service + endpoints + ingress实现内部ip:port服务对外访问

已于 2023-07-18 23:24:21 修改
阅读量589 收藏 1
点赞数
文章标签: k8s http kubernetes
于 2023-07-18 22:53:23 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/xuanlv_xiaoyao/article/details/131797631
版权

意义

在k8s集群中,需要访问集群外部的一些服务且服务是ip:port形式暴露的,可以使用类型为ClusterIP的Kubernetes Service和Endpoint及Ingress实现对外部服务的访问。好处如下:

  1. 纳入k8s资源后,可以通过ingress便捷配置域名和证书。
  2. 通过ingress配置同域名不同路径实现跨域访问。

实现

比如我们有一个web服务:http://192.168.32.10:8080。

可通过如下配置,实现外部域名安全访问。

---
apiVersion: v1
kind: Service
metadata:
  name: web-agent-svc
spec:
  ports:
  - name: web-agent-port # 需要和Endpoints中name保持一致
    port: 18080 # 可自定义指定
    protocol: TCP
  sessionAffinity: None
  type: ClusterIP 

---
apiVersion: v1
kind: Endpoints
metadata:
  name: web-agent-svc
subsets:
- addresses:
  - ip: 192.168.32.10
  ports:
  - port: 8080 # web服务端口
    name: web-agent-port
    protocol: TCP
---
apiVersion: networking.k8s.io/v1
kind: Ingress
metadata:
  name: web-agent-svc-ingress
  annotations:
    kubernetes.io/ingress.class: 'nginx'
    nginx.ingress.kubernetes.io/rewrite-target: /$1 # $1代指ingress path中(.*)部分

spec:
  tls:
    - hosts:
        - web.wfbi.net
      secretName: web.wfbi.net-https # 需要创建tls证书
  rules:
    - host: web.wfbi.net
      http:
        paths:
          - backend:
              service:
                name: web-agent-svc
                port:
                  number: 18080
            pathType: Prefix
            path: /(.*)

