Kubernetes NodePort vs Loadbalancer vs Ingress 在生产中如何选择？

最近，有人问我 NodePort，LoadBalancers 和 Ingress 之间有什么区别。它们都是将外部流量带入群集的不同方法，并且它们都以不同的方式进行。简单的说，生产环境建议使用 Loadbalancer 和 Ingress，四层（TCP/UDP）代理使用 Loadbalancer，七层（HTTP/HTTPS）代理使用 Ingress。

让我们看一下它们各自的工作方式以及何时使用它们。

ClusterIP

ClusterIP 是默认的 Kubernetes 服务类型。它为你提供了群集内部的服务访问方式，集群内的应用程序可以访问该服务。外部应用不能访问。

ClusterIP 服务的 YAML 如下所示：

apiVersion: v1

kind: Service

metadata:

name: my-internal-service

spec:

selector:

app: my-app

type: ClusterIP

ports:

- name: http

port: 80

targetPort: 80

protocol: TCP

如果您无法从 Internet 访问 ClusterIP 服务，为什么要谈论它？原来您可以使用 Kubernetes 代理访问它！

启动 Kubernetes 代理：

$ kubectl proxy --port=8080

现在，您可以使用以下方案浏览 Kubernetes API 以访问该服务：

http://localhost:8080/api/v1/proxy/namespaces//services/:/

因此，要访问我们上面定义的服务，您可以使用以下地址：

http://localhost:8080/api/v1/proxy/namespaces/default/services/my-internal-service:http/

什么时候用代理？

在某些情况下，您将使用 Kubernetes 代理访问服务。

1. 调试服务，或出于某些原因直接从笔记本电脑连接到服务

2. 允许内部流量，显示内部仪表板等

因为此方法要求您以经过身份验证的用户身份运行 kubectl，所以不应使用此方法将服务公开到 Internet 或将其用于生产服务。

NodePort

NodePort 服务是将外部流量直接转发到服务的最原始的方法。顾名思义，NodePort 会在所有节点（VM）上打开一个特定的端口，并且发送到该端口的所有流量都将转发到该服务。

原图不准确，具有一定的误导性

NodePort 服务的 YAML 如下所示：

apiVersion: v1

kind: Service

metadata:

name: my-nodeport-service

spec:

selector:

app: my-app

type: NodePort

ports:

- name: http

port: 80

targetPort: 80

nodePort: 30036

protocol: TCP

基本上，NodePort 服务与普通的“ ClusterIP”服务有两个区别。首先，类型为“ NodePort”。还有一个名为 nodePort 的附加端口，用于指定要在节点上打开的端口。如果您未指定此端口，它将选择一个随机端口。大多数时候，您应该让 Kubernetes 选择端口。如 thockin 所说，有许多关于可使用的端口的警告。

什么时候用 NodePort？

此方法有很多缺点：

• 每个端口只能提供一次服务

• 您只能使用端口 30000–32767

• 如果您的节点/ VM IP 地址更改，则需要处理

由于这些原因，不建议在生产中使用此方法直接公开您的服务。如果您运行的服务不一定总是可用，或者您对成本非常敏感，则此方法将对您有用。NodePort 服务一个很好的例子是演示应用程序或临时应用程序。

LoadBalancer

LoadBalancer 服务是将服务公开到 Internet 的标准方法。在华为云 CCE 上，这将启动网络负载均衡器，该网络负载均衡器将为您提供一个 IP 地址，该地址会将所有流量转发到您的服务。

什么时候用 Loadbalancer？

如果要直接公开服务，这是默认方法。您指定的端口上的所有流量都将转发到服务。没有过滤，没有路由等。这意味着您可以向它发送几乎任何类型的流量，例如 HTTP，TCP，UDP，Websockets，gRPC 或其他任何内容。

最大的缺点是，使用 LoadBalancer 公开的每个服务都将获得其自己的 IP 地址，并且您必须为每个公开的服务支付 LoadBalancer 的费用，这可能会变得昂贵！

Ingress

与上述所有示例不同，Ingress 实际上不是一种服务。相反，它位于多种服务的前面，并充当“智能路由器”或集群的入口点。

您可以使用 Ingress 进行许多不同的操作，并且有许多类型的 Ingress 控制器具有不同的功能。

默认的 CCE Ingress 控制器将为您启动 HTTP（S）负载均衡器，这将使您可以同时进行基于路径和基于子域的到后端服务的路由。例如，您可以将 foo.yourdomain.com 上的所有内容发送到 foo 服务，并将yourdomain.com/bar/路径下的所有内容发送到bar服务。

具有 L7 HTTP 负载均衡器的 CCE 上 Ingress 对象的 YAML 可能看起来像这样：

kind: Ingress

metadata:

name: my-ingress

spec:

backend:

serviceName: other

servicePort: 8080

rules:

- host: foo.mydomain.com

http:

paths:

- backend:

serviceName: foo

servicePort: 8080

- host: mydomain.com

http:

paths:

- path: /bar/*

backend:

serviceName: bar

servicePort: 8080

什么时候用 Ingress？

Ingress 可能是公开服务的最强大方法，但也可能是最复杂的。华为云端负载均衡器，Nginx，Contour，Istio 等，有很多类型的 Ingress 控制器。还有一些用于 Ingress 控制器的插件，例如 cert-manager，可以为您的服务自动设置 SSL 证书。

如果要在同一 IP 地址下公开多个服务，并且这些服务都使用相同的 L7 协议（通常为 HTTP），则 Ingress 最有用。

原文地址：

https://medium.com/google-cloud/kubernetes-nodeport-vs-loadbalancer-vs-ingress-when-should-i-use-what-922f010849e0