Service:将运行在一组 Pods 上的应用程序公开为网络服务(微服务)的抽象方法。
k8s 以 Pod 应用部署的最小单位。k8s 根据调度算法为 Pod 分配运行节点,并随机分配 ip 地址。因此 Pod 的 IP 地址不固定,不方便通过 Pod 的 IP 地址访问服务。因此,k8s 提供了 Service,对后端提供相同服务的一组 Pod 的聚合。
一个 Service 提供一个虚拟的 Cluster IP,后端对应一个或者多个提供服务的 Pod。在集群中访问该 Service 时,采用 Cluster IP 即可,Kube-proxy 负责将发送到 Cluster IP 的请求转发到后端的Pod上。
1、Service 定义
来看一个微服务的定义
apiVersion: v1 kind: Service metadata: name: myapp-svc spec: # service 发布类型 type: ClusterIP # 标签选择器:选择 pod selector: app: myapp # 指定端口数组 ports: # service 端口 - port: 443 # 协议 protocol: TCP # 容器端口 targetPort: 443 # 端口名称 name: https - port: 80 protocol: TCP targetPort: 80 name: http - port: 6379 protocol: TCP targetPort: 6379 name: redis-tcp
微服务暴露端口:443, 80, 6379,k8s 为其分配一个集群 ip: ClusterIP。通过标签选择器选择与其匹配的 Pod,然后将所有更新发布到也称为 myapp-svc 的 Endpoint 对象。
1.1、无选择符的服务
没有选择符的 service 需要手动配置 EndpointSlice(旧版 Endpoints),将服务映射到集群外部的服务或者是集群内其他命名空间下的服务。
例:定义没有选择符的 Service
apiVersion: v1 kind: Service metadata: name: notselector-svc spec: ports: - protocol: TCP port: 8080 targetPort: 80
服务没有选择算符,因此不会自动创建相应的 Endpoint 对象。 需要手动添加 Endpoint 对象,将服务手动映射到运行该服务的网络地址和端口:
apiVersion: v1 kind: Endpoints metadata: name: notselector-svc subsets: - addresses: - ip: 10.244.1.60 ports: - port: 80 - addresses: # 非集群节点的机器:集群外部服务 - ip: 192.168.88.131 ports: - port: 80
应用资源
kubectl apply -f notselector-svc.yaml kubectl describe -f notselector-svc.yaml kubectl apply -f notselector-points.yaml kubectl describe -f notselector-points.yaml
在集群节点访问外部服务
curl http://192.168.88.131:80/ping
1.2、Endpoints
Endpoints 定义了网络端点的列表,通常由 Service 引用,定义可以将流量发送到哪些 Pod。推荐用 EndpointSlice API 替换 Endpoints。
2、服务发布类型
type的四种类型
ClusterIP:默认值,通过集群内部 ip 暴露服务。该服务只能在集群内部访问。NodePort:通过每个节点上的 IP 和静态端口(NodePort)暴露服务。除了集群内部访问,集群外部可以通过IP:NodePort访问该服务。ExternalName:将服务映射到 DNS 名称,把集群外部的服务引入到集群内部来使用LoadBalancer:使用云提供商的负载均衡器向外部暴露服务。 将来自外部负载均衡器的流量路由到后端的 pod 上,不再需要内部的负载均衡。
2.1、ClusterIP
定义 clusterIP 类型的服务
apiVersion: v1 kind: Service metadata: name: myapp-svc spec: type: ClusterIP ports: - port: 443 protocol: TCP targetPort: 443 name: https - port: 80 protocol: TCP targetPort: 80 name: http - port: 6379 protocol: TCP targetPort: 6379 name: redis-tcp
应用 | 查看服务
kubectl apply -f myapp-svc.yaml kubectl get -f myapp-svc.yaml kubectl describe -f myapp-svc.yaml kubectl get endpoints
集群 ip 范围在 master 节点初始化配置文件 init.default.yaml 中
networking: # 域名 dnsDomain: cluster.local # 服务 ip serviceSubnet: 10.96.0.0/12 # pod ip podSubnet: 10.244.0.0/16
测试服务
集群内部创建 pod
# 创建一个 redis pod kubectl run redis --image=redis # 创建一个带有 curl 工具的 pod kubectl run curl --image=radial/busyboxplus:curl -it
测试:集群内部访问服务。
# 访问 curl 容器 kubectl exec -it curl -- sh # 访问集群 service ip curl http://10.109.36.83:80/ping # 访问集群服务域名 # 域名形式:服务名.命名空间.服务.dns域名(cluster.local) curl http://myapp-svc.default.svc.cluster.local:80/ping # 访问 redis 容器 kubectl exec -it redis -- bash # 通过集群IP访问 redis-cli -h <clusterIP> -p 6379 # 通过域名访问 redis-cli -h myapp-svc.default.svc.cluster.local -p 6379
2.2、NodePort
定义 service
apiVersion: v1 kind: Service metadata: name: myapp-svc spec: type: NodePort ports: - port: 443 protocol: TCP targetPort: 443 name: https nodePort: 30001 - port: 80 protocol: TCP targetPort: 80 name: http - port: 6379 protocol: TCP targetPort: 6379 name: redis-tcp nodePort: 30002 selector: app: myapp
查看 | 应用服务
kubectl delete svc myapp-svc kubectl apply -f myapp-svc.yaml kubectl get -f myapp-svc.yaml kubectl describe -f myapp-svc.yaml # 显示 svcPort: nodePort。不指定 nodePort,则随机生成 # 443:30001/TCP, 80:32326/TCP, 6379:30002/TCP
测试服务
- 通过
serviceIP:port可以集群节点,集群内部容器内访问服务。 - 通过 DNS 域名,可以在集群内部容器访问服务。
- 通过
nodeIP:nodePort可以在集群节点、集群内部容器、集群外部访问服务。