如上配置后可通过:https://web.wfbi.net域名访问

windfbi
关注
云原生流量管理系统中 Service , Ingress 和 Endpoint 的关系
weixin_36532747的博客
02-19 689
云原生流量管理系统中 Service , Ingress 和 Endpoint 的关系
k8s核心操作_Service封装服务暴露端口_NodePort方式暴露_公网IP访问_Ingress网络模型分析及安装_统一网关入口_调用---分布式云原生部署架构搭建025
添柴程序猿的专栏
07-10 503
可以看到这个结构,这里的上面,给所有的deployment,都生成对应的service,组成了,service层网络.可以看到,ingress就是很多service集合的,一个入口,给很多的service提供了一个统一的入口或者说网关。service a订单服务,需要,用户服务了,直接去调用 用户服务service b,这个service就可以,然后可以看到,我们映射暴露的是8000端口,但是使用NodePort方式的时候,每个pod,都映射到自己的公网IP上了,也就是可以使用公网IP访问这个Pod。
Ingress使用IP访问(高可用)
weixin_42562106的博客
05-20 5536
首先server已经是LoadBalancer 或者直接使用静态IP apiVersion: v1 kind: Service metadata: labels: app.kubernetes.io/component: controller app.kubernetes.io/instance: ingress-nginx app.kubernetes.io/name: ingress-nginx app.kubernetes.io/part-of: ingress-
k8s实现nginx-ingress通过统一IP访问服务无缝对接生产上游Nginx
富强说
05-25 1万+
k8s实现nginx-ingress通过统一IP访问服务无缝对接生产上游Nginx
Rancher v2.5 使用 Ingress Controller 限制集群外部 ip 访问集群服务
小康子的博客
04-17 1354
Rancher 部署工作负载,通过 NodePortService 服务映射后,无法通过防火墙策略对集群外客户端访问进行限制,在公司研发环境内存在风险,易被扫描到。经过查找资料,只能通过 Ingress 实现服务访问的限制。
k8s ingress配置客户端IP
乘茶蛙泳的博客
09-05 879
k8s ingress 客户端IP
k8s(四)—service服务(暴露方式:ClusterIP、NodePort、LoadBalancer、ExternalName、ingress)
qq_43114229的博客
03-26 8628
[root@server2 ~]# kubectl -n kube-system get pod | grep proxy 每个节点都有haproxy kube-proxy-d6cp2 1/1 Running 6 (121m ago) 5d12h kube-proxy-pqn5q 1/1 Running 6 (121m ago) 5d12h kube-proxy-xt2m9 ..
kubernetes》》k8s》》Deployment》》ClusterIP、LoadBalancer、Ingress 内部访问、外边访问
u013400314的博客
03-31 537
Kubernetes 集群中的服务器(指单台)Kubernetes 管理的一组服务器的集合为局域网和Internet路由数据包的路由器,执行防火墙保护局域网络遵循Kubernetes网络模型实现集群内的通信的具体实现,比如Flannel和CalicoKubernetes服务是使用标签选择器标识的一组Pod Servicce(Deployment)。除非另有说明,否则服务的虚拟IP仅可以子集群内部访问
Kubernetes——Service & Ingress(外部请求访问集群内部服务方式)
Wollens Blogs
05-15 1937
Service 将运行在一组 Pods 上的应用程序公开为网络服务的抽象方法。使用 kubernetes 你无需修改应用程序即可使用不熟悉的服务发现机制,kubernetes 为 Pods 提供自己的 IP 地址,并为一组 Pod 提供相同的 DNS 名,并且可以在它们之间进行负载均衡。 发布服务服务类型) 由于运行的 Pod IP 是 docker 网桥的 IP 地址段进行分配的通常是一个虚拟的二层网络,外部网络并没有办法直接访问且由于 Pod IP 不是固定的、随时改变的, K8s 引入 Servic
k8s 对外服务-Ingress
m0_75067030的博客
06-05 936
service的作用体现在两个方面,对集群内部,它不断跟踪pod的变化,更新endpoint中对应pod的对象,提供了ip不断变化的pod的服务发现机制;对集群外部,他类似负载均衡器,可以在集群内外部对pod进行访问。在Kubernetes中,Pod的IP地址和service的ClusterIP仅可以在集群网络内部使用,对于集群外的应用是不可见的。为了使外部的应用能够访问集群内的服务Kubernetes目前提供了以下几种方案: ●NodePort:将service暴露在节点网络上,NodePort背后就是
endpoints
Matthew__M的博客
11-18 1894
服务和pod不是直接连接,而是通过Endpoint资源进行连通。endpoint资源是暴露一个服务ip地址和port的列表。   选择器用于构建ipport列表,然后存储在endpoint资源中。当客户端连接到服务时,服务代理选择这些列表中的ipport对中的一个,并将传入连接重定向到在该位置监听的服务器。   endpoint是一个单独的资源并不是服务的属性,endpoint的名称必须和服务的名称相匹配。 ...
