前言
上一篇把 Pod、ReplicaSet、Deployment 的关系讲了一遍。但一个应用只是在集群里跑起来还不够,其他服务要能访问它,外部用户也要能访问它。
这就会遇到 Service 和 Ingress。
很多 k8s 初学问题都卡在这里:Deployment 明明启动成功了,为什么浏览器访问不到?Pod IP 明明能通,为什么重启后又不行?Service 和 Ingress 到底谁负责什么?
这篇就按一次普通 Web 服务发布的路径,把 Deployment、Service、Ingress 串起来看。
Pod IP 不适合直接依赖
Pod 启动后会有自己的 IP,但这个 IP 不稳定。
Pod 被重建、调度到其他节点、滚动发布时,IP 都可能变化。如果其他服务直接记 Pod IP,就会很脆弱。
这和传统机器部署不一样。传统部署里我们可能会固定几台机器,然后在 Nginx 或注册中心里配置它们。k8s 里 Pod 是可替换的,应用实例随时可能被销毁再创建。
所以访问后端时,不应该直接依赖 Pod IP,而是通过 Service。
Service 提供稳定入口
Service 的作用是给一组 Pod 提供稳定访问入口。
它通过 selector 找到后端 Pod,然后给调用方暴露一个稳定的服务名和虚拟 IP。即使后端 Pod 发生变化,调用方仍然访问同一个 Service。
一个最常见的 ClusterIP Service:
apiVersion: v1
kind: Service
metadata:
name: order-service
spec:
type: ClusterIP
selector:
app: order-service
ports:
- name: http
port: 80
targetPort: 8080这里的 port 是 Service 暴露的端口,targetPort 是 Pod 容器实际监听的端口。
如果另一个服务也在集群内,就可以访问:
http://order-service在同一个 namespace 下,DNS 会把 order-service 解析到 Service。跨 namespace 时,可以用更完整的域名,比如 order-service.mall.svc.cluster.local。
selector 一定要对齐
Service 能不能转发到 Pod,核心看 selector 是否能匹配到 Pod label。
Deployment 里通常会写:
template:
metadata:
labels:
app: order-serviceService 里要对应:
selector:
app: order-service如果这里写错,Service 本身可能是正常创建的,但没有任何后端端点。排查时可以看 endpoints:
kubectl get endpoints order-service如果结果为空,优先查 label 和 selector,而不是一上来就怀疑网络插件。
Service 类型不要乱用
Service 有几种类型,刚开始容易混。
ClusterIP 是默认类型,只在集群内部暴露服务。微服务之间互相调用,大多数用它就够了。
NodePort 会在每个节点上开一个端口,把流量转到 Service。它可以用于简单测试,但生产里直接暴露 NodePort 并不优雅,端口管理也容易混乱。
LoadBalancer 通常依赖云厂商或负载均衡实现,会给 Service 分配一个外部负载均衡入口。云上场景比较常见。
ExternalName 则更像 DNS 别名,用来把集群内服务名指向外部域名。
我的习惯是:内部服务先用 ClusterIP;外部 HTTP 流量优先考虑 Ingress;确实需要四层负载均衡时再看 LoadBalancer。
Ingress 负责 HTTP 入口
如果一个 Web 应用要从集群外访问,通常会引入 Ingress。
Ingress 本身是一种路由规则,真正转发流量的是 Ingress Controller,比如 Nginx Ingress Controller、Traefik、HAProxy 或云厂商提供的实现。
一个简单 Ingress:
apiVersion: networking.k8s.io/v1
kind: Ingress
metadata:
name: mall-ingress
spec:
rules:
- host: mall.example.com
http:
paths:
- path: /api/order
pathType: Prefix
backend:
service:
name: order-service
port:
number: 80这条规则表达的是:访问 mall.example.com/api/order 的请求,转发给 order-service 这个 Service 的 80 端口。
所以链路是这样的:
Client -> Ingress Controller -> Service -> PodIngress 不直接找 Pod,它找 Service。Service 再通过 selector 找 Pod。
先把一条链路跑通
排查访问问题时,我比较喜欢从内到外确认。
第一步,确认 Pod 正常:
kubectl get pods -l app=order-service
kubectl logs deploy/order-service第二步,确认 Service 有后端:
kubectl get service order-service
kubectl get endpoints order-service第三步,从集群内访问 Service:
kubectl run curl-test --rm -it --image=curlimages/curl -- sh
curl http://order-service第四步,再看 Ingress 规则和 Controller 日志。
这样排查比直接在浏览器里刷新要有效。外部访问失败可能是域名、证书、Ingress、Service、Pod、应用端口任何一层的问题。逐层收窄,才不会乱猜。
Java 服务要注意端口和健康检查
很多 Spring Boot 服务默认监听 8080。Service 里 targetPort 要对应容器真实端口,Ingress 后端端口要对应 Service 端口。
如果应用启动慢,还要配合 readinessProbe。否则 Pod 刚创建,Service 就把流量打进去,用户可能遇到启动阶段的错误。
一个简单 readinessProbe:
readinessProbe:
httpGet:
path: /actuator/health/readiness
port: 8080
initialDelaySeconds: 20
periodSeconds: 10这不是形式主义。滚动发布时,readiness 决定一个新 Pod 什么时候可以接流量。如果这个探针不准,发布稳定性会直接受影响。
小结
Deployment 负责让应用副本跑起来,Service 负责给一组 Pod 提供稳定入口,Ingress 负责把外部 HTTP 请求路由到 Service。
理解这条链路以后,k8s 里的“能不能访问”问题就会清晰很多。先看 Pod,再看 Service endpoints,再看 Ingress Controller,不要一开始就把所有问题混在一起。
对于普通后端服务,最常见的组合就是 Deployment + ClusterIP Service + Ingress。把 label、端口、健康检查写稳,后面的发布和排障会轻松很多。
喜欢的话,留下你的评论吧~