Thank you for reading this post, don't forget to subscribe!

Для сете­во­го вза­и­мо­дей­ствия Kubernetes предо­став­ля­ет четы­ре типа Service-ресур­сов — ClusterIP (дефолт­ный), NodePort, LoadBalancer и ExternalName, плюс ресурс Ingress.

Подготовка

Для тестов созда­дим деп­лой­мент с подом, в кото­ром запу­стим кон­тей­нер с NGINX, кото­рый будет при­ни­мать под­клю­че­ния на порт 80:

Т.к. Service будут искать поды по их лей­б­лам — про­ве­рим, какие теги созда­ны для подов это­го деплоймента:

Окей — тег app, зна­че­ние nginx — запом­ним его.

kubectl port-forward

Что бы убе­дить­ся, что наш под при­ни­ма­ет под­клю­че­ния на порт 80 — исполь­зу­ем kubectl port-forward. После того, как будем точ­но знать, что у само­го пода с сетью всё в поряд­ке — мож­но будет настра­и­вать сеть со сто­ро­ны Kubernetes.

Нахо­дим имя пода:

С локаль­ной маши­ны про­ве­ря­ем доступ к NGINX в Kubernetes:

Окей, теперь, когда у нас есть рабо­та­ю­щий под — посмот­рим, как к нему мож­но полу­чить доступ через Service объ­ек­ты Kubernetes.

 

Типы Service — обзор

Рас­смот­рим типы крат­ко, а потом перей­дём к примерам:

1. ClusterIP: дефолт­ный тип, созда­ёт сер­вис с IP из пула внут­рен­них адре­сов кла­сте­ра, такой сер­вис будет досту­пен толь­ко внут­ри кла­сте­ра (либо через kube-proxy)
2. NodePort: откры­ва­ет TCP порт на каж­дой WorkerNode EС2, “за ним” авто­ма­том созда­ёт ClusterIP Service, и роутит тра­фик с пор­та ЕС2 на этот ClusterIP — такой сер­вис будет досту­пен из мира (если EC2 име­ют пуб­лич­ные адре­са), либо толь­ко внут­ри VPC
3. LoadBalancer: созда­ёт внеш­ний Load Balancer (AWS Classic LB), “за ним” авто­ма­том созда­ёт NodePort, за ним авто­ма­том ClusterIP, и таким обра­зом роутит тра­фик от Load Balancer к поду в кластере
4. ExternalName: что-то вро­де “DNS-прок­си” — в ответ на обра­ще­ние к тако­му сер­ви­су через CNAME вер­нёт зна­че­ние, задан­ное в externalName

ClusterIP

Самый про­стой тип, исполь­зу­ет­ся по-умолчанию.

Откры­ва­ет доступ к при­ло­же­нию внут­ри кла­сте­ра, без досту­па из мира.

Мож­но исполь­зо­вать для, напри­мер, для досту­па к систе­ме кеши­ро­ва­ния, кото­рая будет доступ­на дру­гим подам в нейм­с­пей­се кластера.

Исполь­зу­ем такой манифест:

[codesyntax lang="php"]

[/codesyntax]

Созда­ём сервис:

Про­ве­ря­ем:

Пара­метр nodePort тут опци­о­на­лен, добав­лен для при­ме­ра. Если его не ука­зать — Kubernetes выде­лит порт из диа­па­зо­на 30000-32767.

Обнов­ля­ем сервис:

Про­ве­ря­ем:

И про­ве­ря­ем порт на самом ЕС2-инстансе:

Оче­вид­но, что если WorkerNodes живут в при­ват­ных сетях, и к ним нет досту­па из мира — то вы не смо­же­те исполь­зо­вать такой сер­вис для работы.

Но вы може­те полу­чить доступ к наше­му NGINX из этой под­се­ти, напри­мер с Bastion-хоста:

Итак, NodePort:

• при­вя­зан к кон­крет­но­му сер­ве­ру, напри­мер ЕС2
• если сер­вер не досту­пен из мира — оче­вид­но, что не обес­пе­чит доступ к подам из мира
• полу­ча­ет IP из бло­ка адре­сов, выде­лен­ных про­вай­де­ром, напри­мер — VPC CIDR
• обес­пе­чи­ва­ет доступ к подам толь­ко на кон­крет­ной ноде

 

LoadBalancer

Наи­бо­лее часто исполь­зу­е­мый тип сервиса.

