Service资源是为动态管理的Pod对象添加一个固定访问入口。
Service为四层调度器
service通过标签选择器关联至拥有相关标签的Pod对象
客户端向Service进行请求,而非目标Pod对象,当Service资源变动时,有kube-proxy控制器将规则应用至本机iptables或者ipvs规则。
而kube-proxy为DaemonSet 控制器将会在集群中每个节点运行一个Pod或者守护进程
如果需要转换ipvs规则,则需要手动加载ipvs模块进入内核
iptables代理模式,对于每个Service对象,kube-proxy会创建iptables规则直接捕获到达cluster ip和Port流量,并将其重定向至当前Service对象的后端Pod资源,对于每个Endpoint对象,Service资源会为其创建iptables规则并关联
ipvs代理模式 kube-proxy跟踪API server上 Service和Endpoints(ip+port)对象变动,来调用netlink接口创建ipvs规则,并确保于API server中变动同步,于iptables规则不同之处仅在处于其请求流量的调度功能有ipvs实现,余下的其他功仍然由iptables完成
servcie资源定义:
[root@node1 ~]# vim svc.yml
apiVersion: v1
kind: Service
metadata:
name: myapp
namespace: prod
spec:
ports: #ports字段定义svc端口与后端哪个端口相关连
- name: http #ports字段名称
port: 80 #svc端口
targetPort: 80#目标后端端口
nodePort: 30080 #自定义nodePort端口
selector:#标签选择器
app: myapp
rel: stable
type: NodePort#NodePort可以定义一个端口给外部范围
#####直接访问svc地址就会调度至后端匹配的标签的pod中即便控制器增加或者减少,svc也会自动关联新增pod
[root@node1 chapter5]# kubectl get svc
NAME TYPE CLUSTER-IP EXTERNAL-IP PORT(S) AGE
kubernetes ClusterIP 10.96.0.1 443/TCP 2d5h
myweb NodePort 10.100.112.31 80:30593/TCP 2d1h
[root@node1 chapter5]# kubectl get svc -n prod
NAME TYPE CLUSTER-IP EXTERNAL-IP PORT(S) AGE
myapp ClusterIP 10.105.226.215 80/TCP 2m2s
[root@node1 chapter5]# curl 10.105.226.215
Hello MyApp | Version: v2 | Pod Name
[root@node1 chapter5]#
svc类型
clusterIP:为一个svc分配一个当前集群内的动态地址,客户端pod对象访问服务的Pod对象时不会进行源地址转换,且不会被外部地址访问,只能在集群内部被访问。
NodePort:对于某svc来说会在每个节点生成一个ipvs规则打开节点端口,映射至svc ip的端口上。
还可以手动创建endpoints资源将ip地址指向外部。将名称命名为svc相同时即可
kubectl edit cm kube-proxy -n kube-system
在线修改configmap文件,使其加载ipvs规则
kubectl delete pod -l k8s-app=kube-proxy,pod-template-generation=1 -n kube-system ##删除pod,让ipvs规则在kube-proxy生效
生效之后的pod会生成ipvs规则。
Ingress资源,7层代理|调度
标准的api对象,管理外部请求到内部流量。协议为http,仅用域定义流量转发和调度的通用格式的配置信息,它们需要转换为特定的具有http协议转发和调度功能的应用程序的配置文件,并由相应的应用程序生效,相应的配置后完成流量转发
kubectl apply -f https://raw.githubusercontent.com/kubernetes/ingress-nginx/master/deploy/static/mandatory.yaml 部署ingress
[root@node1 ingress]# vim ingress-svc.yml
apiVersion: v1
kind: Service
metadata:
name: ingress
namespace: ingress-nginx
spec:
selector:
app.kubernetes.io/name: ingress-nginx
app.kubernetes.io/part-of: ingress-nginx
ports:
- name: http
port: 80
- name: https
port: 443
type: NodePort
部署svc使其外部网络能够访问至ingress
创建后端pod,并为pod指定svc资源
[root@node1 ~]# vim myns-ingress.yaml
apiVersion: apps/v1
kind: Deployment
metadata:
name: myapp
namespace: myns
spec:
replicas: 2
selector:
matchLabels:
app: myapp
rel: beta
template:
metadata:
namespace: myns
labels:
app: myapp
rel: beta
spec:
containers:
- name: myapp
image: ikubernetes/myapp:v1
---
apiVersion: v1
kind: Service
metadata:
name: myapp
namespace: myns
spec:
selector:
app: myapp
rel: beta
ports:
- name: http
port: 80
targetPort: 80
创建ingress资源,为之前创建的ingress-nginx这个程序提供ingress配置。
apiVersion: extensions/v1beta1
kind: Ingress #资源类型
metadata: #元数据
name: myapp
namespace: myns
annotations: #此字段为资源注解,作为配置信息提供方
kubernetes.io/ingress.class: "nginx"
spec: #定义ingress内部资源
rules:
- host: www.node1.com #定义后端主机
- http: ##定义后端资源
paths:
- path: / #定义后端映射路径为/
backend: #后端资源
serviceName: myapp #此为svc资源名称
servicePort: 80 #此为svc端口
创建成功,会自动关联至myapp此svc,且会绑定后端资源
此时直接访问宿主机即可访问后端资源
使用https访问
openssl genrsa -out myapp.key 2048 ##生成私钥
openssl req -new -x509 -key myapp.key -out myapp.crt -subj /C=CN/ST=Beijing/L=Beijing/O=ops/CN=www.node.com -days 365 #自签名
[root@node1 ~]# kubectl create secret tls ilinux-cert -n myns --cert=myapp.crt --key=myapp.key
secret/ilinux-cert created #在集群中创建证书。
##配置成使用证书的ingress
apiVersion: extensions/v1beta1
kind: Ingress
metadata:
name: tls-ingress
namespace: myns
annotations:
kubernetes.io/ingress.class: "nginx"
spec:
tls: #引用证书
- hosts: #此主机需要为证书签名时指定的域名一致
- www.node.com
secretName: ilinux-cert #secre资源的名称。就是我们刚才创建的k8s资源
rules: #后端规则,需前一份资源系统
- host: www.node1.com
http:
paths:
- path: /
backend:
serviceName: myapp
servicePort: 80
#############################
[root@node1 ~]# kubectl get ingress -n myns
NAME HOSTS ADDRESS PORTS AGE
myapp www.node1.com 80 52m
tls-ingress www.node.com 80, 443 51s
创建完成
kubectl exec -it nginx-ingress-controller-568867bf56-lrm4f -n ingress-nginx -- /bin/sh##连接至pod内容器,配置文件会自动填充我们定义的ingress的配置