从另一台机器通过kube-proxy访问nodeport

问题描述 投票:-1回答:2

我有kubernetes集群(node01-03)。 nodeport有一个服务来访问pod(nodeport 31000)。该pod正在node03上运行。我可以从任何主机使用http://node03:31000访问该服务。在每个节点上,我都可以访问像http://[name_of_the_node]:31000这样的服务。但是我不能通过以下方式访问服务:http://node01:31000即使在端口31000上的node01上有一个监听器(kube-proxy).iptables规则对我来说没问题。这是它的工作方式吗?如果没有,我该如何进一步排除故障?

kubernetes kube-proxy
2个回答
0
投票

NodePort暴露在集群中的每个节点上。 https://kubernetes.io/docs/concepts/services-networking/service/#type-nodeport清楚地说:

每个节点将代理该端口(每个节点上的相同端口号)到您的服务中

因此,从集群内部和外部,可以在集群中的任何节点上使用NodeIP:NodePort访问服务,kube-proxy将使用iptables路由到具有后端pod的右侧节点。

但是,如果使用来自群集外部的NodeIP:NodePort访问服务,我们需要首先确保NodeIP可以从我们击中NodeIP:NodePort的位置到达。

如果无法在未运行后端pod的节点上访问NodeIP:NodePort,则可能是由DROP链上的默认FORWARD规则引起的(出于安全原因,该规则又由Docker 1.13引起)。 Here更多信息。另见步骤8 here。解决方案是在节点上添加以下规则:

iptables -A FORWARD -j ACCEPT

k8s的问题是here,修复是here(修复应该在k8s 1.9中)。

启用外部访问服务的其他三个选项是:

  1. ExternalIPshttps://kubernetes.io/docs/concepts/services-networking/service/#external-ips
  2. LoadBalancer与外部云提供商的负载均衡器:https://kubernetes.io/docs/concepts/services-networking/service/#type-loadbalancer
  3. Ingresshttps://kubernetes.io/docs/concepts/services-networking/ingress/

0
投票

如果访问Kubernetes集群中的pod,则不需要使用nodeport。改为推断Kubernetes服务目标端口。假设podA需要通过名为serviceB的服务访问podB。所有你需要假设http是http://serviceB:targetPort/

最新问题
© www.soinside.com 2019 - 2024. All rights reserved.