节点访问(NodePort)_云容器引擎 CCE_用户指南_网络管理_Service

操作场景

节点访问 ( NodePort )是指在每个节点的IP上开放一个静态端口，通过静态端口对外暴露服务。节点访问 ( NodePort )会路由到ClusterIP服务，这个ClusterIP服务会自动创建。通过请求 <NodeIP>:<NodePort>，可以从集群的外部访问一个NodePort服务。

约束与限制

• “节点访问 ( NodePort )”默认为VPC内网访问，如果需要使用弹性IP通过公网访问该服务，请提前在集群的节点上绑定弹性IP。
• 创建service后，如果服务亲和从集群级别切换为节点级别，连接跟踪表将不会被清理，建议用户创建service后不要修改服务亲和属性，如需修改请重新创建servcie。
• 同一个节点内的容器不支持访问externalTrafficPolicy为local的service。

工作负载创建时设置

您可以在创建工作负载时通过控制台设置Service访问方式，本节以nginx为例进行说明。

1. 参考创建无状态负载(Deployment)、创建有状态负载(StatefulSet)或创建守护进程集(DaemonSet)，在“工作负载访问设置”步骤，单击“添加服务”。
   • 访问类型：选择“节点访问 ( NodePort )”。
     

     如果需要使用弹性IP通过公网访问该服务，请提前在集群的节点上绑定弹性IP。

   • Service名称：自定义服务名称，可与工作负载名称保持一致。
   • 服务亲和：
     • 集群级别：集群下所有节点的IP+访问端口均可以访问到此服务关联的负载，服务访问会因路由跳转导致一定性能损失，且无法获取到客户端源IP。
     • 节点级别：只有通过负载所在节点的IP+访问端口才可以访问此服务关联的负载，服务访问没有因路由跳转导致的性能损失，且可以获取到客户端源IP。
   • IPv6：默认不开启，开启后服务的集群内IP地址（ClusterIP）变为IPv6地址，具体请参见如何通过CCE搭建IPv4/IPv6双栈集群？。该功能仅在1.15及以上版本的集群创建时开启了IPv6功能才会显示。
   • 端口配置：
     • 协议：请根据业务的协议类型选择。
     • 容器端口：容器镜像中工作负载实际监听的端口，取值范围为1-65535。
     • 访问端口：容器端口映射到节点私有IP上的端口，建议选择“自动生成”。
       • 自动生成：系统会自动分配端口号。
       • 指定端口：指定固定的节点端口，默认取值范围为30000-32767。若指定端口时，请确保同个集群内的端口唯一性。

2. 完成配置后，单击“确定”。
3. 单击“下一步：高级设置”进入高级设置页面，直接单击“创建”。
4. 单击“查看工作负载详情”，在访问方式页签下获取访问地址，例如“192.168.0.160:30358”。

工作负载创建完成后设置

您可以在工作负载创建完成后对Service进行配置，此配置对工作负载状态无影响，且实时生效。具体操作如下：

1. 登录CCE控制台，在左侧导航栏中选择“工作负载 > 无状态负载 Deployment”，在工作负载列表页单击要设置Service的工作负载名称。
   

   如果当前Service被关联到Ingress，则更新Service的端口信息后Ingress将不可用，需要删除重建。

2. 在“Service”页签，单击“添加Service”。
3. 在“添加Service”页面，访问类型选择“节点访问 ( NodePort )”。
   

   如果需要使用弹性IP通过公网访问该服务，请提前在集群的节点上绑定弹性IP。

4. 设置节点访问参数：
   • Service名称：自定义服务名称，可与工作负载名称保持一致。
   • 集群名称：工作负载所在集群的名称，此处不可修改。
   • 命名空间：工作负载所在命名空间，此处不可修改。
   • 关联工作负载：要添加Service的工作负载，此处不可修改。
   • 服务亲和：
     • 集群级别：集群下所有节点的IP+访问端口均可以访问到此服务关联的负载，服务访问会因路由跳转导致一定性能损失，且无法获取到客户端源IP。
     • 节点级别：只有通过负载所在节点的IP+访问端口才可以访问此服务关联的负载，服务访问没有因路由跳转导致的性能损失，且可以获取到客户端源IP。
   • IPv6：默认不开启，开启后服务的集群内IP地址（ClusterIP）变为IPv6地址，具体请参见如何通过CCE搭建IPv4/IPv6双栈集群？。该功能仅在1.15及以上版本的集群创建时开启了IPv6功能才会显示。
   • 端口配置：
     • 协议：请根据业务的协议类型选择。
     • 容器端口：容器镜像中工作负载程序实际监听的端口，需用户确定。nginx程序实际监听的端口为80。
     • 访问端口：容器端口映射到节点私有IP上的端口，建议选择“自动生成”。
       • 自动生成：系统会自动分配端口号。
       • 指定端口：指定固定的节点端口，默认取值范围为30000-32767。若指定端口时，请确保同个集群内的端口唯一性。

