Kubernetes:Pod 端口映射

containerPort

这个字段用于规范化声明容器对外暴露的端口，但这个端口并不是容器映射到主机的端口，它是一个声明式的字段，属于容器端口规范。

在很多情况下，我们不需要设置此 containerPort 也可以直接访问 Pod。

读者可以把上一章中创建的 deployment 删除，然后重新创建。

kubectl create deployment nginx --image=nginx:latest

然后获取 Pod 的 IP：

root@master:~# kubectl get pods -o wide
NAME                     READY   STATUS    RESTARTS   AGE     IP          NODE     NOMINATED NODE   READINESS GATES
nginx-55649fd747-zndzx   1/1     Running   0          7m57s   10.32.0.2   slave1   <none>           <none>

然后访问 10.32.0.2 ，会发现正常打开。

加不加端口映射都可以访问 80 ，它是一个容器端口规范，跟 Dockerfile 的 port 一样，不具有强制开放的功能，在创建 Service 时有用处。

[Error] 提示

如果你没有配置过 CNI 网络插件，则创建的 Pod IP，只能在所在的节点中访问，要跨节点访问，请按照 2.2 的初始化网络，或 2.3 中的 Calico 一节，安装好网络插件。

另外，如果 Calico 配置错误，会导致一直无法创建 Pod。

我们在创建 Pod 时，如果指定了 --port ，那么这个端口便会生成 containerPort ，可以使用下面的命令查看创建的 Deployment YAML 的定义：

kubectl create deployment nginx  --image=nginx:latest --port=80 --dry-run=client -o yaml

containers:
      - image: nginx:latest
        name: nginx
        ports:
        - containerPort: 80
        resources: {}

网络端口映射

对于 docker，我们要映射端口时，可以使用 docker ... -p 6666:80，那么对于 直接创建或使用 Deployment 等方式部署的 Pod，都有一个 Pod IP 可以在集群中的所有节点中访问，但是这个 IP 是虚拟 IP，不能在集群外中访问，即使都是内网机器，没有加入 Kubernetes 集群，一样不能访问。如果我们要把端口暴露出去，供外网访问，则可以使用 Service。

关于 Service 的知识，在第四章中会详细讲解，这里仅说明如何创建 Service，以及 containerPort 的作用。

在上一小节中，我们创建的 Pod 没有声明过 containerPort，因此我们创建 Service 的时候，需要指定映射的端口。

查看上一节创建的 Deployment、Pod：

kubectl get deployments
kubectl get pods

NAME    READY   UP-TO-DATE   AVAILABLE   AGE
nginx   1/1     1            1           5m44s
NAME                     READY   STATUS    RESTARTS   AGE
nginx-55649fd747-9vfrx   1/1     Running   0          5m44s

通过 kubectl expose 可以快速创建 Service，并为 Deployment 部署的多个 Pod 暴露一个相同的端口。

由于 Pod 中的 nginx 访问端口是 80，我们想在外网中访问时使用 6666 端口，则命令如下;

kubectl expose deployment nginx --port=6666 --target-port=80
# 指定源端口为 80，要映射到 6666 端口

kubectl expose deployment nginx --port=80
# 如果没有指定源端口，则表示其端口也是 80

如果对象直接是 Pod 或者 DaemonSet 等对象，则 kubectl expose {对象} ...，会自动为此对象中的 Pod 创建端口映射。

查看 Service：

kubectl get services

NAME         TYPE        CLUSTER-IP      EXTERNAL-IP   PORT(S)    AGE
kubernetes   ClusterIP   10.96.0.1       <none>        443/TCP    13d
nginx        ClusterIP   10.105.13.163   <none>        6666/TCP   6s

由于我们只是简单地创建 Service，并没有指定 Service 的公开程度，可以看到 TYPE 中，其类型为 ClusterIP，表示只能在 Pod 所在的节点上通过此 IP 和端口访问 Pod(如果安装了 CNI 网络插件，则任意节点皆可访问)。

可以使用 10.105.13.163 和 6666 端口访问 Pod 中的 Nginx 服务。

这里介绍了如何创建 Service，暴露端口，而在后面的章节中，会详细介绍 Service。

[Info] 提示

如果已经指定过 containerPort，可以使用 kubectl expose deployment nginx 快速映射 containerPort 中指定的端口。

本地端口

每个 Pod 都有自己的唯一 IP 地址，Pod 所在的服务器上，通过 IP 地址可以直接访问 Pod。

除了 Service，我们还可以使用 port-forward 在服务器上直接映射本地端口到 Pod。

root@instance-2:~# kubectl port-forward nginx-55649fd747-s4824 666:80
Forwarding from 127.0.0.1:666 -> 80
Forwarding from [::1]:666 -> 80

此方式具有很大限制，首先如果 Pod 在 instance-2 节点中，那么此命令在 instance-2 节点上运行才能生效，在其它节点上运行无效。

此方式只能映射本地端口，如 127.0.0.1，不能通过外网访问。

原本只能通过 具体的 Pod IP 才能访问 Pod，现在在服务器上通过 127.0.0.1 也可以直接访问服务。