Kubernetes基础(四)-Kube-proxy

1 kube-proxy概述

kube-proxy组件是用来实现service的请求转发，具体实现方式是kube-proxy运行在每个node上，通过watch监听API Server 中service资源的create，update，delete事件，以获取新的Pod 和 vip映射关系，然后通过更新 iptables 规则来实现请求数据的转发，构建并维护各节点路由信息。

kubernetes中kube-proxy支持三种模式，在v1.8之前使用的是iptables 以及 userspace两种模式，在kubernetes 1.8之后引入了ipvs模式，并且在v1.11中正式使用，其中iptables和ipvs都是内核态也就是基于netfilter，只有userspace模式是用户态。

在详细了解kube-porxy前，先看下service的配置文件，这里面定义了转发涉及到的了3个port：

• 对外的service port(port)
• 中间转发的node port(nodePort）
• 提供服务的pod port(targetPort)

# cat service-demo.yaml 
apiVersion: v1
kind: Service
metadata:
    name: mynginx
    namespace: default
spec: 
    selector:
      app: mynginx
    clusterIP: 10.10.98.98 # service ip
    type: NodePort # service 类型
    ports:
    - port: 80 # service端口
      targetPort: 8000 # pod端口
      nodePort: 30080 # node端口

2 userspace模式

在userspace模式下，kube-proxy进程是一个真实的TCP/UDP代理，当某个pod以clusterIP方式访问某个service的时候，这个流量会被pod所在的本机的iptables转发到本季的kube-proxy进程，然后将请求转发到后端某个pod上。代理方式实现如下：

• kube-proxy监听API Server 已添加和删除service和Endpoint对象，获取映射关系。
• 在本地节点上打开一个随机端口（nodePort），访问该随机端口的流量将会转发到后端pod（通过映射关系）。会通过SessionAffinity策略决定要转发到哪个后端Pod。（用户空间）
• 安装iptables规则，以捕获service的clusterIP和port的请求流量。规则会将流量重定向到随机端口（nodePort）。（内核空间）
• 当流量重定向到nodePort时，kube-proxy 作为一个负载均衡，将流量分发到后端的pod。默认情况下，用户空间模式下的kube-proxy通过轮询算法选择后端pod。（用户空间）

缺点：

• clusterip重定向到kube-proxy服务的过程存在内核态到用户态的切换，开销很大，因此有了iptables模式，而userspace模式也被废弃了。

适用版本：

• k8s 1.1+

3 iptables模式

kubernets从1.2版本开始将iptabels模式作为默认模式，这种模式下kube-proxy不再起到proxy的作用。其核心功能：通过API Server的Watch接口实时跟踪Service和Endpoint的变更信息，并更新对应的iptables规则，Client的请求流量通过iptables的NAT机制“直接路由”到目标Pod。代理方式实现如下：

• kube-proxy监听API Server 已添加和删除service和Endpoint对象，获取映射关系。
• kube-proxy 对每个service安装iptables规则，以捕获service的clusterIP和port的请求流量，规则会将流量重定向到某个后端集。（内核空间）
• 对于每个Endpoint对象，将继续安装iptables规则，通过iptables将作为一个负载均衡，分发流量到后端的pod。默认情况下，iptables随机选择后端pod。（内核空间）

优点：

• 不同于userspace模式，iptables模式由kube-proxy动态的管理，kube-proxy不再负责转发，数据包的走向完全由iptables规则决定，这样的过程不存在内核态到用户态的切换，效率明显会高很多。

缺点：

• 随着service的增加，iptables规则会不断增加，导致内核十分繁忙（等于在读一张很大的没建索引的表），2个svc，8个pod就有34条iptabels规则了，随着集群中svc和pod大量增加以后，iptables中的规则开会急速膨胀，导致性能下降，某些极端情况下甚至会出现规则丢失的情况，并且这种故障难以重现和排查。
• 如果通过iptables规则转发的第一个Pod没有响应，则连接失败，不会自动重试。但可以使用Pod Readiness Probe来验证后端Pod 是否正常运行，若正常iptables即可转发流量到后端pod，若异常，kube-proxy会直接从service中剔除pod。

适用版本：

• k8s 1.2+

4 ipvs模式

从kubernetes 1.8版本开始引入第三代的IPVS模式，它也是基于netfilter实现的，但定位不同：iptables是为防火墙设计的，IPVS则专门用于高性能负载均衡，并使用高效的数据结构Hash表，允许几乎无限的规模扩张。

一句话说明：ipvs使用ipset存储iptables规则，在查找时类似hash表查找，时间复杂度为O(1)，而iptables时间复杂度则为O(n)。

IPVS代理模式实现方式如下：

• kube-proxy监听API Server 已添加和删除service和Endpoint对象，获取映射关系。
• 调用netlink接口创建相应IPVS规则，并定期通过service和endpoint同步IPVS规则，默认时间为30秒。
• 访问service时，IPVS将流量分到后端Pod之一。 

优点：

• IPVS代理模式也基于netfilter挂钩函数，工作在内核空间，但是使用哈希表作为基础数据结构。这意味着，与iptables模式下的kube-proxy相比，IPVS模式下的kube-proxy重定向通信的延迟要短，并且在同步代理规则时具有更好的性能。而且ipvs作为一个四层负载均衡器，与其他代理模式相比，支持多种负载均衡算法和更高的网络流量吞吐量。
• 可以将ipset简单理解为ip集合，这个集合的内容可以是IP地址、IP网段、端口等，iptabels可以直接添加规则对这个可变集合进行操作，这样做的好处可以大大减少iptables规则的数量，从而减少性能损耗。假设要禁止上万个IP访问我们的服务器，如果用iptables的话，就需要一条一条的添加规则，会生成大量的iptabels规则；但是用ipset的话，只需要将相关IP地址加入ipset集合中即可，这样只需要设置少量的iptables规则即可实现目标。

缺点：

• 由于ipvs无法提供包过滤、地址伪装、SNAT等功能，所以某些场景下（比如NodePort的实现）还要与iptables搭配使用。

5 IPVS负载均衡算法

IPVS（IP Virtual Server）是 Linux 内核中实现负载均衡的模块，工作在 OSI 模型的网络层（Layer 3）或传输层（Layer 4），基于 IP 地址和端口实现流量分发。它支持多种负载均衡算法，用于将客户端请求分配到不同的后端服务器。以下是 IPVS 主要负载均衡算法的详细解析：

5.1 静态调度算法（不考虑服务器状态）

静态算法仅根据预设规则分配请求，不感知后端服务器的负载情况，适用于负载均衡场景简单或后端服务器性能一致的场景。

1. 轮询（Round Robin, RR）

• 原理：按顺序依次将请求分配到后端服务器，每个服务器接收均等数量的请求。
• 示例：服务器列表为 [A, B, C]，请求分配顺序为 A → B → C → A → B → C...。
• 适用场景：后端服务器性能相同且负载均衡要求简单的场景。
• 优点：实现简单，分配均匀。
• 缺点：不考虑服务器实际负载，可能导致繁忙服务器继续接收请求。

2. 加权轮询（Weighted Round Robin, WRR）

• 原理：为每个服务器设置权重（Weight），权重越高的服务器分配越多请求，请求数与权重成正比。
• 示例：服务器 A（权重2）、B（权重1）、C（权重1），分配顺序为 A → A → B → C → A → A...。
• 配置命令：

  ipvsadm -a -t [VIP:PORT] -r [RIP:PORT] -g -w 2  # 设置权重为2
  

• 适用场景：后端服务器性能不一致时（如高配服务器权重更高）。
• 优点：支持差异化分配，充分利用高性能服务器。

3. 源地址哈希（Source Hash, SH）

• 原理：根据客户端的源 IP 地址（Source IP）进行哈希计算，相同 IP 的请求始终被分配到同一台服务器，实现 “会话绑定”。
• 公式：服务器 = Hash(源IP) % 服务器数量。
• 适用场景：需要保持客户端会话状态的场景（如用户登录后需固定服务器）。
• 优点：会话粘性强，无需额外存储会话信息。
• 缺点：若服务器列表变更，哈希结果会重新计算，可能导致会话失效。

