Kubernetes---Service(SVC)服务

⒈介绍

　　kubernetes 经过标签选择的方式来匹配一组pod，而后提供对外访问的一种机制

　　一组pod能够对应到多个svc的

　　每个service(svc)均可以理解为一个微服务

　　Service有且只有一个算法 RB 轮询，

　　Service可以提供负载均衡的能力，可是在使用上有如下限制：

　　　　·只提供4层负载均衡能力【只能基于ip地址和端口进行转发】，而没有7层功能【不能经过主机名及域名的方案去进行负载均衡】，但有时咱们可能须要更多的匹配规则来转发请求，这点上4层负载均衡是不支持的

 

⒉Service的类型

 

Service在K8s中有如下四种类型

　　·Clusterlp：默认类型，自动分配一个仅Cluster内部能够访问的虚拟IP【service建立一个仅集群内部可访问的ip，集群内部其余的pod能够经过该服务访问到其监控下的pod】

　　·NodePort：在ClusterlP基础上为Service在每台机器上绑定一个端口，这样就能够经过：NodePort来访问该服务【在service及各个node节点上开启端口，外部的应用程序或客户端访问node的端口将会转发到service的端口，而service将会依据负载均衡随机将请求转发到某一个pod的端口上。通常暴露服务经常使用的类型】

　　·LoadBalancer：在NodePort的基础上，借助 cloud provider 建立一个外部负载均衡器，并将请求转发到：NodePort【在NodePort基础之上，即各个节点前加入了负载均衡器实现了真正的高可用，通常云供应商提供的k8s集群就是这种】

　　·ExternalName:把集群外部的服务引入到集群内部来，在集群内部直接使用。没有任何类型代理被建立，这只有kubernetes 1.7或更高版本的kube-dns 才支持【当咱们的集群服务须要访问k8s以外的集群时，能够选择这种类型，而后把外部服务的IP及端口写入到k8s服务中来，k8s的代理将会帮助咱们访问到外部的集群服务】

 

　　1.ClusterIP

　　clusterIP主要在每一个node节点使用iptables【新版本模式是ipvs代理模式所以此处为ipvs，代理模式不一样所使用的底层方案也是不一致的】，将发向clusterlP对应端口的数据，转发到kube-proxy中。而后kube-proxy本身内部实现有负载均衡的方法，并能够查询到这个service下对应pod的地址和端口，进而把数据转发给对应的pod的地址和端口

　　

 

　　为了实现图上的功能，主要须要如下几个组件的协同工做：

　　　　·apiserver 用户经过kubectl命令向apiserver发送建立service的命令，apiserver接收到请求后将数据存储到etcd中

　　　　·kube-proxy kubernetes的每一个节点中都有一个叫作kube-porxy的进程，这个进程负责感知service，pod的变化，并将变化的信息写入本地的iptables规则中

　　　　·iptables 使用NAT等技术将virtuallP的流量转至endpoint中

　 　资源清单示例：

　　　　㈠建立一个Deployment　　

apiVersion: apps/v1 
kind: Deployment 
metadata:
  name: myapp-deploy 
  namespace: default 
spec:
  replicas: 3 
  selector:
    matchLabels:
      app: myapp 
      release: stabel 
  template:
    metadata:
      1abels:
        app: myapp 
        release: stabel 
        env: test 
    spec:
      containers:
      - name: myapp
        image: fanqisoft/myapp:v2
        imagePullPolicy: IfNotPresent
        ports:
        - name: http
          containerPort: 80　　　　

 

 

apiVersion: v1 
kind: Service 
metadata:
  name: myapp 
  namespace: default 
spec:
  type: ClusterIP 
  selector:
    app: myapp 
    release: stabel 
  ports:
  - name: http 
    port: 80 
    targetPort: 80

 　　

　　 Headless Service【无头服务，无头服务也是一种Cluster IP,只不过是一种特殊的Cluster IP】

　　有时不须要或不想要负载均衡，以及单独的Service IP。遇到这种状况，能够经过指定 ClusterIP(spec.clusterIP)的值为“None”来建立 Headless Service。这类Service 并不会分配 Cluster IP,kube-proxy 不会处理它们，并且平台也不会为它们进行负载均衡和路由

　　主要的特色是经过无头服务的方式去解决hostname和portname的变化问题，也就是经过它去进行绑定

apiVersion: v1 
kind: Service 
metadata:
  name: myapp-headless 
  namespace: default 
spec:
  selector:
    app: myapp 
  clusterIP: "None"
  ports:
  - port: 80 
    targetPort: 80　

 对于svc，一旦建立成功之后，它会写入到coreDNS中去，咱们的svc的建立会有一个主机名会被写入到coreDNS，写入的格式体就是 svc的名称+命名空间的名称+当前集群的域名

 yum -y install bind-utils

 dig -t A myapp-headless.default.svc.cluster.local. @10.96.0.10

 意味着在无头服务中，虽然它没有ip了，但能够经过访问域名的方案依然能够访问服务下的pod

 

　　2.NodePort

　　nodePort的原理在于在node上开了一个端口，将向该端口的流量导入到kube-proxy，而后由 kube-proxy进一步到给对应的pod

apiVersion: v1 
kind: Service 
metadata:
  name: myapp 
  namespace: default 
spec:
  type: NodePort 
  selector:
    app: myapp 
    release: stabel 
  ports:
  - name: http 
    port: 80 
    targetPort: 80

