k8s service如何实现流量转发

最新推荐文章于 2025-06-10 10:38:14 发布
原创 最新推荐文章于 2025-06-10 10:38:14 发布 · 置顶 · 1.9k 阅读 · 21 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#kubernetes #容器 #云原生

1 基本概念

Service:在Kubernetes(K8s)中,Service用于将流量转发到后端的Pod中。Service提供了一种稳定的网络入口,尽管后端的Pod可能会动态改变

kube-proxy: kube-proxy是Kubernetes集群中的核心组件之一,它运行在每个节点上,负责实现Service的流量负载均衡。kube-proxy有两种转发模式:iptables、ipvs

2 转发模式对比

iptablesipvs
原理工作在 Linux 内核的netfilter框架上,使用链和规则的机制来匹配和处理网络流量。它通过顺序规则匹配实现流量转发,适用于小规模集群,但随着规则数量增加,性能会下降基于内核的 LVS 框架,通过哈希表快速查找和转发流量,支持丰富的负载均衡算法,适合大规模集群和高流量应用场景
性能如果规模较大,会导致规则较多,遍历规则较慢,从而影响性能IPVS 使用哈希表来存储和查找规则,而不是像 IPtables 那样线性匹配,因此即使有大量规则,其查找速度也非常快
调度规则随机算法,仅支持轮询提供多种策略(轮询、最少连接、源地址哈希等)

如何选择?
小规模集群或对负载均衡要求不高的集群可以选择 IPtables,不需要特殊内核模块,所有Linux发行版都支持;而对于需要高性能、复杂负载均衡策略和大规模集群的环境,IPVS 是更为理想的选择

3 实现原理详解

下面以一个简单的案例深入说明:
目前k8s上创建一个service指向后端 3副本的 deployment,具体是如何实现流量转发到pod的。

假设以下信息:
Service 名称: app1
Service ClusterIP: 10.96.0.10
Service Port: 80
后端 Pod IPs:
Pod 1: 10.0.0.2 (Pod1)
Pod 2: 10.0.0.3 (Pod2)
Pod 3: 10.0.0.4 (Pod3)
Pod 容器端口: 8080(假设每个 Pod 的应用都监听端口 8080)

3.1 iptables

当 kube-proxy 发现服务 app1 和它的后端 Pod 时,它会动态生成以下的 iptables 规则:

1、捕获流量并跳转到服务链

在 NAT 表中的 PREROUTING 链和 OUTPUT 链(用于本节点流量),创建规则来匹配目标 IP 为 app1 服务的流量,并引导到一个服务链,如 KUBE-SVC-XXXXXX。

# PREROUTING 链捕获目标为 app1 的流量,并跳转到服务链
iptables -t nat -A PREROUTING -d 10.96.0.10/32 -p tcp --dport 80 -j KUBE-SVC-XXXXXX

# OUTPUT 链处理集群内发往 app1 服务的流量
iptables -t nat -A OUTPUT -d 10.96.0.10/32 -p tcp --dport 80 -j KUBE-SVC-XXXXXX

2、服务链处理负载均衡

KUBE-SVC-XXXXXX 是一个虚拟服务链,它对应 app1 的 ClusterIP 和端口。在这个链中,kube-proxy 创建规则来随机分发流量到 3 个后端 Pod。

# 随机选择一个 Pod,负载均衡到后端 Pod1
iptables -t nat -A KUBE-SVC-XXXXXX -m statistic --mode random --probability 0.33 -j KUBE-SEP-YYYYYY

# 如果未命中第一个规则,随机选择 Pod2
iptables -t nat -A KUBE-SVC-XXXXXX -m statistic --mode random --probability 0.5 -j KUBE-SEP-ZZZZZZ

# 如果前两个规则都未命中,则选择 Pod3
iptables -t nat -A KUBE-SVC-XXXXXX -j KUBE-SEP-WWWWWW

3、后端 Pod 规则链(DNAT 转换)

