Kubernetes(二十三)Service(二)会话保持和获取客户端的ip

已于 2023-11-08 19:52:29 修改
阅读量2.4k 收藏 7
点赞数 4
分类专栏: kubernetes 文章标签: kubernetes tcp/ip 容器
于 2020-12-06 20:26:18 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/wzj_110/article/details/110674354
版权

接上

一   了解基本的术语

备注: 关于'各个术语',后续会'补充自己写的相关博客',构成一个'系列'

Type=LoadBalancer 类型 Service 的源 IP

全景剖析阿里云容器网络数据链路 Flannel 场景四

二   Service的会话粘滞

Service支持通过设置'sessionAffinity:ClientIP'实现基于客户端IP的'会话保持'机制

即:

 1、'首次'将'某个客户端来源IP [四层]'发起的请求转发到'后端的某个Pod上'

 2、之后从'相同的客户端 IP'发起的请求都将被转发到'相同的后端Pod上'

Service会话粘滞 

通过 ingress 做会话保持 

需求: 实现基于'客户端 IP' 的'会话亲和性'  --> '四层 TCP层'

效果: 

  1、来自'同一客户端(Client IP)'的请求与后端'某个pod'绑定('或者说映射')

  2、如果'没有特殊'的配置,是'获取不了客户端的ip',获取的是'所访问的pod所在节点的ip'

具体: 

  1、如果'replicas=2'为两个副本,设置'sessionAffinity: ClientIP'

  2、那么请求只会到达'其中一个pod'上,另一个'pod'没有访问记录  --> '日志判断'

辨析: 同一客户端'client_ip'的请求与pod进行'会话粘滞'和获取客户端的真实ip是'两码事情'

配置参数 

'sessionAffinityConfig' --> 设置sessionAffinity的'有效期',默认是's'

实验模板

创建

测试

测试'思路': 

1)同一客户端通过'curl'命令行'多次'进行访问 

备注: 为了防止'缓存'对实验结果造成影响,'不用浏览器'

2)观察两个pod的日志,看请求是否在'session的有效期内'定向调度到'某个具体'的pod上

3)开启'多个终端'观察

关于client ip,由于我们使用'flannel'的网络形式,并且是在master上'访问'

+++++++++++++++  '命令行修改'  +++++++++++++++

1、'会话'保持

kubectl patch svc myapp -p '{"spec":{"sessionAffinity":"ClusterIP"}}'  

2、'取消'会话保持 

kubectl patch svc myapp -p '{"spec":{"sessionAffinity":"None"}}'

三  四层Service获取源IP

(1)官网的说明

kubectl expose deployment source-ip-app \

  --name=clusterip --port=80 --target-port=8080

说明: 通过'expose'命令的方式创建Service

备注: 如果'没有指定类型'默认就是'Cluster IP'

kubectl expose deployment source-ip-app \

  --name=nodeport --port=80 --target-port=8080 --type=NodePort

Load Blance后续专题讲解 

说明: 由于不同的云厂商,'Load Blance'实现的差异性,后续讲解'几个大厂'的特性

(2)Node Port获取Client IP的方式

kubectl patch svc nodeport -p '{"spec":{"externalTrafficPolicy":"Local"}}'

说明: 下面的'备注'有问题,'Cluster'会造成'二跳'的

ExternalTrafficPolicy的'默认值'是'Cluster'

Local: 保留客户端'源 IP '并避免 LoadBalancer 和 Nodeport 类型服务的第二跳

--> 但存在潜在的'不平衡'流量传播风险 --> 一个Node上'多个实例'

访问Kubernetes Service时的客户端源IP问题 

流量图

实验思路

通过'前后对比'修改该参数的数值,查看nginx日志中'客户端的ip'

ExternalTrafficPolicy说明 Cluster和Local的解读

从Service的externalTrafficPolicy到podAntiAffinity

测试如下

验证输出

继续验证

场景: 两个node,但是只有'一个副本'

--> 分别通过'node1:nodePort'和'node2:nodePort'访问'实验现象' -->'本次以浏览器的形式'

说明: 为了保持'实验环境的干净',把'工作负载删除',然后'重建'

说明: 很显然pod落在'node2上',我们尝试通过chrome浏览器访问--> 'node1:nodePort'

访问: 通过'node2:nodePort'的形式访问,并观察'nginx的日志'

后续探讨: 不设置保留源ip和设置保留源ip,'iptales规则是如何实现'

补充: 关于'ipvs的实现'先了解即可

备注: 记得lvs的'Full Nat'方式,通过options的形式也可以获取'客户端的ip'

四   关于上述问题在华为CCE官网

阿里云参考细节

创建一个K8s集群,为什么会多出来两个SLB? Ingress组件需要安装吗?

