第7章 K8s网络模型与服务发现

第7章K8s网络模型与服务发现云原生架构师实战课资深云原生架构师CONTENTS01.K8s网络模型：每个Pod一个独立IP02.Service详解：稳定的服务访问入口03.Ingress：HTTP/HTTPS路由与负载均衡04.CNI插件：网络的实现者05.实战案例：微服务间的通信与路由06.常见问题与最佳实践07.课后实操任务：配置Service与IngressK8s网络模型：一个扁平的网络世界独立IP原则每个Pod拥有独立IP，内部容器共享同一个网络命名空间，实现localhost通信。扁平通信原则Pod间可直接通信，无论位于哪个Node，均通过PodIP直连，无需NAT转换。外部访问机制通过NodePort、LoadBalancer或Ingress等Service机制实现Pod与外部网络的通信。Service：为动态的Pod提供稳定的访问入口为什么需要Service?Pod生命周期短暂：频繁创建和销毁，IP动态变化直接访问不可靠：客户端无法依赖变化的PodIP进行通信Service的核心作用稳定入口：提供固定的ClusterIP和DNS名称负载均衡：自动分发流量到后端多个Pod副本服务发现：通过标签选择器动态关联后端PodService类型：满足不同的访问需求Service类型主要特征访问方式适用场景ClusterIP仅在集群内部可见的虚拟IP集群内Pod/节点访问集群内部微服务通信NodePort在每个节点上开放静态端口<NodeIP>:<NodePort>集群外部访问（测试环境）LoadBalancer利用云厂商的负载均衡器云厂商分配的外部IP生产环境外部访问服务ExternalName映射到集群外部的DNS名称DNSCNAME记录访问集群外部的服务Service提供了一个稳定的入口，通过标签选择器动态关联Pod，确保服务发现的可靠性。Ingress：HTTP/HTTPS的智能路由什么是Ingress？K8s中的API对象，用于管理集群外部对Service的HTTP/HTTPS访问。提供基于主机名和路径的路由规则，实现流量转发。Ingress与Service的区别Service工作在四层(TCP/UDP)，提供IP/端口负载均衡。Ingress工作在七层(HTTP/HTTPS)，由IngressController实现。Ingress实战：多域名与路径路由基于域名的路由(Name-Based)将的请求路由到service-a将的请求路由到service-b基于路径的路由(Path-Based)将/app1路由到service-app1将/app2路由到service-app2主流CNI插件原理简析什么是CNI?CNI(ContainerNetworkInterface)是容器网络的标准化接口，定义了容器运行时与网络插件的交互规范。Flannel(VXLAN)通过VXLAN隧道封装跨节点的Pod流量，实现Pod间通信，配置简单。Calico(BGP)利用BGP协议交换路由信息，直接路由流量，无需封装，性能更高。架构对比：FlannelVXLAN模式vsCalicoBGP模式实战案例：电商系统的网络通信设计案例背景系统包含用户服务、订单服务和前端服务，采用微服务架构设计。内部服务通信User与Order服务通过ClusterIPService实现内部安全高效的互相访问。外部流量接入通过Ingress暴露Frontend服务，将域名请求路由至后端。系统网络架构图避坑指南：常见问题与最佳实践Pod无法访问Service原因：标签选择器不匹配；网络策略阻止访问。排查：kubectlgetservice<name>-owide(检查Endpoints)外部无法访问Ingress原因：IngressController未部署；hosts配置错误。排查：kubectlgetpods-n<ns>(检查控制器状态)最佳实践：合理选择Service类型内部服务通信优先使用ClusterIP。生产环境外部访问推荐Ingress+LoadBalancer。最佳实践：使用网络策略(NetworkPolicy)在生产环境中，必须配置NetworkPolicy。严格限制Pod和Service之间的访问权限，最小化攻击面。课后实操：配置Service与Ingress任务目标部署Nginx和Httpd两个Web应用为每个应用创建ClusterIPService创建Ingress资源实现基于路径的路由验证配置是否生效操作步骤1编写并应用两个Deployment的YAML文件2编写并应用两个Service的YAML文件3编写并应用Ingress的YAML文件4获取Ingress的IP地址5使用curl命令验证不同路径访问评判标准成功部署两个Web应用及其对应的ServiceIngress资源创建成功且路由规则配置正确通过IngressIP和不同路径可访问对应应用本章总结：K8s网络核心回顾K8s网络模型核心原则是每个Pod拥有独立IP，Pod间可直接通信，无需NAT转换。Service服务发现为动态的Pod提供稳定的访问入口和负载均衡，通过标签选择器动态关联后端Pod。Ingress七层路由工作在应用层（L7），提供基于域名和URL路径的HTTP/HTTPS流量路由转发。CNI容器网络