k8s中的service解析

在k8s中，我们可以通过pod来创建服务。

然而，当我们创建多个 Pod 来提供同一项服务时，直接通过 Pod IP 进行访问会变得复杂且不可维护。因此，Kubernetes 提供了 Service 这一抽象概念，用于对外暴露和管理 Pod 组，使得外部可以通过 Service 访问应用，而无需记住和维护多个 Pod 的 IP。

在 Kubernetes 中，Service 是一种逻辑抽象，专门用于定义一组 Pod 的访问策略，例如 负载均衡 和 服务发现。它本身并不涉及 Pod 的调度，也不会占用任何节点资源。Service 的 IP 是 集群内部的虚拟 IP，由 Kubernetes 控制平面自动分配和管理。

值得注意的是，Service 不运行任何代码，它只是一个规则集合，指示集群如何将流量正确路由到后端 Pod。

在创建 Service 时，可以通过 selector 字段指定一组标签（例如 app: my-app）。Kubernetes 会自动关联所有匹配这些标签的 Pod，并将其纳入该 Service 的管理范围。

Kubernetes 内部的 Endpoints Controller 会持续监控 Pod 的状态，并动态更新 Service 的后端目标。当某个 Pod 被调度到节点上（由调度器决定）且其标签匹配 Service 的 selector 时，该 Pod 的 IP 和端口会自动加入到 Service 的 Endpoints 列表中。

此外，每个节点上的 kube-proxy 组件会监听 Service 和 Endpoints 的变化，并相应地更新本地的 iptables 或 IPVS 规则。当请求到达 ClusterIP（即 Service 的虚拟 IP）时，流量会根据这些规则被分发到实际运行的 Pod，确保服务能够正确访问。

为什么要用到service

在 Kubernetes 中，Service 是一种核心资源对象，专门用于将一组 Pod 上运行的应用程序公开为网络服务的抽象方式。

当我们使用 Deployment、DaemonSet 或 StatefulSet 等控制器部署 Pod 时，可以为这些 Pod 创建一个 Service。Service 负责监控这些控制器管理的 Pod，无论是新增还是移除 Pod，Service 都会自动更新其后端目标，并提供稳定的网络访问入口。此外，Service 通过 Label Selector 机制，动态管理与其匹配的 Pod，确保流量能够正确转发。

举个例子，假设我们有一组 Web 服务 Pod，如果由于 自动扩缩容 或 Pod 重新调度，导致 Pod 的 IP 地址或端口发生变化，客户端将很难直接跟踪和访问这些 Web 服务。又比如，Web 服务和 MySQL 数据库分别部署在不同的 Pod 中，Web 应用如何准确查找并连接 MySQL 的 IP 地址？

Service 可以完美解决这个问题。 Kubernetes Service 定义了一种通常称为 微服务 的抽象，提供了一种稳定的访问方式，无论 Pod 规模如何变化，Service 都能确保访问路径的一致性。当 Web 服务访问后端数据库时，不需要关心 MySQL Pod 具体运行在哪个节点，也无需跟踪其 IP 地址的变化，因为 Service 通过抽象封装了 Pod 之间的关联，解耦了服务的依赖关系，提高了可维护性和可靠性。

Service 的定义和创建

1. 首先，我们需要创建一个 Deployment 对象，该 Deployment 将管理 3 个 nginx Pod 实例：
   kubectl create deployment nginx --image=nginx:latest --replicas=3

2. 接着，我们为这些 Pod 创建一个 Service，用于对外提供稳定的访问入口：
   kubectl expose deployment nginx --type=ClusterIP --port=6666 --target-port=80

   需要注意的是，Pod 和 Deployment 并不是一一对应的关系。Deployment 会监控所有标签（Labels）与其选择器（selector）中定义的标签相匹配的 Pod。

3. 可以使用以下命令查看 Service 的详细信息：
   kubectl get service -o wide

   示例输出：

   root@master:~# kubectl get service -o wide
   NAME           TYPE        CLUSTER-IP       EXTERNAL-IP   PORT(S)                              
   nginx          ClusterIP   10.107.200.232   <none>        6666/TCP
   

   从上面的信息可以看到，Kubernetes 为 Service 随机分配了一个集群内部的 IP 地址（如 10.107.200.232），并将 Service 的 6666 端口 映射到 Pod 的 80 端口。

