K8s NodePort与Deployment实战:从配置到外部访问的完整链路解析
1. 理解K8s服务暴露的基础架构
当你第一次接触Kubernetes服务暴露时,可能会被各种端口类型绕晕。我刚开始用K8s部署Nginx服务时,就曾经因为搞不清containerPort和nodePort的区别,折腾了大半天都没能让外部访问到页面。后来才发现,这其实是一条清晰的链路,只要理解了Deployment、Pod和Service这三个核心组件的关系,问题就迎刃而解了。
Deployment就像是一个工厂的流水线管理员,它负责确保指定数量的Pod副本始终在运行。比如说你要运行3个Nginx实例,Deployment就会确保任何时候都有3个健康的Pod在运行。但这里有个关键点:Deployment只关心Pod的状态,不直接处理网络请求。
Pod是K8s中最小的调度单元,每个Pod都有自己的IP地址。比如我们部署的Nginx容器就是运行在Pod里的。但Pod的IP有个致命问题——它是不稳定的。当Pod发生重启或迁移时,IP地址就会变化。这就好比你的手机号码天天换,朋友想联系你都找不到人。
这时候就需要Service出场了。Service相当于一个固定的电话号码,它会自动关联匹配标签的所有Pod,并将请求负载均衡到这些Pod上。即使背后的Pod IP变了,Service的IP(ClusterIP)也保持不变。而NodePort是Service的一种类型,它会在集群所有节点上开放一个固定端口(30000-32767),让外部用户可以通过节点IP+端口的方式访问服务。
2. 配置Deployment的容器端口声明
记得我第一次给Nginx Deployment配置端口时,犯了个典型错误:以为在Deployment里声明了containerPort就等于暴露了服务。结果创建Service后死活访问不了,后来用kubectl exec进入Pod才发现,原来Nginx默认监听的是80端口,而我配置的是8080。
containerPort的正确理解应该是"端口声明"而非"端口暴露"。它主要起三个作用:
- 告诉K8s这个容器在哪个端口提供服务(元数据)
- 为后续Service的targetPort提供引用依据
- 方便监控系统采集指标
对于Nginx服务,标准的端口配置应该是这样的:
spec: template: spec: containers: - name: nginx image: nginx:latest ports: - containerPort: 80 protocol: TCP name: http这里有几个实际经验值得分享:
- 一定要确保containerPort和容器实际监听的端口一致。可以用这个命令验证:
kubectl exec -it <pod-name> -- netstat -tuln | grep LISTEN - protocol字段虽然默认是TCP,但显式声明会更清晰,特别是当你要同时暴露TCP和UDP端口时
- name字段不是必须的,但给端口命名后,在Service中可以用名字引用,配置更直观
3. 创建NodePort类型的Service
Service的配置看似简单,但实际使用时有很多细节需要注意。我曾经因为selector标签拼写错误,导致Service找不到Pod,ENDPOINTS一直显示,排查了半天才发现是少了个短横线。
一个完整的NodePort Service配置示例:
apiVersion: v1 kind: Service metadata: name: nginx-service spec: type: NodePort selector: app: nginx ports: - port: 80 targetPort: 80 nodePort: 30080关键字段解析:
- type: NodePort - 这是区别于其他Service类型的关键
- selector - 必须与Deployment中Pod的标签完全匹配
- port - Service在集群内的访问端口
- targetPort - 必须对应Pod内容器的实际端口
- nodePort - 节点上暴露的端口(30000-32767)
在实际项目中,我建议:
- 除非有特殊需求,否则不要手动指定nodePort,让K8s自动分配更不容易冲突
- 使用kubectl describe svc 查看Endpoints是否正常
- 跨命名空间访问需要特别处理,最简单的办法是让Service和Pod在同一个namespace
4. 完整的实操演示
让我们通过一个实际案例,把前面讲的所有知识点串联起来。假设我们要在test-ns命名空间部署Nginx,并通过NodePort暴露服务。
第一步:创建命名空间
kubectl create ns test-ns第二步:部署Nginx Deployment
# nginx-deployment.yaml apiVersion: apps/v1 kind: Deployment metadata: name: nginx-deployment namespace: test-ns spec: replicas: 2 selector: matchLabels: app: nginx template: metadata: labels: app: nginx spec: containers: - name: nginx image: nginx:latest ports: - containerPort: 80应用配置:
kubectl apply -f nginx-deployment.yaml第三步:创建NodePort Service
# nginx-service.yaml apiVersion: v1 kind: Service metadata: name: nginx-service namespace: test-ns spec: type: NodePort selector: app: nginx ports: - port: 80 targetPort: 80应用配置:
kubectl apply -f nginx-service.yaml第四步:验证服务
# 查看自动分配的NodePort kubectl get svc -n test-ns # 获取节点IP NODE_IP=$(kubectl get nodes -o jsonpath='{.items[0].status.addresses[?(@.type=="InternalIP")].address}') # 访问服务 curl http://$NODE_IP:<node-port>5. 常见问题排查指南
在实际使用中,即使按照文档一步步操作,也可能会遇到各种问题。下面分享几个我踩过的坑和解决方法。
问题1:Service创建成功但无法访问
检查Endpoints是否正常:
kubectl get endpoints -n test-ns如果显示,说明selector标签不匹配
验证Pod是否正常运行:
kubectl get pods -n test-ns
问题2:NodePort访问被拒绝
- 检查节点防火墙规则,确保30000-32767端口开放
- 如果是云服务商的环境,可能需要配置安全组规则
问题3:服务间歇性不可用
可能是Pod资源不足被OOM Kill:
kubectl describe pod -n test-ns查看Events部分是否有异常
也可能是就绪探针(Readiness Probe)配置不当:
readinessProbe: httpGet: path: / port: 80 initialDelaySeconds: 5 periodSeconds: 5
6. 进阶配置技巧
当你能熟练配置基础NodePort服务后,可以尝试以下进阶技巧来优化服务暴露方案。
自定义端口范围默认NodePort范围是30000-32767,但可以通过修改API Server配置调整:
--service-node-port-range=30000-32767多端口服务如果服务需要暴露多个端口,可以这样配置:
ports: - name: http port: 80 targetPort: 80 - name: metrics port: 9100 targetPort: 9100会话保持需要会话保持的应用可以配置sessionAffinity:
spec: sessionAffinity: ClientIP sessionAffinityConfig: clientIP: timeoutSeconds: 3600在实际生产环境中,NodePort通常不会直接对外暴露,而是配合Ingress或LoadBalancer使用。但对于开发和测试环境,NodePort因其简单易用的特性,仍然是快速暴露服务的首选方案。