【K8S系列】Kubernetes 中 Service IP 地址和端口不匹配问题及解决方案【已解决】

在 Kubernetes 中，Service 是实现 Pod 之间和 Pod 与外部之间通信的关键组件。Service 的 IP
地址和端口配置不当可能导致应用无法正常访问。本文将详细分析 Service IP 地址和端口不匹配的问题，常见原因及其解决方案。

一、问题描述

Service IP 地址和端口不匹配的情况通常表现为：

• 通过 Service 的 IP 地址或名称访问时，响应错误或无法连接。
• 返回的服务端口与预期不符，导致请求无法到达目标 Pod。

二、故障排查步骤

1. 检查 Service 的状态

首先，确保 Service 已成功创建并处于正常状态。

kubectl get svc

输出示例：

NAME          TYPE        CLUSTER-IP      EXTERNAL-IP   PORT(S)    AGE
my-service    ClusterIP   10.96.0.1      <none>        80/TCP     10m

2. 查看 Service 详细信息

使用以下命令查看 Service 的详细信息，确认 IP 地址和端口配置。

kubectl describe svc my-service

输出示例：

Name:              my-service
Namespace:         default
Labels:            <none>
Annotations:       <none>
Selector:          app=my-app
Type:              ClusterIP
IP:                10.96.0.1
Port:              <unnamed>  80/TCP
Endpoints:         10.244.1.2:8080,10.244.1.3:8080

3. 检查 Pod 的端口配置

查看与 Service 关联的 Pod 的容器端口配置，确保其与 Service 的目标端口一致。

kubectl get pods -l app=my-app -o yaml

输出示例：

containers:
- name: my-container
  image: my-image
  ports:
  - containerPort: 8080

三、常见原因及解决方案

1. Service 的端口和目标端口配置错误

问题描述：Service 的 port 和 targetPort 配置可能不一致，导致请求无法正确路由到 Pod。

解决方案：

• 确保 Service 的 port 和 targetPort 设置正确。例如，Service 将外部请求的 80 端口转发到 Pod 的 8080 端口。

apiVersion: v1
kind: Service
metadata:
  name: my-service
spec:
  selector:
    app: my-app
  ports:
    - port: 80       # 对外暴露的端口
      targetPort: 8080  # Pod 内部的端口

2. Pod 未正确暴露端口

问题描述：Pod 的容器未正确配置暴露端口，导致 Service 无法将流量转发到 Pod。

解决方案：

• 确认 Pod 的容器定义中包含正确的 containerPort。

containers:
- name: my-container
  image: my-image
  ports:
  - containerPort: 8080  # 必须与 Service 的 targetPort 一致

3. Service 类型不匹配

问题描述：Service 的类型选择不当，可能导致访问问题。例如，ClusterIP 类型的 Service 只能在集群内部访问。

解决方案：

• 根据访问需求选择合适的 Service 类型：
  • ClusterIP：仅供集群内部访问。
  • NodePort：供外部通过节点 IP 和指定端口访问。
  • LoadBalancer：在云环境中创建外部负载均衡器。

spec:
  type: NodePort  # 或 LoadBalancer

4. Service 的选择器未匹配到 Pod

问题描述：Service 的选择器未正确匹配到 Pod 的标签，导致没有可用的 Endpoints。

解决方案：

• 确认 Service 的选择器与 Pod 的标签一致。

kubectl get pods --show-labels

• 确保选择器 app=my-app 正确匹配到相关的 Pod 标签。

5. Pod 处于非正常状态

问题描述：与 Service 关联的 Pod 可能未处于 Running 或 Ready 状态。

解决方案：

• 使用以下命令检查 Pod 状态：

kubectl get pods -l app=my-app

• 如果 Pod 处于 CrashLoopBackOff 或其他异常状态，查看其日志：

kubectl logs <pod-name>

6. 网络策略限制访问

问题描述：网络策略可能限制了 Pod 之间的流量。

解决方案：

• 检查当前命名空间的网络策略，确认是否有阻止 Service 访问的策略。

kubectl get networkpolicy

• 更新网络策略以允许流量。

7. DNS 解析问题

问题描述：其他 Pod 可能无法通过 Service 名称解析到正确的 IP 地址。

解决方案：

• 检查 CoreDNS Pods 的状态：

kubectl get pods -n kube-system -l k8s-app=kube-dns

• 查看 CoreDNS 的日志，确认没有错误信息：

kubectl logs -n kube-system <coredns-pod-name>

• 测试 DNS 解析是否正常：

kubectl exec -it <some-pod-name> -- nslookup my-service.default.svc.cluster.local

8. 防火墙或安全组限制

问题描述：云提供商的防火墙或安全组可能阻止了对某些端口的访问。

解决方案：

• 检查云提供商的安全组设置，确保允许访问 NodePort 或 LoadBalancer 的端口。

四、总结

Kubernetes Service IP 地址和端口不匹配的问题可能导致应用程序无法正常访问。在排查问题时，可以通过逐步检查 Service 配置、Pod 状态、网络策略和 DNS 设置等因素，快速定位并解决问题。确保 Service 和 Pod 之间的配置一致性，以及网络的可用性，是确保服务正常运行的关键。通过有效的监控和日志管理，可以更好地预防和处理这些问题。