AWS EKS Service与Ingress网络流向小记

AWS EKS Service与Ingress网络流向小记前言ServiceClusterIPNodePortLoadBalancer不加annotation默认创建的是CLB(Classic Load Balancer)annotation为nlb则创建NLB instance模式（Network Load Balancer）annotation为nlb-ip则创建NLB ip模式（Networ

qq_道可道

1560人浏览 · 2022-03-14 10:40:24

qq_道可道 · 2022-03-14 10:40:24 发布

AWS EKS Service与Ingress网络流向小记

前言
Service
Ingress

前言

K8S Service主要负责集群内访问，Ingress负责外网流量（7层）。本文主要记录网络流向，便于业务选型

Service

ClusterIP

source pod — > VIP ClusterIP（iptables规则、本机与跨主机在规则上有点区别） ----> dest pods

NodePort

client —> Node上的kube-proxy(port) —> ClusterIP（iptables规则）—> dest pods

LoadBalancer

不加annotation默认创建的是CLB(Classic Load Balancer)

client —> CLB —> Node上的kube-proxy(port) —> ClusterIP（iptables规则） —> dest pods

---
apiVersion: v1
kind: Service
metadata:
  name: nginx-service-lb
  namespace: net-test
#There is no any annotation
spec:
  type: LoadBalancer
  selector:
    app: nginx-net
  ports:
    - protocol: TCP
      port: 8080
      targetPort: 80

annotation为nlb则创建NLB instance模式（Network Load Balancer）

client —> NLB（instance） —> Node上的kube-proxy(port) —> ClusterIP（iptables规则） —> dest pods

---
apiVersion: v1
kind: Service
metadata:
  name: nginx-service-lb-2
  namespace: net-test
 #There is an important annotation
  annotations:
    service.beta.kubernetes.io/aws-load-balancer-type: nlb
spec:
  type: LoadBalancer
  selector:
    app: nginx-net
  ports:
    - protocol: TCP
      port: 8080
      targetPort: 80

annotation为nlb-ip则创建NLB ip模式（Network Load Balancer）

client —> NLB（ip） —> dest pods
这里是直接将数据包发到pod的ip地址，而且pod也是从VPC CIDR中分配 IP 地址，直接arp获得pod对应的内网ip地址的mac，流量就直接转到承载此pod的node上

---
apiVersion: v1
kind: Service
metadata:
  name: nginx-service-lb-3
  namespace: net-test
 #There is an important annotation
  annotations:
    service.beta.kubernetes.io/aws-load-balancer-type: nlb-ip
spec:
  type: LoadBalancer
  selector:
    app: nginx-net
  ports:
    - protocol: TCP
      port: 8080
      targetPort: 80

小记

本质上NLB instance模式和CLB没有本质区别，网络流量完全相同，均需要将流量先转发到Node port。但是使用NLB ip模式则可以跨过ClusterIP流量直达pod,因此可以通过此模式获取client真实ip地址。

Ingress

client —> ALB（ip） —> dest pods
ingress负责7层协议http/https的转发，通过AWS默认创建的是ALB，通过如下配置可以看到，流量是导到Service ClusterIP。但是因为其也开启了ip模式（target-type: ip ），因此其流量也是跨过Service ClusterIP 直达pod。

---
apiVersion: v1
kind: Service
metadata:
  name: nginx-service-clusterip
  namespace: net-test
spec:
  type: ClusterIP
  selector:
    app: nginx-net
  ports:
    - protocol: TCP
      port: 8080
      targetPort: 80
---
apiVersion: networking.k8s.io/v1beta1
kind: Ingress
metadata:
  namespace: net-test
  name: nginx-ingress
  annotations:
    kubernetes.io/ingress.class: alb
    alb.ingress.kubernetes.io/scheme: internet-facing
    alb.ingress.kubernetes.io/target-type: ip
spec:
  rules:
    - http:
        paths:
          - path: /*
            backend:
              serviceName: nginx-service-clusterip
              servicePort: 8080

参考文档
https://aws.amazon.com/cn/blogs/china/in-depth-analysis-and-research-on-service-and-ingress-in-amazon-eks/?nc1=h_ls

K8S/Kubernetes

K8S/Kubernetes社区为您提供最前沿的新闻资讯和知识内容

更多推荐

【深度】阿里巴巴万级规模 K8s 集群全局高可用体系之美

作者 | 韩堂、柘远、沉醉来源 | 阿里巴巴云原生公众号前言台湾作家林清玄在接受记者采访的时候，如此评价自己 30 多年写作生涯：“第一个十年我才华横溢，‘贼光闪现’，令周边黯然失色；第二个十年，我终于‘宝光现形’，不再去抢风头，反而与身边的美丽相得益彰；进入第三个十年，繁华落尽见真醇，我进入了‘醇光初现’的阶段，真正体味到了境界之美”。长夜有穷，真水无香。领略过了 K8s“身在江

K8S/Kubernetes

如何基于 K8s 构建下一代 DevOps 平台？

作者 | 孙健波（天元）导读：当前云原生 DevOps 体系现状如何？面临哪些挑战？如何通过 OAM 解决云原生 DevOps 场景下的诸多问题？云原生开发应用模型 OAM(Open Application Model) 社区核心成员孙健波将为大家一一解答，并分享如何基于 OAM 和 Kubernetes 打造无限能力的下一代 DevOps 平台。什么是 DevOps？为什么基于 Kub