k8s配置ingress访问集群外部资源
w2909526的博客
09-12 668
endpoint是k8s集群中的一个资源对象,存储在etcd中,用来记录一个service对应的所有pod的访问地址。service配置selector,endpoint controller才会自动创建对应的endpoint对象;否则,不会生成endpoint对象.创建完成后在使用ingress配置域名或者ip就可以访问了,也可以直接使用nodeport访问。使用ingress访问外部资源,首先需要创建service指向我们需要访问的资源。以下是endpoint和对应service的yaml文件。
Kubernetes上使用Ingress Nginx将服务发布到外部IP
IOsetting的专栏
01-08 1067
Kubernetes的网络结构 K8s的网络相对比较复杂, 包含了如下几类IP地址: Host Network 运行K8s集群的宿主服务器的内网IP, 其网段在配置宿主机时设置. 这些服务器可能是物理机, 也可能是ESXi或KVM虚机. 可以根据这个IPK8s初始化时设置--apiserver-advertise-address, 配置外网访问时, 前端的负载均衡要通过这些IP访问服务. Do...
树莓派4B遇上kubernetesingress外部服务入口代理
布偶猫爸爸的博客
11-30 550
前提 已存在前面文章的集群架构,对K8Sservice、pod、deployment等常见资源有一定的了解与认知 环境: 三块树莓派4B 4G版本,内存卡64G: 192.168.50.20 rsp01 master 192.168.50.22 rsp02 worker 192.168.50.25 rsp03 worker k8s环境: kubeadm version: 1.18.5 doc...
通过ip限制访问,允许在kubernetes上使用Nginx Ingress控制器列出列表
weixin_26749889的博客
09-04 2197
The demo aims at running an application in Kubernetes behind a Cloud-managed public load balancer also known as an HTTP(s) load balancer which is also known as an Ingress resource in Kubernetes dictio...
K8S对外服务Ingress
mcl914的博客
03-04 780
一、Ingress 简介 service的作用体现在两个方面,对集群内部,它不断跟踪pod的变化,更新endpoint(端点)中对应pod的对象,提供了ip不断变化的pod的服务发现机制;对集群外部,他类似负载均衡器,可以在集群内外部对pod进行访问。 在Kubernetes中,Pod的IP地址和service的ClusterIP仅可以在集群网络内部使用,对于集群外的应用是不可见的。为了使外部的...
k8s 对外服务ingress
热门推荐
yrx420909的博客
04-24 5万+
1. ingress概述 k8s 对外暴露服务service)主要有两种方式:NotePort, LoadBalance, 此外externalIPs也可以使各类service对外提供服务,但是当集群服务很多的时候,NodePort方式最大的缺点是会占用很多集群机器的端口;LB方式最大的缺点则是每个service一个LB又有点浪费和麻烦,并且需要k8s之外的支持; 而ingress则只需要一个N...
Nginx Ingress解析
m0_47495420的博客
06-10 1666
负载均衡负载均衡(Load Balancer,简称 LB)是指把客户端访问的流量通过负载均衡器,然后根据指定的一些负载均衡策略进行转发,最终可以均匀的分摊到后端上游服务器上,然后上游服务器进行响应后再返回数据给客户端。负载均衡的最常见应用是充当反向代理,通过负载均衡,可以大大的提高服务的响应速度、提高并发请求、提高稳定性(防止单点故障)。负载均衡的基本实现方案,从业界来看,一般分为软件和硬件两大类...
十、Ingress从外部访问的最佳方式
三成的博客
12-10 3747
概述 客户使用https进行访问,域名会被解析为IP,而这个IP是你调度器的IP地址, 但是客户连接的后端节点真实服务器,如果你认为集群足够安全那么在调度器可以卸载ssl,客户和调度器之间使用https,而调度器和后端节点使用http, 但是service的NodePort是基于iptables或者ipvs的4层调度转发,不支持ssl卸载,那么就需要在每一个提供服务的节点配置https的sll证书,如果是k8s集群那么就是每个pod, 注:service的NodePort前端加lb还只能加4层lb,因为如
prometheus监控k8s 服务发现 Node、Service、Pod、EndpointsIngress 什么时候用那个 详细解释一下
最新发布
04-10
