【Kubernetes Pod间通信-第3篇】Kubernetes中Pod与ClusterIP服务之间的通信

引言

我们之前了解了在不同场景下，Kubernetes中Pod之间的通信是如何路由的。

• 【Kubernetes Pod间通信-第1篇】在单个子网中使用underlay网络实现Pod到Pod的通信
• 【Kubernetes Pod间通信-第2篇】使用BGP实现Pod到Pod的通信

现在，我们来看看在集群中，Pod与服务之间的通信是如何管理的，这里仍使用Calico作为容器网络接口（CNI）。在本文中，我们只探讨集群内部的通信，与外部世界的通信留到下次讨论。

服务到Pod的转换可以通过不同方式实现，我们将了解Linux系统中的三种主要情况：使用kube-proxy配置iptables或IPVS数据平面，以及最终无需iptables的eBPF。

本文的目的并非选择管理服务的最佳模式，而是获取关于如何配置它们以及它们如何工作的基础知识。为此，我们将使用TCPDUMP和Wireshark来观察数据包，使用iptables、ipvsadm或calico-node-bpf来查看相关表。

前置条件

进行本实验需要具备Kubernetes、kubectl和网络协议的基本经验。我们将使用一个现有的两节点Kubernetes集群，版本为1.31，使用Calico作为已安装的CNI。CNI安装方法在这篇文章的案例3中 ——【Kubernetes Pod间通信-第1篇】在单个子网中使用underlay网络实现Pod到Pod的通信。

创建ClusterIP服务

首先，我们创建一个部署，其中包含两个httpd镜像的副本，以及一个使用alpine镜像的Pod，用于访问Web服务器工作负载。

k run pod-alpine --image alpine -- sleep 1d
k create deploy monwebserver --replicas 2 --image httpd

检查两个副本是否不在同一节点上，如果在，则进行调整。然后，为该部署创建一个服务，并在pod-alpine中安装curl。

k expose deployment monwebserver --port 8080 --target-port 80 --name svc-webserver
k exec - it pod-alpine -- apk update
k exec - it pod-alpine -- apk add curl

服务会获取一个IP地址和两个端点来提供服务。

然后，你可以从“pod-alpine” Pod访问该服务，在“monwebserver”部署的两个后端Pod之间将进行随机的等价负载均衡。

当有对服务IP（10.97.0.69:8080）的请求时，目标地址会通过Iptables中的DNAT（目的网络地址转换）转换为其中一个端点地址。

案例1：Kube-Proxy与Iptables配合使用

Iptables是Linux内核的一个特性，设计初衷是作为一个高效的防火墙，具有足够的灵活性，能够处理各种常见的数据包操作和过滤需求。这是Kubernetes在Linux系统中使用的默认情况，上一段中的服务就是以这种模式运行的。在这种场景下，每个节点上都有一个kube-proxy Pod。