Kubernetes中Service的虚拟IP与高效代理模式解析：iptables vs ipvs

在Kubernetes中，虚拟IP（VIP）与Service是紧密相关的概念，它们共同实现了集群内部服务的发现和访问。Service作为Kubernetes中的一个抽象层，通过虚拟IP的形式为客户端提供访问后端Pod的入口，同时实现了服务的负载均衡。Service的代理模式主要包括Userspace、iptables和ipvs三种，每种模式都有其特点和适用场景。

虚拟IP（VIP）

在Kubernetes集群中，Service通过分配一个虚拟IP（VIP）来映射到后端的一组Pods。这个VIP是集群内部可访问的，客户端通过访问这个VIP来间接访问到后端的Pods。由于Pods的IP地址是动态变化的（随着Pod的创建和销毁），因此直接使用Pod的IP地址进行访问是不现实的。Service通过VIP和端口号的组合，为客户端提供了一个稳定的访问入口。

Service的代理模式

1. Userspace代理模式

特点：早期的Kubernetes版本中使用，现已基本弃用。在Userspace模式下，kube-proxy会在每个节点上创建一个用户空间进程，该进程负责接收外部流量并将其转发到相应的Service和Pod。由于每次转发都需要经过用户空间到内核空间的切换，因此性能较差。
工作原理：kube-proxy通过监听kube-apiserver上的Service和Endpoint资源变动，实时更新本地规则，将流量转发到后端Pods。

2. iptables代理模式

特点：Kubernetes v1.2之后成为默认模式。iptables模式利用Linux内核的iptables/netfilter来实现数据包的转发和过滤，性能较高。
工作原理：kube-proxy通过监听kube-apiserver上的Service和Endpoint资源变动，动态更新节点上的iptables规则。当有数据包到达节点时，iptables根据规则将数据包转发到相应的后端Pod。

3. ipvs代理模式

特点：Kubernetes v1.8之后引入，性能优于iptables模式，是当前推荐使用的模式。ipvs（IP Virtual Server）是Linux内核的一部分，实现了传输层负载均衡（4层交换）。
工作原理：kube-proxy通过监听kube-apiserver上的Service和Endpoint资源变动，动态更新节点上的ipvs规则。ipvs基于哈希表实现高效的转发和负载均衡，支持多种负载均衡算法（如rr、wrr、lc等）。