Kubernetes(k8s)-externalTrafficPolicy介绍和应用

原创 于 2025-04-14 19:55:55 发布 · 1.1k 阅读 · 6 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#kubernetes #java #容器 #运维 #云原生 #etcd #开发语言

作者介绍:简历上没有一个精通的运维工程师。请点击上方的蓝色《运维小路》关注我,下面的思维导图也是预计更新的内容和当前进度(不定时更新)。

图片

我们上一章介绍了Docker基本情况,目前在规模较大的容器集群基本都是Kubernetes,但是Kubernetes涉及的东西和概念确实是太多了,而且随着版本迭代功能在还增加,笔者有些功能也确实没用过,所以只能按照我自己的理解来讲解。

我们在svc的时候,svc有一种类型叫NodePort,它是会在每个node上都有对应的iptables规则去请求拦截,如果我们有20个,甚至200个节点的时候,我们应该去访问哪一个节点?或者当我们使用LoadBalance的时候,它必须要有后端RS,我们把这个200个节点都作为后端RS么,如果是这样管理就会比较复杂,好在Kubernetes给我们提供了一个字段叫做:externalTrafficPolicy,它不仅可以规定掉刚才问题,还可以规避掉经过NAT转换以后的源ip丢失的问题。

externalTrafficPolicy 是 Kubernetes 中 Service 资源的一个属性,它主要用于控制 Service 如何将流量路由到 Pod。这个属性对于类型为 LoadBalancer 和 NodePort 的服务特别重要,因为它影响客户端 IP 的保留以及流量的负载均衡方式。

externalTrafficPolicy 有两个可能的值:

  1. Cluster(默认)

    • 当 externalTrafficPolicy 设置为 Cluster 时,Kubernetes 的代理会从所有健康节点接收流量,并将其转发到后端 Pod。

    • 这意味着流量可能会被路由到任何节点上的任意一个合适的 Pod,不论该 Pod 是否在接收到请求的那个节点上运行。

    • 客户端的真实 IP 可能会在转发过程中丢失,因为流量通常通过内部 IP 在集群内传输。

  2. Local

    • 如果 externalTrafficPolicy 设置为 Local,那么只有运行了属于该服务的 Pod 的节点才会接收来自外部的流量。

    • 这种设置可以确保客户端的真实源 IP 传递给后端 Pod,因为流量直接到达承载 Pod 的节点。

    • 如果没有 Pod 在某个节点上运行,而流量指向了该节点,流量会被丢弃。这可能导致较低的资源利用率,但提供了更好的网络性能和保持客户端 IP 地址的能力。

apiVersion: v1
kind: Service
metadata:
  name: my-service
spec:
  type: NodePort  # 添加此行以更改服务类型为 NodePort,未添加则是ClusterIP
  selector:
    app: myapp
  ports:
    - protocol: TCP
      port: 80        # 服务的集群内部端口
      targetPort: 80  # Pod 上的应用程序端口
      nodePort: 30008 # 可选:指定 NodePort 的端口号,如果不指定则自动分配

这里我们还是复用我们前面的配置,虽然我们并没有在svc的yaml文件里面定义externalTrafficPolicy,但是查看这个svc的详细信息,是可以看到这个字段的,并且自动给我们添加了默认值Cluster。

[root@master01 svc]# kubectl  get svc my-service -o yaml
apiVersion: v1
kind: Service
metadata:
  creationTimestamp: "2025-01-15T15:30:12Z"
  name: my-service
  namespace: default
  resourceVersion: "801401"
  selfLink: /api/v1/namespaces/default/services/my-service
  uid: 0b347fa0-a571-41d6-9fd5-ce960114f4e8
spec:
  clusterIP: 10.111.230.179
  clusterIPs:
  - 10.111.230.179
  externalTrafficPolicy: Cluster #自动添加的字段
  internalTrafficPolicy: Cluster #也是自动添加的,但是今天不讲这个字段
  ipFamilies:
  - IPv4
  ipFamilyPolicy: SingleStack
  ports:
  - nodePort: 30008
    port: 80
    protocol: TCP
    targetPort: 80
  selector:
    app: myapp
  sessionAffinity: None
  type: NodePort
status:
  loadBalancer: {}