<think>嗯,用户想了解Prometheus在Kubernetes中的服务发现机制,以及Node、Service、Pod、EndpointsIngress在不同场景下的使用方式。首先,我需要回忆一下Prometheus的服务发现机制在K8s中的工作原理。Prometheus主要通过配置kubernetes_sd_configs来发现各种K8s资源,比如节点、服务、Pod等。 然后,用户提到的各个资源对象:Node、Service、Pod、EndpointsIngress,每个都有不同的使用场景。比如,Node级别的发现可能用于监控节点本身的指标,而Pod发现则适合获取每个容器的实时数据。Endpoints对应的是Service背后的实际Pod IP和端口,这在监控具体服务实例时很重要。 接下来要考虑这些资源在Prometheus中的配置方式。比如,当使用Service发现时,Prometheus会获取Service的ClusterIP和端口,但如果是ClusterIP类型的服务,可能需要通过Relabeling来替换成Pod的端口。另外,Endpoints的发现可以直接获取到Pod的IP,适合直接抓取指标。 还有Ingress的发现,可能用于监控入口流量,或者生成基于Ingress路径的监控指标。这时候需要结合annotations或者特定的标签来过滤目标。 用户可能还关心实际应用中的例子,比如如何配置Prometheus的job来发现不同的资源类型,以及Relabeling的作用,比如保留或替换某些标签,以便于在Prometheus中正确识别目标。 需要确保回答覆盖每个资源类型的服务发现配置、适用场景,以及可能需要注意的问题,比如权限配置、Relabeling策略等。同时,结合用户提供的引用内容,虽然主要是关于IngressService的,但可以关联到EndpointsService的关系,说明Service如何跟踪Pod的变化,更新Endpoints,这对Prometheus发现具体实例很重要。 最后,用户可能需要一些示例配置来更好地理解,比如Pod发现的job配置,或者如何通过Endpoints来监控具体的服务端口。此外,常见问题如权限不足导致无法发现资源,或者Relabeling配置错误导致目标丢失,这些也应该提及。</think>### Prometheus在Kubernetes中的服务发现机制详解 #### 一、服务发现机制核心原理 Prometheus通过`kubernetes_sd_configs`配置实现Kubernetes资源自动发现,支持发现以下5类资源: 1. **Node**:监控节点级别指标(如CPU/内存使用率) 2. **Service**:发现服务端点(ClusterIP/NodePort) 3. **Pod**:直接获取容器暴露的指标端口 4. **Endpoints**:跟踪Service背后真实Pod实例变化[^1] 5. **Ingress**:监控入口流量规则和路径配置[^3] $$监控目标发现过程 = 资源发现 \rightarrow 标签提取 \rightarrow Relabel配置 \rightarrow 最终目标列表$$ #### 二、不同资源类型的配置与场景 | 发现类型 | 适用场景 | 配置示例 | 特点说明 | |------------|-----------------------------------|-----------------------------------|------------------------------| | **Node** | 节点监控 | `role: node` | 需搭配kubelet metrics接口 | | **Service**| 服务级聚合监控 | `role: service` | 自动发现ClusterIP/NodePort | | **Pod** | 容器实时指标采集 | `role: pod` | 需标注`prometheus.io/scrape` | | **Endpoints**| 精确到实例的监控 | `role: endpoints` | 直接获取Pod IP:Port | | **Ingress**| 入口流量监控 | `role: ingress` | 关联后端服务路径规则[^3] | #### 三、关键配置示例 **Pod发现配置**(监控所有带注解的Pod): ```yaml - job_name: 'pods' kubernetes_sd_configs: - role: pod relabel_configs: - source_labels: [__meta_kubernetes_pod_annotation_prometheus_io_scrape] action: keep regex: true - source_labels: [__meta_kubernetes_pod_annotation_prometheus_io_path] target_label: __metrics_path__ ``` **Endpoints发现场景**(监控MySQL服务): ```yaml - job_name: 'mysql-endpoints' kubernetes_sd_configs: - role: endpoints relabel_configs: - source_labels: [__meta_kubernetes_service_label_app] regex: mysql action: keep ``` #### 四、服务发现流程 1. 通过Kubernetes API实时获取资源状态 2. 自动识别资源标签和注解(如`prometheus.io/port`) 3. 使用Relabeling进行目标过滤和元数据加工 4. 生成最终监控目标列表 #### 五、常见问题解决方案 1. **权限不足**:确保ServiceAccount具有`nodes/services/pods`的list/watch权限 2. **目标丢失**:检查Relabel配置是否过度过滤 3. **端口映射错误**:使用`__meta_kubernetes_pod_container_port_number`重写端口 4. **Ingress路径匹配**:通过`__meta_kubernetes_ingress_path`提取路由规则[^3]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值