書籍來源：cloudman《每天5分鐘玩轉(zhuǎn)Kubernetes》

一邊學(xué)習(xí)一邊整理老師的課程內(nèi)容及試驗(yàn)筆記，并與大家分享，侵權(quán)即刪，謝謝支持！

Kubernetes采用的是基于扁平地址空間的網(wǎng)絡(luò)模型，集群中的每個(gè)Pod都有自己的IP地址，Pod之間不需要配置NAT就能直接通信。另外，同一個(gè)Pod中的容器共享Pod的IP，能夠通過localhost通信。

這種網(wǎng)絡(luò)模型對(duì)應(yīng)用開發(fā)者和管理員相當(dāng)友好，應(yīng)用可以非常方便地從傳統(tǒng)網(wǎng)絡(luò)遷移到Kubernetes。每個(gè)Pod可被看作是一個(gè)個(gè)獨(dú)立的系統(tǒng)，而Pod中的容器則可被看作同一系統(tǒng)中的不同進(jìn)程。

下面討論在這個(gè)網(wǎng)絡(luò)模型下集群中的各種實(shí)體如何通信。知識(shí)點(diǎn)前面都已經(jīng)涉及，這里可當(dāng)作復(fù)習(xí)和總結(jié)。

當(dāng)Pod被調(diào)度到某個(gè)節(jié)點(diǎn)，Pod中的所有容器都在這個(gè)節(jié)點(diǎn)上運(yùn)行，這些容器共享相同的本地文件系統(tǒng)、IPC和網(wǎng)絡(luò)命名空間。

不同Pod之間不存在端口沖突的問題，因?yàn)槊總€(gè)Pod都有自己的IP地址。當(dāng)某個(gè)容器使用localhost時(shí)，意味著使用的是容器所屬Pod的地址空間。

比如Pod A有兩個(gè)容器container-A1和container-A2，container-A1在端口1234上監(jiān)聽，當(dāng)container-A2連接到localhost:1234時(shí)，實(shí)際上就是在訪問container-A1。這不會(huì)與同一個(gè)節(jié)點(diǎn)上的Pod B沖突，即使Pod B中的容器container-B1也在監(jiān)聽1234端口。

Pod的IP是集群可見的，即集群中的任何其他Pod和節(jié)點(diǎn)都可以通過IP直接與Pod通信，這種通信不需要借助任何網(wǎng)絡(luò)地址轉(zhuǎn)換、隧道或代理技術(shù)。Pod內(nèi)部和外部使用的是同一個(gè)IP，這也意味著標(biāo)準(zhǔn)的 命名服務(wù)和發(fā)現(xiàn)機(jī)制，比如DNS可以直接使用。

Pod間可以直接通過IP地址通信，但前提是Pod知道對(duì)方的IP。在Kubernetes集群中，Pod可能會(huì)頻繁地銷毀和創(chuàng)建，也就是說Pod的IP不是固定的。為了解決這個(gè)問題，Service提供了訪問Pod的抽象層。無論后端的Pod如何變化，Service都作為穩(wěn)定的前端對(duì)外提供服務(wù)。同時(shí)，Service還提供了高可用和負(fù)載均衡功能，Service負(fù)責(zé)將請(qǐng)求轉(zhuǎn)發(fā)給正確的Pod。

無論是Pod的IP還是Service的Cluster IP，它們只能在Kubernetes集群中可見，對(duì)集群之外的世界，這些IP都是私有的。

Kubernetes提供了兩種方式讓外界能夠與Pod通信：

• NodePort。Service通過Cluster節(jié)點(diǎn)的靜態(tài)端口對(duì)外提供服務(wù)。 外部可以通過:訪問Service。
• LoadBalancer。Service利用cloud provider提供的load balancer對(duì)外提供服務(wù)，cloud provider負(fù)責(zé)將load balancer的流量導(dǎo)向Service。目前支持的cloud provider有GCP、AWS、 Azure等。