Kube-Proxy簡(jiǎn)述
參考文獻(xiàn):
https://ywnz.com/linuxyffq/2530.html
運(yùn)行在每個(gè)節(jié)點(diǎn)上,監(jiān)聽(tīng) API Server 中服務(wù)對(duì)象的變化,再通過(guò)管理 IPtables 來(lái)實(shí)現(xiàn)網(wǎng)絡(luò)的轉(zhuǎn)發(fā)
Kube-Proxy 目前支持三種模式:
- UserSpace
- k8s v1.2 后就已經(jīng)淘汰
- IPtables
- 目前默認(rèn)方式
- IPVS
- 需要安裝ipvsadm车柠、ipset 工具包和加載 ip_vs 內(nèi)核模塊
下面我們來(lái)說(shuō)說(shuō)這幾種模式的異同:
1、UserSpace
UserSpace 是讓 Kube-Proxy 在用戶空間監(jiān)聽(tīng)一個(gè)端口,所有的 Service 都轉(zhuǎn)發(fā)到這個(gè)端口己沛,然后 Kube-Proxy 在內(nèi)部應(yīng)用層對(duì)其進(jìn)行轉(zhuǎn)發(fā)。
Kube-Proxy 會(huì)為每個(gè) Service 隨機(jī)監(jiān)聽(tīng)一個(gè)端口 (Proxy Port)距境,并增加一條 IPtables 規(guī)則申尼。
從客戶端到 ClusterIP:Port 的報(bào)文都會(huì)被重定向到 Proxy Port,Kube-Proxy 收到報(bào)文后垫桂,通過(guò) Round Robin (輪詢) 或者 Session Affinity(會(huì)話親和力师幕,即同一 Client IP 都走同一鏈路給同一 Pod 服務(wù))分發(fā)給對(duì)應(yīng)的 Pod。
這種方式最大的缺點(diǎn)顯然就是 UserSpace 會(huì)造成所有報(bào)文都走一遍用戶態(tài)诬滩,造成整體性能下降霹粥,這種方在 Kubernetes 1.2 以后已經(jīng)不再使用了。
2疼鸟、Iptables
IPtables 方式完全由 IPtables 來(lái)實(shí)現(xiàn)后控,這種方式直接使用 IPtables 來(lái)做用戶態(tài)入口,而真正提供服務(wù)的是內(nèi)核的 Netilter空镜。
Kube-Proxy 只作為 Controller浩淘,這也是目前默認(rèn)的方式。
Kube-Proxy 的 IPtables 方式也是支持 Round Robin 和 Session Affinity 特性吴攒。
Kube-Proxy 監(jiān)聽(tīng) Kubernetes Master 增加和刪除 Service 以及 Endpoint 的消息张抄。對(duì)于每一個(gè) Service,Kube Proxy 創(chuàng)建相應(yīng)的 IPtables 規(guī)則舶斧,并將發(fā)送到 Service Cluster IP 的流量轉(zhuǎn)發(fā)到 Service 后端提供服務(wù)的 Pod 的相應(yīng)端口上欣鳖。
注:
雖然可以通過(guò) Service 的 Cluster IP 和服務(wù)端口訪問(wèn)到后端 Pod 提供的服務(wù),但該 Cluster IP 是 Ping 不通的茴厉。
其原因是 Cluster IP 只是 IPtables 中的規(guī)則泽台,并不對(duì)應(yīng)到一個(gè)任何網(wǎng)絡(luò)設(shè)備。
IPVS 模式的 Cluster IP 是可以 Ping 通的矾缓。
3怀酷、IPVS
Kubernetes 從 1.8 開(kāi)始增加了 IPVS 支持,IPVS 相對(duì) IPtables 效率會(huì)更高一些嗜闻。
使用 IPVS 模式需要在運(yùn)行 Kube-Proxy 的節(jié)點(diǎn)上安裝 ipvsadm蜕依、ipset 工具包和加載 ip_vs 內(nèi)核模塊。
當(dāng) Kube-Proxy 以 IPVS 代理模式啟動(dòng)時(shí),Kube-Proxy 將驗(yàn)證節(jié)點(diǎn)上是否安裝了 IPVS 模塊样眠,如果未安裝友瘤,則 Kube-Proxy 將回退到 IPtables 代理模式。
這種模式檐束,Kube-Proxy 會(huì)監(jiān)視 Kubernetes Service 對(duì)象 和 Endpoints辫秧,調(diào)用 Netlink 接口以相應(yīng)地創(chuàng)建 IPVS 規(guī)則并定期與 Kubernetes Service 對(duì)象 和 Endpoints 對(duì)象同步 IPVS 規(guī)則,以確保 IPVS 狀態(tài)與期望一致被丧。訪問(wèn)服務(wù)時(shí)盟戏,流量將被重定向到其中一個(gè)后端 Pod。
與 IPtables 類(lèi)似甥桂,IPVS 基于 Netfilter 的 Hook 功能柿究,但使用哈希表作為底層數(shù)據(jù)結(jié)構(gòu)并在內(nèi)核空間中工作。這意味著 IPVS 可以更快地重定向流量黄选,并且在同步代理規(guī)則時(shí)具有更好的性能蝇摸。此外,IPVS 為負(fù)載均衡算法提供了更多選項(xiàng)糕簿,例如:rr (輪詢調(diào)度)探入、lc (最小連接數(shù))、dh (目標(biāo)哈希)懂诗、sh (源哈希)蜂嗽、sed (最短期望延遲)、nq(不排隊(duì)調(diào)度)等殃恒。
注:
IPVS 是 LVS 項(xiàng)目的一部分植旧,是一款運(yùn)行在 Linux Kernel 當(dāng)中的 4 層負(fù)載均衡器,性能異常優(yōu)秀离唐。使用調(diào)優(yōu)后的內(nèi)核病附,可以輕松處理每秒 10 萬(wàn)次以上的轉(zhuǎn)發(fā)請(qǐng)求。
目前在中大型互聯(lián)網(wǎng)項(xiàng)目中亥鬓,IPVS 被廣泛的用于承接網(wǎng)站入口處的流量完沪。