Service的负载均衡配置注意事项

容器服务Kubernetes集群中SLB实例的具体用途

ACK: 如果创建Kubernetes集群时'勾选'了 安装 Ingress 组件,那么会创建'两个'SLB实例

通过使用已有SLB的服务公开应用 

在node上通过 "--ipvs-scheduler"参数,指定 ipvs模式下kube-proxy的启动算法为sh

Service 异常问题排查

ACK Flannel网络插件

【云原生】kubernetes中的service原理、应用实战案例解析
景天科技苑
05-24 1万+
kubernetes中,Pod是有生命周期的,如果Pod重启它的IP很有可能会发生变化。 如果我们的服务都是将Pod的IP地址写死,Pod挂掉或者重启,刚才重启的pod相关联的其他服务将会找不到它所关联的Pod, 为了解决这个问题,在kubernetes中定义了service资源对象,Service 定义了一个服务访问的入口,客户端通过这个入口即可访问服务背后的应用集群实例, service是一组Pod的逻辑集合,这一组Pod能够被Service访问到,通常是通过Label Selector实现的。
Kubernetes ServiceSpec SessionAffinity 会话保持
曾浩
06-28 4684
Service 回话亲力 选项SessionAffinity可选项 Spec: apiv1.ServiceSpec{ SessionAffinity: "", }, 代码注释段 必选项ClientIP None,默认是None,通过ClientIP保持回话 // Supports "ClientIP" and "None". Used to maintain session affinity. // Enable client IP based session af
42-【kubernetesservice会话保持kubernetes session保持等设置
qq_42303254的博客
02-22 1571
https://blog.youkuaiyun.com/bingzhilingyi/article/details/79862791
分布式系统中Session黏滞
奇峰卧虎
02-13 646
Session黏滞(Session Affinity),也称为会话保持或粘性会话,是一种在负载均衡环境中确保用户请求被定向到同一台后端服务器的机制。但若用户的Session数据仅存储在某一台服务器上,后续请求若被分发到其他服务器,将无法访问原Session,导致状态丢失(如登录信息失效)。通过特定策略(如Cookie或IP绑定),确保同一用户的所有请求被同一台服务器处理,从而保证Session数据的一致性。结合分布式Session存储:如Redis或数据库,彻底解耦Session与服务器,提升可靠性。
Kubernetes集群——(k8s)service)+ingress配置+NodeProt实现负载均衡+session实现会话保持(daemonset)+TLS加密认证
qq_46089299的博客
07-01 1862
一、ingress简介 一种全局的、为了代理不同后端 Service 而设置的负载均衡服务,就是 Kubernetes 里的 Ingress 服务。 • Ingress由两部分组成:Ingress controllerIngress服务。 • Ingress Controller 会根据你定义的 Ingress 对象,提供对应的代理能力。业界常用的各 种反向代理项目,比如 Nginx、HAProxy、Envoy、Traefik 等,都已经为Kubernetes 专门维护了对应的 Ingress Contr
聊聊如何在K8S中实现会话保持
kingwinstar的博客
03-14 1809
故事的起因是朋友所在的部门最近基于auth2实现单点登录,他们在测试环境单点登录,运行得好好的,但他们把单点登录上到预发布环境,发现单点登录不好使了。他们有部分系统是以授权码式接入,发现第一次登录拿到授权码进行换取token时,会提示授权码失效。而他们测试环境预发布环境的代码是一样的。后面朋友我聊天,我就问朋友两套环境有存在什么不一样的地方,朋友说测试环境是单POD部署,而预发布环境是多POD部署。
()在JAX-WS 中实现多个Service会话保持
半天想不出来
09-23 2279
在JAX-WS 中实现多个Service会话保持 作者:刘嘉欣 南开大学信息学院 liujx@nankai.edu.cn 在JAX-WS 中实现多个Service会话保持 1 服务器端 1 客户端 2 1.在同一个Service的不同调用之间保持会话 2 2.
KubernetesService类型详解
weixin_72583321的博客
05-16 1671