我们无论通过集群外访问还是集群内外访问,后端nginx获取的客户端ip地址都是CNI插件给我们分配的节点ip地址,如果我们的应用,需要客户端真实ip,使用这个配置则无法满足要求。

10.244.0.0 - - [15/Jan/2025:15:37:58 +0000] "GET / HTTP/1.1" 200 615 "-" "curl/7.29.0" "-"
10.244.0.0 - - [15/Jan/2025:15:38:07 +0000] "GET / HTTP/1.1" 200 615 "-" "curl/7.29.0" "-"
10.244.1.1 - - [15/Jan/2025:15:38:22 +0000] "GET / HTTP/1.1" 200 615 "-" "curl/7.29.0" "-"
10.244.1.1 - - [15/Jan/2025:15:38:23 +0000] "GET / HTTP/1.1" 200 615 "-" "curl/7.29.0" "-"

​​​​​​​

当我们把externalTrafficPolicy修改成Local,集群外访问已经可以获得客户端真实ip地址,集群内访问还是无法获取真实ip,不过这个需求一般很少,有兴趣可以下去研究下。

192.168.31.201 - - [15/Jan/2025:15:41:53 +0000] "GET / HTTP/1.1" 200 615 "-" "curl/7.29.0" "-"
10.244.0.0 - - [15/Jan/2025:15:42:04 +0000] "GET / HTTP/1.1" 200 615 "-" "curl/7.29.0" "-"
10.244.0.0 - - [15/Jan/2025:15:42:49 +0000] "GET / HTTP/1.1" 200 615 "-" "curl/7.29.0" "-"

​​​​​​

#Pod所在节点iptables规则,正常转发
-A KUBE-XLB-FXIYY6OHUSNBITIX -m comment --comment "default/my-service" 
-j KUBE-SEP-RPL3ZC3VS2WNO5G6
#Pod不在节点的iptables规则,会拒绝请求
-A KUBE-XLB-FXIYY6OHUSNBITIX -m comment --comment "default/my-service 
has no local endpoints" -j KUBE-MARK-DROP

​​​​​​​

简单点说,现在的NodePort只有Pod所在节点能使用NodeIP+NodePort访问,其他没有Pod则不能访问,这样就可以减少LB的后端。比如200个节点,某Pod跑了5个副本(在不同的node),那么这个LB的后端就只有这个5个机器,就不会出现后端200个的情况,当然LB还必须要具备自动更新RS后端能力,因为Pod漂移会导致这个后端变更。

运维小路

一个不会开发的运维!一个要学开发的运维!一个学不会开发的运维!欢迎大家骚扰的运维!