В слу­чае с AWS — создаст AWS Load Balancer, по-умол­ча­нию Classic, кото­рый будет прок­си­ро­вать запро­сы на ЕС2-инстан­сы TargetGroup, и на них, через NodePort Service, в поды.

На таком Load Balancer вы може­те исполь­зо­вать TLS, менять его тип — Internal/External, и т.д, см. Other ELB annotations.

Обнов­ля­ем мани­фест сервиса:

[codesyntax lang="php"]

[/codesyntax]

При­ме­ня­ем:

Ждём пару минут, пока обно­вит­ся ДНС — и про­ве­ря­ем URL балансировщика:

Чего не поз­во­ля­ет такой тип сер­ви­са — так это исполь­зо­вать какие-то пра­ви­ла роутин­га, см. Application Load Balancer vs. Classic Load Balancer.

Соб­ствен­но для того, что бы полу­чить все воз­мож­но­сти AWS Application Load Balancer — исполь­зу­ем ещё один тип ресур­са Kubernetes — Ingress, о нём — в Ingress.

Итак, LoadBalancer:

• обес­пе­чи­ва­ет посто­ян­ный доступ к Сер­ви­су из мира
• обес­пе­чи­ва­ет балан­си­ров­ку запро­сов к подам на раз­ных EC2
• даёт воз­мож­ность исполь­зо­ва­ния TLS/SSL
• не под­дер­жи­ва­ет Level-7 роутинг

ExternalName

Ещё один тип сер­ви­са — ExternalName, кото­рый при обра­ще­нии к нему пере­на­пра­вит запрос на домен, ука­зан­ный в пара­мет­ре externalName:

[codesyntax lang="php"]

[/codesyntax]

Созда­ём:

Про­ве­ря­ем сервис:

И про­ве­рим его рабо­ту — зай­дём в наш под с NGINX, и выпол­ним dig:

Тут мы обра­ща­ем­ся к локаль­но­му DNS-име­ни сер­ви­са google-service, кото­рое раз­ре­золви­лось в IP доме­на google.com, кото­рое мы ука­за­ли в нашем externalName.

Ingress

По сути, Ingress не явлет­ся отдель­ным сер­ви­сом — он про­сто опи­сы­ва­ет набор пра­вил, по кото­рым Ingress Controller выпол­ня­ет дей­ствия по созда­нию Load Balancer, Listeners, и пра­ви­ла роутин­га для них.

В слу­чае с AWS это будет ALB Ingress Controller — см. ALB Ingress Controller on Amazon EKS и AWS Elastic Kubernetes Service: запуск ALB Ingress controller.

При этом для Ingress тре­бу­ет­ся свя­зан­ный с ним Service, на кото­рый Ingress будет пере­на­прав­лять тра­фик — его backend.

Для ALB Ingress Controller мани­фест с Ingress и свя­зан­ный с ним Service будут выгля­деть так:

[codesyntax lang="php"]

[/codesyntax]

Тут мы созда­ём Service типа NodePort, и Ingress с типом ALB.

Kubernetes создаст Ingress объ­ект, его уви­дит alb-ingress-controller, запу­стит созда­ние AWS ALB с пра­ви­ла­ми роутин­га, опи­сан­ны­ми в spec наше­го Ingress, создаст Service объ­ект типа NodePort, откро­ет на WorkeNodes TCP-пор­ты, и нач­нёт реди­рек­тить тра­фик от кли­ен­тов — через балан­си­ров­щик — на NodePort EC2 — через Service — к подам.

Про­ве­рим.

Сер­вис:

Ingress:

И URL это­го балансировщика:

Path-based routing

В при­ме­ре выше мы роутим весь тра­фик с наше­го ALB на еди­ный Service и его поды.

Исполь­зуя Ingress и его пра­ви­ла — мы можем опи­сать пове­де­ние опре­де­ля­ю­щее на какой бекенд-Service пере­на­прав­лять тра­фик в зави­си­мо­сти от, напри­мер, URI запроса.

Запу­стим два NGINX: