如何排查 Kubernetes 端点问题

简介

本教程将全面概述 Kubernetes 端点，涵盖基础、验证和故障排除。你将学习如何确保你的 Kubernetes 服务得到正确配置并可访问，从而在集群内的不同组件之间实现可靠通信。

Skills Graph

%%%%{init: {'theme':'neutral'}}%%%% flowchart RL kubernetes(("Kubernetes")) -.-> kubernetes/BasicCommandsGroup(["Basic Commands"]) kubernetes(("Kubernetes")) -.-> kubernetes/AdvancedCommandsGroup(["Advanced Commands"]) kubernetes(("Kubernetes")) -.-> kubernetes/TroubleshootingandDebuggingCommandsGroup(["Troubleshooting and Debugging Commands"]) kubernetes/BasicCommandsGroup -.-> kubernetes/get("Get") kubernetes/BasicCommandsGroup -.-> kubernetes/create("Create") kubernetes/AdvancedCommandsGroup -.-> kubernetes/apply("Apply") kubernetes/TroubleshootingandDebuggingCommandsGroup -.-> kubernetes/describe("Describe") kubernetes/TroubleshootingandDebuggingCommandsGroup -.-> kubernetes/exec("Exec") kubernetes/TroubleshootingandDebuggingCommandsGroup -.-> kubernetes/logs("Logs") subgraph Lab Skills kubernetes/get -.-> lab-431147{{"如何排查 Kubernetes 端点问题"}} kubernetes/create -.-> lab-431147{{"如何排查 Kubernetes 端点问题"}} kubernetes/apply -.-> lab-431147{{"如何排查 Kubernetes 端点问题"}} kubernetes/describe -.-> lab-431147{{"如何排查 Kubernetes 端点问题"}} kubernetes/exec -.-> lab-431147{{"如何排查 Kubernetes 端点问题"}} kubernetes/logs -.-> lab-431147{{"如何排查 Kubernetes 端点问题"}} end

Kubernetes 端点基础

在 Kubernetes 中，端点表示正在运行的服务的 IP 地址和端口。端点是 Kubernetes 中的一个关键组件，因为它们能够实现服务发现以及集群内不同组件之间的通信。

理解 Kubernetes 端点

Kubernetes 端点由 Kubernetes 控制平面自动创建和管理。当你创建一个 Kubernetes 服务时，控制平面会自动创建一个端点对象，该对象表示作为服务一部分的 Pod 的 IP 地址和端口。

端点对象包含以下信息：

端点：表示服务后端 Pod 的 IP 地址和端口列表。
端口：服务公开的端口。

Kubernetes 端点在集群内的服务发现和 Pod 网络中起着至关重要的作用。它们允许其他 Pod 和服务定位并与正确的后端 Pod 进行通信。

Kubernetes 服务类型与端点

Kubernetes 支持不同类型的服务，每种服务处理端点的方式都有所不同：

ClusterIP 服务：这是 Kubernetes 中的默认服务类型。它在集群内部 IP 地址上公开服务，该地址仅在集群内部可访问。ClusterIP 服务的端点对象包含后端 Pod 的 IP 地址和端口。
NodePort 服务：此服务类型在每个节点的 IP 地址上的静态端口公开服务。NodePort 服务的端点对象包含节点 IP 地址和 NodePort。
LoadBalancer 服务：此服务类型为服务配置一个负载均衡器，通常在云环境中。LoadBalancer 服务的端点对象包含外部负载均衡器的 IP 地址和端口。
ExternalName 服务：此服务类型将服务映射到一个 DNS 名称，没有任何端点。它用于表示不属于 Kubernetes 集群的外部服务。

Kubernetes 端点示例

以下是一个 Kubernetes 部署、服务以及相应端点对象的示例：

## 部署
apiVersion: apps/v1
kind: Deployment
metadata:
  name: my-app
spec:
  replicas: 3
  selector:
    matchLabels:
      app: my-app
  template:
    metadata:
      labels:
        app: my-app
    spec:
      containers:
        - name: my-app
          image: my-app:v1
          ports:
            - containerPort: 8080

---
## 服务
apiVersion: v1
kind: Service
metadata:
  name: my-app-service
spec:
  selector:
    app: my-app
  ports:
    - port: 80
      targetPort: 8080

---
## 端点
apiVersion: v1
kind: Endpoints
metadata:
  name: my-app-service
subsets:
  - addresses:
      - ip: 10.244.0.5
      - ip: 10.244.1.6
      - ip: 10.244.2.7
    ports:
      - port: 8080

在此示例中，my-app-service 服务在端口 80 上公开 my-app 部署。相应的端点对象包含三个后端 Pod 的 IP 地址和端口。

验证 Kubernetes 端点

确保 Kubernetes 端点的健康和可用性对于维护应用程序的可靠性和性能至关重要。Kubernetes 提供了多种工具和机制来验证和监控端点的状态。

检查端点状态

你可以使用 kubectl get endpoints 命令来查看端点的当前状态。这将显示与每个服务相关联的后端 Pod 的 IP 地址和端口。

$ kubectl get endpoints
NAME             ENDPOINTS                                AGE
my-app-service   10.244.0.5:8080,10.244.1.6:8080,10.244.2.7:8080   5m