关注微信公众号《运维小路》获取更多内容。

K8S知识点记录
王大阳的博客
07-31 2282
在本地调试运行在 Pod 中的数据库 查看pod kubectl get pod kubectl port-forward 端口映射 kubectl port-forward dev-db-5959f58bd7-88zlm 5432:5432 --address=0.0.0.0 启动Django 本地环境 DJANGO_SETTINGS_MODULE=project_name.settings_local python3 ./manage.py runserver ........
6-4 kubernetes 简单示例-运行 Nginx Java 应用
qq_25874461的博客
04-08 895
Kubernetes 上部署简单的应用(Nginx + Java 应用
externaltrafficpolicy说明
qq_25281861的博客
04-09 6374
环境描述 生产环境通过gitlab-running实现自动化发布业务,现需要收集客户端的真实ip,需要将externaltrafficpolicy改为lacal模式(原来是cluster模式),前天开发反映无法发布业务(镜像拉取不成功)。想到就改动过externaltrafficpolicy所以考虑到了local模式cluster模式的区别。 externaltrafficpolicy作用阐述 把集群外部的服务引入到集群内部来,在集群内部直接使用。没有任何类型代理被创建,这只有 kubernetes
【华为云技术分享】K8s中的external-traffic-policy是什么?
热门推荐
华为云官方博客
04-21 1万+
【摘要】 external-traffic-policy,顾名思义“外部流量策略”,那这个配置有什么作用呢?以及external是指什么东西的外部呢,集群、节点、Pod?今天我们就来学习一下这个概念吧。 1什么是external-traffic-policy 在k8s的Service对象(申明一条访问通道)中,有一个“externalTrafficPolicy”字段可以设置。有2个...
k8sexternalTrafficPolicy应用场景实践
不积跬步,无以至千里;不积小流,无以成江海。
12-06 1675
KubernetesK8s)中,是一个用于控制服务的外部流量的策略。这个字段可以在Service的定义中设置,其主要作用是决定服务对外部请求的负载均衡行为。具体来说,Cluster: 默认值。当设置为Cluster时,服务将负载均衡流量到所有的 Pod,无论这些 Pod 是否在同一节点上。这意味着即使请求来自于同一节点的多个 Pod,流量也可能被负载均衡到不同的节点上。: 当设置为Local时,服务将尽可能地将流量负载均衡到与请求相同节点上的 Pod。
externalTrafficPolicy
阿白,
03-07 2339
获取实际客户端地址,可以在yaml中设置externalTrafficPolicy(nginx日志有关) 但是观察流量发现,这时候按节点来进行负载而不是pod,负载均衡效果不好,所以可以对pod中/etc/nginx/nginx.conf中使用$http_x_forwarded_for来获取实际客户端地址 附:pod是创建好了再调度,pod是逻辑概念,实际上是在调度后的节点上下载镜像创建容器 ...
Kubernetes——part4-3 基于Ingress Nginx实现灰度发布系统
渔阳的博客
01-05 1182
工作中,会经常对应用进行升级发版,在互联网公司尤为频繁,主要是为了满足业务的快速发展。经常用到的发布方式有滚动更新、蓝绿发布、灰度发布。
k8s--server学习
肆伍玖的博客
02-08 1457
大多数资料由老师提供。 目录 server概念 为什么要有service? service概述 service工作原理 service的四种实现类型 实验步骤 创建service:type类型为ClusterIP 创建service: type类型是NodePort server概念 为什么要有service? 在 kubernetes 中,Pod 是有生命周期的,如果 Pod 重启它的 IP 很有可能会发生变化。如果我们的服务都是将 Pod 的 IP 地址写死...
kubernetes》》k8s》》Deployment》》ClusterIP、LoadBalancer、Ingress 内部访问、外边访问
Kaizen的博客
03-31 690
Kubernetes 集群中的服务器(指单台)Kubernetes 管理的一组服务器的集合为局域网Internet路由数据包的路由器,执行防火墙保护局域网络遵循Kubernetes网络模型实现集群内的通信的具体实现,比如FlannelCalicoKubernetes的服务是使用标签选择器标识的一组Pod Servicce(Deployment)。除非另有说明,否则服务的虚拟IP仅可以子集群内部访问。
kubernetes v1.18的ingress-nginx 0.30.0分支最新版本部署
码农崛起
02-19 2681
1、ingress介绍 K8s集群对外暴露服务的方式目前只有三种:Loadblancer;Nodeport;ingress 前两种熟悉起来比较快,而且使用起来也比较方便,在此就不进行介绍了。 下面详细讲解下ingress这个服务,ingress由两部分组成: ingress controller:将新加入的Ingress转化成Nginx的配置文件并使之生效 ingress服务:将Nginx的配置抽象成一个Ingress对象,每添加一个新的服务只需写一个新的Ingress的yaml文件即可 其中ing
K8s中的external-traffic-policy是什么?
LoveSummer
12-29 6006
【摘要】 external-traffic-policy,顾名思义“外部流量策略”,那这个配置有什么作用呢?以及external是指什么东西的外部呢,集群、节点、Pod?今天我们就来学习一下这个概念吧。 1 什么是external-traffic-policy 在k8s的Service对象(申明一条访问通道)中,有一个“externalTrafficPolicy”字段可以设置。有2个值可以设置:Cluster或者Local。 1)Cluster表示:流量可以转发到其他节点上的Pod。 2)Local.
