服務、負載均衡和網路

Kubernetes 網路模型

Kubernetes 網路模型由以下幾個部分組成：

• 叢集中的每個Pod都有自己獨特的叢集範圍 IP 地址。

  • Pod擁有自己的私有網路名稱空間，該名稱空間由Pod中的所有容器共享。在同一個Pod中不同容器中執行的程序可以透過`localhost`相互通訊。

• Pod網路（也稱為叢集網路）處理Pod之間的通訊。它確保（排除有意分割網路的情況）：

  • 所有 Pod 都可以與其他所有 Pod 通訊，無論它們是在同一節點上還是在不同節點上。Pod 可以直接相互通訊，無需使用代理或地址轉換 (NAT)。

    在 Windows 上，此規則不適用於主機網路 Pod。

  • 節點上的代理（例如系統守護程序或 kubelet）可以與該節點上的所有 Pod 通訊。

• Service API 允許你為由一個或多個後端 Pod 實現的服務提供一個穩定的（長期存在的）IP 地址或主機名，其中組成服務的單個 Pod 可能會隨時間而變化。

  • Kubernetes 自動管理 EndpointSlice 物件，以提供當前支援 Service 的 Pod 資訊。

  • 服務代理實現監視 Service 和 EndpointSlice 物件的集合，並透過使用作業系統或雲提供商 API 來攔截或重寫資料包，從而程式設計資料平面以將服務流量路由到其後端。

• Gateway API（或其前身Ingress）允許您讓叢集外部的客戶端訪問服務。

  • 當使用受支援的雲提供商時，Service API 的`type: LoadBalancer`提供了一種更簡單但可配置性較低的叢集入口機制。

• NetworkPolicy是 Kubernetes 內建的 API，允許您控制 Pod 之間或 Pod 與外部世界之間的流量。

在較舊的容器系統中，不同主機上的容器之間沒有自動連線，因此通常需要顯式地在容器之間建立連結，或者將容器埠對映到主機埠以使其可被其他主機上的容器訪問。這在 Kubernetes 中不需要；Kubernetes 的模型是，從埠分配、命名、服務發現、負載均衡、應用程式配置和遷移的角度來看，Pod 可以像虛擬機器或物理主機一樣處理。

此模型中只有少數部分由 Kubernetes 本身實現。對於其他部分，Kubernetes 定義了 API，但相應的功能由外部元件提供，其中一些是可選的。

• Pod 網路名稱空間設定由實現容器執行時介面的系統級軟體處理。

• Pod 網路本身由Pod 網路實現管理。在 Linux 上，大多數容器執行時使用容器網路介面 (CNI)與 Pod 網路實現進行互動，因此這些實現通常被稱為_CNI 外掛_。

• Kubernetes 提供了一個服務代理的預設實現，稱為kube-proxy，但一些 Pod 網路實現則使用自己的服務代理，該代理與實現的其他部分更緊密整合。

• NetworkPolicy 通常也由 Pod 網路實現來實施。（一些更簡單的 Pod 網路實現不支援 NetworkPolicy，或者管理員可能會選擇在沒有 NetworkPolicy 支援的情況下配置 Pod 網路。在這些情況下，API 仍然存在，但不會產生任何效果。）

• Gateway API有許多實現，其中一些特定於特定的雲環境，一些更側重於“裸機”環境，還有一些更通用。

下一步

透過使用服務連線應用程式教程，您可以透過動手示例瞭解服務和 Kubernetes 網路。

叢集網路解釋瞭如何為您的叢集設定網路，並提供了所涉及技術的概述。