一、如何从外部网络访问Kubernetes的PodIP和ClusterIP都只能在集群内部访问，而我们通常需要从外部网络上访问集群中的某些服务，Kubernetes提供了下述几种方式来为集群提供外部流量入口。二、需求有一pod,里面有rabbitmq服务，先想从外部通过ip:15672访问MQ的管理员界面查看队列消费情况。方法1(pod会重启)：方法2:NodePort(pod不会重启,更适合生产环境)NodePort在集群中的主机节点上为Service提供一个代理端口，以允许从主机网络上对Service进行访问。Kubernetes官网文档只介绍了NodePort的功能，并未对其实现原理进行

1、问题一使用搭建好了K8S集群，先是node节点加入k8s集群时，用的内网IP，导致master节点无法操作node节点中的pod（这里的不能操作，指定是无法查看node节点中pod的日志、启动描述、无法进入pod内部，即kubectllogs、kubectl describe、kubectlexec-it等等的命令都不能）解决办法：解决公网下，k8scalicomaster节点无法访问node节点创建的pod-CSDN博客2、问题二master节点能正常访问node节点创建的pod，即问题一所产生的问题但是master节点无法ping通node节点创建pod所属的Service的IP注意：

介绍NodePort：主要特点：为Service在每个节点上分配一个固定的端口（NodePort），允许外部流量通过节点的IP地址和NodePort访问Service。NodePort将流量从集群外部引入到Service内部。Service类型为NodePort时，还会创建一个ClusterIP，但它只是一个内部的ClusterIP，通常不会直接使用。使用场景：当需要从集群外部访问Service，但不希望使用负载均衡器或Ingress时，可以使用NodePort。适用于开发和测试环境，以便快速访问Service。不推荐用于生产环境，因为NodePort通常需要手动配置负载均衡，不够灵活和安全。

在Kubernetes中，有三种类型的端口与Service相关：port、targetPort和NodePort。它们分别用于不同的用途：port：port字段定义了Service暴露给集群内部和外部的端口号。当你创建一个Service时，其他应用或服务可以通过该端口与Service进行通信，将请求发送到Service上。这个端口号是Service在Kubernetes集群内部和外部可见的端口。targetPort：targetPort字段定义了Service将流量转发到后端Pod的容器端口号。当请求进入Service时，Service会根据其定义将请求转发到后端Pod的这个指定端口。通常，后

1.ClusterIP是什么ClusterIP是在所有节点内生成一个虚拟IP，为一组pod提供统一的接入点，当service存在时，它的IP地址和端口不会发生改变，客户端通过service的ip和端口建立连接，由service将连接路由到该服务的任意一个后端pod上，通过这种方式，客户端不需要知道每个pod的具体ip，pod可以随时移除或创建，同时实现pod间的负载均衡。Service通过使用标签选择器来指定哪些pod属于同一组。创建service:注意：Port:80为Service服务端口, targetPort:8080为POD中的容器内部端口,一般情况下保持一致!新的服务会分配一个集群

k8s集群唯独一个节点nodeport不通问题调查背景：​集群3个节点，通过svc暴露了一个nodeport类型的31710端口。对于nodeport类型的端口，理论上可以通过任何一个节点的nodeip+nodeport访问的，但是该环境在实际访问时，31710端口呈现频繁无法访问的问题，且telnet不通。排查问题：查看对应服务的pod、svc、endpoint的状态，未见异常查看kube-apiserver组件的状态及日志信息，未发现明显问题怀疑问题节点的kube-proxy组件异常，观察发现该节点kube-proxy的pod为running，对比正常节点，日志未发现错误信息。通过ipta

问题描述创建了一个nodeport类型的service，端口是80，按道理来说会在每个节点上开启80端口，但是发现master节点上没有开启80端口，node1、node2上均开启了80端口。在k8s1.22.17版本中已经无法使用lsof-i:80或netstat-lntup|grep80等方式查看service开启的nodeport端口了，但是我们可以使用telnet命令进行测试问题排查排查防火墙selinux，都是关闭状态的。安装网上说的添加：iptables-PFORWARDACCEPT，仍是未解决。查看当初安装集群时配置的开启ipv4转发，也没啥问题：[root@masterglus

本文首发自「慕课网」，想了解更多IT干货内容，程序员圈内热闻，欢迎关注"慕课网"！作者：一凡|慕课网讲师集群内访问在k8s中创建的微服务，大部分都是在集群内部互相调用，这时候，使用DNS就可以很方面访问。比如：服务名是my-service，端口号是8080，命名空间是yifan，那么就可以通过域名+端口“my-service.yifan.svc.cluster.local:8080”在集群内访问。当然，也可以直接用服务的ClusterIP+服务的端口号，只是这么使用的较少。DNS解析到的IP也就是这个服务的ClusterIP，只是咱们不需要记住ClusterIP，记住服务名对应的域名更加容易。

系列文章：这个系列已完结，如对您有帮助，求点赞收藏评论。读者寄语：再小的帆，也能远航！【k8s完整实战教程0】前言【k8s完整实战教程1】源码管理-Coding【k8s完整实战教程2】腾讯云搭建k8s托管集群【k8s完整实战教程3】k8s集群部署kubesphere【k8s完整实战教程4】使用kubesphere部署项目到k8s【k8s完整实战教程5】网络服务配置（nodeport/loadbalancer/ingress）【k8s完整实战教程6】完整实践-部署一个federated_download项目nodeport方式的service：使用节点IP+节点端口访问loadbalance方式

系列文章Cilium系列文章前言将Kubernetes的CNI从其他组件切换为Cilium,已经可以有效地提升网络的性能。但是通过对Cilium不同模式的切换/功能的启用，可以进一步提升Cilium的网络性能。具体调优项包括不限于：启用本地路由(NativeRouting)完全替换KubeProxyIP地址伪装(Masquerading)切换为基于eBPF的模式KubernetesNodePort实现在DSR(DirectServerReturn)模式下运行绕过iptables连接跟踪(BypassiptablesConnectionTracking)主机路由(HostRouting)切换为基