云原生环境网络方案2 --- Service和Service Mesh

云原生环境网络方案2 --- Service和Service Mesh

在之前的文章中,我们描述了容器环境的底层网络实现原理以及一些常见的k8s网络插件。这些组件利用Linux系统的内核网络协议栈完成容器与容器之间网络互连的工作。到了这一步,我们仅仅解决了容器与容器之间互连,在微服务架构中,网络层面的互连仅仅是基础,我们还需要从网络层面解决:服务发现,负载均衡,访问控制,服务监控,端到端加密等问题。

本文的目的在于描述基于Service的k8s网络的原理,首先,我们需要了解以下概念:

  • Pod & Deployment & EndPoints
  • Service
    • ClusterIP
    • Headless
    • NodePort
    • LoadBalancer
    • ExternalName
  • Ingress
  • ServiceMesh

Pod

Pod是K8S的基本调度单位,我们可以理解其为一组共享命名空间的容器,这一组容器共享PID,IPC,网络,存储,UTC命名空间,相互之间可以通过localhost访问,访问相同的文件等。每个Pod中的容器会共用一个IP地址,该IP地址由K8S底层的网络方案决定如何分配。

一般来说,Pod不会被单独使用,一般会通过Deployment对象进行编排,以实现:

  • 定制Pod的版本,副本数
  • 通过k8s状态控制器恢复失败的Pod
  • 通过控制器完成指定的策略控制,如滚动更新,重新生成,回滚等
apiVersion: apps/v1
kind: Deployment
metadata:
  name: my-nginx
spec:
  selector:
    matchLabels:
      run: my-nginx
  replicas: 2
  template:
    metadata:
      labels:
        run: my-nginx
    spec:
      containers:
      - name: my-nginx
        image: nginx
        ports:
        - containerPort: 80

上面是官网上的一个deployment的例子,其中可以看到,其设置了一个名为my-nginx的deployment,副本数为2,其模板是一个名为my-nginx的pod。

k8s-Service.png

这里其实隐含了一个EndPoint对象,在k8s中我们一般不会直接与EndPoint对象打交道。EndPoint代表的是一组可供访问的Pod对象,在创建deployment的过程中,后台会自动创建EndPoint对象。kube-proxy会监控Service和Pod的变化,创建相关的iptables规则从网络层对数据包以路由的方式做负载均衡。

Service

Pod是可变且易变,如果像传统的开发中使用IP地址来标识是不靠谱的,需要一个稳定的访问地址来访问Pod的实例,在K8S中使用Service对象来实现这一点。服务与服务之间的访问,会通过服务名进行。通过配置Service对象,K8S会在内部DNS系统(默认coreDNS)中添加相关的PTR与反向PTR。在集群内部任何地方,可以通过服务名来访问相关的服务。

apiVersion: v1
kind: Service
metadata:
  name: my-nginx
  labels:
    run: my-nginx
spec:
  ports:
  - port: 80
    protocol: TCP
  selector:
    run: my-nginx

以上的yaml文件创建了一个名为my-nginx的service,关联到之前创建的名为my-nginx的pod组。

$ kubectl get svc my-nginx
NAME       TYPE        CLUSTER-IP     EXTERNAL-IP   PORT(S)   AGE
my-nginx   ClusterIP   10.0.162.149   <none>        80/TCP    21s

$ kubectl describe svc my-nginx
Name:                my-nginx
Namespace:           default
Labels:              run=my-nginx
Annotations:         <none>
Selector:            run=my-nginx
Type:                ClusterIP
IP:                  10.0.162.149
Port:                <unset> 80/TCP
Endpoints:           10.244.2.5:80,10.244.3.4:80
Session Affinity:    None
Events:              <none>

以上例子创建了一个ClusterIP类型的Service,这是Service的默认类型,ClusterIP是一个虚拟IP,kube-proxy在系统层面以iptables 路由规则或者LVS的形式,将访问发送给后端的pod。在K8S环境中,也是可以显示指定不生产ClusterIP,这种情况被称为Headless Service。Service共有有5种类型:

  • Headless
  • ClusterIP
  • NodePort
  • LoadBalance
  • ExternalService

ClusterIP的原理上面已经大致提过。Headless Service就是上面提到的不设置ClusterIP的情况。在配置ClusterIP的情况下,CoreDNS中的记录的Service名指向的是ClusterIP,而在不设置ClusterIP的情况下,CoreDNS中的Service名会直接指向多个后台Pod的地址。

其中,NodePort是在将某Service暴露到集群外部的情况下使用。在设置Service类型为NodePort的情况下,会在每个Node上设置NAT规则暴露服务。如下图所示:

k8s-NodePort.png

集群的80端口被映射为ServiceA,那么集群的两个对外IP:222.111.98.2和222.111.98.3的80端口都可以开启,可以通过这两个IP:port在集群外访问ServiceA。

apiVersion: v1
kind: Service
metadata:
  name: ServiceA
spec:
  ports:
  - port: 3000
    protocol: TCP
    targetPort: 443
    nodePort: 80
  selector:
    run: PodA
  type: NodePort

同时,节点也有内部节点,内部的Pod可以从内部节点的80端口来访问ServiceA。

LoadBalancer指的是外部的Loadbalancer,即云平台提供者的集群外部负载均衡服务。除了NodePort所做的事情之外,LoadBalancer对象会将集群所有对外接口的IP地址提供给外部Loadbalancer服务。

k8s-LoadBalancer.png

还有一个是ExternalName,主要用来让内部POD访问外部服务。

apiVersion: v1
kind: Service
metadata:
  name: External-ElasticSearch
  namespace: prod
spec:
  type: ExternalName
  externalName: my.elasticsearch.org:9200

上面是官方文档中的一个例子,该例子里面,将一个外部的服务 my.database.example.com映射为一个内部的服务名my-service,内部POD可以用my-service来访问该外部服务。

k8s-External Service.png

通过External-Service,我们可以把一些有状态的资源如各类数据库进行外置,集群内部的各Pod可以通过其进行访问。

Ingress

以上NodePort以及LoadBalancer实现的是从外部对机器内部进行L4网络访问。在公有云环境中,LoadBalancer需要配合云服务提供商的负载均衡器使用,每个暴露出去的服务需要搭配一个负载均衡器,代价比较昂贵。那有没有比较便宜一些的解决方案呢?答案是Ingress对象。在集群内部搭建Ingress服务,提供反向代理能力,实现负载均衡能力,一方面对基于http的流量可以进行更细粒度的控制,此外,不需要额外的LoadBalancer设备的费用。Ingress对象需要配合Ingress controller来进行使用。

从使用方面来讲,Ingress对象是集群级别的metadata,其定义了路由规则,证书等Ingress Controller所需的参数。Ingress Controller是实际执行这些参数的实例。从面向对象的角度来说,Ingress是接口,Ingress Controller是其对应的实现。接口只有一个,实现可以有很多。实际上来讲,Ingress Controller的实现有很多,比如Nginx Ingress,Traefik,envoy等。集群内可能存在多个Ingress对象和Ingress Controller,Ingress对象可以指定使用某个Ingress Controller。

从功能上来看,Ingress一般会具有以下能力:对外提供访问入口,TLS卸载,http路由,负载均衡,身份认证,限流等,这些基本上都是针对http协议提供的。这些能力会通过Ingress Controller提供。

Ingress Controller需要部署为Service或者DaemonSet,一般来说有三种部署方式:

