Kubernetes Web 服务部署架构总结
一、Kubernetes 基本概念对比
| 概念 |
类型 |
作用 |
是否运行实体 |
属于控制面/数据面 |
| Pod |
最小运行单元 |
封装容器,提供统一网络/存储视图 |
✅ 是,运行容器进程 |
数据面 |
| Node |
虚拟/物理主机 |
承载 Pod 的计算资源 |
✅ 是,运行 kubelet/containerd 等 |
数据面 |
| Deployment |
控制器资源 |
管理 Pod 副本数与滚动发布策略 |
❌ 否,仅为声明式配置 |
控制面 |
| Service |
虚拟资源 |
提供 Pod 的统一访问入口与负载均衡 |
❌ 否,由 kube-proxy 实现 |
控制面 + 数据面 |
| Ingress |
路由规则 |
定义 HTTP(S) 的域名路由 |
❌ 否,实际代理由 Ingress Controller 执行 |
控制面 |
| Ingress Controller |
实体服务 |
实现 Ingress 路由转发,如 nginx/traefik |
✅ 是,运行在 Pod 中 |
数据面 |
| kubelet |
Agent 进程 |
每个 Node 的管理守护进程,控制容器运行 |
✅ 是,常驻进程 |
数据面 |
| kube-proxy |
网络代理 |
维护 Service 到 Pod 的路由规则 |
✅ 是,运行在每个 Node 上 |
数据面 |
| kube-apiserver |
中心组件 |
控制面入口,所有操作都需通过它 |
✅ 是,集群入口服务 |
控制面 |
| kube-scheduler |
控制器 |
负责 Pod 的调度分配 |
✅ 是 |
控制面 |
二、典型 Web 服务部署架构组件
以下是一个对外提供 HTTP 服务的典型架构组成:
| 组件 |
功能 |
类型 |
部署位置 |
| Web 应用 Pod |
运行业务容器 |
Deployment → Pod |
多个 Node 上调度运行 |
| Service |
提供内部统一访问 + 负载均衡 |
ClusterIP |
控制面定义,Node 上转发 |
| Ingress |
定义路由规则 |
资源对象 |
控制面定义 |
| Ingress Controller |
实际处理 HTTP 请求 |
DaemonSet / Deployment |
多个节点运行 |
| External LB |
提供公网入口 |
云厂商资源 |
集群外(如 AWS ELB) |
| ConfigMap/Secret |
配置与密钥注入 |
K8s 原生对象 |
控制面中,由 API Server 管理 |
| Fluentd / Promtail |
日志采集 |
DaemonSet / Sidecar |
每个节点或 Pod 内 |
| HPA / PDB |
弹性伸缩与高可用保障 |
控制器资源 |
控制面运行逻辑 |
| kubelet / kube-proxy |
控制与转发 |
进程守护 |
每个 Node 上 |
三、典型网络流量路径
1用户请求 ➜ 云厂商 LB ➜ Ingress Controller Pod ➜ Service ➜ Pod(8080)
- 云 LB 是公网/入口网关,一般为四层或七层代理(TCP/HTTP);
- Ingress Controller 实际执行反向代理,通常使用 NGINX、Traefik、Istio Gateway 等;
- Service 实现 Pod 层的负载均衡,使用 kube-proxy 的 iptables 或 ipvs;
四、AWS 和阿里云架构差异对比
AWS 架构示意:
1[Route53]
2 ↓
3[AWS ALB/NLB] (公网/内网)
4 ↓
5[Ingress Controller Pod] (运行在 Node 上)
6 ↓
7[Service]
8 ↓
9[Pod]
- 云 LB:ALB (7层)、NLB (4层)
- 证书管理:AWS Certificate Manager
- 弹性扩容:结合 ASG + HPA + Cluster Autoscaler
- 镜像仓库:ECR (Elastic Container Registry)
阿里云架构示意:
1[阿里云解析 DNS] (阿里云 DNS)
