【K8S in Action】服务:让客户端发现pod 并与之通信(1)
服务是一种为一组功能相同的 pod 提供单一不变的接入点的资源。当服务存在时,它的 IP 地址和端口不会改变。 客户端通过 IP 地址和端口号建立连接,这些连接会被路由到提供该服务的任意一个 pod 上。
-
外部客户端无须关心服务器数量而连接到前端 pod 上。
-
前端的 pod需要连接后端的数据库。 由于数据库运行在 pod 中, 它可能会在集群中移来移去, 导致 IP 地址变化。 当后台数据库被移动时, 无须对前端pod 重新配置。
-
pod 是短暂,会删除增加,调度到其他节点,数量变更。
-
在 pod 启动前会给已经调度到节点上的pod 分配 IP 地址,即客户端提前不知道Pod的IP地址。
-
水平仲缩意味着多个 pod 可能会提供相同的服务。 无需关注提供服务 pod 的数量,以及每个Pod的IP。
1 服务与服务发现
1 创建Service 服务
创建了一个名叫kubia的服务,它将在端口80接收请求并将连接路由到具有标签选择器是app=kubia的pod的8080端口上。 Kubernetes服务代理截取的该连接, 在根据标签选择器选中的Pod 中,任意选择了一个pod, 然后将请求转发给它。
apiVersion: vl
kind: Service
metadata:
name: kubia
spec:
ports:
- name: http
port: 80
targetPort: 8080 转发到容器端口
- name: https 同一服务暴露多个端口
port: 443
targetPort: 8443
selector: 标签选择器适用的服务
app: kubia
sessionAffinity: ClientIP 会话亲和性,统一客户端产生的所有请求每次都指向同一个pod
kubectl get svc
NAME CLUSTER-IP EXTERNAL-IP PORT(S) AGE
kubernetes 10.111.240.1 <none> 443/TCP 30d
kubia 10.111.249.153 <none> 80/TCP 6m 分配给服务的IP地址是10.111.249.153
kubectl exec kubia-7nogl -- curl -s http: //10 .111. 249 .153 双横杠(--)代表着kubectl命令项的结束。 之后的内容是指在pod内部需要执行的命令
2 使用命名的端口
通过数字来指定端口,但是在服务中也可以给不同的端口号命名,通过名称来指定。是即使更换端口号无须更改服务的spec, 通过改变Pod 中的 spec pod 端口号。
kind : Pod
spec :
containers:
- name: kubia
ports :
- name : http 将8080端口命名为http
containerPort: 8080
- name : https
containerPort: 8080
apiVersion: vl
kind: Service
metadata:
name: kubia
spec:
ports:
- name: http
port: 80
targetPort: http 将80端口映射到容器被称为http 的端口
- name: https
port: 443
targetPort: https
3 服务发现
集群内客户端 pod 如何知道服务的 IP 和端口?
通过环境变量发现服务
pod 开始运行的时候,会初始化环境变量指向现在存在服务。 服务创建早于Pod的创建, pod 上的进程可以根据环境变量获得服务 IP 地址和端口号。所以的Pod 都可以看到该服务。
kubectl delete po --all #在无须知道 pod 的名字的情况下就能删除所有 pod
kubectl get po # 后面创建的服务,所以先删除pod, pod 会自动重建
kubectl exec kubia-3inly env
KUBIA SERVICE HOST=l0.111.249.153 服务的集群Ip
KUBIA SERVICE PORT=80 服务所在的端口
服务名称中的横杠被转换为下画线,并且当服务名称用作环境变量名称中
的前级时,所有的字母都是大写的。
环境变量是获得服务 IP 地址和端口 种方式。
通过 DNS 发现服务
一个pod 被称作 kube-dns ,这个 pod 运行 DNS 服务,在集群中的其他 pod 都被配置成使用其作为 dns (通过修改每 容器的/ etc/reso conf 实现), pod 是否使用 内部的 DNS 服务器是根据 pod 中 spec dnsPolicy 属性来决定的。
每个服务从内部 DNS 服务器中获得 DNS 条目, 客户端 pod 在知道服务名称的情况下 通过全限定域名 (FQDN )来访问,而不是诉诸于环境变量。
FQDN 的连接来访后端数据库服务: backend-database.default.svc.cluster.local
- backend-database 对应于服务名称,
- default 表示服务在其中定义的名称间,
- svc.cluster.local 是在所有集群本地服务名称 中使用的可配置集群域后缀。
尝试使用 FQDN 来代替 IP 去访问 kubia 服务。另外,必须在一个存在的 pod 上才能这样做。 客户端仍然必须知道服务的端口号,如果并不是标准端口,客户端可以从环境变量中获取端口号。
2 连接集群外部的服务
不要让服务将连接重定向到集群中的 pod ,而是让它重定向到外部 IP 和端口。
2.1 介绍服务 endpoint
服务并不是和 pod 直接相连的。相反,有一种资源介于两者之间-—-它就是 Endpoint 资源。
kubectl describe svc kubia
kubectl get endpoints kubia
NAME ENDPOINTS AGE
kubia 10.108.l.4:8080,10.108.2.5:8080,10.108.2.6:8080 lh