对于每个后端 Pod,kube-proxy 都会为其创建一个 KUBE-SEP-* 链(Service Endpoint 链),这些链中的规则负责将目标地址转换为对应 Pod 的 IP 和端口。

# Pod1 规则链(对应 IP 10.0.0.2 和端口 8080)
iptables -t nat -A KUBE-SEP-YYYYYY -p tcp -m tcp --dport 80 -j DNAT --to-destination 10.0.0.2:8080

# Pod2 规则链(对应 IP 10.0.0.3 和端口 8080)
iptables -t nat -A KUBE-SEP-ZZZZZZ -p tcp -m tcp --dport 80 -j DNAT --to-destination 10.0.0.3:8080

# Pod3 规则链(对应 IP 10.0.0.4 和端口 8080)
iptables -t nat -A KUBE-SEP-WWWWWW -p tcp -m tcp --dport 80 -j DNAT --to-destination 10.0.0.4:8080

3.2 ipvs

待完善

k8s篇之流量转发走向
小橙子的笔记屋
11-19 992
k8s流量转发走向
K8S系列】KubernetesService流量不均匀问题【已解决】
颜淡慕潇
11-04 8493
Kubernetes 中,Service 是一种抽象,用于定义一组 Pod 的访问策略。当某些 Pod 接收的流量过多,而其他 Pod 的流量较少时,可能会导致负载不均衡。这种情况不仅影响性能,还可能导致某些 Pod 过载,影响应用的可用性。本文将详细分析此问题的原因及其解决方案。
k8s svc流量转发
gdut17的博客
04-05 672
访问 10.1.173.212 的流量 转到 KUBE-SVC-GSTOWW43R3XNF3UU 处理。KUBE-SVC-GSTOWW43R3XNF3UU 负载均衡。默认使用iptables。
k8s的svc流量通过iptables和ipvs转发到pod的流程解析
李姓门徒
02-23 3511
在常用的k8s环境中,通常会通过iptables将流量进行负载均衡、snat、dnat等操作,从而流量转发到pod或者外部的服务。本文重点介绍iptables是如何进行流量转发的以及相关转发的iptables解析。
K8S - 深入解析 Service 与 Ingress - 服务暴露与流量管理
weixin_46619605的博客
05-02 1240
K8S - 深入解析 Service 与 Ingress - 服务暴露与流量管理
详解K8S网络模型(包含Service讲解)
天然玩家的博客
07-05 5054
核心: (1)集群中的每个Pod会在集群范围内获取自己唯一的IP地址,Pod间通信无需建立连接,无需考虑端口映射; (2)Service是将一系列Pod应用暴露为网络服务的一种方法,即通过Service访问Pod; (3)代理模式有3种:用户空间代理模式、iptables代理模式和IPVs代理模式; (4)Kubernetes允许在Service对象中配置多个端口; (5)流量分配策略:Cluster和Local两种方式,Cluster:流量分发到就绪的Endpoint;Local流量只分发到本机Endpo
K8S Service
王小工小工历程
08-31 1985
Kubernetes(通常简写为K8s)中的Service是一种核心资源对象,它用于将一组Pod(容器组)抽象为一个单一的服务,使得这些Pod能够对外提供稳定的服务入口。
K8S系列】K8SService 无法访问问题的深度分析
颜淡慕潇
06-10 1950
本文是关于 Kubernetes 中 **Service 无法访问问题的深度分析**,结合根本原因、诊断策略与解决方案的系统性指南
K8SService详解(一)
杜小帅的博客
01-22 1586
Kubernetes中,Service资源解决了Pod IP地址不固定的问题,提供了一种更稳定和可靠的服务访问方式。Service的稳定性:由于Pod可能会因为故障、重启或扩容而获得新的IP地址,直接使用Pod的IP来访问服务是不可靠的。Service通过提供一个固定的虚拟IP(ClusterIP)作为访问入口,使得服务访问变得更加稳定。Service的类型ClusterIP:为Service在集群内部提供一个固定的虚拟IP,只有集群内部的客户端可以访问此服务。NodePort。