Kubernetes 中,Service 是一种抽象,它定义了一种访问 Pod 的方式,无论这些 Pod 如何变化,Service 都能保持恒定的访问策略。Service 为一组具有相同功能的 Pod 提供统一的访问接口,并且可以决定如何将网络流量分发到这些 Pod 上。通过 Service,您可以以一个固定的 DNS 名称或 IP 地址来访问您的应用,而不必关心后端 Pod 的具体位置。 Service 类型包括ClusterIP、NodePort、LoadBalancerExternalName
第六章 Kubernetes Service-类型及其使用
02-06 771
Service对象有四种类别,分别是ClusterIp、Nodeport、Loadbalancer、Externalname。他们分别解决各种应用场景的问题。
Kubernetes——Service详解
wzpny的博客
05-17 1386
kubernetes中,pod是应用程序的载体,我们可以通过pod的ip来访问应用程序,但是pod的ip地址不是固定的,这也就意味着不方便直接采用pod的ip对服务进行访问。为了解决这个问题,kubernetes提供了Service资源,Service会对提供同一个服务的多个pod进行聚合,并且提供一个统一的入口地址。通过访问Service的入口地址就能访问到后面的pod服务。Service在很多情况下只是一个概念,真正起作用的其实是。
kubernetesservice详解
馆主的博客
12-03 887
在前面的课程中,我们已经可以实现通过手工执行kubectl scale命令实现Pod扩容或缩容,但是这显然不符合Kubernetes的定位目标–自动化、智能化。 Kubernetes期望可以实现通过监测Pod的使用情况,实现pod数量的自动调整,于是就产生了Horizontal Pod Autoscaler(HPA)这种控制器。 HPA可以获取每个Pod利用率,然后HPA中定义的指标进行对比,同时计算出需要伸缩的具体值,最后实现Pod的数量的调整。
ipclient客户端
10-12
WANGLUO 客户端 ipclient.exe ipclient.exe ipclient.exe
session-k8s:k8s清单的会话体系结构样本应用程序
03-05
会话k8s k8s清单的会话体系结构样本应用程序 从Kustomize部署K8 $ kubectl apply -k ./dev/spring Redis容器 redis배포한다。 $ cd session-k8s $ kubectl apply -k ./dev/redis/session $ kubectl apply -k ./dev/redis/cache 本地에서redis端口연결한다。 $ kubectl port-forward service/redis-session 7000:6379 $ kubectl port-forward service/redis-cache 7001:6379 本地에서redis-cli접속하여스트다。 $ redis-cli -p 7000 127.0.0.1:7000> get mykey "myvalue" 127.0.0.
k8s学习--sessionAffinity会话保持(又称会话粘滞)详细解释与应用
lwxvgdv的博客
06-05 3474
简单理解确保把来自同一客户的一个完整会话的请求转发至后台同一台服务器进行处理。详细解释在Kubernetes中,sessionAffinity是指Service的一种设置,用于控制外部流量如何在后端Pod之间分发。具体来说,sessionAffinity可以配置为"None"、“ClientIP"或者"ClientIP”。这些设置决定了负载均衡器如何将来自相同客户端的请求路由到后端的Pods上。None这是sessionAffinity的默认设置。
会话保持
weixin_30861797的博客
09-04 440
1. 什么是会话保持会话保持是指在负载均衡服务器上的一种机制,可以识别客户端与服务器之间交互过程的关联性,将同一客户端会话请求转发给同一个后端服务器处理。 2. 会话保持的类型 (1)四层服务(TCP协议),负载均衡系统是基于源IP地址的会话保持。 负载均衡服务器根据访问请求的源IP地址作为判断关联会话的依据,对来自同一IP地址的所有访问请求在负载均衡时都会被转发到同一台服...
Kubernetes(K8S)(八)——ingress服务部署、会话保持TLS配置
Aimee_c的博客
06-26 4081
文章目录1.Ingress介绍2. ingress服务部署3.创建Ingress服务4.使用HostNetwork本地端口直接访问服务5.实现会话保持6.Ingress TLS 配置 1.Ingress介绍 官网参考:https://kubernetes.github.io/ingress-nginx/ Ingress是一种全局的、为了代理不同后端 Service 而设置的负载均衡服务,就是 Kubernetes 里的 Ingress 服务。 Ingress由两部分组成:Ingress controller