服务的 endpoint 与服务解耦后,可以分别手动配置和更新他们。
2.2 手动配置服务的 endpoint
如果创建了不包含 pod选择器的服务,Kubemetes 将不会创建 Endpoint 资源(毕竟,缺少选择器,将不会知道服务中包含哪些 pod)。这样就需要创建 Endpoint 资源来指定该服务的 endpoint 列表。
Endpoint是一个单独的资源并不是服务的一个属性。由于创建的资源中并不包含选择器,相关的Endpoints 资源并没有自动创建,所以必须手动创建。
Endpoint对象需要与服务具有相同的名称,并包含该服务的目标IP地址和端口
列表。服务和Endpoint资源都发布到服务器。
在服务创建后创建的容器将包含服务的环境变量,并且与其IP : port对的所有连接都将在服务端点之间进行负载均衡。
apiVersion: vl
kind: EndpointS Endpoint的名称必须和服务的名称相匹配
metadata:
name: external-service
subsets:
- addresses:
- ip: 11. 11. 11. 11 服务将连接重定向到endpoint的IP地址 (集群外部地址)
- ip: 22.22.22.22
ports:
- port: 80 endpoint的目标端口
apiVersion: vl
kind: Service
metadata:
name: exernal-service
spec:
ports:
- port: 80 服务中没有定义选择器
2.3 为外部服务创建别名
手动配置服务的Endpoint来代替公开外部服务方法,有一种更简单的方法,
就是通过其完全限定域名(FQDN)访问外部服务。
服务创建完成后,pod可以 通 过external-service.default.svc.cluster.loca l域名(甚至是external-service)连接到外部服务。
apiVersion: vl
kind: Service
metadata:
name: external-service
spec:
type: ExternalName type 为ExternalName
externalName: someapi.somecompany.com 实际服务的完全限定域名
ports:
- port: 80
3 将服务暴露给外部客户端
-
将服务的类型设置成NodePort
– 每个集群节点都会在节点上打 开一个端口, 对于NodePort服务, 每个集群节点在节点本身(因此得名叫NodePort)上打开一个端口,并将在该端口上接收到的流量重定向到基础服务。
– 该服务仅在内部集群 IP 和端口上才可访间, 但也可通过所有节点上的专用端口访问。 -
将服务的类型设置成LoadBalance, NodePort类型的一 种扩展。
– 这使得服务可以通过一个专用的负载均衡器来访问, 这是由Kubernetes中正在运行的云基础设施提供的。 负载均衡器将流量重定向到跨所有节点的节点端口。
客户端通过负载均衡器的 IP 连接到服务。 -
创建一 个Ingress资源, 这是一 个完全不同的机制, 通过一 个IP地址公开多
个服务——它运行在 HTTP 层(网络协议第7 层)上, 因此可以提供比工作
在第4层的服务更多的功能。
3.1 使用 NodePort 类型的服务
将一组pod公开给外部客户端的第一种方法是创建一个服务并将其类型设置为NodePort。 通过创建NodePort服务, 可以让Kubemetes在其所有节点上保留一个端口(所有节点上都使用相同的端口号), 并将传入的连接转发给作为服务部分的pod。
apiVersion: vl
kind: Service
metadata:
name: kubia-nodeport
spec:
type: NodePort 服务类型
ports:
- port: 80 服务集群端口号
targetPort: 8080 背后Pod 的端口号
nodePort: 30123 通过集群节点的30123端口访问该服务
selector:
app: kubia
kubectl get svc kubia-nodeport
NAME CLUSTER-IP EXTERNAL-IP PORT(S) AGE
kubia-nodeport 10.111.254.223 <nodes> 80:30123/TCP 2m
EXTERNAL-IP列。 它显示nodes,表明服务可通过任何集群节点的IP地址访问。 PORT(S)列显示集群IP (8 0) 的内部端口和节点端口(30123), 可以通过以下地址访问该服务:
- 10.11.254.223:80
- <lst node’s IP>:30123
- <2nd node’s IP>:30123, 等等
3.2 通过负载均衡器将服务暴露出来
云提供商上提供负载平衡器。 负载均衡器拥有自己独一无二的可公开访问的 IP 地址, 并将所有连接重定向到服务。可以通过负载均衡器的 IP 地址访问服务
apiVersion: vl
kind: Service
metadata:
name: kubia-loadbalancer
spec:
type: LoadBalancer
portS:
- port: 80
targetPort: 8080
selector:
app: kubia
kubectl get svc kubia-loadbalancer
NAME CLUSTER-IP EXTERNAL-IP PORT(S) AGE
kubia-loadbalancer 10.111.241.153 130.211.53.173 80:32143/TCP lm
3.3 了解外部连接的特性
防止不必要的网络跳数,服务配置为仅将外部通信重定向到接收连接的节点上运行的pod来阻止此额外跳数。
spec:
exernalTrafficPolicy: Local
- 如果服务定义包含此设置, 并且通过服务的节点端口打开外部连接, 则服务代理将选择本地运行的pod。 如果没有本地pod存在, 则连接将挂起。
- 使用local外部流量策略的服务可能会导致跨pod的负载分布不均衡。