所示。

在K8s集群中，服务的实现实际上是为每一个集群节点部署了一个反向代理sidecar、而所有对集群服务的访问，都会被节点上的反向代理转换成对服务后端容器组的访问。基本上，节点和这些sidecar的关系如图6-4所示。

6.3 让服务照进现实

K8s集群的服务本质上是负载均衡，即反向代理；在具体实现中，这个反向代理，并不是部署在集群某一个节点上的，二是作为集群节点的sidecar部署在每个节点上的。

在这里让服务“照”进反向代理这个“现实”的，是K8s集群的一个控制器，即kube-proxy。简单来说，kube-proxy作为部署在集群节点上的控制器，通过集群API Server监听着集群状态变化。当有新的服务被创建的时候，kube-proxy会把集群服务的状态、属性，翻译成反向代理的配置，整个过程如图6-5所示。

那剩下的问题就是反向代理（即图6-5中的proxy）的实现了

6.4 基于Netfilter的实现

K8s集群节点实现服务反向代理的方法目前主要有三种，即userspace、iptables以及ipvs。本章以阿里云Flannel集群网络为范本，仅对基于iptables的服务实现做深入探讨。

6.4.1 过滤器框架

Netfilter实际上是一个过滤器框架。Netfilter在网络包收发及路由的“管道”上，一共"切"开了5个扣，分别是PREROUTING、FORWARD、POSTROUTING、INPUT、以及OUTPUT，同时Netfilter定义了包括NAT、Filter在内的若干个网络包处理方式。NetFilter框架如图6-9所示。

需要注意的是，Routing和FORWARD很大程序上增加了以上Netfilter的复杂程度，如果我们不考虑Routing和FORWARD，那么NetFilter就会变得和我们的水过滤框架一样简单。

6.4.2 节点网络大图

参考图6-10所示的K8s集群节点网络全貌。横向来看，节点上的网络环境被分割成不同的网络命名空间，包括主机网络命名空间和Pod网络命名空间；纵向来看，每个网络命名空间包括完整的网络栈：从应用到协议栈，再到网络设备。

在网络设备这一层，我们通过cni0虚拟网桥组建出系统内部的一个虚拟局域网。Pod网络通过Veth对连接到这个虚拟局域网内，cni0虚拟局域网通过主机路由以及网口eth0与外部通信。

在网络协议栈这一层，我们可以通过在Netfilter过滤器框架上编程，来实现集群节点的反向代理。

实现反向代理，归根结底就是做DNAT，即把发送给集群服务IP地址和端口的数据包，修改成发给具体容器组的IP地址和端口。参考图6-9中的Netfilter过滤器框架。在Netfilter里，可以通过在PREROUTING、OUTPUT以及POSTROUTING三个位置加入NAT规则，来改变数据包的源地址或目的地址。

因为这里需要做的是DNAT，需要改变目的地址，这样的修改必须在路由（Routing）之前发生以保证数据包可以被路由正确处理，所以实现反向代理的规则，需要被加到PREROUTING和OUTPUT两个位置。

其中，PREROUTING的规则用来处理从Pod访问服务的流量。数据包从Pod网络Veth发送到cni0之后，进入主机协议栈，首先会经过Netfilter PREROUTING的处理，所以发送给服务的数据包，会在这个位置做DNAT。经过DNAT处理之后，数据包的目的地址变成另一个Pod的地址，从而经过主机路由转发到eth0，发送给正确的集群节点。

而添加在OUTPUT这个位置的DNAT规则，则用来处从主机网络发给服务的数据包，原理也是类似的，即在经过路由之前修改目的地址，以方便路由转发。

6.4.3 升级过滤器框架

在"过滤器框架"一节，我们看到Netfilter是一个过滤器框架。Netfilter在数据“管道”上“切“了5个口，分别在这5个扣上做了一些数据包处理工作。虽然固定切口位置以及网络包处理方式分类已经极大地优化了过滤器框架，但是有一个关键的问题，就是我们还需要再管道上做修改以满足新的功能。换句话说，这个框架没有做到管道和过滤功能两者的彻底解耦。

为了实现管道和过滤功能两者的解耦，Netfilter用了表的概念，表就是Netfilter的过滤中心，其核心功能是过滤方式的分类（表），以及每种过滤方式中过滤规则的组织（链），如图6-11所示。

把管道和过滤功能解耦之后，所有对数据包的处理都变成了对表的配置。而管道上的5个切口，仅仅变成了流量的出入口，负责把流量发送到过滤中心，并把处理之后的流量沿着管道继续传送下去。

Netfilter把表中的规则组织成链。表中有针对每个管道切口的默认链，也有我们我们自己加入的自定义链。默认链是数据的入口，默认链可以通过跳转到自定义链来完成一些复杂的功能，比如实现K8s集群节点的反向代理，我们可以使用自定义链来使我们的规则模块化。

6.4.4 用自定义链实现服务的反向代理

集群服务的反向代理，实际上就是利用自定义链，模块化实现数据包的DNAT转换。KUBE-SERVICE是整个反向代理的入口链，其对应所有服务的总入口；KUBE-SVC-XXXX链是具体某一个服务的入口链。KUBE-SERVICE链会根据服务IP地址，跳转到具体服务的KUBE-SVC-XXXX链。KUBE-SEP-XXXX链代表着某一个具体Pod的地址和端口，即Endpoint，具体服务链KUBE-SVC-XXXXX会按照一定的负载均衡算法跳转到Endpoint链，其整体结构如图6-12所示。

而如前面提到的，因为这里需要做的是DNAT，即改变目的地址，这样的修改必须在路由之前发生以保证数据包可以被路由正确处理，所以KUBE-SERVICE会被PREROUTING和OUTPUT两个默认链所调用、

6.5总结

服务本质上是负载均衡

服务负载均衡的实现采用了与服务网格类似的边车模式，而不是LVS类型的独占模式。

kube-proxy本质上是一个集群控制器。