search
Linux性能优化实战eBPF 核心技术与实战SDN指南个人博客

Keepalived-VIP

Kubernetes 使用 keepalivedarrow-up-right 来产生虚拟 IP address

我们将探讨如何利用 IPVS - The Linux Virtual Server Projectarrow-up-right" 来为 kubernetes 配置 VIP

hashtag
前言

kubernetes v1.6 版提供了三种方式去暴露 Service:

  1. L4 的 LoadBalacncer : 只能在 cloud providersarrow-up-right 上被使用 像是 GCE 或 AWS

  2. NodePort : NodePortarrow-up-right 允许在每个节点上开启一个 port 口, 借由这个 port 口会再将请求导向到随机的 pod 上

  3. L7 Ingress :Ingressarrow-up-right 为一个 LoadBalancer(例: nginx, HAProxy, traefik, vulcand) 会将 HTTP/HTTPS 的各个请求导向到相对应的 service endpoint

有了这些方式, 为何我们还需要 keepalived ?

                                                  ___________________
                                                 |                   |
                                           |-----| Host IP: 10.4.0.3 |
                                           |     |___________________|
                                           |
                                           |      ___________________
                                           |     |                   |
Public ----(example.com = 10.4.0.3/4/5)----|-----| Host IP: 10.4.0.4 |
                                           |     |___________________|
                                           |
                                           |      ___________________
                                           |     |                   |
                                           |-----| Host IP: 10.4.0.5 |
                                                 |___________________|

我们假设 Ingress 运行在 3 个 kubernetes 节点上, 并对外暴露 10.4.0.x 的 IP 去做 loadbalance

DNS Round Robin (RR) 将对应到 example.com 的请求轮循给这 3 个节点, 如果 10.4.0.3 挂了, 仍有三分之一的流量会导向 10.4.0.3, 这样就会有一段 downtime, 直到 DNS 发现 10.4.0.3 挂了并修正导向

严格来说, 这并没有真正的做到 High Availability (HA)

这边 IPVS 可以帮助我们解决这件事, 这个想法是虚拟 IP(VIP) 对应到每个 service 上, 并将 VIP 暴露到 kubernetes 群集之外

hashtag
service-loadbalancerarrow-up-rightingress-nginxarrow-up-right 的区别

我们看到以下的图

我们可以看到只有一个 node 被选为 Master(透过 VRRP 选择的), 而我们的 VIP 是 10.4.0.50, 如果 10.4.0.3 掛掉了, 那会从剩余的节点中选一个成为 Master 并接手 VIP, 这样我们就可以确保落实真正的 HA

hashtag
环境需求

只需要确认要运行 keepalived-vip 的 kubernetes 群集 DaemonSets 功能是正常的就行了

hashtag
RBAC

由于 kubernetes 在 1.6 后引进了 RBAC 的概念, 所以我们要先去设定 rule, 至于有关 RBAC 的详情请至 说明

vip-rbac.yaml

clusterrolebinding.yaml

hashtag
示例

先建立一个简单的 service

nginx-deployment.yaml

主要功能就是 pod 去监听听 80 port, 再开启 service NodePort 监听 30320

接下来我们要做的是 config map

注意, 这边的 10.87.2.50 必须换成你自己同网段下无使用的 IP e.g. 10.87.2.X 后面 nginx 为 service 的 name, 这边可以自行更换

接着确认一下

再来就是设置 keepalived-vip

建立 daemonset

检查一下配置状态

可以随机挑一个 pod, 去看里面的配置

最后我们去测试这功能

10.87.2.50:80(我们假设的 VIP, 实际上其实没有 node 是用这 IP) 即可帮我们导向这个 service

以上的程式代码都在 githubarrow-up-right 上可以找到。

hashtag
参考文档

上一页Traefik Ingress下一页Cloud Provider 扩展

最后更新于