你还可以使用 kubectl describe endpoints 命令来获取有关端点的更详细信息，包括地址和端口的子集。

$ kubectl describe endpoints my-app-service
Name:         my-app-service
Namespace:    default
Labels:       <none>
Annotations:  endpoints.kubernetes.io/last-change-trigger-time: 2023-04-19T12:34:56Z
Subsets:
  Addresses:
    10.244.0.5
    10.244.1.6
    10.244.2.7
  Ports:
    Name     Port  Protocol
    <empty>  8080  TCP

存活和就绪探针

Kubernetes 提供了两种类型的探针来帮助你验证端点的健康状况：

存活探针：存活探针用于确定容器是否仍在运行且健康。如果存活探针失败，Kubernetes 将重启容器。
就绪探针：就绪探针用于确定容器是否准备好接受流量。如果就绪探针失败，Pod 将被标记为未就绪，Kubernetes 将不会向其发送流量。

你可以使用 Pod 规范中的 livenessProbe 和 readinessProbe 字段为容器配置存活和就绪探针。

apiVersion: v1
kind: Pod
metadata:
  name: my-app
spec:
  containers:
    - name: my-app
      image: my-app:v1
      ports:
        - containerPort: 8080
      livenessProbe:
        httpGet:
          path: /healthz
          port: 8080
        periodSeconds: 10
        failureThreshold: 3
      readinessProbe:
        httpGet:
          path: /ready
          port: 8080
        periodSeconds: 5
        failureThreshold: 1

在此示例中，存活探针每 10 秒检查一次 /healthz 端点，就绪探针每 5 秒检查一次 /ready 端点。如果任一探针分别失败 3 次或 1 次，Kubernetes 将采取相应的行动。

监控端点健康状况

你可以使用 Kubernetes 监控工具（如 Prometheus）来监控端点的健康和可用性。Prometheus 可以从你的 Pod 和服务中采集指标，使你能够创建警报和仪表板来跟踪端点状态。

此外，你可以使用第三方监控解决方案（如 Datadog 或 New Relic）为你的 Kubernetes 端点提供更高级的监控和警报功能。

Kubernetes 端点故障排除工具

在处理 Kubernetes 端点问题时，有几种工具和实用程序可以帮助你识别和解决问题。这些工具可让你了解端点的状态以及 Kubernetes 集群的整体健康状况。

kubectl

kubectl 命令行工具是与 Kubernetes 集群进行交互的主要接口。它提供了广泛的命令来管理和排查端点故障，包括：

kubectl get endpoints：查看端点的当前状态。
kubectl describe endpoints：获取有关端点的详细信息。
kubectl logs：查看与端点关联的 Pod 的日志。
kubectl exec：在与端点关联的 Pod 内执行命令。

kube - bench

kube - bench 是一个工具，用于检查你的 Kubernetes 集群是否按照互联网安全中心（CIS）的 Kubernetes 基准进行配置。它可以帮助你识别可能影响端点的潜在安全问题和配置错误。

要运行 kube - bench，可以使用以下命令：

docker run -v /etc:/etc -v /var:/var -v /usr:/usr --net=host aquasec/kube - bench:latest

这将运行 kube - bench 容器并检查你的 Kubernetes 集群是否存在任何违反 CIS 基准的情况。

kube - hunter

kube - hunter 是一个安全工具，用于扫描你的 Kubernetes 集群以查找潜在漏洞。它可以帮助你识别可能影响端点的安全问题，例如暴露的 API 服务器或配置错误的网络策略。

要运行 kube - hunter，可以使用以下命令：

docker run --network host aquasec/kube - hunter

这将运行 kube - hunter 容器并扫描你的 Kubernetes 集群以查找安全漏洞。

其他工具

还有其他一些工具和实用程序可以帮助你排查 Kubernetes 端点问题，包括：

Prometheus：一个强大的监控和警报系统，可用于监控端点的健康和可用性。
Grafana：一个数据可视化工具，可用于为你的 Kubernetes 集群创建仪表板和可视化内容，包括与端点相关的指标。
Istio：一个服务网格，可为你的 Kubernetes 端点提供高级流量管理、安全和可观测性功能。

通过使用这些工具，你可以更深入地了解 Kubernetes 端点的状态，并快速识别和解决可能出现的任何问题。

总结

Kubernetes 端点是 Kubernetes 集群内服务发现和通信的关键组件。在本教程中，你已经了解了不同类型的 Kubernetes 服务以及它们如何处理端点。你还探索了用于验证和排查 Kubernetes 端点故障的工具和技术，以确保你的服务得到正确配置并可访问。通过理解 Kubernetes 端点的基础知识，你可以有效地管理和维护集群的网络和通信，从而打造一个更强大、更可靠的 Kubernetes 环境。