Kubernetes: служба, расположенная в другом пространстве имен

Я пытался найти способ определить службу в одном пространстве имен, которая связана с модулем, работающим в другом пространстве имен. Я знаю, что контейнеры в serviceX Pod, работающем в namespaceA могут обращаться к serviceX определенному в namespaceB, ссылаясь на него в DNS кластера как serviceX.namespaceB.svc.cluster.local, но я бы не хотел, чтобы код внутри контейнера должен был знать о расположение serviceX. То есть я хочу, чтобы код просто serviceX и затем serviceX доступ к нему.

Документация Kubernetes предполагает, что это возможно. В нем говорится, что одной из причин, по которой вы определяете службу без селектора, является то, что вы хотите указать свою службу для службы в другом пространстве имен или в другом кластере.

Это подсказывает мне, что я должен:

Определите сервис serviceX в namespaceA serviceX, без селектора (поскольку POD, который я хочу выбрать, не находится в namespaceA).
Определите службу (которую я также назвал serviceX) в namespaceB, а затем
Определите объект Endpoints в namespaceA чтобы он указывал на serviceX в namespaceB.

Это третий шаг, который мне не удалось сделать.

Сначала я попытался определить объект Endpoints следующим образом:

kind: Endpoints
apiVersion: v1
metadata:
  name: serviceX
  namespace: namespaceA
subsets:
  - addresses:
      - targetRef:
          kind: Service
          namespace: namespaceB
          name: serviceX
          apiVersion: v1
    ports:
      - name: http
        port: 3000

Это казалось логичным подходом, и, очевидно, для чего предназначался targetRef. Но это привело к ошибке, говорящей о том, что поле ip в массиве addresses является обязательным. Итак, моей следующей попыткой было назначить фиксированный адрес ClusterIP для serviceX в namespaceB и поместить его в поле IP (обратите внимание, что service_cluster_ip_range настроен как 192.168.0.0/16, а 192.168.1.1 был назначен в качестве ClusterIP для serviceX в namespaceB; serviceX в namespaceA автоматически назначается другой ClusterIP в подсети 192.168.0.0/16):

kind: Endpoints
apiVersion: v1
metadata:
  name: serviceX
  namespace: namespaceA
subsets:
  - addresses:
        - ip: 192.168.1.1
          targetRef:
            kind: Service
            namespace: namespaceB
            name: serviceX
            apiVersion: v1
    ports:
      - name: http
        port: 3000

Это было принято, но доступ к serviceX в namespaceA serviceX не перенаправлялся в Pod в namespaceB serviceX - они истекли. Глядя на настройку iptables, похоже, что для этого нужно было бы дважды выполнить предварительную маршрутизацию NAT.

Единственное, что я обнаружил, что это сработало, но не является удовлетворительным решением, - это поиск фактического IP-адреса Pod, предоставляющего serviceX в namespaceB и помещение этого адреса в объект Endpoints в namespaceA. Конечно, это неудовлетворительно, потому что IP-адрес Pod может со временем меняться. Это проблема IP-адресов службы, чтобы решить.

Итак, есть ли способ удовлетворить то, что кажется обещанием документации, что я могу указать службу в одном пространстве имен службе, работающей в другом пространстве имен?

Комментатор спросил, почему вы хотели бы сделать это - вот пример использования, который имеет смысл для меня, по крайней мере:

Допустим, у вас есть мультитенантная система, которая также включает в себя общую функцию доступа к данным, которая может совместно использоваться арендаторами. Теперь представьте, что существуют разные варианты этой функции доступа к данным с общими API, но с разными характеристиками производительности. Некоторые арендаторы получают доступ к одному из них, другие арендаторы имеют доступ к другому.

Каждый модуль арендатора работает в своих собственных пространствах имен, но каждому из них требуется доступ к одной из этих общих служб доступа к данным, которые обязательно будут находиться в другом пространстве имен (поскольку к нему обращаются несколько арендаторов). Но вы не хотели бы, чтобы арендатор изменил свой код, если его подписка изменится, чтобы получить доступ к высокопроизводительной службе.

Потенциальное решение (самое чистое, которое я могу придумать, если бы оно работало) состоит в том, чтобы включить определение службы в каждое пространство имен арендатора для службы доступа к данным, причем каждое из них настроено для соответствующей конечной точки. Это определение службы будет настроено так, чтобы указывать на соответствующую службу доступа к данным, которую каждый арендатор имеет право использовать.

Ответ 1

Я наткнулся на ту же проблему и нашел приятное решение, которое не требует статической конфигурации ip:

Вы можете получить доступ к сервису через него DNS-имя (как упоминалось вами): servicename.namespace.svc.cluster.local

Вы можете использовать это DNS-имя для ссылки в другое пространство имен через локальную службу:

kind: Service
apiVersion: v1
metadata:
  name: service-y
  namespace: namespace-a
spec:
  type: ExternalName
  externalName: service-x.namespace-b.svc.cluster.local
  ports:
  - port: 80

Ответ 2

Вы можете добиться этого, развернув что-то на более высоком уровне, чем службы с именами, например, loadbalancer https://github.com/kubernetes/contrib/tree/master/service-loadbalancer. Если вы хотите ограничить его одним пространством имен, используйте аргумент "--namespace = ns" (по умолчанию все пространства имен: https://github.com/kubernetes/contrib/blob/master/service-loadbalancer/service_loadbalancer.go#L715), Это хорошо работает для L7, но для L4 это немного грязно.

Ответ 3

Это так просто сделать

если вы хотите использовать его в качестве хоста и хотите разрешить его

это будет похоже на: servicename.namespacename.svc.cluster.local

это отправит запрос конкретной службе в пространство имен, которое вы упомянули.

Для бывших

kind: Service
apiVersion: v1
metadata:
  name: service
spec:
  type: ExternalName
  externalName: <servicename>.<namespace>.svc.cluster.local

Здесь замените <servicename> и <namespace> на соответствующее значение.

В kubernetes пространства имен используются для создания виртуальной среды, но все они связаны друг с другом.