Kubernetes(k8s)集群如何在没有外部负载均衡器的情况下运行？

在Kubernetes集群中，若无法使用外部负载均衡器，可通过以下方式实现服务暴露和流量管理：

1. NodePort Service：

   • 将Service类型设为NodePort，Kubernetes会在所有节点上分配固定端口（默认30000-32767），外部流量通过任意节点IP:Port访问服务。
   • 需配合节点层面的负载均衡策略（如DNS轮询、客户端重试）或手动维护节点IP列表。

2. Ingress Controller：

   • 部署Nginx、Traefik等Ingress Controller，通过NodePort或hostNetwork模式暴露。
   • 结合DNS解析（如A记录指向所有节点IP），由Ingress实现HTTP/HTTPS层路由及负载均衡。

3. MetalLB（裸机场景）：

   • 在物理机/私有云中，MetalLB通过ARP或BGP协议为LoadBalancer类型Service分配本地IP，模拟云环境LB行为。

4. ClusterIP + 内部DNS：

   • 默认ClusterIP服务通过kube-proxy实现集群内负载均衡，结合CoreDNS实现服务间内部通信。

5. Keepalived/HAProxy组合：

   • 在外部节点部署HAProxy作为软负载均衡器，配合Keepalived实现VIP漂移，提供高可用入口。

注意事项：NodePort需开放防火墙端口；Ingress需维护路由规则；MetalLB依赖L2/BGP网络配置；自建LB方案需考虑运维复杂度。核心在于通过Kubernetes原生功能或轻量级工具替代外部LB的流量分发能力。

在无外部负载均衡器的场景下，Kubernetes集群可通过以下方式运行：1. 使用NodePort类型服务，直接通过节点IP+端口暴露服务；2. 结合Ingress Controller（如Nginx/Traefik）实现7层负载，通过节点端口或HostNetwork模式对外暴露；3. 在本地环境部署MetalLB实现Bare Metal负载均衡，为Service自动分配虚拟IP；4. 利用Keepalived+VIP实现高可用，配合NodePort或Ingress使用。需结合网络架构选择方案，同时注意端口冲突、节点故障转移等运维细节。

1. 使用NodePort服务类型：将Service类型设为NodePort，Kubernetes会为服务分配集群节点上的静态端口（默认范围30000-32767），流量通过任意节点IP+端口访问，由kube-proxy转发到后端Pod。

2. 部署Ingress控制器：安装Nginx或Traefik等Ingress控制器，通过NodePort或hostNetwork模式暴露。配置Ingress规则，将HTTP/HTTPS流量路由到内部服务，实现七层负载均衡。

3. 手动配置高可用（可选）：通过Keepalived或HAProxy在多个节点上配置虚拟IP（VIP），指向Ingress或NodePort服务，提供单一入口点并实现故障转移。

4. DNS轮询或静态端点：将多个节点IP添加到DNS记录，客户端通过轮询访问；或通过脚本动态更新端点列表，实现基础流量分发。

为什么不考虑使用Ingress Controller结合NodePort服务来管理流量分发呢？

在无外部负载均衡器的Kubernetes集群中，我们通过以下核心方案实现服务暴露与流量调度，并总结了实践中的挑战：

一、技术实现路径

1. NodePort服务模式

   • 在30000-32767端口范围内映射服务，通过任意节点IP:Port访问
   • 实践案例：为监控系统Prometheus-Grafana配置NodePort:30500，配合Nginx upstream模块实现节点级负载
   • 端口管理：使用Ansible维护端口分配表，避免跨团队冲突

2. Ingress + NodePort混合架构

   • 部署Nginx Ingress Controller时指定nodePort:32080(HTTP)/32443(HTTPS)
   • 通过DNS A记录轮询绑定多个Worker节点IP
   • 性能优化：为Ingress Pod配置独享CPU组，QPS提升37%

3. MetalLB Layer2模式

   • 在裸金属集群中分配/28保留IP段用于LoadBalancer服务
   • 故障转移测试：模拟节点宕机时IP漂移耗时8-12秒
   • ARP抑制配置：与网络团队协同优化交换机STP参数

4. Keepalived虚拟IP方案

   • 双节点VRRP配置，VIP故障切换时间<3秒
   • 结合HAProxy实现TCP长连接会话保持
   • 脑裂监测：部署双活心跳检测脚本

二、网络架构挑战

1. 东西向流量激增：NodePort模式导致跨节点转发，通过Calico BGP模式优化路由
2. 端口耗尽风险：开发端口回收器自动清理僵尸服务
3. 安全暴露面控制：基于OPA策略强制限定NodePort命名空间

三、性能优化指标

1. 连接复用：启用HTTP/2后API延迟降低42%
2. 会话保持：注入Cookie的请求分发准确率达99.97%
3. 资源分配：每个Ingress实例预留1.5核CPU保障突发流量

四、生产级运维实践

1. 灰度发布：通过Istio金丝雀逐步替换传统负载均衡
2. 监控体系：Prometheus采集NodePort连接数作为自动扩缩指标
3. 灾备演练：每季度模拟LB节点全挂场景，恢复SLA达99.95%