5. 单击“创建”。工作负载已添加“节点访问 ( NodePort )”的服务。

验证访问方式

1. 在管理控制台首页，单击“计算 > 弹性云服务器”。
2. 在弹性云服务器页面，找到同一VPC内任意一台云服务器，并确认连接到访问地址中IP与端口的安全组是开放的。
   图1 确认安全组开放
   

3. 单击“远程登录”，弹出登录页面，输入用户密码登录。
4. 使用curl命令访问工作负载验证工作负载是否可以正常访问。
   

   • 节点访问(NodePort)会在集群内节点上分配一个虚拟IP，即可以在集群内部通过虚拟IP的验证方式验证。其中，虚拟IP访问端口默认与容器端口一致。
   • 如果需要使用弹性IP通过公网访问该服务，请提前在集群的节点上绑定弹性IP。

   curl 192.168.0.160:30358

   其中“192.168.0.160:30358”为4中获取到的访问地址，即节点虚拟IP+访问端口。

   回显如下表示访问成功。

   <html>
   <head>
   <title>Welcome to nginx!</title>
   <style>
       body {
           width: 35em;
           margin: 0 auto;
           font-family: Tahoma, Verdana, Arial, sans-serif;
       }
   </style>
   </head>
   <body>
   <h1>Welcome to nginx!</h1>
   <p>If you see this page, the nginx web server is successfully installed and
   working. Further configuration is required.</p>
   
   <p>For online documentation and support please refer to
   <a href="http://nginx.org/">nginx.org</a>.<br/>
   Commercial support is available at
   <a href="http://nginx.com/">nginx.com</a>.</p>
   
   <p><em>Thank you for using nginx.</em></p>
   </body>
   </html>

更新Service

您可以在添加完Service后，更新此Service的端口配置，操作步骤如下：

1. 登录CCE控制台，在左侧导航栏中选择“资源管理 > 网络管理”，在Service页签下，选择对应的集群和命名空间，单击需要更新端口配置的Service后的“更新”。
2. 在更新Service页面，访问类型选择“节点访问 ( NodePort )”。
3. 更新节点访问参数：
   • Service名称：您创建的Service名称，此处不可修改。
   • 集群名称：工作负载所在集群的名称，此处不可修改。
   • 命名空间：工作负载所在命名空间，此处不可修改。
   • 关联工作负载：要添加Service的工作负载，此处不可修改。
   • IPv6：该功能仅在1.15及以上版本的集群创建时开启了IPv6功能才会显示，此处不可修改。
   • 服务亲和：
     • 集群级别：集群下所有节点的IP+访问端口均可以访问到此服务关联的负载，服务访问会因路由跳转导致一定性能损失，且无法获取到客户端源IP。
     • 节点级别：只有通过负载所在节点的IP+访问端口才可以访问此服务关联的负载，服务访问没有因路由跳转导致的性能损失，且可以获取到客户端源IP。
   • 端口配置：
     • 协议：请根据业务的协议类型选择。
     • 容器端口：容器镜像中工作负载程序实际监听的端口，需用户确定。nginx程序实际监听的端口为80。
     • 访问端口：容器端口映射到节点私有IP上的端口，建议选择“自动生成”。
       • 自动生成：系统会自动分配端口号。
       • 指定端口：指定固定的节点端口，默认取值范围为30000-32767。若指定端口时，请确保同个集群内的端口唯一性。

4. 单击“更新”。工作负载已更新Service。

kubectl命令行创建

您可以通过kubectl命令行设置Service访问方式。本节以nginx为例，说明kubectl命令实现节点访问的方法。

前提条件

请参见通过kubectl或web-terminal插件操作CCE集群配置kubectl命令，使弹性云服务器连接集群。

操作步骤

1. 登录已配置好kubectl命令的弹性云服务器。登录方法请参见登录Linux弹性云服务器。
2. 创建并编辑nginx-deployment.yaml以及nginx-nodeport-svc.yaml文件。

   其中，nginx-deployment.yaml和nginx-nodeport-svc.yaml为自定义名称，您可以随意命名。

   vi nginx-deployment.yaml

   apiVersion: apps/v1
   kind: Deployment
   metadata:
     name: nginx
   spec:
     replicas: 1
     selector:
       matchLabels:
         app: nginx
     strategy:
       type: RollingUpdate
     template:
       metadata:
         labels:
           app: nginx
       spec:
         containers:
         - image: nginx 
           imagePullPolicy: Always
           name: nginx
         imagePullSecrets:
         - name: default-secret

   vi nginx-nodeport-svc.yaml

   apiVersion: v1
   kind: Service
   metadata:
     labels:
       app: nginx
     name: nginx-nodeport
   spec:
     ports:
     - name: service
       nodePort: 30000
       port: 80
       protocol: TCP
       targetPort: 80
     selector:
       app: nginx
     type: NodePort