2 ↓
3[SLB (共享型/独享型)]
4 ↓
5[Ingress Controller Pod] (支持 Cert-Manager)
6 ↓
7[Service]
8 ↓
9[Pod]
- 云 LB:阿里云 SLB
- 证书管理:阿里云证书中心(或接入 cert-manager)
- 弹性扩缩容:ACK 支持弹性伸缩组 + Cluster Auto Scaling
- 镜像仓库:阿里云容器镜像服务(ACR)
五、CI/CD 集成部署流程
| 阶段 |
工具举例 |
说明 |
| 代码提交 |
GitHub / GitLab |
开发者推送代码至主干分支 |
| 编译构建 |
Docker / BuildKit |
制作镜像并打 tag(CI) |
| 镜像发布 |
Harbor / ACR / ECR |
镜像推送到仓库 |
| 部署触发 |
ArgoCD / Jenkins / GitLab CI |
自动或手动触发部署流程 |
| 应用发布 |
Helm / Kustomize / kubectl |
通过 Helm 或 YAML 部署到 K8s |
| 发布策略 |
RollingUpdate / Blue-Green / Canary |
分批上线、灰度发布等策略支持 |
CI/CD 通常与 GitOps 结合,可通过 ArgoCD/Flux 监听 Git 仓库中 YAML 变化,自动完成部署。
六、常见问题 Q&A
Q1: 节点和 Pod 的区别与联系?挂了怎么恢复?
| 比较项 |
Node(节点) |
Pod(运行单元) |
| 定义 |
物理或虚拟主机 |
K8s 中最小部署单元 |
| 内容 |
OS、kubelet、容器运行时等 |
一个或多个容器及其共享资源 |
| 管理者 |
云平台 + kubelet |
K8s 控制面(Deployment、ReplicaSet) |
| 挂掉后恢复 |
云平台重启或重新加入集群 |
K8s 控制器检测后重新调度到其他节点 |
Q2: Deployment 和 Service 是“实际运行服务”吗?
不是,它们是 Kubernetes 控制面上的逻辑资源:
- Deployment:声明式定义副本数、更新策略,由控制器创建 Pod;
- Service:定义访问策略、负载方式,由 kube-proxy 实现访问路径;
- 都不是进程,也不是运行在 Node 上的实体程序。
Q3: 各个组件运行位置分别在哪?
| 组件 |
运行位置 |
| kube-apiserver / controller-manager / scheduler |
Master 节点(控制面) |
| kubelet / containerd / kube-proxy |
所有工作节点(Node) |
| Deployment / Service / Ingress |
存储于 etcd,通过控制器解释执行 |
| Pod(业务) |
部署在多个 Worker Node 上 |
| Ingress Controller |
一般以 DaemonSet 或 Deployment 运行在 Node 上 |
Q4: Ingress Controller 为什么在图里画在 Cluster 外边?
- 从网络流量视角来看,公网流量先经过云 LB,再进入 Ingress Controller;
- 所以图中将 Ingress Controller 视为“集群边缘接入点”;
- 实际上它是运行在集群内部的 Pod,只是为了便于理解边界流量而画在外面。
Q5: Kubernetes 提供的负载均衡 vs 云厂商的 LB 有何区别?
| 比较项 |
Kubernetes Service |
云厂商 LB(如 ELB) |
| 作用域 |
集群内部 Pod 之间 |
集群外部 → 内部入口 |
| 实现方式 |
kube-proxy + iptables/ipvs |
云平台原生资源,如四层/七层代理 |
| 是否自动创建 |
是(ClusterIP / NodePort / LoadBalancer) |
是(Service 设置为 LoadBalancer) |
| 是否需公网 IP |
否(除非 LoadBalancer 类型) |
是 |
| 使用场景 |
Pod-to-Pod、微服务内部调用 |
终端用户访问集群 HTTP 服务 |