kubernetes系列之四:kubernetes的源地址保持(source IP preserve)
cloudvtech的博客
04-13 5764
一、前言kubernetes提供服务的实体(POD)具有内部网络空间的地址,外部无法直接访问,所以kubernetes提供了多种对外暴露POD服务的方法。这些方法都借助于kubernetesservice的概念,将一系列具有等同服务能力的POD组成一个抽象的服务实体,这个服务实体具有一个虚IP,这个虚IP可以是kubernetes cluster内部网络可达的IP(对应cluster servi...
得到client真IP住址
weixin_34220834的博客
09-18 154
1、引进的必要性log4j-1.2.14.jar package org.ydd.test; import java.util.Enumeration; import javax.servlet.http.HttpServletRequest; import org.apache.log4j.Logger; /** * @author coco * @version ...
Kubernetes中如何保持Session的会话
WeiyiGeek 唯一极客IT知识分享
12-14 1479
0x01 Kubernetes中Session的会话保持背景说明: 基于kubernetes集群中部署Java项目,您发现在多pod模式下会出现登录成功但是页面无法跳转的问题,或验证明明输入正确却提示验证码错误无法登陆,而在单一pod时却可以成功登录并页面正常跳转,于是推测是cookie的问题。解决方式: 进行K8S会话粘粘与保持, 但是针对于不同的实践环境又有所不同,例...
coturn负载均衡
最新发布
02-28
### Coturn 负载均衡配置方法及最佳实践 #### 一、理解Coturn及其需求 Coturn 是一个开源的 TURN (Traversal Using Relays around NAT) STUN (Session Traversal Utilities for NAT) 服务器软件,广泛用于实时通信应用中解决NAT穿透问题。当面对高并发连接请求时,单台Coturn实例可能无法满足性能要求,因此需要通过负载均衡来分发流量。 #### 、基于Kubernetes环境下的Coturn集群构建 为了提高系统的可用性扩展性,在Kubernetes环境中可以创建多个Coturn副本,并利用Service资源对象对外暴露统一的服务入口地址。这一步骤已经在之前的描述中有提及[^1]。 #### 三、外部DNS轮询方式实现简单负载均衡 对于小型部署场景来说,最简单的做法就是采用DNS轮询机制。管理员可以在域名解析服务商处设置多条A记录指向不同的Coturn节点IP地址,客户端每次发起请求都会随机获取其中一个有效的IP作为目标主机进行访问。不过这种方式存在一定的局限性,比如更新缓慢以及缺乏健康检查功能等问题。 #### 四、使用反向代理工具如HAProxy或NGINX Plus提供更高级别的LB支持 更为推荐的做法是在前端加入专业的反向代理设备,例如HAProxy 或 NGINX Plus 。这些产品不仅能够很好地完成基本的任务分配工作,还提供了诸如SSL卸载、会话保持、错误页面定制等多种增值服务特性。具体操作如下: - 安装并启动 HAProxy / Nginx plus 实例; - 编辑配置文件定义监听端口服务后端列表; - 启用状态监测模块定期探测各成员的工作状况; - 设置合理的调度策略(Round Robin, Least Connections 等)以优化整体表现。 ```bash # 示例:haproxy.cfg片段展示 frontend turn_fe bind *:3478 default_backend coturn_be backend coturn_be balance roundrobin option tcpka server coturn1 192.168.1.100:3478 check inter 2000 rise 2 fall 3 server coturn2 192.168.1.101:3478 check inter 2000 rise 2 fall 3 ``` #### 五、考虑地理位置因素引入全局负载均衡GLB(Geo Load Balancing) 如果业务覆盖范围较广,则建议进一步实施地理感知型的全球负载均衡方案。借助云厂商提供的CDN加速网络或者第三方专业机构的帮助,可以根据用户的实际位置就近选择最优路径接入最近的数据中心内的Coturn集群,从而减少延迟提升用户体验质量。 #### 六、监控与调优 无论采取哪种形式的负载均衡措施,都离不开完善的日志收集体系性能指标跟踪平台的支持。通过对各项数据深入分析找出潜在瓶颈所在之处进而做出针对性调整,确保整个架构稳定高效运行。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值