搜索结果: "service"

title: Kubernetes 负载均衡深度实践：Service 数据面到生产级流量治理全链路

sources: [raw/articles/raw_Kubernetes-负载均衡深度实践-从-Service-数据面到生产级流量治理全链路拆解.md]

# Kubernetes 负载均衡深度实践：Service 数据面到生产级流量治理全链路

> 关键词：Kubernetes、Service、Ingress、IPVS、eBPF、Service Mesh、conntrack、高并发、流量治理

Kubernetes 负载均衡不是单点能力，而是一条跨越控制面、节点网络、代理层、应用层的协同链路。本文从数据面出发，系统梳理从 Service 到生产级流量治理的全链路方案。

title: K8s 服务访问排查 — 从 Pod、Service 到 Ingress 十步工作流

tags: [kubernetes, troubleshooting, service, pod, ingress, networking, cni, dns]

sources: [raw/articles/k8s-service-access-troubleshooting.md, raw/articles/cni-comparison-flannel-calico-cilium.md]

# K8s 服务访问排查 — 从 Pod、Service 到 Ingress 十步工作流

### 场景一：集群内部 Pod 访问 Service（最常见）

title: Service 与网络排障 — Endpoints / DNS / kube-proxy / CNI / NetworkPolicy / Ingress

tags: [kubernetes, troubleshooting, service, networking, ingress, cni, dns]

- raw/articles/k8s-service-access-troubleshooting.md

# Service 与网络排障

**现象:** Service 存在但 Endpoints 为空，访问连接失败。

| ⑥ 集群与策略层（K8s） | CNI/kube-proxy/NetworkPolicy/Service/Endpoint 一致？ | `kubectl get pod,svc,ep -A`, `kubectl get netpol -A` |

2. **Service 与 Endpoint** — `kubectl get svc,ep -A` → 看 CLUSTER-IP / PORT(S) / ENDPOINTS 是否为空

**K8s + CNI 常见断点：** Pod IP 分配失败、Service → Endpoint 映射不一致、NetworkPolicy 默认拒绝

| Service 不通但 Pod IP 直连可通 | `kubectl get svc,ep` 看 ENDPOINTS | Selector/TargetPort 不匹配 / kube-proxy 异常 |

| [[k8s-service-access-troubleshooting]] | K8s Service/Ingress 网络排障十步工作流（6 层模型第 ⑥ 层深入） |

- **Service**（集群内访问）

> ⚠️ 如果有多个 Master 共享同一命名空间，Service 命名冲突、RBAC 权限交叉、资源配额互相影响等问题会逐渐暴露。

serviceName: jenkins-master-svc

### 4.3 Headless Service（用于 Agent 连接）

kind: Service

tags: [kubernetes, architecture, deployment, pod, service, statefulset, networking, storage]

| **Kube-proxy** | 网络代理，维护节点上的网络规则（iptables/ipvs），实现 Service 负载均衡 |

### Service — 服务发现与负载均衡

**Service 如何找到 Pod：**

Service (selector: app=nginx)

## 二、场景二：Rewrite Service 别名

- ⚠️ rewrite 只改查询名，**不保证网络可达** — Service 端口、NetworkPolicy、后端 Pod 健康需单独确认

> 排障参考：[[k8s-service-access-troubleshooting]]（DNS 是十步工作流的关键环节）

- [[k8s-service-access-troubleshooting]] — K8s 服务访问十步排查（DNS 是第一步）

- [[service-troubleshooting]] — Service 与网络排障（CoreDNS/kube-proxy 联动）

| 6 | 什么是 Service？ | 暴露应用的稳定访问地址，类型：ClusterIP/NodePort/LoadBalancer/ExternalName | [[service-troubleshooting]] |

| 16 | 什么是 Ingress？ | 管理外部 HTTP/HTTPS 访问，支持域名/路径路由和 TLS 终止 | [[k8s-service-access-troubleshooting]] |

| 18 | 什么是 ServiceAccount？ | 为 Pod 提供访问 API 的身份，与 RBAC 配合控制权限 | — |

| 54 | 有状态应用部署？ | StatefulSet + Headless Service + PVC | [[k8s-statefulset-guide]] |

| 61 | 网络策略？ | NetworkPolicy 控制 Pod 间通信（标签+端口+IP）| [[service-troubleshooting]] |

VirtualService + DestinationRule + Sidecar — 版本拆分、请求级路由、局部故障隔离、超时与重试、跨集群故障转移。

name: order-service

host: order-service.trade.svc.cluster.local

### VirtualService — 定向灰度 + 权重放量

kind: VirtualService

**支撑工具：** Istio / Linkerd（Service Mesh）、Argo Rollouts、Flagger、Nginx Ingress Canary

Ingress、SLB、Service Mesh（如 Istio）必须配置连接排空，等待旧 Pod 上的连接自然结束后再删除 Pod。否则旧 Pod 已退出但 LB 还在转发流量 → 502 报错。

K8s Service 层面：Readiness Gate + terminationGracePeriodSeconds 配合。

| [[k8s-service-access-troubleshooting]] | 连接排空与流量治理 |

| [[service-troubleshooting]] | Service Endpoints 与滚动更新的关系 |

| 网络标识 | 通过 Service 负载均衡访问 | 每个 Pod 有固定 DNS 名称 |

**必须搭配 Headless Service（`clusterIP: None`）使用：**

kind: Service

Headless Service 不做负载均衡，DNS 查询 `my-headless-svc` 返回所有 Ready Pod 的 IP 列表。

可通过 `pod-name.service-name.namespace.svc.cluster.local` 直接访问特定 Pod。

tags: [kubernetes, troubleshooting, production, debugging, pod, node, service, storage, networking, security]

## 问题三：Service 访问失败

> 🔙 **回滚：** 如果是新 Service 配置导致的，检查 Annotation 和 Service Type。

📖 深度排查 → [[service-troubleshooting]] | [[k8s-service-access-troubleshooting]]

| 直连测试 | `telnet 53` | 绕过 DNS 直联 Service IP |

- raw/articles/k8s-service-access-troubleshooting.md

- Service 的 Endpoints 是否有关联的 Pod IP

- 从 Pod 内直接访问 Service IP（绕过 Ingress 和 NodePort）

- [[k8s-service-access-troubleshooting]] — 从 Pod→Service→Ingress 十步排查工作流

- [[service-troubleshooting]] — Service 与网络排障（含 kube-proxy/CNI）

- raw/articles/k8s-service-access-troubleshooting.md

- **依赖不可达:** 检查依赖 Service 的 Endpoints 是否存在

- **认证失败:** 创建/更新 Secret → 关联到 Deployment 或 ServiceAccount

# localhost 能通但通过 Service 不通 → 问题在 Service 层

- [[k8s-service-access-troubleshooting]] — 从 Pod→Service→Ingress 十步排查工作流

- Created concepts: k8s-troubleshooting-principles, pod-troubleshooting, node-troubleshooting, service-troubleshooting, storage-troubleshooting, resource-rbac-scheduling-troubleshooting

- 新增标签分类：microservices, service-discovery, nacos, zookeeper, consul

- Created raw: raw/articles/k8s-service-access-troubleshooting.md

- Created concepts: k8s-service-access-troubleshooting

- Updated: service-troubleshooting, pod-troubleshooting, k8s-troubleshooting-principles

├── kubernetes/ # K8s 集群、Pod、Service、存储、调度

- service: Service/网络

- microservices: 微服务架构

- service-discovery: 服务发现

| 6 | Prometheus 监控 K8s？ | Prometheus Operator + ServiceMonitor + Node Exporter + kube-state-metrics + 告警规则 | — |

| 50 | iptables vs ipvs？ | iptables：规则链匹配（规模大效率低）；ipvs：哈希表转发（效率高/支持会话保持）。kube-proxy mode 切换 | [[service-troubleshooting]] |

| 42 | Service Mesh 高级特性？ | 流量管理(A/B/蓝绿/金丝雀) + 熔断限流 + mTLS + 分布式追踪 + 策略执行 |

| [[k8s-load-balancing-deep-practice]] | K8s 负载均衡深度实践（Service 数据面/高并发流量治理/面试核心考点） |