Kubernetes(k8s)的流量负载组件Service基础介绍和原理讲解、IPVS的开启
Bulut0907
08-05 1127
目录1. Service介绍2. Service访问规则转发说明3. ipvs的开启4. kube-proxy支持的三种工作模式4.1 userspace模式4.2 iptables模式4.3 ipvs模式5. Service的类型和资源清单模板 1. Service介绍 虽然可以通过Pod的IP来访问应用程序,但是Pod的IP地址不是固定的。而Service会对提供同一个服务的多个Pod进行聚合,并且提供一个统一的访问入口地址 每个Node节点上都运行了一个kube-proxy的服务进程。当创建Serv
k8s(14) : 临时转发容器端口到外部
Lxinccode的博客
01-08 407
参考 :
k8s之滚动更新及pod流量分析
fourierr的博客
11-06 2534
Pod 被删除后,状态被 endpoint-controller 和 kubelet 订阅,并分别执行移除 Endpoint 和删除 Pod 操作,但是两个操作并非我们预期的先移除 Endpoint 后再删除 Pod,而是是同时进行的,因此有可能会出现在 Pod 已经接收到了 SIGTERM 信号但仍然有流量进入的情况。
k8s独立组件ingress,七层转发
Alone8046的博客
09-11 1949
1.ingress:核心是对外提供访问2.ingress---根据service的名称选择service----service把请求根据匹配的标签转发到pod3.ingress支持http及httpsnginx-ingress-controller------主流traefik-ingress-controller------目前再推广5.最常用的是deployment+NodePort6.对外访问用:Daemonset+hostnetwork。
Kubernetes DNS 高阶指南(转发别人 解析很详细)
weixin_30747253的博客
12-10 1736
转发地址:http://www.jintiankansha.me/t/Js1R84GGAl DNS是 Kubernetes 的核心功能之一,Kubernetes 通过kube-dns或CoreDNS作为集群的必备扩展来提供命名服务,通过 DNS 扩展,每一个Service都会产生一个独一无二的 FQDN(Fully Qualified Domain Name)名称。 在大...
k8s流量分离以及资源隔离实战
dotNET跨平台
04-22 3208
源宝导读:明源云客的终端用户越来越多,也涌现出线上流量活动的场景,大量的访问和接口请求导致服务器出现较高负载。本文将介绍云客团队为了缓解服务器压力,通过K8S进行分流与资源隔离的实践过程...
Kubernetes】第八篇 - Ingress 路由转发的介绍与使用
BraveWangDev
02-23 3528
上一篇,通过 Service 服务,解决了 pod 的 IP 漂移问题;K8s 的 Pod 和 Service 通过 NodePort 将服务暴露到外部,随着服务增加端口就变得不好管理;所以,通常情况下会设计一个 Ingress 进行路由转发方便统一管理;本篇,介绍 Ingress 的使用;ingress:意思是入口、进入;Ingress 是 kubernetes 组件,能够帮助服务实现负载均衡:根据路径前缀匹配、权重、cookie、header 值访问不同的服务;
K8SKubernetes流量进出的大门 —— Ingress
Transient_的博客
12-01 1666
Ingress 资源对象是工作在第七层的负载均衡,作用在 HTTP/HTTPS 协议栈,可以对URL、Request header、证书等数据信息对行进行操作,流量控制的方式更加多样化
部署flanal网络的k8s集群
weixin_40150775的博客
10-16 674
本文主要介绍了K8S集群中的服务发现和流量暴露机制,包括K8S中的workload类型、service类型、DNS解析原理以及四层服务暴露和七层服务暴露的规则。1、云原生基础概念 1.1 K8S架构 下图为K8S官方文档中对K8S架构设计的一个简要介绍示意图,这个架构图侧重于从云厂商的角度展示了云厂商的API、K8S集群中控制面(Control Plane)和工作节点(Node)之间的关系,但是将留给第三方实现的如CRI、CNI、CSI等从中剥离出去了。在官方架构图的基础上我们将CRI和CNI引入到架构图中
