上次写博客是n多年以前了,以前的几十篇在blogjava里面应该还能吵到。最近遭遇变故,忽然想把自己近期学的一点东西记录下来,日后查阅起来也是方便。
话不多说,笔者最近在啃k8s,容器也好、k8s也罢,里面和服务相关的port概念五六个,索性整理一下,看看他们之间的关系。
首先看一下我们的测试环境:
一组三从的k8集群:
root@dev-4-control-plane# sh node.sh
|NODE |INTERNAL_IP
|dev-4-control-plane |172.18.0.2
|dev-4-worker |172.18.0.5
|dev-4-worker2 |172.18.0.4
|dev-4-worker3 |172.18.0.3
三副本的前端服务:
root@dev-4-control-plane# sh pod.sh
|NAME |NODE |IP |STATUS
|frontend-5b79c8694b-6hjrc |dev-4-worker3/172.18.0.3 |10.244.1.9 |Running
|frontend-5b79c8694b-87xnh |dev-4-worker2/172.18.0.4 |10.244.3.9 |Running
|frontend-5b79c8694b-lkbt5 |dev-4-worker/172.18.0.5 |10.244.2.9 |Running
root@dev-4-control-plane# sh svc.sh
|NAME |CLUSTERIP |PORT |TARGETPORT |ENDPOINTS
|frontend |10.96.48.151 |NodePort% |80/TCP |10.244.1.9:80,10.244.2.9:80,10.244.3.9:80
接下来看看我们的service及deployment中的port定义:
root@dev-4-control-plane# kubectl describe svc frontend
Name: frontend
Namespace: default
Type: NodePort
IP Family Policy: SingleStack
IP Families: IPv4
IP: 10.96.48.151
IPs: 10.96.48.151
Port: <unset> 8088/TCP
TargetPort: 80/TCP
NodePort: <unset> 30080/TCP
Endpoints: 10.244.1.9:80,10.244.2.9:80,10.244.3.9:80
Session Affinity: None
External Traffic Policy: Cluster
Events: <none>
root@dev-4-control-plane# kubectl describe deployment frontend
Name: frontend
Namespace: default
CreationTimestamp: Thu, 20 Apr 2023 03:11:12 +0000
Labels: <none>
Annotations: deployment.kubernetes.io/revision: 1
Selector: app=guestbook
Replicas: 3 desired | 3 updated | 3 total | 3 available | 0 unavailable
StrategyType: RollingUpdate
MinReadySeconds: 0
RollingUpdateStrategy: 25% max unavailable, 25% max surge
Pod Template:
Labels: app=guestbook
Containers:
php-redis:
Image: anjia0532/google_samples.gb-frontend:v5
Port: 8081/TCP
Host Port: 9088/TCP
Environment:
GET_HOSTS_FROM: dns
Mounts: <none>
Volumes: <none>
好了,开始进入今天的主题。从上面的内容中可以获取如下信息:
clusterIP: 10.96.48.151
nodeIP: 172.18.0.3\172.18.0.4\172.18.0.5
podIP: 10.244.1.9\10.244.2.9\10.244.3.9
containerPort: 8081(这个端口就是deployment中的port,由于测试中使用的image的问题,apache使用的80端口不可修改,因此这个8081定义实际不起作用)
hostPort:9088(这个端口就是deployment中的port)
servicePort: 8088(service中的port)
TargetPort: 80 (这个端口理论上需要和container保持一致,但因为咱们实验中的镜像使用了不可改的80,因此containerPort不生效,为了不影响测试,这个targetPort直接指向了实际listen的port)
NodePort: 30080
准备好两个客户端,分别为 dev-4-worker3(同集群客户端)、dev-2-worker(异集群客户端),看看他们分别可以通过哪些途径访问pod中的service。验证结果如下,其中同集群客户端有三种方式访问,分别为:podIP+containerPort、nodeIP+nodePort、clusterIP+servicePort,而集群外的客户端只有一种访问方式,即:nodeIP+nodePort。
#dev-4-worker2:
#1、podIP+containerPort: curl http://10.244.1.9:80
#2、nodeIP+nodePort: curl http://172.18.0.3:30080
#3、clusterIP+serviePort: curl http://10.96.48.151:8088
#dev-2-worker:
#1、nodeIP+nodePort: curl http://172.18.0.3:30080
不过大家发现问题没有?我们定义了hostPort,理论上hostPort和nodePort是一致的,但为什么无论集群内外的客户端都无法通过nodeIP+hostPort方式访问呢?看一下iptable信息吧
root@dev-4-worker3:/# iptables -t nat -nvL | grep 9088