5.2 动态调度算法（基于服务器状态）

动态算法会实时监控后端服务器的负载（如连接数、响应时间等），将请求分配给当前负载较轻的服务器，适用于负载变化频繁的场景。

1. 最少连接（Least Connections, LC）

• 原理：将请求分配给当前连接数最少的服务器，认为连接数少的服务器负载更低。
• 公式：选择 active_connections + inactive_connections * weight 最小的服务器（inactive 为非活动连接，权重可配置）。
• 适用场景：长连接场景（如 TCP 持续连接）或服务器处理能力一致的场景。
• 优点：动态适应负载变化，避免服务器过载。

2. 加权最少连接（Weighted Least Connections, WLC）

• 原理：在 LC 基础上为服务器设置权重，权重越高的服务器可处理更多连接，公式为：\(\frac{\text{active_connections}}{\text{weight}} + \frac{\text{inactive_connections} \times 2}{\text{weight}}\) 值最小的服务器被选中。
• 示例：服务器 A（权重 2，10 个活跃连接）和服务器 B（权重 1，5 个活跃连接），计算值分别为 10/2=5 和 5/1=5，此时按其他规则（如 IP 哈希）选择。
• 配置命令：

  ipvsadm -a -t [VIP:PORT] -r [RIP:PORT] -g -w 2  # 权重影响连接数计算
  

• 适用场景：后端服务器性能不一致时，权重可反映处理能力（如高配服务器权重更高）。

3. 最短预期延迟（Shortest Expected Delay,SED）

• 原理：改进版 WLC，仅根据活跃连接数和权重计算，公式为：\(\frac{\text{active_connections} + 1}{\text{weight}}\) 值最小的服务器被选中（+1 是为了避免零连接时除数为零）。
• 对比 WLC：忽略非活跃连接，更关注当前活跃请求，适用于短连接场景。

4. 最少队列（Never Queue, NQ）

• 原理：首次请求时，直接选择连接数最少的服务器；后续请求按 SED 算法分配。
• 作用：避免首请求被长时间排队，优化首次连接延迟。

5. 动态最少连接（Dynamic Least Connections, DLC）

• 原理：根据服务器的响应时间动态调整权重，响应越快的服务器权重越高，分配更多请求。
• 实现：需结合外部监控工具（如 Nagios）实时更新服务器权重。

5.3 基于地址的调度算法

通过目标地址或端口进行哈希计算，实现特定规则的流量分发。

1. 目标地址哈希（Destination Hash, DH）

• 原理：根据请求的目标 IP 地址（如 URL 中的域名解析后的 IP）或端口进行哈希，相同目标的请求分配到同一服务器。
• 适用场景：缓存场景（如同一资源固定由某服务器处理，提高缓存命中率）。

2. 源地址 + 目标地址哈希（Source-Destination Hash, SHD）

• 原理：同时基于源 IP 和目标 IP 进行哈希，确保同一对（源 IP, 目标 IP）的请求始终分配到同一服务器。
• 适用场景：P2P、实时通信等需要双向会话绑定的场景。

5.4 IPVS 算法选择建议

5.5 IPVS 配置示例

1. 安装 IPVS 工具

yum install ipvsadm -y  # CentOS/RHEL
apt-get install ipvsadm -y  # Debian/Ubuntu

2. 添加后端服务器（以 WRR 为例）

ipvsadm -A -t 192.168.1.100:80 -s wrr  # 创建虚拟服务器，使用WRR算法
ipvsadm -a -t 192.168.1.100:80 -r 192.168.1.101:80 -g -w 2  # 添加服务器1，权重2
ipvsadm -a -t 192.168.1.100:80 -r 192.168.1.102:80 -g -w 1  # 添加服务器2，权重1

