Kube-Proxy簡述

參考文獻：
https://ywnz.com/linuxyffq/2530.html

運行在每個節(jié)點上，監(jiān)聽 API Server 中服務(wù)對象的變化，再通過管理 IPtables 來實現(xiàn)網(wǎng)絡(luò)的轉(zhuǎn)發(fā)
Kube-Proxy 目前支持三種模式：

• UserSpace
  • k8s v1.2 后就已經(jīng)淘汰
• IPtables
  • 目前默認方式
• IPVS
  • 需要安裝ipvsadm、ipset 工具包和加載 ip_vs 內(nèi)核模塊

下面我們來說說這幾種模式的異同：

1、UserSpace

UserSpace 是讓 Kube-Proxy 在用戶空間監(jiān)聽一個端口，所有的 Service 都轉(zhuǎn)發(fā)到這個端口，然后 Kube-Proxy 在內(nèi)部應(yīng)用層對其進行轉(zhuǎn)發(fā)。

image

2、Iptables

IPtables 方式完全由 IPtables 來實現(xiàn)，這種方式直接使用 IPtables 來做用戶態(tài)入口，而真正提供服務(wù)的是內(nèi)核的 Netilter。
Kube-Proxy 只作為 Controller，這也是目前默認的方式。

Kube-Proxy 的 IPtables 方式也是支持 Round Robin 和 Session Affinity 特性。

image

Kube-Proxy 監(jiān)聽 Kubernetes Master 增加和刪除 Service 以及 Endpoint 的消息。對于每一個 Service，Kube Proxy 創(chuàng)建相應(yīng)的 IPtables 規(guī)則，并將發(fā)送到 Service Cluster IP 的流量轉(zhuǎn)發(fā)到 Service 后端提供服務(wù)的 Pod 的相應(yīng)端口上。
注：
雖然可以通過 Service 的 Cluster IP 和服務(wù)端口訪問到后端 Pod 提供的服務(wù)，但該 Cluster IP 是 Ping 不通的。
其原因是 Cluster IP 只是 IPtables 中的規(guī)則，并不對應(yīng)到一個任何網(wǎng)絡(luò)設(shè)備。
IPVS 模式的 Cluster IP 是可以 Ping 通的。

image

3、IPVS

Kubernetes 從 1.8 開始增加了 IPVS 支持，IPVS 相對 IPtables 效率會更高一些。
使用 IPVS 模式需要在運行 Kube-Proxy 的節(jié)點上安裝 ipvsadm、ipset 工具包和加載 ip_vs 內(nèi)核模塊。

當 Kube-Proxy 以 IPVS 代理模式啟動時，Kube-Proxy 將驗證節(jié)點上是否安裝了 IPVS 模塊，如果未安裝，則 Kube-Proxy 將回退到 IPtables 代理模式。

image

這種模式，Kube-Proxy 會監(jiān)視 Kubernetes Service 對象 和 Endpoints，調(diào)用 Netlink 接口以相應(yīng)地創(chuàng)建 IPVS 規(guī)則并定期與 Kubernetes Service 對象 和 Endpoints 對象同步 IPVS 規(guī)則，以確保 IPVS 狀態(tài)與期望一致。訪問服務(wù)時，流量將被重定向到其中一個后端 Pod。

與 IPtables 類似，IPVS 基于 Netfilter 的 Hook 功能，但使用哈希表作為底層數(shù)據(jù)結(jié)構(gòu)并在內(nèi)核空間中工作。這意味著 IPVS 可以更快地重定向流量，并且在同步代理規(guī)則時具有更好的性能。此外，IPVS 為負載均衡算法提供了更多選項，例如：rr (輪詢調(diào)度)、lc (最小連接數(shù))、dh (目標哈希)、sh (源哈希)、sed (最短期望延遲)、nq(不排隊調(diào)度)等。

注：
IPVS 是 LVS 項目的一部分，是一款運行在 Linux Kernel 當中的 4 層負載均衡器，性能異常優(yōu)秀。使用調(diào)優(yōu)后的內(nèi)核，可以輕松處理每秒 10 萬次以上的轉(zhuǎn)發(fā)請求。
目前在中大型互聯(lián)網(wǎng)項目中，IPVS 被廣泛的用于承接網(wǎng)站入口處的流量。