Service詳解
service是k8s的流量負載元件中的一種,常用的流量負載元件有以下幾種
- service : 4層路由的負載
- ingress:7層路由的負載
Service介紹
在kubernetes中,pod是應用程式的載體,我們可以通過pod的ip來訪問應用程式,但是pod的ip地址不是固定的,這也就意味著不方便直接採用pod的ip對服務進行訪問。
為了解決這個問題,kubernetes提供了Service資源,Service會對提供同一個服務的多個pod進行聚合,並且提供一個統一的入口地址。通過訪問Service的入口地址就能訪問到後面的pod服務。
Service在很多情況下只是一個概念,真正起作用的其實是kube-proxy服務程序,每個Node節點上都執行著一個kube-proxy服務程序。當建立Service的時候會通過api-server向etcd寫入建立的service的資訊,而kube-proxy會基於監聽的機制發現這種Service的變動,然後它會將最新的Service資訊轉換成對應的訪問規則
# 10.97.97.97:80 是service提供的訪問入口 # 當訪問這個入口的時候,可以發現後面有三個pod的服務在等待呼叫, # kube-proxy會基於rr(輪詢)的策略,將請求分發到其中一個pod上去 # 這個規則會同時在叢集內的所有節點上都生成,所以在任何一個節點上訪問都可以。 [root@node1 ~]# ipvsadm -Ln IP Virtual Server version 1.2.1 (size=4096) Prot LocalAddress:Port Scheduler Flags -> RemoteAddress:Port Forward Weight ActiveConn InActConn TCP 10.97.97.97:80 rr -> 10.244.1.39:80 Masq 1 0 0 -> 10.244.1.40:80 Masq 1 0 0 -> 10.244.2.33:80 Masq 1 0 0
kube-proxy目前支援三種工作模式:
userspace 模式
userspace模式下,kube-proxy會為每一個Service建立一個監聽埠,發向Cluster IP的請求被Iptables規則重定向到kube-proxy監聽的埠上,kube-proxy根據LB演算法選擇一個提供服務的Pod並和其建立連結,以將請求轉發到Pod上。 該模式下,kube-proxy充當了一個四層負責均衡器的角色。由於kube-proxy執行在userspace中,在進行轉發處理時會增加核心和使用者空間之間的資料拷貝,雖然比較穩定,但是效率比較低。
iptables 模式
iptables模式下,kube-proxy為service後端的每個Pod建立對應的iptables規則,直接將發向Cluster IP的請求重定向到一個Pod IP。 該模式下kube-proxy不承擔四層負責均衡器的角色,只負責建立iptables規則。該模式的優點是較userspace模式效率更高,但不能提供靈活的LB策略,當後端Pod不可用時也無法進行重試。
ipvs 模式
ipvs模式和iptables類似,kube-proxy監控Pod的變化並建立相應的ipvs規則。ipvs相對iptables轉發效率更高。除此以外,ipvs支援更多的LB演算法。
啟用ipvs
# 此模式必須安裝ipvs核心模組,否則會降級為iptables
# 開啟ipvs
kubectl edit cm kube-proxy -n kube-system
# 修改mode: "ipvs"
kubectl delete pod -l k8s-app=kube-proxy -n kube-system
# 檢視轉發規則
ipvsadm -Ln
Service型別
Service的資源清單檔案:
kind: Service # 資源型別
apiVersion: v1 # 資源版本
metadata: # 元資料
name: service # 資源名稱
namespace: dev # 名稱空間
spec: # 描述
selector: # 標籤選擇器,用於確定當前service代理哪些pod
app: nginx
type: # Service型別,指定service的訪問方式
clusterIP: # 虛擬服務的ip地址
sessionAffinity: # session親和性,支援ClientIP、None兩個選項
ports: # 埠資訊
- protocol: TCP
port: 3017 # service埠
targetPort: 5003 # pod埠
nodePort: 31122 # 主機埠
- ClusterIP:預設值,它是Kubernetes系統自動分配的虛擬IP,只能在叢集內部訪問
- NodePort:將Service通過指定的Node上的埠暴露給外部,通過此方法,就可以在叢集外部訪問服務
- LoadBalancer:使用外接負載均衡器完成到服務的負載分發,注意此模式需要外部雲環境支援
- ExternalName: 把叢集外部的服務引入叢集內部,直接使用
Service使用
實驗環境準備
在使用service之前,首先利用Deployment創建出3個pod,注意要為pod設定app=nginx-pod
的標籤
建立deployment.yaml,內容如下:
apiVersion: apps/v1
kind: Deployment
metadata:
name: pc-deployment
namespace: dev
spec:
replicas: 3
selector:
matchLabels:
app: nginx-pod
template:
metadata:
labels:
app: nginx-pod
spec:
containers:
- name: nginx
image: nginx:1.17.1
ports:
- containerPort: 80
# 建立
kubectl create -f deployment.yaml
# 檢視pod詳情
kubectl get pods -n dev -o wide --show-labels
# 為了方便後面的測試,修改下三臺nginx的index.html頁面(三臺修改的IP地址不一致)
kubectl exec -it pc-deployment-6696798b78-jf25z -n dev /bin/sh
# echo "10.244.1.53" > /usr/share/nginx/html/index.html
kubectl exec -it pc-deployment-6696798b78-jlltk -n dev /bin/sh
# echo "10.244.2.71" > /usr/share/nginx/html/index.html
kubectl exec -it pc-deployment-6696798b78-pbclm -n dev /bin/sh
# echo "10.244.1.54" > /usr/share/nginx/html/index.html
#修改完畢之後,訪問測試
curl 10.244.1.53
curl 10.244.2.71
curl 10.244.1.54
ClusterIP型別的Service
建立service-clusterip.yaml檔案
apiVersion: v1
kind: Service
metadata:
name: service-clusterip
namespace: dev
spec:
selector:
app: nginx-pod
clusterIP: 10.97.97.97 # service的ip地址,如果不寫,預設會生成一個
type: ClusterIP
ports:
- port: 80 # Service埠
targetPort: 80 # pod埠
# 建立service
kubectl create -f service-clusterip.yaml
# 檢視service
kubectl get svc -n dev -o wide
# 檢視service的詳細資訊
# 在這裡有一個Endpoints列表,裡面就是當前service可以負載到的服務入口
kubectl describe svc service-clusterip -n dev
# 檢視ipvs的對映規則
ipvsadm -Ln
# 訪問10.97.97.97:80觀察效果
curl 10.97.97.97:80
Endpoint
Endpoint是kubernetes中的一個資源物件,儲存在etcd中,用來記錄一個service對應的所有pod的訪問地址,它是根據service配置檔案中selector描述產生的。
一個Service由一組Pod組成,這些Pod通過Endpoints暴露出來,Endpoints是實現實際服務的端點集合。換句話說,service和pod之間的聯絡是通過endpoints實現的。
# 檢視Endpoints
kubectl get endpoints -n dev -o wide
負載分發策略
對Service的訪問被分發到了後端的Pod上去,目前kubernetes提供了兩種負載分發策略:
-
如果不定義,預設使用kube-proxy的策略,比如隨機、輪詢
-
基於客戶端地址的會話保持模式,即來自同一個客戶端發起的所有請求都會轉發到固定的一個Pod上
此模式可以使在spec中新增
sessionAffinity:ClientIP
選項
# 檢視ipvs的對映規則【rr 輪詢】
ipvsadm -Ln
# 迴圈訪問測試
while true;do curl 10.97.97.97:80; sleep 5; done;
# 修改分發策略----sessionAffinity:ClientIP
kubectl delete -f service-clusterip.yaml
vi service-clusterip.yaml
kubectl create -f service-clusterip.yaml
# 檢視ipvs規則【persistent 代表持久】
ipvsadm -Ln
# 迴圈訪問測試
while true;do curl 10.97.97.97; sleep 5; done;
# 刪除service
kubectl delete -f service-clusterip.yaml
修改分發策略
會發現同一個ip訪問只會訪問到一個固定的pod
HeadLiness型別的Service
在某些場景中,開發人員可能不想使用Service提供的負載均衡功能,而希望自己來控制負載均衡策略,針對這種情況,kubernetes提供了HeadLiness Service,這類Service不會分配Cluster IP,如果想要訪問service,只能通過service的域名進行查詢。
建立service-headliness.yaml
apiVersion: v1
kind: Service
metadata:
name: service-headliness
namespace: dev
spec:
selector:
app: nginx-pod
clusterIP: None # 將clusterIP設定為None,即可建立headliness Service
type: ClusterIP
ports:
- port: 80
targetPort: 80
# 建立service
kubectl create -f service-headliness.yaml
# 獲取service, 發現CLUSTER-IP未分配
kubectl get svc service-headliness -n dev -o wide
# 檢視service詳情
kubectl describe svc service-headliness -n dev
# 檢視pod
kubectl get pods -n dev
# 檢視域名的解析情況
# kubectl exec -ti pc-deployment-6696798b78-jf25z -- nslookup kubernetes.default
kubectl exec -it pc-deployment-6696798b78-jf25z -n dev /bin/sh
# cat /etc/resolv.conf
# 使用dig查詢單個域名的 DNS 資訊
dig @10.96.0.10 service-headliness.dev.svc.cluster.local
NodePort型別的Service
在之前的樣例中,建立的Service的ip地址只有叢集內部才可以訪問,如果希望將Service暴露給叢集外部使用,那麼就要使用到另外一種型別的Service,稱為NodePort型別。NodePort的工作原理其實就是將service的埠對映到Node的一個埠上,然後就可以通過NodeIp:NodePort
來訪問service了。
建立service-nodeport.yaml
apiVersion: v1
kind: Service
metadata:
name: service-nodeport
namespace: dev
spec:
selector:
app: nginx-pod
type: NodePort # service型別
ports:
- port: 80
nodePort: 30002 # 指定繫結的node的埠(預設的取值範圍是:30000-32767), 如果不指定,會預設分配
targetPort: 80
# 建立service
kubectl create -f service-nodeport.yaml
# 檢視service
kubectl get svc -n dev -o wide
# 接下來可以通過電腦主機的瀏覽器去訪問叢集中任意一個nodeip的30002埠,即可訪問到pod
LoadBalancer型別的Service
LoadBalancer和NodePort很相似,目的都是向外部暴露一個埠,區別在於LoadBalancer會在叢集的外部再來做一個負載均衡裝置,而這個裝置需要外部環境支援的,外部服務傳送到這個裝置上的請求,會被裝置負載之後轉發到叢集中。
ExternalName型別的Service
ExternalName型別的Service用於引入叢集外部的服務,它通過externalName
屬性指定外部一個服務的地址,然後在叢集內部訪問此service就可以訪問到外部的服務了。
建立service-externalname.yaml
apiVersion: v1
kind: Service
metadata:
name: service-externalname
namespace: dev
spec:
type: ExternalName # service型別
externalName: www.baidu.com #改成ip地址也可以
# 建立service
kubectl create -f service-externalname.yaml
# 域名解析
dig @10.96.0.10 service-externalname.dev.svc.cluster.local