3. 查看负载均衡规则

ipvsadm -L -n

5.6 总结

IPVS 通过多样化的负载均衡算法，提供了灵活的流量分配策略。实际应用中需根据后端服务器性能、业务场景（如会话保持、缓存需求）、连接类型（长 / 短连接）等因素选择合适的算法，并结合健康检查机制（如 IPVS 的-m参数或外部工具）确保高可用性。

6 IPVS 转发模式

IPVS 支持三种流量转发模式，影响请求的源 IP 保留和网络路径：

6.1 NAT（Network Address Translation）

• 原理：IPVS 修改请求的目标 IP 为后端 Pod 的 IP，响应流量经 IPVS 反向转换源 IP 后返回客户端。
• 特点：
  • 后端 Pod 可位于不同网络，但需与 IPVS 节点路由可达。
  • 源 IP 会被修改为 IPVS 节点的 IP，后端无法获取真实客户端 IP。
• 适用场景：传统网络环境，后端 Pod 与服务节点网络隔离。

6.2 DR（Direct Routing）

• 原理：IPVS 不修改请求的目标 IP，而是通过修改二层头部（MAC 地址）将请求转发到后端 Pod，响应流量直接返回客户端。
• 特点：
  • 保留客户端真实源 IP，性能更高。
  • 后端 Pod 需与 IPVS 节点在同一二层网络，且配置相同的虚拟 IP（VIP，即 Cluster IP）。
• 适用场景：高性能需求，且后端与节点网络互通的场景。

6.3 TUN（Tunnel）

• 原理：IPVS 将请求封装在 IP 隧道中（如 GRE），转发到后端 Pod，Pod 解封装后处理请求。
• 特点：
  • 支持跨网段转发，后端 Pod 可分布在不同网络。
  • 配置复杂，性能略低于 DR 模式。
• 适用场景：跨子网或公有云环境。

7 切换kube-proxy的工作模式为ipvs

参考：切换kube-proxy的工作模式为ipvs_如何查看kube-proxy的工作模式-CSDN博客

8 kube-proxy探测ipvs的规则间隔时间说明

kube-proxy 在 IPVS 模式下探测和同步规则的间隔时间主要由以下参数控制，其默认行为和配置如下：

8.1 核心参数与默认值

1）sync-period（同步周期）

• 默认值：30秒

• 作用：定义 kube-proxy 同步 IPVS 规则的频率。在此期间，kube-proxy 会检查 Service 和 Endpoint 的变化，并更新 IPVS 规则以匹配当前集群状态。

• 触发条件：当 Service 或 Endpoint 发生变化时，kube-proxy 会立即触发同步；若无变化，则按固定周期（如 30秒）轮询检查。

2）iptables-min-sync-period：

• 默认值：0秒（即无最小间隔限制）

• 作用：限制 IPVS 规则同步的最小时间间隔，防止因频繁变更导致性能问题。例如，若设置为 30s，则两次同步之间的间隔不会短于 30 秒。

8.2 IPVS 与 iptables 的交互

尽管 IPVS 模式主要依赖内核的 IPVS 模块进行负载均衡，但在以下场景中仍会依赖 iptables 规则：

1. SNAT（源地址转换）：处理集群外流量到 Service 的访问。

2. NodePort 支持：通过 iptables 规则映射 NodePort 到 Service 的 ClusterIP。

3. 特定安全策略：如 LoadBalancerSourceRanges 限制流量源范围。

此时，IPVS 模式下与 iptables 相关的规则同步仍受 iptablesSyncPeriod 参数影响，默认同步周期为 30秒。

8.3 性能优化与注意事项

• 增量更新：IPVS 模式采用增量式更新规则（相比 iptables 的全量更新），大幅减少同步延迟，尤其适合大规模集群。

• 内核支持：需确保节点内核加载 ip_vs、ip_vs_rr 等模块，否则 kube-proxy 会回退到 iptables 模式。

• 参数调整建议：

  • 高频变更场景：若 Service/Endpoint 频繁变化，可适当缩短 sync-period（如 10s），但需权衡 CPU 开销。

  • 稳定环境：保持默认 30秒 以平衡性能与实时性。

8.4 验证当前配置

通过以下命令查看 kube-proxy 的启动参数（以 DaemonSet 为例）：

kubectl -n kube-system get ds kube-proxy -o yaml | grep -E "sync-period|iptables-min-sync-period"