   表1 关键参数说明

   参数	是否必填	参数类型	描述
   nodePort	否	Integer	对应界面上的访问端口，取值范围为30000 ~ 32767，不填写表示自动生成。
   port	是	Integer	集群虚拟IP的访问端口，取值范围为1 ~ 65535。
   protocol	否	String	该端口的IP协议，支持“TCP”和“UDP”。 默认值：TCP
   targetPort	是	String	对应界面上的容器端口，取值范围为1 ~ 65535。
   type	是	String	对应界面上的访问类型，NodePort表示“节点私有IP”。

   表2 metadata.annotations相关参数（对接Ingress需开启健康检查和会话保持，如下为其所需字段及说明）

   参数	是否必填	参数类型	描述
   kubernetes.io/elb.session-affinity-mode	否	String	负载均衡监听是基于IP地址的会话保持，即来自同一IP地址的访问请求转发到同一台后端服务器上。 不启用：不填写该参数。 开启会话保持：需增加该参数，取值“SOURCE_IP”，表示基于源IP地址。
   kubernetes.io/elb.session-affinity-option	否	表3 Object	七层负载均衡会话保持配置选项。
   kubernetes.io/elb.lb-algorithm	否	String	默认值：“ROUND_ROBIN”，为后端云服务器组的负载均衡算法。 取值范围： ROUND_ROBIN：加权轮询算法。 LEAST_CONNECTIONS：加权最少连接算法。 SOURCE_IP：源IP算法。 当该字段的取值为SOURCE_IP时，后端云服务器组绑定的后端云服务器的weight字段无效。
   kubernetes.io/elb.health-check-flag	否	String	默认开启，为是否开启ELB健康检查功能。 开启：“”（空值）或“on” 关闭：“off”
   kubernetes.io/elb.health-check-option	否	表4 Object	ELB健康检查配置选项。

   表3 elb.session-affinity-option字段数据结构说明

   参数	是否必填	参数类型	描述
   persistence_timeout	否	String	当elb.session-affinity-mode是“HTTP_COOKIE”时生效，设置会话保持的超时时间（秒）。 默认值为：1440，取值范围：1-1440。
   app_cookie_name	是	String	当elb.session-affinity-mode是“APP_COOKIE”时生效，设置会话保持的超时时间（秒）。 取值范围：1-10000字符。

   表4 elb.health-check-option字段数据结构说明

   参数	是否必填	参数类型	描述
   delay	是	String	开始健康检查的初始等待时间（秒），可选 默认值：5，取值范围：1-50
   timeout	是	String	健康检查的超时时间（秒），可选 默认值：10，取值范围1-50
   max_retries	是	String	健康检查的最大重试次数，可选 默认值：3，取值范围1-10
   protocol	是	String	健康检查的协议，可选 默认值：取关联服务的协议 取值范围：“TCP”或者“HTTP”
   path	是	String	健康检查的URL，协议是“HTTP”时配置，可选 默认值：“/” 取值范围：1-10000字符

3. 创建工作负载。

   kubectl create -f nginx-deployment.yaml

   回显如下，表示工作负载已开始创建。

   deployment "nginx" created

   kubectl get po

   回显如下，工作负载状态为Running，表示工作负载已处于运行状态。

   NAME                     READY     STATUS             RESTARTS   AGE
   etcd-0                   0/1       ImagePullBackOff   0          48m
   icagent-m9dkt            0/0       Running            0          3d
   nginx-2601814895-qhxqv   1/1       Running            0          9s

4. 创建服务。

   kubectl create -f nginx-nodeport-svc.yaml

   回显如下，表示服务开始创建。

   service "nginx-nodeport" created

   kubectl get svc

   回显如下，表示服务已创建完成。

   NAME             TYPE        CLUSTER-IP     EXTERNAL-IP   PORT(S)        AGE
   etcd-svc         ClusterIP   None           <none>        3120/TCP       49m
   kubernetes       ClusterIP   10.247.0.1     <none>        443/TCP        3d
   nginx-nodeport   NodePort    10.247.4.225   <none>        80:30000/TCP   7s

5. 采用curl命令访问工作负载验证工作负载是否可以正常访问。

   curl 192.168.2.240:30000

   其中192.168.2.240为集群中任意一个节点的IP地址，30000为节点开放的端口号。

   回显如下，表示可正常访问。

   <html>
   <head>
   <title>Welcome to nginx!</title>
   <style>
       body {
           width: 35em;
           margin: 0 auto;
           font-family: Tahoma, Verdana, Arial, sans-serif;
       }
   </style>
   </head>
   <body>
   <h1>Welcome to nginx!</h1>
   <p>If you see this page, the nginx web server is successfully installed and
   working. Further configuration is required.</p>
   
   <p>For online documentation and support please refer to
   <a href="http://nginx.org/">nginx.org</a>.<br/>
   Commercial support is available at
   <a href="http://nginx.com/">nginx.com</a>.</p>
   
   <p><em>Thank you for using nginx.</em></p>
   </body>
   </html>