  1. 以Deployment方式部署为LoadBalancer类型的Service,一般在公有云场景下使用,相应云服务商会提供外置的LoadBalancer将流量分发到Ingress Controller的地址上。
  2. 以Deployment方式部署为NodePort类型的Service,这种情况下会在所有节点上打开相应端口,这种情况,外部访问会比较麻烦,一般来说需要外置一个Ngnix或者其他类型的负载均衡器来分发请求,这样其实就变得和情况1类似,但是可能会更麻烦。
  3. 以DaemonSet的形式部署在指定的几个对外节点上。在部署过程中,可以给边缘节点打上相应的tag,在配置是使用NodeSelector来指定边缘节点,在每个边缘节点上部署Ingress Controller。外界可以通过这些边缘节点上的Ingress Controller来访问集群内部的服务。

总体而言,Ingress的作用是对外部访问进行细粒度的网络控制。目前市面上有几种产品形态,如API Gateway以及ServiceMesh Gateway都可以在这个生态位工作。

ServiceMesh

在原生k8s环境中,kube-proxy组件会通过watch-list接口观察Service和EndPoints的变化,动态调整iptables/LVS规则,实现端到端的请求路由。在ServiceMesh环境中,会在每个POD中注入一个Sidecar容器来实现流量代理能力。在istio中,往往会使用强大的envoy来完成这件事情。所有的这一切都是通过修改底层基础设施来完成的,上层应用不感知。

arch-sec.png

上图是istio mesh的架构图,在基于istio的service mesh中,底层的Service和EndPoints还是基于k8s的原生机制,但是编排能力由istio进行了接管,原生的基于kube-proxy的网络层编排,变成了有istio控制面进行编排,各个Pod中的SideCar代理同步配置。POD与POD之间的流量由SideCar代理进行了劫持,变成了代理与代理之间端到端的流量通讯。

基于这样的机制,一方面出入的流量都会经过envoy代理,对比仅仅由内核iptables和LVS进行转发,envoy代理有更多机会和更强大的能力对流量进行控制。代理与代理之间的通信可以进行加密,解决了以往站内通信都是明文的问题。

同样,我们可以看到,由于出入都需要代理,天生比仅通过内核转发多出了两个用户态的环节,在性能上必然有一定的衰减。

envoy-sidecar-traffic-interception-20190111.png

借用上面一张图,我们可以看到,进入POD的请求,首先是在内核态的PREROUTING链上进行判断,符合条件的流量会被导入到ISTIO_INBOUND链,然后被重定向到用户态的Envoy SideCar进行处理,处理完成之后,被重新注回到内核,再被重新定向到用户态的真实的APP中进行业务上的处理。其返回数据,同样先进入内核然后被劫持到用户态SideCar中处理,最后又被重新发回内核态发生出去。

在两个被SideCar代理托管的服务之间通信,需要被SideCar代理处理4次,数据包有8次内核态与用户态之间的切换,其带来的延时可想而知。安全从来都不是没有代价的,需要从性能,部署复杂度等方面进行取舍。

小结

本文介绍了k8s环境下,基于服务的网络原理。并且比较了k8s原生的和基于服务网格的服务架构。两者对比如下,供参考:

k8s原生 Istio Mesh
服务间路由编排 kube-proxy lstio控制面
负载均衡 iptables/lvs envoy-sidecar
端到端加密 App自己实现 mTLS in envoy-sidecar
证书管理 第三方 istio citadel
从外到内访问 API-Gateway,Ingress,NodePort,LoadBalancer Istio-gateway
监控及可视化 第三方工具及相关应用打点 通过Sidecar无缝进行

ServiceMesh在给我们带来很多便利的同时,也带来了性能上的降低,以及ServiceMesh本身的复杂性。在选型过程中,需要注意结合自身情况作出选择。

©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 214,444评论 6 496
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 91,421评论 3 389
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 160,036评论 0 349
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 57,363评论 1 288
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 66,460评论 6 386
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 50,502评论 1 292
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 39,511评论 3 412
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 38,280评论 0 270
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 44,736评论 1 307
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 37,014评论 2 328
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 39,190评论 1 342
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 34,848评论 5 338
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 40,531评论 3 322
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 31,159评论 0 21
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 32,411评论 1 268
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 47,067评论 2 365
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 44,078评论 2 352

推荐阅读更多精彩内容