0 0 CNI-HOSTPORT-SETMARK tcp -- * * 10.244.1.0/24 0.0.0.0/0 tcp dpt:9088
0 0 CNI-HOSTPORT-SETMARK tcp -- * * 127.0.0.1 0.0.0.0/0 tcp dpt:9088
0 0 DNAT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:9088 to:10.244.1.8:8081
0 0 CNI-DN-ae37526a616fce7a60616 tcp -- * * 0.0.0.0/0 0.0.0.0/0 /* dnat name: "kindnet" id: "d5c4b7e0630bd6419d118eabcefe960976097792ac610eec265eecc691f9087a" */ multiport dports 9088
看到了吗?9088端口的流量被转发给无效containerPort 8081了(说明deployment中的hostPort代理了外部到containerPort的流量),访问自然无法正常。我们修改一下containerPort,看看能否正常访问。
看一下路由表,DNAT成功指向了80端口,再访问一下试试:
root@dev-4-worker3:/# iptables -t nat -nvL | grep 9088
0 0 CNI-HOSTPORT-SETMARK tcp -- * * 10.244.1.0/24 0.0.0.0/0 tcp dpt:9088
0 0 CNI-HOSTPORT-SETMARK tcp -- * * 127.0.0.1 0.0.0.0/0 tcp dpt:9088
0 0 DNAT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:9088 to:10.244.1.8:80
0
路由结果正常了,我们再分别测试一下两个客户端的访问情况:
同集群节点访问
root@dev-4-worker3:/# wget http://172.18.0.3:9088
--2023-04-20 03:13:13-- http://172.18.0.3:9088/
Connecting to 172.18.0.3:9088... connected.
HTTP request sent, awaiting response... 200 OK
成功,再从异集群节点访问看看,
root@dev-2-worker:/# wget http://172.18.0.3:9088
--2023-04-20 03:15:30-- http://172.18.0.3:9088/
Connecting to 172.18.0.3:9088... connected.
HTTP request sent, awaiting response... 200 OK
为什么我们再deployment中定义了containerPort为8081,而实际侦听端口仍旧为80呢?检查一下image文件就可以发现端倪(ExposePorts已经写死了80为服务端口)。
root@dev-4-worker2:/# crictl ps
CONTAINER IMAGE CREATED STATE NAME ATTEMPT POD ID POD
8b328f18c15e7 4ea64ff11cebf About an hour ago Running php-redis 0 11329fb49ffe0 frontend-5b79c8694b-87xnh
52a2ff4407dc2 2355926154447 5 hours ago Running leader 7 d532eeac5a9ee redis-leader-6b57b8f94f-598mp
93d983ce50eee eb3079d47a23a 5 hours ago Running kube-proxy 182 c2c0ac4a7dbff kube-proxy-sbrgc
4106a715cae68 a329ae3c2c52f 5 hours ago Running kindnet-cni 7 aa69fb8caeffe kindnet-qvdcd
root@dev-4-worker2:/# crictl inspecti 4ea64ff11cebf
{
"status": {
"id": "sha256:4ea64ff11cebf416e4a0629549d7f66275b8f1ba8e6dc714e44a1c47241b82d1",
"repoTags": [
"docker.io/anjia0532/google_samples.gb-frontend:v5"
],
......
"imageSpec": {
"created": "2021-12-31T18:54:06.462754392Z",
"architecture": "amd64",
"os": "linux",
"config": {
"ExposedPorts": {
"80/tcp": {}
},
好了,最后对几个port做一下简单的总结,如果错误不吝斧正:
container:containerPort | 容器中服务的listen port,当然这个port能否通过containerPort指定取决与image的写法,比如文中所提写死80的做法,此时containerPort怎么设置都不会生效。 |
service:port | 这个servicePort通常结合clusterIP使用的,用于集群内服务调用,当然集群内互访也可以通过podIP+containerPort、nodeIP+nodePort等方式访问,但这些方式没法做负载均衡和故障恢复透明。 |
service:targetport | 这个需要和container的containerPort保持一致,我们看到service的endpoint列表中使用的是这个端口,如果和container不一致,则数据无法正常理由 |
service:nodePort | 用于提供集群外的客户端访问,通过nodeIP + nodePort即可访问,但更常见的是用于前端的load balancer的服务端点 |
container:hostPort | 这个和nodePort类似,早期k8s中nodePort会在node上起对应的nodePort侦听,而hostPort不会起侦听,不过现在的版本中无论hostPort还是nodePort都是通过ipvs实现端口映射,不会再启用侦听,不知道这两个port概念将来会不会删掉一个。 |