深入理解 Kubernetes 服务与网络：基于 girus-cli 的实践指南

深入理解 Kubernetes 服务与网络：基于 girus-cli 的实践指南

概述

在 Kubernetes 生态系统中，服务(Service)和网络(Networking)是构建可靠分布式应用的核心组件。本文将通过 girus-cli 项目中的 Kubernetes 服务与网络实验配置，深入解析这些关键概念的实际应用。

实验环境准备

实验使用 linuxtips/girus-devops:0.1 镜像作为基础环境，这是一个专为 DevOps 实践设计的容器镜像，预装了 Kubernetes 相关工具。实验设置为特权模式(privileged: true)，确保能够执行所有必要的网络操作。

实验内容详解

1. 创建基础服务

实验首先引导用户创建一个简单的 Deployment 作为测试基础：

kubectl create deployment web-app --image=nginx:1.21

这个命令会创建一个名为 web-app 的 Deployment，使用 nginx:1.21 镜像。Deployment 是 Kubernetes 中管理 Pod 副本的推荐方式。

接下来创建最基本的 ClusterIP 类型 Service：

kubectl expose deployment web-app --port=80 --target-port=80 --name=web-service

ClusterIP 是默认的 Service 类型，它为 Pod 集合提供一个内部集群 IP 地址，使集群内部的其他组件能够访问这些 Pod。

2. 探索不同类型的 Service

Kubernetes 提供了多种 Service 类型以满足不同场景需求：

NodePort Service:

kubectl expose deployment web-app --port=80 --target-port=80 --name=web-nodeport --type=NodePort

NodePort 在 ClusterIP 基础上，在每个节点上开放一个静态端口(NodePort)，外部流量可以通过 <NodeIP>:<NodePort> 访问服务。

LoadBalancer Service:

kubectl expose deployment web-app --port=80 --target-port=80 --name=web-lb --type=LoadBalancer

LoadBalancer 是 NodePort 的扩展，在云环境中会自动配置外部负载均衡器，将流量引导到各节点的 NodePort。

3. DNS 与网络测试

Kubernetes 内置了 DNS 服务，为 Service 和 Pod 提供名称解析。实验通过以下步骤验证这一功能：

1. 创建测试 Pod:

kubectl run test-pod --image=busybox -- sleep 3600

2. 测试 DNS 解析:

kubectl exec test-pod -- nslookup web-service

3. 验证网络连通性:

kubectl exec test-pod -- wget -O- web-service

这些命令验证了：

• Service 名称自动注册到集群 DNS
• 通过 Service 名称可以正确解析到 ClusterIP
• 从 Pod 内部可以成功访问 Service

核心概念解析

Service 工作原理

Service 通过标签选择器(Label Selector)关联一组 Pod，作为这些 Pod 的稳定访问端点。即使 Pod IP 发生变化，Service IP 和 DNS 名称保持不变。

三种 Service 类型对比

1. ClusterIP:

   • 仅集群内部可访问
   • 默认类型
   • 适用于内部服务通信

2. NodePort:

   • 在 ClusterIP 基础上增加节点端口
   • 端口范围默认 30000-32767
   • 适用于开发测试或需要直接节点访问的场景

3. LoadBalancer:

   • 在 NodePort 基础上集成云提供商负载均衡器
   • 自动分配外部 IP
   • 适用于生产环境外部访问

Kubernetes DNS 机制

Kubernetes DNS 服务(通常是 CoreDNS)为以下资源提供名称解析：

• Service: <service-name>.<namespace>.svc.cluster.local
• Pod: <pod-ip>.<namespace>.pod.cluster.local (需要启用)

最佳实践建议

1. 命名规范:

   • 使用有意义的 Service 名称
   • 保持名称与关联 Deployment 一致

2. 端口配置:

   • 明确区分 port(Service 端口)和 targetPort(Pod 端口)
   • 避免使用默认端口号

3. 生产环境考虑:

   • 优先使用 Ingress 而非直接暴露 LoadBalancer
   • 为关键服务配置健康检查
   • 考虑 NetworkPolicy 实现网络隔离

常见问题排查

1. Service 无法访问:

   • 检查端点: kubectl get endpoints <service-name>
   • 验证标签选择器匹配
   • 检查网络策略限制

2. DNS 解析失败:

   • 确认 CoreDNS Pod 运行正常
   • 检查 resolv.conf 配置
   • 测试直接使用 ClusterIP 访问

3. NodePort 不可用:

   • 确认节点防火墙规则
   • 检查端口冲突
   • 验证 kube-proxy 运行状态

总结

通过 girus-cli 提供的这个实验，我们系统性地学习了 Kubernetes 服务与网络的核心概念。从基础的 ClusterIP 服务创建，到更复杂的 NodePort 和 LoadBalancer 配置，再到集群内部 DNS 解析验证，这些实践帮助我们深入理解了 Kubernetes 如何管理服务发现和网络通信。

掌握这些知识对于构建可靠、可扩展的 Kubernetes 应用至关重要。建议读者在完成基础实验后，进一步探索 Ingress、NetworkPolicy 等高级网络功能，以构建更安全、更灵活的应用架构。