service资源 一个service刻意看作一组提供相同服务的Pod的对外的访问接口; service作用于哪些pod时通过标签选择器来定义的; service强依赖dns解析服务:coredns,kube-dns(k8s1.1以前版本) https://cloud.tencent.com/developer/article/1718429 service工作模式:userspace,iptables,ipvs userspace:kubernetes 1.1- iptables:kubernetes 1.10- ipvs:kubernetes1.11+ userspace代理模式 这种模式,kube-proxy 会监视 Kubernetes master 对 Service 对象和 Endpoints 对象的添加和移除。 对每个 Service,它会在本地 Node 上打开一个端口(随机选择)。 任何连接到“代理端口”的请求,都会被代理到 Service 的backend Pods 中的某个上面(如 Endpoints 所报告的一样)。 使用哪个 backend Pod,是 kube-proxy 基于 SessionAffinity 来确定的。 最后,它配置 iptables 规则,捕获到达该 Service 的 clusterIP(是虚拟 IP)和 Port 的请求,并重定向到代理端口,代理端口再代理请求到 backend Pod。 默认情况下,userspace模式下的kube-proxy通过循环算法选择后端。 默认的策略是,通过 round-robin 算法来选择 backend Pod。 iptables 代理模式 这种模式,kube-proxy 会监视Kubernetes控制节点对Service对象和Endpoints对象的添加和移除。对每个Service,它会配置iptables规则,从而捕获到达该Service的clusterIP和端口的请求,进而将请求重定向到Service的一组backend中的某个上面。对于每个Endpoints对象,它也会配置 iptables 规则,这个规则会选择一个backend组合。 默认的策略是,kube-proxy在iptables模式下随机选择一个backend。 使用 iptables 处理流量具有较低的系统开销,因为流量由Linux netfilter 处理,而无需在用户空间和内核空间之间切换。 这种方法也可能更可靠。 如果kube-proxy在 iptables模式下运行,并且所选的第一个 Pod 没有响应,则连接失败。 这与userspace模式不同:在这种情况下,kube-proxy 将检测到与第一个 Pod 的连接已失败,并会自动使用其他后端Pod重试。 我们可以使用 Pod readiness 探测器验证后端 Pod 是否可以正常工作,以便 iptables 模式下的 kube-proxy 仅看到测试正常的后端。这样做意味着可以避免将流量通过 kube-proxy 发送到已知已失败的Pod。 IPVS 代理模式 在 ipvs 模式下,kube-proxy监视Kubernetes服务(Service)和端点(Endpoints),调用 netlink 接口相应地创建 IPVS 规则, 并定期将 IPVS 规则与 Kubernetes服务(Service)和端点(Endpoints)同步。该控制循环可确保 IPVS 状态与所需状态匹配。访问服务(Service)时,IPVS 将流量定向到后端Pod之一。 IPVS代理模式基于类似于 iptables 模式的 netfilter 挂钩函数,但是使用哈希表作为基础数据结构,并且在内核空间中工作。 这意味着,与 iptables 模式下的 kube-proxy 相比,IPVS 模式下的 kube-proxy 重定向通信的延迟要短,并且在同步代理规则时具有更好的性能。与其他代理模式相比,IPVS 模式还支持更高的网络流量吞吐量。 IPVS提供了更多选项来平衡后端Pod的流量。这些是: rr: round-robin lc: least connection (smallest number of open connections) dh: destination hashing sh: source hashing sed: shortest expected delay nq: never queue 注意:要在 IPVS 模式下运行 kube-proxy,必须在启动 kube-proxy 之前使 IPVS Linux 在节点上可用。 当 kube-proxy 以 IPVS 代理模式启动时,它将验证 IPVS 内核模块是否可用。 如果未检测到 IPVS 内核模块,则 kube-proxy 将退回到以 iptables 代理模式运行。 service服务类型: ClusterIP:默认类型,自动分配一个仅Cluster内部可以访问的虚拟IP NodePort:通过每个 Node 上的 IP 和静态端口(NodePort)暴露服务。以ClusterIP为基础,NodePort 服务会路由到 ClusterIP 服务。通过请求 <NodeIP>:<NodePort>,可以从集群的外部访问一个集群内部的 NodePort 服务。 LoadBalancer:使用云提供商的负载均衡器,可以向外部暴露服务。外部的负载均衡器可以路由到 NodePort 服务和 ClusterIP 服务。 ExternalName:通过返回 CNAME 和它的值,可以将服务映射到 externalName 字段的内容(例如,foo.bar.example.com)。没有任何类型代理被创建。 headless: 需要注意的是:Service 能够将一个接收port映射到任意的targetPort。默认情况下,targetPort将被设置为与port字段相同的值。 Service域名格式:(servicename).(namespace).svc.cluster.local,其中cluster.local为指定的集群的域名 service主要包含:apiVsersion,kind,metadata,spec几个字段 kubectl explain svc spec.ports字段: nodePort:节点上面的端口,该端口一定不能被占用 port:service的端口,提供该服务的端口 targetPort:容器上的端口 命令式: kubectl expose deployment goweb --name=gowebsvc --port=80 --target-port=8000 声名式:yaml 资源记录: SERVIC_NAME.NAMESPACE_NAME.DOMAIN>LTD svc.cluster.local. 如:redis.default.svc.cluster.local. service -->endpoint-->pod ClusterIP类型: # vi redis-svc.yaml apiVersion: v1 kind: Service metadata: name: redis namespace: default spec: selector: app: redis role: logstor clusterIP: 10.97.97.97 type: ClusterIP ports: - port: 6397 targetPort: 6397 # kubectl apply -f redis-svc.yaml # kubectl get svc NAME TYPE CLUSTER-IP EXTERNAL-IP PORT(S) AGE kubernetes ClusterIP 10.96.0.1 <none> 443/TCP 28h redis ClusterIP 10.97.97.97 <none> 6397/TCP 8s # kubectl describe svc redis Name: redis Namespace: default Labels: <none> Annotations: kubectl.kubernetes.io/last-applied-configuration: {"apiVersion":"v1","kind":"Service","metadata":{"annotations":{},"name":"redis","namespace":"default"},"spec":{"clusterIP":"10.97.97.97","... Selector: app=redis,role=logstor Type: ClusterIP IP: 10.97.97.97 Port: <unset> 6397/TCP TargetPort: 6397/TCP Endpoints: <none> Session Affinity: None Events: <none> NodePort类型: # vi myapp-np-svc.yaml apiVersion: v1 kind: Service metadata: name: myapp-np namespace: default spec: selector: app: myapp-np release: canary clusterIP: 10.98.98.98 type: NodePort ports: - port: 800 targetPort: 800 nodePort: 30800 # kubectl apply -f myapp-np-svc.yaml # kubectl get svc NAME TYPE CLUSTER-IP EXTERNAL-IP PORT(S) AGE kubernetes ClusterIP 10.96.0.1 <none> 443/TCP 28h myapp-np NodePort 10.98.98.98 <none> 800:30800/TCP 32m # kubectl describe svc myapp-np Name: myapp-np Namespace: default Labels: <none> Annotations: kubectl.kubernetes.io/last-applied-configuration: {"apiVersion":"v1","kind":"Service","metadata":{"annotations":{},"name":"myapp-np","namespace":"default"},"spec":{"clusterIP":"10.98.98.98... Selector: app=myapp-np,release=canary Type: NodePort IP: 10.98.98.98 Port: <unset> 800/TCP TargetPort: 800/TCP NodePort: <unset> 30800/TCP Endpoints: <none> Session Affinity: None External Traffic Policy: Cluster Events: <none> # curl 192.168.31.11:30800/hostname.html #轮询 # kubectl path svc myapp-np -p '{"spec":{"sessionAffinity":"ClientIP"}}' #打补丁直接生效,会话保持 # curl 192.168.31.11:30800/hostname.html # kubectl get svc -n kube-system NAME TYPE CLUSTER-IP EXTERNAL-IP PORT(S) AGE kube-dns ClusterIP 10.96.0.10 <none> 53/UDP,53/TCP,9153/TCP 28h 查看解析: # dig -t A myapp-np.default.svc.cluster.local. @10.96.0.10 ; <<>> DiG 9.9.4-RedHat-9.9.4-50.el7 <<>> -t A myapp-np.default.svc.cluster.local. @10.96.0.10 ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 9942 ;; flags: qr aa rd; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1 ;; WARNING: recursion requested but not available ;; OPT PSEUDOSECTION: ; EDNS: version: 0, flags:; udp: 4096 ;; QUESTION SECTION: ;myapp-np.default.svc.cluster.local. IN A ;; ANSWER SECTION: myapp-np.default.svc.cluster.local. 5 IN A 10.98.98.98 ;; Query time: 41 msec ;; SERVER: 10.96.0.10#53(10.96.0.10) ;; WHEN: Sun Apr 07 00:22:36 CST 2019 ;; MSG SIZE rcvd: 113 ------------------------ Deployment的yaml信息 cat myapp-deploy.yaml apiVersion: apps/v1 kind: Deployment metadata: name: myapp-deploy namespace: default spec: replicas: 3 selector: matchLabels: app: myapp release: v1 template: metadata: labels: app: myapp release: v1 env: test spec: containers: - name: myapp image: registry.cn-beijing.aliyuncs.com/google_registry/myapp:v1 imagePullPolicy: IfNotPresent ports: - name: http containerPort: 80 # kubectl apply -f myapp-deploy.yaml # kubectl get pod -owide NAME READY STATUS RESTARTS AGE IP NODE NOMINATED NODE READINESS GATES myapp-deploy-577fbb58c6-j45bg 1/1 Running 0 35s 10.244.1.30 vm2 <none> <none> myapp-deploy-577fbb58c6-pdcpr 1/1 Running 0 35s 10.244.2.3 vm3 <none> <none> myapp-deploy-577fbb58c6-wb45k 1/1 Running 0 35s 10.244.2.2 vm3 <none> <none> [root@vm1 manifest]# kubectl get rs NAME DESIRED CURRENT READY AGE myapp-deploy-577fbb58c6 3 3 3 38s # curl 10.244.1.30 # curl 10.244.1.30/hostname.html ClusterIP类型示例 yaml文件 # cat myapp-svc-ClusterIP.yaml apiVersion: v1 kind: Service metadata: name: myapp-clusterip namespace: default spec: type: ClusterIP # 可以不写,为默认类型 selector: app: myapp release: v1 ports: - name: http port: 80 targetPort: 80 # kubectl apply -f myapp-svc-ClusterIP.yaml # kubectl get svc NAME TYPE CLUSTER-IP EXTERNAL-IP PORT(S) AGE kubernetes ClusterIP 10.1.0.1 <none> 443/TCP 42d myapp-clusterip ClusterIP 10.1.186.57 <none> 80/TCP 5s # curl 10.1.186.57 # curl 10.1.186.57/hostname.html Headless Services 有时不需要或不想要负载均衡,以及单独的Service IP。遇到这种情况,可以通过指定 Cluster IP(spec.clusterIP)的值为 “None” 来创建 Headless Service。 这对headless Service并不会分配 Cluster IP,kube-proxy不会处理它们,而且平台也不会为它们进行负载均衡和路由。 使用场景: 第一种:自主选择权,有时候client想自己来决定使用哪个Real Server,可以通过查询DNS来获取Real Server的信息。 第二种:Headless Services还有一个用处(PS:也就是我们需要的那个特性)。Headless Service对应的每一个Endpoints,即每一个Pod,都会有对应的DNS域名;这样Pod之间就可以互相访问。【结合statefulset有状态服务使用,如Web、MySQL集群】 # cat myapp-svc-headless.yaml apiVersion: v1 kind: Service metadata: name: myapp-headless namespace: default spec: selector: app: myapp release: v1 clusterIP: "None" ports: - port: 80 targetPort: 80 # kubectl apply -f myapp-svc-headless.yaml # kubectl get svc NAME TYPE CLUSTER-IP EXTERNAL-IP PORT(S) AGE kubernetes ClusterIP 10.1.0.1 <none> 443/TCP 42d myapp-headless ClusterIP None <none> 80/TCP 16s # kubectl describe svc myapp-headless Name: myapp-headless Namespace: default Labels: <none> Annotations: <none> Selector: app=myapp,release=v1 Type: ClusterIP IP Families: <none> IP: None IPs: <none> Port: <unset> 80/TCP TargetPort: 80/TCP Endpoints: 10.244.1.30:80,10.244.2.2:80,10.244.2.3:80 Session Affinity: None Events: <none> service只要创建成功就会写入到coredns。得到coredns IP的命令如下: kubectl get pod -o wide -A | grep 'coredns' kube-system coredns-7ff77c879f-5w99f 0/1 running 9 28m 10.244.0.6 vm1 <none> <none> kube-system coredns-7ff77c879f-f5vtn 0/1 running 249 28h 10.244.1.26 vm2 <none> <none> coredns记录信息如下 # 其中 10.244.0.61 为 coredns IP # myapp-headless.default.svc.cluster.local 为Headless Service域名。格式为:$(service name).$(namespace).svc.cluster.local,其中 cluster.local 指定的集群的域名 # nslookup myapp-headless.default.svc.cluster.local 10.244.0.61 或 # dig -t A myapp-headless.default.svc.cluster.local. @10.244.0.61 NodePort类型示例 如果将 type 字段设置为 NodePort,则 Kubernetes 控制层面将在 --service-node-port-range 标志指定的范围内分配端口(默认值:30000-32767)。 # cat myapp-svc-NodePort.yaml apiVersion: v1 kind: Service metadata: name: myapp-nodeport namespace: default spec: type: NodePort selector: app: myapp release: v1 ports: - name: http # 默认情况下,为了方便起见,`targetPort` 被设置为与 `port` 字段相同的值。 port: 80 # Service对外提供服务端口 targetPort: 80 # 请求转发后端Pod使用的端口 nodePort: 31682 # 可选字段,默认情况下,为了方便起见,Kubernetes 控制层面会从某个范围内分配一个端口号(默认:30000-32767) # kubectl apply -f myapp-svc-NodePort.yaml # kubectl get svc NAME TYPE CLUSTER-IP EXTERNAL-IP PORT(S) AGE kubernetes ClusterIP 10.1.0.1 <none> 443/TCP 42d myapp-nodeport NodePort 10.1.122.197 <none> 80:31682/TCP 15s 端口查看,可见在本地宿主机监听了相应的端口(备注:集群所有机器都监听了该端口) tcp 0 0 0.0.0.0:31682 0.0.0.0:* LISTEN 2534/kube-proxy curl通过节点IP访问 # curl 192.168.1.85:31682 # curl 192.168.1.85:31682/hostname.html ExternalName类型示例 这种类型的Service通过返回CNAME和它的值,可以将服务映射到externalName字段的内容(例如:my.k8s.example.com;可以实现跨namespace名称空间访问)。ExternalName Service是Service的特例,它没有selector,也没有定义任何的端口和Endpoint。相反的,对于运行在集群外部的服务,它通过返回该外部服务的别名这种方式提供服务。 # cat myapp-svc-ExternalName.yaml apiVersion: v1 kind: Service metadata: name: myapp-externalname namespace: default spec: type: ExternalName externalName: my.k8s.example.com # kubectl apply -f myapp-svc-ExternalName.yaml