externalTrafficPolicy 再探
wzj_110的博客
12-01 1645
externalTrafficPolicy 属性。Local值Cluster值的。k8s ipvs模式。
K8S中,nodePort的externalTrafficPolicy字段有什么作用?
努力变的更强
12-26 988
kubernetes中,字段是Service对象的一个属性,它主要应用于NodePort类型的服务,用于控制外部流量进入集群后如何路由到后端的Pods。Cluster(默认值)Local。
从service的externalTrafficPolicy到podAntiAffinity
weixin_34293059的博客
08-16 767
externalTrafficPolicy 简介 如果服务需要将外部流量路由到 本地节点或者集群级别的端点,即service type 为LoadBalancer或NodePort,那么需要指明该参数。存在两种选项:”Cluster”(默认) “Local”。 “Cluster” 隐藏源 IP 地址,可能会导致第二跳(second ho...
k8s与aws--如何在cloud-provider=aws的k8s中设置externalTrafficPolicy为local
weixin_34128411的博客
01-07 1852
如何在启用cloud-provider=aws的k8s集群中设置service 的externalTrafficPolicy为local 关于externalTrafficPolicy的localcluster两个值,在之前的文章中,我们已经讲过。大家可以参考从service的externalTrafficPolicy到podAntiA...
适合ingress-nginx接入外部负载均衡的部署
yanggd1987的专栏
07-27 3732
写本文的初衷并非只是讲解下ingress-nginx如何使用,而是对如何接入生产环境发现的一些问题进行总结。 部署 先决条件通用部署命令 # yaml文件 wget https://raw.githubusercontent.com/kubernetes/ingress-nginx/nginx-0.30.0/deploy/static/mandatory.yaml # 部署 kubectl apply -f mandatory.yaml # 查看pod # kubectl get pod -n in
更新应用时,如何实现 K8s 零中断滚动更新?
王仁一的博客
01-28 1551
Kubernetes集群中,业务通常采用Deployment + LoadBalancer类型Service的方式对外提供服务,其典型部署架构如图1所示。这种架构部署运维都十分简单方便,但是在应用更新或者升级时可能会存在服务中断,引发线上问题。今天我们来详细分析下这种架构为何在更新应用时会发生服务中断以及如何避免服务中断。 图1 业务部署图 为何会发生服务中断 Deployment滚动更新时会先创建新pod,等待新pod running后再删除旧pod。...
k8s 集群 Ingress Nginx传递用户真实IP问题
LoveSummer
12-29 8097
业务应用经常有需要用到用户真实ip的场景,比如:异地登录的风险预警、访问用户分布统计等功能等。当有这种需求的时候,在业务上容器过程中,如果用到ingress就要注意配置了。通常,用户ip的传递依靠的是X-Forwarded-*参数。但是默认情况下,ingress是没有开启的。 Ingress 文档 https://kubernetes.github.io/ingress-nginx/user-guide/nginx-configuration 还比较详细 修改 Config Map(ingress-ngin
在Amazon EKS中获取客户端真实源IP的不同方式
亚马逊云科技专栏
10-14 1451
背景介绍客户的一些业务场景需要明确服务的请求来源,需要准确获取记录请求客户端的真实源IP。例如:安全团队需要对请求的来源进行审计及安全事件的处理,数据团队需要通过源IP做数据分析等。结合...
443446是同样的证书,修改成这样可行吗: apiVersion: v1 kind: Service metadata: name: vms-core-server-cloud-access-pa-fw-v1 namespace: dev3-vms annotations: service.beta.kubernetes.io/aws-load-balancer-additional-resource-tags: “Category=dev,Product=vms,ServiceType=biz” service.beta.kubernetes.io/aws-load-balancer-backend-protocol: tcp service.beta.kubernetes.io/aws-load-balancer-ssl-cert: arn:aws:acm:ap-southeast-1:242777933053:certificate/74ff9ed2-8bcc-492d-b845-15308bace4e8 service.beta.kubernetes.io/aws-load-balancer-ssl-negotiation-policy: “ELBSecurityPolicy-TLS13-1-2-Res-2021-06” service.beta.kubernetes.io/aws-load-balancer-ssl-ports: “443” service.beta.kubernetes.io/aws-load-balancer-type: “external” service.beta.kubernetes.io/aws-load-balancer-nlb-target-type: “ip” service.beta.kubernetes.io/aws-load-balancer-scheme: “internet-facing” labels: app.kubernetes.io/name: vms-core-server region: ap-southeast-1 spec: loadBalancerClass: service.k8s.aws/nlb selector: app.kubernetes.io/name: vms-core-server region: ap-southeast-1 ports: - port: 443 protocol: TCP name: cloud-access-443 targetPort: cloud-access - port: 446 protocol: TCP name: cloud-access-446 targetPort: cloud-access-short type: LoadBalancer externalTrafficPolicy: Cluster apiVersion: v1 kind: Service metadata: name: vms-core-server-cloud-access-pa-fw-v2 namespace: dev3-vms annotations: service.beta.kubernetes.io/aws-load-balancer-additional-resource-tags: “Category=dev,Product=vms,ServiceType=biz” service.beta.kubernetes.io/aws-load-balancer-backend-protocol: tcp service.beta.kubernetes.io/aws-load-balancer-ssl-cert: arn:aws:acm:ap-southeast-1:242777933053:certificate/e667c161-e7b0-4faa-a21e-23df5cb5f2d4 service.beta.kubernetes.io/aws-load-balancer-ssl-negotiation-policy: “ELBSecurityPolicy-TLS13-1-2-Res-2021-06” service.beta.kubernetes.io/aws-load-balancer-ssl-ports: “443” service.beta.kubernetes.io/aws-load-balancer-type: “external” service.beta.kubernetes.io/aws-load-balancer-nlb-target-type: “ip” service.beta.kubernetes.io/aws-load-balancer-scheme: “internet-facing” labels: app.kubernetes.io/name: vms-core-server region: ap-southeast-1 spec: loadBalancerClass: service.k8s.aws/nlb selector: app.kubernetes.io/name: vms-core-server region: ap-southeast-1 ports: - port: 443 protocol: TCP name: cloud-access-443 targetPort: cloud-access - port: 446 protocol: TCP name: cloud-access-446 targetPort: cloud-access-short type: LoadBalancer externalTrafficPolicy: Cluster
最新发布
10-18
<think>我们有两个Service:v1v2。现在要在每个Service上添加446端口,并且使用相同的证书(因为443446使用同样的证书)。 修改点: 1. 在metadata.annotations中,修改`service.beta.kubernetes.io/aws-load-balancer-ssl-ports`注解,将原来的"443"改为"443,446",以指示NLB在443446端口上启用SSL。 2. 在spec.ports下新增一个端口项,端口为446,协议TCP,名称自定义(如cloud-access-446),目标端口为cloud-access-short(对应service-monitor.yaml中的8084端口)。 但是,注意:当前配置中,两个Service的ssl-cert注解都只指定了一个证书ARN。由于两个端口使用相同的证书,这是可行的,因为同一个证书可以同时绑定到多个端口。 因此,您提供的修改配置中,缺少了对注解`service.beta.kubernetes.io/aws-load-balancer-ssl-ports`的更新(仍然为"443"),需要修改为"443,446"。 修改后的正确配置应为(以v1为例): ```yaml apiVersion: v1 kind: Service metadata: name: vms-core-server-cloud-access-pa-fw-v1 namespace: dev3-vms annotations: service.beta.kubernetes.io/aws-load-balancer-additional-resource-tags: “Category=dev,Product=vms,ServiceType=biz” service.beta.kubernetes.io/aws-load-balancer-backend-protocol: tcp service.beta.kubernetes.io/aws-load-balancer-ssl-cert: arn:aws:acm:ap-southeast-1:242777933053:certificate/74ff9ed2-8bcc-492d-b845-15308bace4e8 # 同一个证书 service.beta.kubernetes.io/aws-load-balancer-ssl-negotiation-policy: “ELBSecurityPolicy-TLS13-1-2-Res-2021-06” service.beta.kubernetes.io/aws-load-balancer-ssl-ports: “443,446” # 修改这里!!!