ClusterIP 适合集群内部服务通信,NodePort 适合开发测试或简单的外部访问,生产环境外部暴露建议优先考虑 LoadBalancer 或 Ingress。
先说结论:ClusterIP 是默认且安全的内部访问方式,NodePort 是在此基础上开放节点端口供外部访问,两者底层依赖关系紧密。
- 适合:ClusterIP 用于微服务内部调用,NodePort 用于临时调试或无负载均衡器的外部访问。
- 重点看:NodePort 默认端口范围 30000-32767,且会在所有节点开放,需注意防火墙和安全组。
- 别忽略:NodePort 服务其实自动包含了 ClusterIP 功能,外部流量进入节点端口后依然转发到 ClusterIP。
命令速用版
以下是两种服务类型的 minimal 配置示例,可直接保存为 yaml 文件应用。
ClusterIP 配置:
apiVersion: v1\nkind: Service\nmetadata:\n name: my-internal-service\nspec:\n type: ClusterIP\n selector:\n app: my-app\n ports:\n - port: 80\n targetPort: 80
NodePort 配置:
apiVersion: v1\nkind: Service\nmetadata:\n name: my-external-service\nspec:\n type: NodePort\n selector:\n app: my-app\n ports:\n - port: 80\n targetPort: 80\n nodePort: 30080
为什么会这样
ClusterIP 分配的是集群内部的虚拟 IP,没有实体网卡负责响应,流量靠 kube-proxy 的 iptables 或 IPVS 规则重定向到后端 Pod。NodePort 则是在每个节点的真实网卡上监听指定端口,收到流量后再转发给 ClusterIP 虚拟 IP,最终到达 Pod。因此 NodePort 必然依赖 ClusterIP 机制,且暴露面更大。
分步处理
- 确认需求:如果服务只需要集群内其他 Pod 访问,选 ClusterIP;如果需要从集群外(如本地浏览器)直接访问,选 NodePort。
- 创建服务:使用 kubectl apply -f 部署上述 yaml 文件。
- 检查端口:若使用 NodePort,确认防火墙已放行 30000-32767 范围或指定端口。
- 回滚方案:若暴露后发现安全风险,直接修改 type 为 ClusterIP 或删除 service 重新创建。
怎么验证是否生效
查看服务状态:
kubectl get svc
ClusterIP 类型 EXTERNAL-IP 显示为<none>,NodePort 类型 PORT 列会显示 80:30080/TCP。
连通性测试:
- ClusterIP:在集群内启动临时 pod,curl 服务域名或 ClusterIP。
- NodePort:在集群外使用 curl http://<节点 IP>:<NodePort> 访问。
常见坑
- 安全风险:NodePort 会在所有节点开放端口,若节点公网可达,可能直接暴露服务,生产环境慎用。
- 端口冲突:NodePort 默认范围 30000-32767,若指定端口被占用或超出范围,创建会失败。
- 流量路径:外部流量经过节点端口转发,可能丢失客户端真实 IP,需配合 proxy protocol 或透传配置。
参考来源
- 【K8S】详解 NodePort 和 ClusterIP
- 再有谁说不会 k8s 四种 Service 类型!就把这个给他扔过去
- k8s Service 的 type: ClusterIP、NodePort、LoadBalancer 什么区别和使用场景
- Kubernetes Service 类型详解:ClusterIP / NodePort / LoadBalancer / Headless
- NodePort、LoadBalancers 和 Ingress 在 Kubernetes 生产中如何选择?
- kubernetes-Service 介绍
- Kubernetes Service 四种类型的机制与场景深度解析 - 开发者社区 - 阿里云
- 【Kubernetes 学习笔记】- 服务访问之 Node IP &Cluster IP&port& TargetPort & Endpoint &nodePort 辨析