這三個東西都可以實現(xiàn)將集群內(nèi)的服務(wù)暴露到集群外烈疚,那么它們到底有什么不同,要如何正確地使用這些組件聪轿,希望通過這篇文章爷肝,可以給大家一些啟示。首先明確一點,NodePort和LoadBalancer指Kubernetes Service組件的兩種類型阶剑。
在正式開始之前跃巡,有必要對Service做簡單介紹。Service是一組Pod的抽象牧愁,雖然在集群中Pod可以通過IP直達素邪,但是Pod不穩(wěn)定,它可能會經(jīng)常死掉猪半,這時集群會重新啟動一個Pod兔朦,這是一個全新的Pod,它的IP地址會發(fā)生變化磨确,這樣不利于客戶端訪問沽甥。為了解決這個問題,Kubernetes引入了Service組件乏奥,從Pod創(chuàng)建之初到人為刪除這段時間渤刃,為其創(chuàng)建的Service訪問方式都是穩(wěn)定的,即它的訪問IP不變禽拔,再配合集群內(nèi)置的DNS服務(wù)胜茧,客戶端可以利用不變的Service名稱或Service IP訪問到目標(biāo)Pods,而且Service還實現(xiàn)了簡單的負載均衡功能骗炉。
到這里照宝,還有一個很重要的問題沒有解決,在Kubernetes集群外如何訪問集群內(nèi)的服務(wù)句葵,這就引出了標(biāo)題中列舉的三個對象厕鹃,下面逐一介紹。
NodePort
Nodeport是Service的三種類型之一(ExternalName不常用故除外)乍丈,其他兩種是ClusterIP和LoadBalancer剂碴。當(dāng)Service工作在NodePort類型時,默認每個Node會在全部網(wǎng)絡(luò)接口開啟一個端口來轉(zhuǎn)發(fā)對集群內(nèi)服務(wù)的請求轻专。當(dāng)請求到來時忆矛,Node會轉(zhuǎn)發(fā)請求到集群中的服務(wù)。這樣就帶來一個問題铭若,請求的目標(biāo)Node可能會Down掉或其他別的原因?qū)е戮W(wǎng)絡(luò)不能訪問洪碳,NodePort還有一個問題就是對外暴露的端口有限制,默認端口范圍是30,000-32,767叼屠。這就限制了可以對外暴露服務(wù)的個數(shù)瞳腌,使用這些不易記錄的端口訪問服務(wù)也是讓人頭疼的問題,這就引入了下一個Service類型:LoadBalancer镜雨。
LoadBalancer
大多數(shù)公有云平臺都支持創(chuàng)建這種類型的服務(wù)嫂侍,每個服務(wù)可以支持多種協(xié)議和多個端口,使用單個IP來訪問。因為需要在集群外訪問內(nèi)部服務(wù)挑宠,所以這個IP地址是公有的菲盾,這會產(chǎn)生額外的費用。如果暴露的服務(wù)很多各淀,使用時需要慎重懒鉴。在私有云環(huán)境中,不能創(chuàng)建此類的服務(wù)碎浇,可以創(chuàng)建NodePort類型的服務(wù)然后使用HAproxy來充當(dāng)Load Balancer临谱,這樣和公有云平臺的LoadBalancer差別不大。Service的三種類型:ClusterIP奴璃、NodePort悉默、LoadBalancer,后一種是前一種的增強苟穆,NodePort類型Service會創(chuàng)建ClusterIP類型Service抄课,LoadBalancer類型Service會創(chuàng)建NodePort和ClusterIP類型Service。Service組件依賴操作系統(tǒng)中的iptables或ipvs雳旅,這是Service的靈魂跟磨。有一點需要注意,當(dāng)使用NodePort類型的服務(wù)時岭辣,請求會直接轉(zhuǎn)發(fā)給實際的Pod而不用轉(zhuǎn)發(fā)給Service的Cluster IP(kube-proxy工作在iptables模式)吱晒,具體實現(xiàn)方法可以在搜索引擎上搜“NodePort類型Service的工作原理”甸饱。
Ingress
前面介紹的內(nèi)容都圍繞Service沦童,主要解決網(wǎng)絡(luò)層的問題,Ingress的出現(xiàn)主要是解決應(yīng)用層的問題叹话。Ingress實際上充當(dāng)一個反向代理的角色偷遗,和Nginx的功能很類似。Kubernetes中廣泛使用的Nginx Ingress其本質(zhì)就是一個Nginx服務(wù)驼壶。Ingress依賴LoadBalancer類型的Service氏豌,因為它自己沒有暴露集群內(nèi)服務(wù)到外部的能力。這里以Nginx Ingress為例热凹,介紹它的工作原理泵喘,其他類型的Ingress可以參考其官方文檔介紹。
Nginx Ingress主要包含兩個部分:Ingress Controller和Nginx般妙,Controller通過Watch的方式訪問API服務(wù)纪铺,從中采集它感興趣的資源更新,例如Ingress資源碟渺,然后操作Nginx鲜锚,修改配置文件nginx.conf,更新證書、重啟Nginx等芜繁。它就像是一個Nginx的管理者旺隙,工程師發(fā)送指令到集群,Controller從API服務(wù)器接收到工程師發(fā)送的指令骏令,然后操作Nginx蔬捷。大體工作流程就是這樣。
上圖中有一個“Public Endpoint”組件榔袋,它可以通過LoadBalancer類型的Service來實現(xiàn)抠刺,下面yaml片段來自阿里云上真實的nginx-ingress服務(wù)(IP地址和端口做了脫敏操作):
......
spec:
clusterIP: 172.14.13.67
externalTrafficPolicy: Cluster
ports:
- name: http
nodePort: 31800
port: 80
protocol: TCP
targetPort: 80
- name: https
nodePort: 31700
port: 443
protocol: TCP
targetPort: 443
selector:
app: ingress-nginx
sessionAffinity: None
type: LoadBalancer
status:
loadBalancer:
ingress:
- ip: 47.215.177.38
集群部署Ingress資源后,進入集群流量的第一站就是Nginx Ingress中的Nginx服務(wù)摘昌,由它做HTTP層的負載均衡速妖,還有TLS終結(jié)等工作。
總結(jié)
文章對NodePort和LoadBalancer類型的Service做了簡單介紹聪黎,在測試環(huán)境中如果需要快速將服務(wù)從集群內(nèi)暴露出來罕容,可以使用NodePort類型的Service,生產(chǎn)環(huán)境稿饰,如果使用了阿里云或騰訊云可以使用LoadBalancer類型的Service并配合Ingress锦秒,如果沒有也可以使用NodePort類型的Service并配置Haproxy等來實現(xiàn)負載均衡。
