Kubernetes 中的 Service

一、简介

Kubernetes 中的 Service 是一个重要的概念，它将一组 Pod 封装成一个逻辑单元，并提供网络访问，对外暴露一个统一的 IP 和端口号。这样，无论后端 Pod 如何变化，用户都可以使用相同的地址访问服务。

Service 是基于 Labels 进行匹配的，使用 Selector 进行 Pod 的筛选，从而建立了后端 Pod 到 Service 的映射关系，并提供负载均衡和服务发现功能。同时，Service 还支持多种负载均衡算法和多种协议，如 TCP、UDP、HTTP、HTTPS。

二、基本使用

在 Kubernetes 中创建 Service 有多种方式，其中最简单的方式是使用 kubectl expose 命令，如下所示：

kubectl expose deployment nginx --port=80 --type=LoadBalancer

这样就创建了一个 Service，它会自动将所有具有 label app=nginx 的 Pod 进行负载均衡，并向外部暴露端口号 80。

另一种常见的方法是使用 YAML 文件进行定义，如下所示：

apiVersion: v1
kind: Service
metadata:
  name: nginx
spec:
  selector:
    app: nginx
  ports:
  - name: http
    port: 80
    targetPort: 80

这里的 selector 指定了将哪些 Pod 加入到 Service 中，ports 用于指定端口号和协议。

三、负载均衡和服务发现

Service 提供了内置的负载均衡功能，可以将请求分发到后端 Pod 上，从而实现高可用性。同时，Service 还支持不同的负载均衡算法，例如 round-robin、least connections、IP hash、random 等等。

服务发现是指通过 DNS 或其他方式，自动获取服务的 IP 和端口，从而使客户端无需知道后端 Pod 的具体 IP 和端口。这样，当 Pod 发生变化时，Service 可以自动更新 DNS 记录，从而实现无缝的服务迁移。

四、Session Affinity

在默认情况下，Service 使用 round-robin 的负载均衡算法，将每个请求按顺序分配到不同的后端 Pod 上。但是，在某些场景下，需要确保同一个用户的请求都被分配到同一个后端 Pod 上，从而实现 session 的持久化。这时可以使用 Session Affinity。

Session Affinity 可以指定一个 key，例如用户的 ID，将同一个 key 的请求都路由到同一个后端 Pod 上。可以选择两种模式，一种是 ClientIP，根据客户端 IP 进行负载均衡，一种是 None，禁用 Session Affinity。

使用 YAML 文件可以指定 Session Affinity，如下所示：

apiVersion: v1
kind: Service
metadata:
  name: nginx
spec:
  selector:
    app: nginx
  ports:
  - name: http
    port: 80
    targetPort: 80
  sessionAffinity: ClientIP

五、网络策略

Kubernetes 中的网络策略允许对 Service 的访问进行精细控制，可以限制来自特定 Pod 的流量、限制访问特定的端口、禁止访问特定 IP 地址等等。

具体实现上，需要定义一个 NetworkPolicy 对象，其中包含了需要限制的 Pod 的选择器和限制规则。例如，下面的 YAML 文件表示禁止来自 label app=nginx 的 Pod 访问本 Service 的 8080 端口：

apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: nginx-policy
spec:
  podSelector:
    matchLabels:
      app: nginx
  policyTypes:
  - Ingress
  ingress:
  - from:
    - podSelector: {}
    ports:
    - port: 8080

六、安全性

在 Kubernetes 中，Service 可以通过 TLS 加密来保证网络传输的安全性。可以通过设置 Secret 对象来管理证书和私钥，然后在 Service 中指定使用 TLS 加密。

使用 YAML 文件可以指定 TLS 加密，如下所示：

apiVersion: v1
kind: Service
metadata:
  name: nginx
spec:
  selector:
    app: nginx
  ports:
  - name: http
    port: 80
    targetPort: 80
  - name: https
    port: 443
    targetPort: 443
  tls:
  - secretName: tls-secret

这里的 tls 指定了使用哪个 Secret 对象来进行 TLS 加密。

七、总结

Kubernetes 中的 Service 是一个重要的概念，它提供了负载均衡、服务发现、Session Affinity、网络策略和安全性等多种功能。在实际应用中，需要根据具体情况选择不同的负载均衡算法和 Session Affinity 模式，同时也需要注意安全性和网络策略的设置。

原创文章，作者：QSJWI，如若转载，请注明出处：https://www.506064.com/n/372381.html