方案思路

需求

保留客户端地址，k8s服务对外一个地址和53端口，负载均衡。

可能的方案

• hostnetwork 针对pod级别（负载均衡可以放到外面做，我们不考虑。k8s的开发目标本身就是服务编排没必要自造轮子）

• hostport也是，针对pod（原因如上）

• kube port-forward命令
  k8s服务对外端口转发。不仅支持pod，现在支持service了。但目前不支持udp。社区有人开发出了，但没有approve。

• ddns service type=cluster ip方式，默认保留客户端ip；只能集群内部访问。

• ddns service type=cluster ip方式，对clusterip 设置static route，从外网访问，方案不好。

• ddns service type=nodeport方式
  默认不保留。但service.spec.externalTrafficPolicy=local就可以了；
  nodeport端口默认30000以上，除非修改k8s源码修改到支持53端口，也有可能冲突等。
  前面加个负载均衡器nginx类似的可以做到对外一个ip地址。k8s社区采用以下的方案。

• ddns service type=nodeport + keepalive-vip
  可以做到多个node的failover，高可用，但没有node的负载均衡。

• ddns service type=loadbalancer方式
  默认不保留客户端IP地址。
  云厂商如google/aws支持保留客户端，
  对于开源的metallb（onpremis）

  • metallb：

    1. lay2 arp
       目前不支持保留客户端ip。保留客户端的方式 正在社区在开发中，时间不可估。
       metallb本身暂时不支持proxy protocol协议，我们ddns也暂时不支持proxy protocol协议。所以proxy protocol方式也不可以。
       注意：proxy protocol作用是在proxy与后端或者proxy间传递客户端ip地址信息的协议，一种保留客户单ip的方法。
       暂时本身只是支持failover不能负载均衡（why）。与keeplive-vip类似。
    2. BGP 方式
       支持保留客户端ip，真正的负载均衡
       咱们部署的时候需要BGP路由器，以便metalb的extra ip从internet可以路由到k8s集群。
       BGP本身复杂。

• ingress nginx，nginx service type=nodeport，ddns service type clusterip方式
  保证了多个node的负载均衡，但是为了端口不是53，前面可能需要有个proxy或者keepalive等。
  nginx upd代理下保留客户端ip的方法有：

  1. proxy protocol：不支持udp，尽支持tcp。需要开发nginx和ddns的proxy protocol。
  2. proxy bind ip透明方式 container/pod后端和nginx端需要设置路由等
  3. dsr直接服务区返回，基于2.
     需要先熟悉基本的ingress nginx 然后探索方便的方法进行container端的网络设置（采用2/3）
     咨询了开发者，目前2/3暂时不能工作，需要摸索实现。

• ingress nginx，nginx service type=loadbalancer， ddns service type clusterip方式
  前面加上metalb，如果上面proxy_bind or dsr 走通，就可以做到node本身负载均衡和保留客户端ip。

• 其他ingress方式如haproxy，envoy，traefik 目前都不支持upd负载均衡。

• 一种基于ecmp的方法
  https://github.com/Mirantis/k8s-externalipcontroller/blob/master/doc/ecmp-load-balancing.md
  有必要探索

一些tradeoff

• 只一台机器

  • 不需要考虑node的failover和loadbalance，只考虑k8s内部的负载均衡。但要考虑到将来k8s扩容的需要和k8s本身的设计目标:服务编排，隐藏分布式系统的实现细节。

  • 建一个service，采用clusterip方式。kube port forward命令的方式，upd不支持。

  • 建一个service，采用nodeport方式，机器使用端口转发把53端口的流量转发到nodeport端口。

    • 可以采用，但将来要是再添加一个单机k8s集群，我们需要管理多个k8s集群，只利用了单机的功能，不能利用master的高可用，不能利用一个worker节点坏了自动调度其上得pod到其他节点上等功能，也不能利用多个worker节点的负载均衡功能等。而所有k8s已经考虑的问题需要我们在集群外考虑。）
    • 如果不是添加一个单机k8s集群，而是扩容的方式，这样就到了k8s多台机器的方式了。我们考虑多节点k8s的解决方案。

  • 建多个service，采用nodeport的方式，就是多个nodeport出现，需要引入外部负载均衡或者ingress nginx等对外才可能是一个53端口，也类似与多节点k8s的方案。

• 多台机器

  • failover，没有多个节点的负载均衡

    • keepalive-vip + dns service(nodeport)
    • metallb layer2 （暂时不考虑）

  • lb

    • ingress nginx（udp的探索）
      需要考虑那个对外端口53

      1. 前面加一个负载均衡比如metalb，简单实用但bgp配置复杂可能还需要bgp路由成本。
      2. 如果加上个nginx反向代理也得考虑保留客户ip问题。
      3. 如果只用portforward，只能考虑单个机器。
      4. ingress nginx前部署keepalive-vip的方法，可以保证了服务的高可用，同时端口也能做到53。

    • metallb（ BGP）

结论

• 如果优先考虑多节点负载均衡的话，重点ingress nginx +keepalive-vip方案。如果BGP方案已有设备，也可以探索metallb的方案。
• 如果优先考虑多节点failover，采用keepalive + dns service（nodeport）。
• 如果只考虑多节点不考虑扩展性等，采用建一个service nodeport方式，机器使用端口转发把53端口的流量转发到nodeport端口。