4. 测试 Service
   我们可以使用 curl 命令测试该 Service 是否可用： curl 10.107.200.232:6666

   注意：

   • 该 IP 地址仅在 Kubernetes 集群内部 可用，因此只能在集群内部的机器上进行访问。
   • Service 会自动代理所有符合条件的 Pod，并动态感知 Pod 的变化，无论 Pod 的数量如何增减，Service 都能确保流量正确转发。

5. 通过 YAML 定义 Service
   除了使用 kubectl expose 命令，我们还可以使用 YAML 文件来定义 Service。以下是一个 Service 的 YAML 配置示例：

   apiVersion: v1
   kind: Service
   metadata:
   name: my-service
   spec:
   selector:app: MyApp
   ports:- protocol: TCPport: 6666targetPort: 80
   type: ClusterIP
   

   在此 YAML 配置中：

   • selector 字段定义了 Service 需要管理的 Pod（即 app=MyApp 的 Pod）。
   • port 定义了 Service 对外暴露的端口（6666）。
   • targetPort 指定了 Pod 内部实际监听的端口（80）。
   • type 设为 ClusterIP，表示 Service 仅在集群内部可访问。

service服务提供

clusterIP类型的Service 的访问和路由机制

访问方式

在上一部分中，我们通过 ClusterIP 创建了 Service。ClusterIP 是 Kubernetes 集群内部的虚拟 IP，仅在集群内部可见（可供 Pod、节点及 Kubernetes 组件访问）。

无论 Pod 运行在哪个节点，集群内的任何组件（如其他 Pod、节点上的进程）都可以通过 ClusterIP:Port 访问该 Service。这种机制使得应用无需关注 Pod 的具体调度位置，只需通过 Service 访问，即可透明地连接到后端 Pod。

然而，ClusterIP 仅适用于集群内部通信，不会绑定到节点的公网 IP，因此外部请求无法直接访问。

路由路径

在使用 ClusterIP 时，集群内部的请求访问路径如下：

1. 发起请求的客户端（如另一个 Pod）向 ClusterIP:Port 发送请求。

2. kube-proxy 通过 ​iptables/IPVS 规则，将请求转发到后端 Pod 的 IP 和端口。

3. 负载均衡方式默认采用 轮询（Round Robin），无论 Pod 分布在哪个节点，请求都会均匀地分发给所有可用的 Pod。

那么，我们如何将service向外部暴漏呢？

Kubernetes 提供了 ServiceType 选项，允许用户控制 Service 的暴露方式，从而使外部流量能够访问集群内部的服务。不同的 ServiceType 适用于不同的外部访问需求。

四种 Service 类型 :

• ClusterIP（默认）
  通过集群内部 IP 暴露服务，ClusterIP 是 ServiceType 的默认值。

• NodePort
  通过集群每个节点的 Node IP + 静态端口（NodePort） 对外暴露，允许外部流量访问。

• LoadBalancer
  通过云平台提供的负载均衡器向外暴露服务，通常用于生产环境。

• ExternalName
  通过返回 CNAME 和对应值，可以将服务映射到 externalName 字段的内容（例如，foo.bar.example.com）。

ClusterIP、NodePort、LoadBalancer 三者是有关系的，前者是后者的基础。创建一个 NodePort 类型的 Service，必定带有一个 ClusterIP。

NodePort类型的Service 的访问和路由机制

访问方式

当使用 NodePort 类型创建 Service 时，Kubernetes 会在每个节点上分配一个静态端口（通常在 30000-32767 范围内），并将该端口映射到 Service。此时，外部用户可以通过 节点 IP + NodePort 访问该服务，而无需直接与 Pod 交互。

• 可以在本机节点通过 127.0.0.1:NodePort 访问 Service。
• 也可以使用 任意集群节点的公网 IP + NodePort 访问 Service，即使 Pod 运行在不同的节点上，Kubernetes 仍能确保流量正确转发。

