服務、負載平衡與網路

Kubernetes 網路模型

Kubernetes 網路模型由幾個部分組成

• 叢集中的每個 pod 都有其自己唯一的叢集範圍 IP 位址。

  • pod 有其自己的私有網路命名空間，由 pod 內的所有容器共用。在相同 pod 中不同容器內執行的程序可以使用 localhost 互相通訊。

• pod 網路（也稱為叢集網路）處理 pod 之間的通訊。它確保（除非有意的網路分段）

  • 所有 pod 都可以與所有其他 pod 通訊，無論它們是在相同的 節點 或不同的節點上。Pod 可以直接互相通訊，而無需使用代理或位址轉譯 (NAT)。

    在 Windows 上，此規則不適用於 host-network pod。

  • 節點上的代理程式（例如系統常駐程式或 kubelet）可以與該節點上的所有 pod 通訊。

• 服務 API 可讓您為由一個或多個後端 pod 實作的服務提供穩定（長期存在）的 IP 位址或主機名稱，其中組成服務的個別 pod 可能會隨時間變更。

  • Kubernetes 自動管理 EndpointSlice 物件，以提供有關目前支援服務的 pod 資訊。

  • 服務代理實作會監控服務與 EndpointSlice 物件的集合，並程式化資料平面以將服務流量路由至其後端，方法是使用作業系統或雲端供應商 API 來攔截或重寫封包。

• 閘道 API（或其前身 Ingress）可讓您讓叢集外部的用戶端可以存取服務。

  • 當使用支援的 雲端供應商 時，叢集 Ingress 的一種更簡單但較不具組態彈性的機制是透過服務 API 的 type: LoadBalancer 提供。

• 網路策略 是一種內建的 Kubernetes API，可讓您控制 pod 之間或 pod 與外部世界之間的流量。

在較舊的容器系統中，不同主機上的容器之間沒有自動連線能力，因此通常需要明確地在容器之間建立連結，或將容器連接埠對應到主機連接埠，以使其可由其他主機上的容器存取。這在 Kubernetes 中是不需要的；Kubernetes 的模型是，從連接埠分配、命名、服務探索、負載平衡、應用程式組態與移轉的角度來看，pod 可以被視為非常像 VM 或實體主機。

此模型只有少數部分是由 Kubernetes 本身實作的。對於其他部分，Kubernetes 定義了 API，但對應的功能是由外部元件提供，其中有些是選用的

• pod 網路命名空間設定由實作 容器執行期介面 的系統級軟體處理。

• pod 網路本身由 pod 網路實作 管理。在 Linux 上，大多數容器執行期都使用 容器網路介面 (CNI) 與 pod 網路實作互動，因此這些實作通常稱為CNI 外掛程式。

• Kubernetes 提供名為 kube-proxy 的預設服務代理實作，但有些 Pod 網路實作改為使用他們自己的服務代理，這些代理與實作的其他部分整合得更緊密。

• NetworkPolicy 通常也是由 Pod 網路實作所實作。（有些較簡單的 Pod 網路實作不實作 NetworkPolicy，或者管理員可能會選擇在沒有 NetworkPolicy 支援的情況下配置 Pod 網路。在這些情況下，API 仍然會存在，但不會有任何作用。）

• Gateway API 有許多 實作方式，其中一些是特定於特定雲端環境，有些更側重於「裸機」環境，其他則更通用。

接下來

「使用服務連接應用程式」教學課程讓您可以透過實作範例來學習服務和 Kubernetes 網路功能。

「叢集網路」說明如何為您的叢集設定網路，並概述所涉及的技術。