#查询流程 
iptables -t nat -nvL 
    KUBE-NODEPORTS　　

　　3.LoadBalancer

　　loadBalancer和nodePort 实际上是同一种方式。区别在于 loadBalancer 比nodePort多了一步，就是能够调用cloud provider【云供应商】 去建立LB【负载均衡】来向节点导流

　　4.ExternalName

　　这种类型的 Service 经过返回 CNAME和它的值，能够将服务映射到externalName字段的内容（例如：hub.coreqi.cn)。ExternalName Service 是Service的特例，它没有 selector，也没有定义任何的端口和Endpoint。相反的，对于运行在集群外部的服务，它经过返回该外部服务的别名这种方式来提供服务

apiVersion: v1
kind: Service
metadata:
  name: my-service
  namespace: default
spec:
  type: ExternalName
  externalName: hub.coreqi.cn

　　当查询主机 my-service.defalut.svc.cluster.local（SVC_NAME.NAMESPACE.svc.cluster.local)时，集群的DNS 服务将返回一个值my.database.example.com的CNAME记录。访问这个服务的工做方式和其余的相同，惟一不一样的是重定向发生在DNS层，并且不会进行代理或转发。

 

⒊实现原理

apiServer: 监听服务和端点经过kube-proxy去监控

kube-proxy:经过选择标签去监控对应的pod并写入到iptable规则里面去

客户端访问服务时经过iptables中的规则被定向到pod的地址信息

客户端访问pod是经过iptables去实现的v

iptables规则是经过kube-proxy去写入的

apiserver经过监控kube-proxy去实现服务端点信息的发现

 

⒌k8s代理模式的分类

　　在Kubernetes集群中，每一个Node 运行一个kube-proxy 进程。kube-proxy负责为service 实现了一种VIP（虚拟IP）的形式【能够在集群内部直接访问】，而不是ExternalName【返回集群外部的地址信息】 的形式。在Kubernetes v1.0版本，代理彻底由userspace实现。在Kubernetesv1.1版本，新增了iptables代理，但并非默认的运行模式。从Kubernetesv1.2起，默认就是iptables 代理。在Kubernetes v1.8.0-beta.0中，添加了ipvs代理

　　在Kubernetes 1.14版本开始默认使用ipvs代理

　　在Kubernetes v1.0版本，service是“4层”（TCP/UDP over IP)概念。在Kubernetes v1.1版本，新增了IngressAPI(beta版)，用来表示“7层”（HTTP）服务！能够进行7层的负载均衡。正是由于有了Ingress的API接口，咱们才有了7层调度的功能。

 

　　 为什么不使用 round-robin DNS?

　　k8s不论是历史仍是如今都没有使用过DNS，不采用DNS负载均衡集群，最大最有意义的一点就是DNS会在不少的客户端里进行缓存，很对服务访问DNS进行域名解析的时候解析完成之后获得地址之后不少的服务都不会对DNS的缓存进行清除，也就意味着只要缓存存在服务在下次访问的时候仍是这个地址信息，所以也就达不到咱们负载均衡的要求了，所以DNS通常仅仅做为负载均衡的一种辅助手段

 

　　1.userspace代理模式　　

　　客户端首先访问iptables经过iptables访问到kube-proxy而后访问到具体的pod上

　　也就是说每次访问的时候都须要Kube-proxy进行一次代理

　　也就是说kube-proxy压力是很是大的

　　同时kube-apiserver也会监控kube-proxy服务更新及端点的维护

　　2.iptables代理模式

　　舍弃掉了kube-proxy，全部访问直接经过iptables而不须要kube-proxy去调度

　　这样的话访问速度就会大大增长以及kube-proxy稳定性会提升压力将会减小不少

　　固然使用iptables(防火墙)性能并不会怎么高，但除此以外几乎没有什么缺点。

　　kube-apiserver依然经过监控kube-proxy去实现iptables的端口的更新维护

　　3.ipvs代理模式

　　将iptables代理模式中iptables变动为ipvs,原来是把全部的调度规则经过iptables

　　进行所谓的服务转发定向的变成了经过ipvs模块去实现负载均衡以及流量导向，而且和

　　iptables代理模式相同，全部的访问也是不通过kube-proxy的

　　若是没有提早安装ipvs模块以及一些基本需求没有完成，那些k8s将会使用iptables的代理模式

    ipvs这种模式，kube-proxy会监视Kubernetes service 对象和Endpoints，调用netlink 接口以相应地建立ipvs 规则并按期与Kubernetes service对象和Endpoints 对象同步ipvs规则，以确保ipvs状态与指望一致。访问服务时，流量将被重定向到其中一个后端 Pod

    与iptables相似，ipvs于netfilter的hook功能，但使用哈希表做为底层数据结构并在内核空间中工做。这意味着ipvs能够更快地重定向流量，而且在同步代理规则时具备更好的性能。此外，ipvs为负载均衡算法提供了更多选项，例如：

    ·rr：轮询调度

    ·1c：最小链接数

    ·dh：目标哈希

    ·sh：源哈希

    ·sed:最短时间望延迟

    ·nq：不排队调度

    注意： ipvs模式假定在运行kube-proxy以前在节点上都已经安装了IPVS内核模块。当kube-proxy以ipvs代理模式启动时，kube-proxy将验证节点上是否安装了IPVS模块，若是未安装，则kube-proxy将回退到iptables代理模式

#查看ipvs代理规则
ipvsadm -Ln