路由机制

1. 外部请求到达 节点IP:NodePort（如 203.0.113.1:30080）。

2. kube-proxy 通过 ​iptables/IPVS 规则，将请求转发到后端 Pod 的 IP 和端口。

3. ​跨节点转发：如果 Pod 不在当前节点，请求会通过集群网络（如 CNI 插件）转发到目标 Pod 所在节点。

关键特性

​负载均衡：无论请求到达哪个节点的 NodePort，流量会被均匀分发到所有 Pod（包括其他节点的 Pod）。

​高可用性：即使某个节点宕机，其他节点的 NodePort 仍可响应请求。

LoadBalancer类型的Service 的访问和路由机制

访问方式

在通过 NodePort 将服务暴露到外部时，虽然 Pod 之间已经实现了负载均衡，但节点本身并未具备负载均衡能力。此外，外部用户需要知道节点的 公网 IP 才能访问 Service，而节点 IP 可能较多，不利于统一管理。

为了解决这些问题，Kubernetes 提供了 LoadBalancer 类型的 Service，它依赖于 云服务商提供的负载均衡器，为 Service 绑定一个 外部 IP（公网 IP），使外部用户能够直接通过该 IP 访问服务。

路由机制

请求流程如下：

1. 外部用户访问 LoadBalancer 分配的公网 IP（如 35.233.49.12:80）。

2. 负载均衡器会将流量分发至 集群节点的 NodePort（如 NodeIP:30080）。

3. kube-proxy 根据 iptables/IPVS 规则，将流量转发至后端 Pod。

4. 若目标 Pod 并不在当前节点，流量将通过集群网络转发到目标节点。

特点

• 自动分配公网 IP：需要云服务商（如 AWS、GCP、Azure）支持，Kubernetes 会自动申请和管理负载均衡器的外部 IP。

• 更优的负载均衡：流量先由 外部负载均衡器 进行全局均衡，然后进入集群内部的 NodePort 和 Pod 级负载均衡。

• 简化外部访问：外部用户无需感知集群节点 IP，直接通过 LoadBalancer 分配的 公网 IP 访问服务。

注意：LoadBalancer 类型需要集群运行在支持云平台负载均衡器的环境中（如 AWS ELB、GCP Cloud Load Balancing）。在本地或开发环境中，可通过 MetalLB 或 kubectl port-forward 临时暴露服务。

Endpoints

在 Kubernetes 中，Service 通过 Endpoints 动态绑定 后端实际的服务地址，无论这些地址是 集群内的 Pod，还是 集群外的服务。

通常，当我们为 Deployment 等资源创建 Service 时，Kubernetes 会 自动 生成对应的 Endpoints，并将匹配 selector 的 Pod 绑定到该 Service。

然而，如果 Service 未定义 selector，Kubernetes 不会自动创建 Endpoints，此时需要 手动定义 Endpoints，以便将外部服务的 IP 和端口 绑定到 Service，从而让集群内部可以透明地访问外部资源。

1. 创建无 Selector 的 Service

   # 创建一个没有 selector 的 Service
   apiVersion: v1
   kind: Service
   metadata:
   name: external-mysql
   spec:ports:- protocol: TCPport: 3306   # Service 暴露的端口targetPort: 3306  # 后端实际服务的端口（这里是 MySQL 的端口）
   

2. 手动定义 Endpoints，指向外部 MySQL 实例

   apiVersion: v1
   kind: Endpoints
   metadata:name: external-mysql  # 必须与 Service 同名
   subsets:- addresses:- ip: 111.111.111.111  # 外部 MySQL 实例的 IP- ip: 222.222.222.222  # 另一个 MySQL 实例的 IPports:- port: 3306  # 必须与 Service 的 targetPort 一致
   

运行机制

当 kube-proxy 监听到 Kubernetes API Server 发现 Endpoints 配置了外部 IP 时，它会自动更新本地的 iptables/IPVS 规则，以实现流量转发。整个请求流程如下：

1. 应用向 external-mysql:3306（即 Service 的 ClusterIP）发起访问请求。

2. kube-proxy 根据 iptables/IPVS 规则，将请求均衡地分发至 111.111.111.111:3306 或 222.222.222.222:3306。

3. 请求通过 集群网络 转发至外部 MySQL 实例，完成数据交互。

这种方式允许 Kubernetes 无缝集成外部服务，使集群内的应用能够像访问本地服务一样访问外部资源，同时提供透明的负载均衡和服务发现能力。

参考痴者工良的博客