将443改为443,446 service.beta.kubernetes.io/aws-load-balancer-type: “external” service.beta.kubernetes.io/aws-load-balancer-nlb-target-type: “ip” service.beta.kubernetes.io/aws-load-balancer-scheme: “internet-facing” labels: app.kubernetes.io/name: vms-core-server region: ap-southeast-1 spec: loadBalancerClass: service.k8s.aws/nlb selector: app.kubernetes.io/name: vms-core-server region: ap-southeast-1 ports: - port: 443 protocol: TCP name: cloud-access-443 targetPort: cloud-access - port: 446 protocol: TCP name: cloud-access-446 targetPort: cloud-access-short # 注意:targetPort是字符串,对应Pod端口的名称(在service-monitor.yaml中cloud-access-short对应8084) type: LoadBalancer externalTrafficPolicy: Cluster ``` 同样,对v2的Service也做相同的修改(添加端口446更新ssl-ports注解)。 因此,您提供的配置中,仅缺少更新注解`service.beta.kubernetes.io/aws-load-balancer-ssl-ports`的值。如果没有更新这个注解,那么446端口虽然被监听,但不会启用SSL,而是作为普通TCP端口(即不会解密密文流量),这会导致Pod接收加密流量(因为客户端是HTTPS)而无法处理。 所以,请务必更新该注解为`"443,446"`。 总结:您的修改配置中,除了注解`service.beta.kubernetes.io/aws-load-balancer-ssl-ports`的值未更新(仍为"443"),其他部分正确。更新该注解后,配置可行。 </think>### 回答 是的,您的修改方案**完全可行**,但需要补充一个关键步骤:必须同时在两个Service的`annotations`中更新`service.beta.kubernetes.io/aws-load-balancer-ssl-ports`注解,将其从`"443"`改为`"443,446"`。以下是完整分析验证: #### 修改后的配置分析(以v1为例): ```yaml apiVersion: v1 kind: Service metadata: annotations: # 关键修改点:必须更新此行 ↓ service.beta.kubernetes.io/aws-load-balancer-ssl-ports: "443,446" # 原值为"443",需改为逗号分隔 service.beta.kubernetes.io/aws-load-balancer-ssl-cert: arn:aws:acm:... # 证书ARN保持不变(443446共享同一证书) # 其他注解保持不变... spec: ports: - port: 443 targetPort: cloud-access # 映射到8083端口 - port: 446 # 新增端口 name: cloud-access-446 targetPort: cloud-access-short # 映射到8084端口! # 其他配置保持不变... ``` #### 关键验证点: 1. **SSL端口注解更新**(必须修改): - 原配置中`service.beta.kubernetes.io/aws-load-balancer-ssl-ports: "443"` **必须改为`"443,446"`**,否则AWS NLB不会为446端口启用HTTPS卸载。 - 未修改时,446端口将被视为普通TCP端口(未加密)。 2. **证书兼容性**: - 同一证书ARN可复用,AWS NLB会自动将证书绑定到`443``446`两个监听器。 3. **端口映射正确性**: - `targetPort: cloud-access-short` 正确引用`service-monitor.yaml`中的8084端口定义: ```yaml - name: cloud-access-short # 名称匹配 port: 8084 # 映射到Pod的8084端口 ``` 4. **双Service配置**: - `v1``v2` Service需同时修改,确保流量负载均衡。 #### 最终可行的配置修改: 仅需在**两个Service的`metadata.annotations`中**增加一行修改: ```diff service.beta.kubernetes.io/aws-load-balancer-ssl-ports: "443,446" ``` 其他部分完全符合您的YAML描述。应用后,AWS NLB将: - 在443端口接收HTTPS流量 → 转发到Pod的8083端口 - 在446端口接收HTTPS流量 → 转发到Pod的8084端口 > **风险提示**:修改后需监控现有443端口流量是否受影响,建议在低峰期操作。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值