k8s中 ,数据包是怎么从外部流转进入到pod的?
wlzx059的博客
10-24 1715
总之,NodePort Service流量路由到集群中的一个节点,然后再根据 Service 的选择器将流量路由到符合条件的 Pod 上,以实现负载均衡。在 Kubernetes 中,当您创建 NodePort 类型的服务时,流量不会直接从主机的 IP 和端口转发到特定 Pod 的 IP 和端口。相反,流量转发到集群中的一个节点,然后从那里转发到相应的 Pod。总之,发往 NodePort 服务的流量首先发送到集群中的节点,然后根据服务的内部负载均衡机制将其路由到服务后面的某个 Pod。
K8S流量转发原理
最新发布
06-20
### Kubernetes服务流量转发原理 Kubernetes 服务的流量转发机制是其网络模型的核心部分,它确保了 Pod 之间的通信以及外部客户端与内部服务之间的交互能够高效、可靠地完成。以下是对 Kubernetes 流量转发原理的深入解析。 #### 1. Kubernetes 服务的基本概念 在 Kubernetes 中,服务(Service)为一组 Pod 提供了一个稳定的虚拟 IP 地址和端口,使得即使后端 Pod 的实际 IP 地址发生变化,客户端仍然可以通过固定的 Service 地址访问这些 Pod[^1]。这种抽象使得服务发现和负载均衡成为可能。 #### 2. 流量转发的关键技术 Kubernetes流量转发主要依赖于以下核心技术: - **iptables**:Kubernetes 使用 iptables 规则来实现服务的流量转发。当一个请求到达某个节点时,iptables 会根据预定义的规则将流量重定向到后端的 Pod。这些规则可以通过 `iptables-save` 命令查看[^5]。 - **CNI(Container Networking Interface)**:CNI 是一种标准接口,用于配置容器网络。通过 CNI 插件(如 Calico 或 Flannel),Kubernetes 可以管理集群中每个 Pod 的网络配置,从而确保流量能够在不同节点之间正确路由[^4]。 - **DNS**:Flexkube-dns 是 Kubernetes 集群中的 DNS 服务器,负责为 Service 和 Pod 提供域名解析服务。客户端可以通过 Service 的域名访问对应的 Pod,而无需关心具体的 IP 地址[^2]。 #### 3. 流量转发的具体过程 假设有一个名为 `my-service` 的 Service,并且该 Service 对应多个后端 Pod。以下是流量转发过程: 1. **客户端发起请求**:客户端通过 `my-service` 的虚拟 IP 地址或域名发送请求。 2. **DNS 解析**:如果客户端使用的是域名,则 Flexkube-dns 会将域名解析为 Service 的虚拟 IP 地址[^2]。 3. **iptables 规则匹配**:当请求到达某个节点时,iptables 会根据预先设置的规则将流量转发到后端的一个 Pod。这个选择过程通常基于轮询或其他负载均衡算法[^5]。 4. **Pod 处理请求**:被选中的 Pod 接收到请求并进行处理,然后将响应返回给客户端。 #### 4. Ingress 的角色 对于需要对外暴露的服务,Kubernetes 提供了 Ingress 资源。Nginx Ingress Controller 是一种常用的实现方式,它充当整个集群对外通信的唯一入口点。通过 Ingress,管理员可以定义复杂的路由规则,从而灵活地控制外部流量如何进入集群内的服务[^3]。 ```yaml apiVersion: networking.k8s.io/v1 kind: Ingress metadata: name: example-ingress spec: rules: - host: example.com http: paths: - path: / pathType: Prefix backend: service: name: my-service port: number: 80 ``` 上述 YAML 定义了一个 Ingress 规则,将来自 `example.com` 的流量转发到 `my-service`。 --- ###
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值