输出示例：

--iptables-sync-period=30s
--iptables-min-sync-period=0s

8.5 总结

若需调整参数，可通过修改 kube-proxy 的 ConfigMap 或 DaemonSet 配置实现。

9 IPVS全面取代iptables

9.1 性能维度全面碾压

实测数据：某500节点集群切换IPVS后，API Server负载下降67%。

9.2 架构差异深度解析

9.2.1 数据平面对比

9.2.2 核心组件差异

9.3 生产环境优势矩阵

9.3.1 大规模集群表现

# 创建5万Service压力测试
for i in {1..50000}; do
  kubectl create svc clusterip test-$i --tcp=80
done

# 结果对比
IPVS:
- 内存占用：3.2GB
- 创建耗时：4分12秒

iptables:
- 内存占用：14.7GB 
- 创建耗时：32分47秒

9.3.2 典型优化场景

• 微服务架构：千级服务频繁变更
• 游戏服务器：百万级长连接保持
• 实时计算：低延迟要求
• 云原生中间件：频繁扩缩容

9.4 实战配置指南

9.4.1 启用IPVS模式

# kube-proxy配置示例
apiVersion: kubeproxy.config.k8s.io/v1alpha1
kind: KubeProxyConfiguration
mode: "ipvs"
ipvs:
  scheduler: "wrr"
  excludeCIDRs: 
    - "10.96.0.0/24"

9.4.2 高级调优参数

ipvs:
  minSyncPeriod: 5s
  syncPeriod: 30s
  tcpTimeout: 7200
  tcpFinTimeout: 60
  udpTimeout: 300

9.5 排错与监控体系

9.5.1 常见故障排查

# 查看IPVS规则
ipvsadm -Ln

# 检查内核模块
lsmod | grep ip_vs

# 连接追踪统计
cat /proc/net/ip_vs_stats

9.5.2 Prometheus监控指标

- name: IPVS_connections
  rules:
  - alert: IPVSConnectionOverload
    expr: rate(ipvs_connections_total[5m]) > 10000
    for: 10m

- name: IPVS_incoming_packets
  rules: 
  - alert: PacketDropIncrease
    expr: increase(ipvs_incoming_packets_dropped_total[1h]) > 1000

9.6 迁移注意事项

9.6.1 兼容性检查清单

✅ 内核版本 ≥4.19
✅ 节点已加载ip_vs模块
✅ 网络插件支持IPVS模式
✅ 无遗留iptables规则冲突

9.6.2 灰度迁移方案

9.7 企业级应用案例

9.7.1 某视频平台优化实践

• 挑战：
  5000微服务+百万级并发连接
  iptables导致CPU飙升至90%

• 方案：
  全量切换IPVS + wrr负载算法

• 成果：
  CPU负载降至22%
  首包延迟降低40%

9.7.2 某券商交易系统升级

• 痛点：
  金融级低延迟要求
  高频服务变更导致iptables抖动

• 优化：
  启用IPVS最小同步周期配置
  采用maglev一致性哈希

• 收益：
  订单处理延迟≤3ms
  服务变更零感知

9.8 IPVS的局限与应对

9.8.1 当前局限性

• 不支持NAT转发日志
• 部分旧内核功能缺失
• 特定CNI插件兼容问题

9.8.2 解决方案

# 混合模式降级方案
kubectl edit cm kube-proxy -n kube-system
# 回退模式设置
mode: "iptables"

通过IPVS的全面采用，我们帮助客户实现了：

• 万级服务集群网络延迟降低73%
• 节点资源成本节省42%
• 网络故障率下降89%

建议每季度进行一次IPVS规则健康检查，重点关注连接泄漏、算法效率、内核兼容性三个核心维度。当遇到复杂网络问题时，记住终极三板斧：ipvsadm诊断、内核参数调优、一致性哈希切换。

ipvs 规则管理命令及示例

参考：IPVS规则管理命令-CSDN博客