Kubernetes学习之通过Service访问Pod

一、基础概述

1.当通过deployment等controller动态创建和销毁pod使得每个pod都有自己的ip地址，当controller用新的pod替代发生故障的pod时，新的pod会分配到新的ip地址，那么客户端如何稳定的找到并访问pod提供的服务。

2.创建service

service从逻辑上代表一组pod（是由label挑选出来），service拥有自己的ip，这个ip地址不变，客户端只需要访问service的ip，kubernetes负责建立和维护service和pod之间的映射关系。

上述两个图表示创建一个deployment并启动了三个pod运行httpd镜像，其中标签为label(run:httpd),service会用这个label来挑选pod。

其中三个pod都分配到各自的ip,这些ip地址只能被kubernetes cluster中的容器和节点访问。

上述示例创建了一个service,其中service的名字为httpd-svc,其selector指明挑选那些label为run:httpd的pod作为service的后端，并将service的8080端口映射到pod的80端口

如上图所示可得，http-svc分配到一个cluster-ip,可以通过该ip访问后端的httpd pod。

通过kubectl describe可以查看httpd-svc与pod的对应关系：

上图中罗列了三个pod的ip和端口

3.cluster ip的底层实现：

cluster ip是一个虚拟ip,是由kubernetes节点上的iptables规则管理

iptables中大概的规则是：如果cluster内部的pod要访问httpd-svc则允许，其他源地址访问httpd-svc,跳转到相应的规则上。iptables将访问service的流量转发到后端pod并使用轮询的负载均衡策略

注：cluster的每一个节点都配置了相同的iptables规则，这样可以确保整个cluster都能够通过service的cluster ip访问service。

4.dns访问service:

因为kubeadm在部署时会默认安装kube-dns组件，每当有新的的service被创建，kube-dns会添加该service的dns记录，其cluster中的pod可以通过<service_name>.<namespace_name>访问service。

例如可以用httpd-svc.default来访问Service httpd-svc，其中default可以省略，可以直接使用httpd-svc来访问。

dns服务器是kube-dns.kube-system.svc.cluster.local，这个实际上就是kube-dns组件，其本身部署在kube-system namespace中的一个service。

如果需要访问其他namespace中的service,就必须带上namespace,kubectl get namespace可以查看已有的namespace。

5.外网如何访问service:

kubernetes提供了多种类型的service,默认为cluster ip

clusterIP:service通过cluster内部的ip对外提供服务，只有cluster内的节点和pod可以访问

nodeport:service通过cluster节点的静态端口对外提供服务，cluster外部可以通过<nodeip>:<nodeport> 访问service。

loadbalancer:cloud provider负责将load balancer的流量导入service。