Linux 知识库

Appearance

userspace模式详解

userspace 模式是 Kubernetes 中 kube-proxy 组件最早实现的 Service 流量代理模式,在 v1.0 版本中引入。该模式的核心特点是:kube-proxy 进程自身在用户空间充当一个完整的代理服务器,所有发往 Service 的流量均需要经过该进程进行转发。

工作原理

userspace 模式下,kube-proxy 在启动时会完成以下准备工作:

  • 监听一个随机的本地端口(称作代理端口)。
  • 通过 Kubernetes API Server 持续监听 Service 和 Endpoints 的变化。
  • 为每个 Service 在节点上创建一套 iptables 规则,将发往 Service ClusterIP 的流量重定向到上述本地代理端口。

当客户端 Pod 访问 Service 时,数据包流程如下:

  1. 初始请求:客户端 Pod 发出的数据包目标地址为 Service 的 ClusterIP,该数据包进入节点内核的网络协议栈。
  2. iptables 截获:节点上的 iptables 规则匹配到这个数据包,将其目标地址修改为本地代理端口(DNAT),然后将数据包递交给用户空间的 kube-proxy 进程。
  3. 代理接收:kube-proxy 在代理端口上接收连接,此时它完全接管了这个请求。kube-proxy 作为中间人,会终结客户端发起的原始连接。
  4. 选择后端:kube-proxy 根据负载均衡算法(默认是轮询 round-robin)从 Endpoints 列表中选择一个后端 Pod 的 IP 和端口。
  5. 新建连接:kube-proxy 从本地节点发起一个新的连接(源地址通常是节点 IP),将请求数据转发给选中的后端 Pod。
  6. 响应返回:后端 Pod 的响应先回到 kube-proxy,再由 kube-proxy 通过之前与客户端建立的连接返回给客户端。

整个过程涉及多次用户态与内核态的切换,以及连接的中断和重建。

负载均衡特性

  • 支持的算法:userspace 模式本身仅实现了简单的轮询算法。可以通过调整 kube-proxy 的 --proxy-mode=userspace 以及 --userspace-port 参数运行,但负载均衡策略较为基础。
  • 会话亲和性:支持 service.spec.sessionAffinity 配置,例如设置为 ClientIP 可以使来自同一客户端 IP 的请求始终被转发到同一个后端 Pod。

优缺点分析

优点

  • 实现相对简单,可靠性较好。
  • 因为是应用层代理,可以做到连接层面的过滤和统计,便于调试。
  • 在 Service 数量很少的极小规模集群中,其性能尚可接受。

缺点(导致被弃用的主要原因)

  • 性能极低:每个请求都需要经历“内核态 → 用户态 → 内核态”的完整切换,CPU 上下文切换开销巨大。在高并发场景下,kube-proxy 会迅速成为瓶颈,甚至出现丢包。
  • 延迟较高:由于连接需要经过 kube-proxy 进程转发,增加了一次额外的连接建立和内存复制,导致请求延迟显著高于 iptables 和 ipvs 模式。
  • 无法透明处理源 IP:后端 Pod 看到的请求源地址是节点 IP(kube-proxy 所在节点的 IP),而不是客户端 Pod 的真实 IP。这使得基于源 IP 的日志、鉴权等操作变得困难。
  • 可伸缩性差:kube-proxy 作为单点代理,当节点上运行的 Service 数量较多或请求量较大时,其自身会消耗大量 CPU 和内存资源。

为何被替代

Kubernetes 从 v1.2 版本开始将 iptables 模式作为默认模式,userspace 模式被标记为废弃。主要原因:

  • 性能差距过大:iptables 模式完全在内核态完成 DNAT,避免了用户态切换,性能提升数倍至一个数量级。
  • 社区发展方向:Kubernetes 网络聚焦于高吞吐、低延迟的内核转发方案,userspace 代理不再符合设计目标。

目前,userspace 模式仅在某些极特殊的调试场景或老旧集群中可能遇到,新的生产环境应使用 iptables 或 ipvs 模式。

验证当前使用模式

可以通过查看 kube-proxy Pod 的启动参数或 ConfigMap 确认当前使用的代理模式:

bash
kubectl get configmap kube-proxy -n kube-system -o yaml | grep mode

或在节点上检查 kube-proxy 进程:

bash
ps aux | grep kube-proxy

若输出包含 --proxy-mode=userspace 则表示使用了 userspace 模式。

总结

userspace 模式作为 Kubernetes Service 机制的早期原型,为后续更高效的 iptables/ipvs 模式奠定了设计基础。理解该模式有助于更深刻地认识 kube-proxy 的演进思路和 Kubernetes 网络从“用户空间代理”向“内核转发”的架构转变。在实际运维中,应避免使用 userspace 模式,除非在极小规模且对性能毫无要求的测试环境中。