2. **已有 Service 会短暂中断**：因为 kube-proxy 依赖的底层规则会变化

| [[service-troubleshooting]] | CNI 排查实战（Flannel 接口/Calico Pod 状态/BGP 路由检查） |

| [[k8s-service-access-troubleshooting]] | 服务访问十步工作流中 CNI 为关键排查步骤 |

tags: [microservices, service-discovery, nacos, zookeeper, consul, production]

- [[k8s-service-access-troubleshooting]] — K8s 服务访问排查十步工作流（含服务发现与 DNS 排障）

- [[k8s-architecture-core-concepts]] — K8s 架构与核心概念（Service/Endpoints 与服务发现机制）

SERVICES="nginx php-fpm mysql"

for svc in $SERVICES; do

配合 `* * * * * /opt/scripts/service_guard.sh` 每分钟检查一次。

# 编辑 /usr/lib/systemd/system/kubelet.service.d/10-kubeadm.conf

- [[k8s-service-access-troubleshooting]] — 服务访问排查（Pod 排障前置条件）

- [[service-troubleshooting]] — Service 排障（节点恢复后的网络排查）

--as=system:serviceaccount::

# 检查 ServiceAccount

**修复：** 创建正确的 Role + RoleBinding 并关联到 ServiceAccount。

> 以面试场景切入，记录一次 order-service 生产环境 CPU 100% 的完整排查过程。

at com.order.service.PriceCalculator.calculateDiscount(PriceCalculator.java:87)

凌晨 2 点告警，order-service 两个节点 CPU 100%。

- [[k8s-load-balancing-deep-practice]] — Kubernetes 负载均衡深度实践：Service 数据面到生产级流量治理全链路（kube-proxy/IPVS/eBPF/Ingress/Service Mesh/conntrack）

- [[k8s-service-access-troubleshooting]] — K8s 服务访问排查十步工作流：Pod→Service→kube-proxy→CNI→Ingress→DNS→NetworkPolicy

- [[service-troubleshooting]] — Service 与网络排障：Endpoints / DNS / kube-proxy / CNI / NetworkPolicy / Ingress

| K8s 内 Pod 间不通 | K8s Service / NetworkPolicy 排查 | [[service-troubleshooting]] |

| K8s 服务访问 502/504 超时 | K8s 服务访问排查十步工作流 | [[k8s-service-access-troubleshooting]] |

| /usr/lib/systemd/system | systemd unit 文件 | nginx.service, docker.service |

├── systemd/system/ # 自定义 systemd service

sudo firewall-cmd --remove-service=dhcpv6-client --permanent # 移除不需要的服务

systemctl list-units --type=service --state=running

echo "✅ All services healthy!"

echo "❌ Service verification failed!"; exit 1

services:

tags: [architecture, microservices, performance, database]

tags: [performance, architecture, microservices, java]

service-tier: s0 # SLA 与资源策略

**原理：** 使用 hostPort 意味着在该节点上只能运行一个该 Pod 副本。如果节点数少于副本数，多余的 Pod 就会 Pending。大多数应用应避免使用 hostPort，改用 ClusterIP + Service。

| **就绪探针** (Readiness) | 判断容器是否"准备好"接收流量 | 从 Service Endpoints 剔除 | 启动慢、滚动更新、临时过载 |

K8s 为每个 Pod 自动分配 QoS（Quality of Service）等级：

→ 检查内网 DNS 服务状态 → 检查 CoreDNS Pod → 检查 Service 的 Endpoints

**应用启动异常排查：** 启动服务后使用 `journalctl -u <service> -n 50 -f` 追踪启动过程日志，定位启动失败根因。

systemctl restart <service>

systemctl restart <service>

| 服务依赖 | systemd 顺序：rpcbind.socket → nfs-server.service → nfs-mountd.service |

- **Service 层** — 使用 ClusterIP + SessionAffinity（ClientIP）实现 WebSocket 会话保持