12、Kubernetes 网络与监控全解析

Kubernetes 网络与监控全解析

1. Kubernetes 网络基础

在缺乏 DNS 功能的情况下，可以使用环境变量机制进行服务发现。例如：

TEST_SERVICE_PORT_8080_8080=8080
TEST_SERVICE_HOST=10.102.163.244
TEST_PORT_8080_TCP_ADDR=10.102.163.244
TEST_PORT_8080_TCP_PORT=8080
TEST_PORT_8080_TCP_PROTO=tcp
TEST_SERVICE_PORT=8080
TEST_PORT=tcp://10.102.163.244:8080
TEST_PORT_8080_TCP=tcp://10.102.163.244:8080

不过，这种方法存在一个重要的注意事项。由于进程环境是在 Pod 启动时填充的，使用此方法进行服务发现要求在创建 Pod 之前定义必要的服务资源，并且该方法无法处理 Pod 启动后服务的更新。

2. 网络策略（Network Policy）

2.1 网络策略的重要性

确保服务仅向适当的消费者暴露是保障用户工作负载安全的关键。例如，开发一个需要数据库后端的 API 时，典型的部署模式是仅将 API 端点暴露给外部消费者，数据库只能通过 API 服务访问。这种在 OSI 模型第 3 层和第 4 层的服务隔离有助于限制攻击面。传统上，这类限制通过某种防火墙实现，在 Linux 系统中通常使用 IPTables 强制执行策略。

2.2 Kuber