# serviceIP:port curl http://<clusterIP>:80/ping curl http://<podIP>:32326/ping # nodeIP:nodePort curl http://<nodeIP>:32326ping # DNS 域名 curl http://myapp-svc.default.svc.cluster.local:80/ping
2.3、ExternalName
将服务映射到 DNS 名称,相当于将集群内的服务域名映射到外部域名。使用 CNAME 重定向,无法实现端口映射。
定义服务
apiVersion: v1 kind: Service metadata: name: externalname-svc spec: type: ExternalName externalName:
应用服务
kubectl apply -f externalname-svc.yaml kubectl get svc # 显示:CLUSTER-IP 和 PORT(S) 均为 <none>
测试服务
# 进入集群 curl pod kubectl exec -it curl -- sh ping externalname-svc.default.svc.cluster.local ping www.baidu.com
2.4、loadbalancer
在使用支持外部负载均衡器的云提供商的服务时,云提供商的服务会自动的为 type 值为 LoadBalancer 的 service 创建负载均衡。负载均衡是异步创建的,关于被提供的负载均衡器的信息将会通过 service 的 status.loadBalancer 字段发布出去。
使用云厂商提供的外部负载均衡器,来自外部负载均衡器的流量将直接重定向到后端 Pod 上。不再需要内部负载均衡。
apiVersion: v1 kind: Service metadata: name: my-loadbalancer-svc spec: selector: app: myapp ports: - protocol: TCP port: 80 targetPort: 80 clusterIP: 10.0.171.239 type: LoadBalancer status: loadBalancer: ingress: - ip: 192.0.2.127
3、无头服务
对于无状态的应用,客户端并不在意其连接的是哪一个 Pod,采用 Service 是没有问题的。但是对于有状态的应用,有时需要客户端根据某种算法选择对应的某一个后端 Pod 提供服务,或是需要连接所有的后端 Pod,例如 redis 服务,这时不需要负载均衡和单独。此时,可以通过指定 clusterIP: None ,来创建无头服务Headless Service。
无头 Service 不会分配 ClusterIP,kube-proxy 不会处理它们, 不会进行负载均衡和路由。既不能通过集群 IP 访问,也不能通过 DNS 域名访问。其 DNS 记录返回该服务下的所有 Endpoint。
3.1、有选择符的服务
对于有选择符的无头服务,创建 EndpointSlice 对象,返回 DNS 记录是服务的所有 EndPoint。
例:定义有选择符的无头服务
apiVersion: v1 kind: Service metadata: name: myapp-headless-svc spec: clusterIP: None type: ClusterIP selector: app: myapp ports: - protocol: TCP name: http port: 8080 targetPort: 80
应用服务
kubectl apply -f myapp-headless-svc.yaml kubectl describe -f myapp-headless-svc.yaml
测试
# 进入 curl pod kubectl exec -it curl -- sh # 查询 DNS 记录 # serviceName.namespace # 列举出所有的端点 nslookup myapp-headless-svc.default.svc.cluster.local
3.2、无选择符的服务
不会创建 EndpointSlice 对象。 返回 DNS 记录是服务的所有 EndPoint。
例:定义无头无选择服务
apiVersion: v1 kind: Service metadata: name: notselector-headless-svc spec: clusterIP: None ports: - protocol: TCP port: 8080 targetPort: 80
应用资源
kubectl apply -f notselector-headless-svc.yaml kubectl describe svc notselector-headless-svc # 显示:Endpoints:<none>
手动创建 Endpoint 对象。
apiVersion: v1 kind: Endpoints metadata: name: notselector-headless-svc subsets: - addresses: - ip: 10.244.1.60 ports: - port: 80 - addresses: - ip: 192.168.88.131 ports: - port: 80
测试服务
# 应用资源 kubectl apply -f notselector-points.yaml kubectl describe -f notselector-headless-svc.yaml # 查看 dns 记录 kubectl exec -it curl -- sh nslookup notselector-headless-svc.default.svc.cluster.local
4、服务发现
4.1、环境变量
必须先创建 service,才能在创建 Pod 时设定环境变量。
当 Pod 运行在节点上,kubelet 会为每个活跃的 Service 添加一组环境变量。
{SVCNAME}_SERVICE_HOST{SVCNAME}_SERVICE_PORT
# 查看 pod 的环境变量 kubectl exec myapp-deploy-59f8994d89-7gjpd -- printenv | grep SERVICE
4.2、DNS
支持集群的 DNS 服务器监视 Kubernetes API 中的新服务,并为每个服务创建一组 DNS 记录。 如果在整个集群中都启用了 DNS,则所有 Pod 都应该能够通过其 DNS 名称自动解析服务。
# 进入 curl pod kubectl exec -it curl -- sh # 查询DNS serviceName.namespace nslookup myapp-svc.default
5、Service TLS
# 1、自签证书 openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout /tmp/tls.key -out /tmp/tls.crt -subj "/CN=myapp-svc.default.svc.cluster.local/O=my-hello" # 或 openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout /tmp/tls.key -out /tmp/tls.crt -subj "/CN=10.109.36.83/O=my-hello" # 2、创建 secret kubectl create secret tls myhellotls --cert=/tmp/tls.crt --key=/tmp/tls.key # 查看 secret kubectl get secrets myhellotls -o yaml # 部署应用程序,修改 myapp-deployment.yaml # spec.template.spec 创建 volumes: - name: myhello-tls-volume secret: secretName: myhellotls # spec.template.containers 创建 volumeMounts: - mountPath: /app/cert name: myhello-tls-volume # https 访问 curl https://10.109.36.83/ping --cacert /tmp/tls.crt # 结束测试,删除证书 rm /tmp/tls.*
