Edge LoadBalancer service support based on MetalLB

背景介绍

在云边协同场景下，虽然云端已经具备了较为全面的云原生能力，但边缘侧由于特定的网络环境及应用场景的限制，往往无法提供像云端一样丰富的能力，而实际上用户业务应用的主战场却在边缘侧， 这就导致边缘侧在使用云原生能力的时候或多或少存在一些gaps，而如何解决这些gaps也成为云边协同基础设施软件力求解决的关键问题。本文针对边缘侧服务暴露给集群外访问的场景，来探讨一下在 OpenYurt边缘侧解决上述问题的方法，希望能起到抛砖引玉的效果。

在原生Kubernetes集群中，如果想将服务暴露出来供集群外部访问，通常可以考虑以下几种方式：

• HostNetwork
• ExternalIPs
• NodePort
• LoadBalancer
• Ingress

其中前三种方式，由于自身存在一定的局限性，在条件允许的情况下，通常用户更倾向于选择后两种方式。而对Ingress方式而言，云端Ingress功能通常会搭配云端SLB服务一起使用， SLB负责从用户请求到节点维度的负载均衡，而Ingress负责从节点到pod维度的负载均衡，这样就实现了从用户请求到应用pod的全链路的负载均衡功能。然而在云边协同场景下，由于边缘侧并不具备云端SLB服务的能力，边缘Ingress或边缘应用无法暴露LoadBalancer类型的服务供集群外访问，这也成为了边缘侧对外暴露服务的一大痛点。

为了解决上述痛点，目前在开源社区，有几个方案可供选择：MetalLB, PureLB和OpenELB。

• MetalLB: https://github.com/metallb
• PureLB: https://github.com/purelb
• OpenELB: https://github.com/openelb

关于三个项目之间的比较，可以从网上查到一些相关介绍，整体来说，它们实现的功能大同小异，从项目成熟度及流行度的角度考虑，我们选择以MetalLB为例，探讨一下如何通过MetalLB在OpenYurt 边缘侧实现对LoadBalancer类型service的支持。

初识MetalLB

两个任务

MetalLB的工作原理可以总体归纳为完成两个任务：

1）. 为LoadBalancer类型的service分配外网可访问的IP地址
2）. 分配IP地址后，让集群外部知晓该IP地址存在于集群中

两类组件

MetalLB通过两类组件实现上述任务：Controller和Speaker

Controller负责监听service的变化，为LoadBalancer类型的service分配IP地址并进行IP的生命周期管理。
Speaker则依据service的变化，按具体的协议发起相应的广播或应答，根据工作模式（Layer2/BGP）的不同，可采用Leader节点或负载均衡的方式来响应请求，
从而实现了将分配的IP地址让集群外知晓的目的。其中Controller是以Deployment的方式部署，而Speaker则是以Daemonset的方式部署在集群中各个节点上。

两种模式

MetalLB有两种工作模式：Layer2和BGP

Layer2模式指的是选取集群中某个节点作为Leader来接收所有对LoadBalancer service的访问流量，它使用标准的地址发现协议实现服务IP对集群外可达。
BGP模式指的是在集群中的所有节点与周边连接的路由器建立BGP会话，并告知路由器如何转发流量到LoadBalancer service对应的IP地址。

Layer2模式和BGP模式各有优缺点：
Layer2模式的优点在于其普适性，它可以在任意以太网环境下工作，不依赖特定的硬件，甚至不需要路由器。
缺点是它并未实现真正意义上的负载均衡，所有对service的访问流量都将路由到Leader节点上，再由该节点上的kube-prox将流量分发到对应的后端pod上，
而当Leader节点出现故障时，会切换到其他节点接管服务，因此Layer2模式存在单节点流量瓶颈及节点故障切换不及时的局限性。
BGP模式的优势在于它实现了真正意义上的负载均衡，流量不再像Layer2模式一样只能路由到Leader节点，而是集群中所有节点都有机会参与流量转发。
其缺点一是依赖硬件路由器设备，二是无法优雅的应对节点IP地址后端集的变化，当集群有节点宕机时，与LoadBalancer service关联的所有连接都将中断。

两个配置

通过以上介绍，我们可以看到使用MetalLB的时候，用户需要进行以下两个配置：

1）. 配置IP地址池，供MetalLB给LoadBalancer service分配IP地址时使用
2）. 配置MetalLB的工作模式，选择采用Layer2或者BGP模式

部署MetalLB

运行MetalLB环境要求：

1). 运行Kubernetes 1.13.0或更高版本的集群
2). 集群网络配置，MetalLB兼容大部分网络CNI方案，但对有些CNI的兼容可能存在个别问题，具体可以参考以下链接：
    https://metallb.universe.tf/installation/network-addons/
3). 供MetalLB使用的一组IP地址
4). 如果使用BGP模式，您还需要一个或多个能够支持BGP协议的路由器

下面我们以k8s 1.18.20， MetalLB 0.11.0为例来具体看一下MetalLB在OpenYurt环境下的部署和用法。
要部署MetalLB到OpenYurt集群的边缘侧，有多种方式可供选择，无论选择何种方式，部署MetalLB意味着部署以下资源到集群中：

1）. 创建metallb-system namespace
2）. 部署MetalLb Controller Deployment，它作用于集群范围，负责为相关service分配IP地址
3) . 部署MetalLb Speaker Daemonset到各个节点上，它负责根据用户选择的工作模式使用对应的协议让service对外可达
4) . 部署Controller和Speaker对应的service account以及组件运行所需的RBAC权限

由于我们不需要在云端部署，我们需要针对原生的MetalLB稍作调整，确保相关资源只会部署到边缘侧。

下面就以Manifest部署方式为例，看一下如何部署MetalLB到OpenYurt集群中：

创建metallb-system namespace:
    kubectl apply -f https://raw.githubusercontent.com/metallb/metallb/v0.11.0/manifests/namespace.yaml

拉取metallb yaml：
    wget https://raw.githubusercontent.com/metallb/metallb/v0.11.0/manifests/metallb.yaml

修改metallb.yaml, Controller和Speaker的nodeSelector中添加只部署到边缘节点的限制：
    nodeSelector:
      openyurt.io/is-edge-worker：'true'

部署metallb相关资源：
    kubectl apply -f metallb.yaml

此时MetalLB相关的组件已经部署完毕并开始运行，但由于我们并没有进行上述两个配置（IP地址池、MetalLB工作模式），Controller和Speaker一直处于idle状态。 因此要使MetalLB正常工作，我们还需要根据本地网络情况部署一个相应的configmap（以Layer2模式为例）：

cat <<EOF | kubectl apply -f -

apiVersion: v1
kind: ConfigMap
metadata:
  namespace: metallb-system
  name: config
data:
  config: |
    address-pools:
    - name: default
      protocol: layer2
      addresses:
      - 192.168.122.90-192.168.122.100

EOF

至此，MetalLB的Controller和Speaker真正进入了工作就绪状态。

使用MetalLB

MetalLB部署成功后，我们就可以在边缘侧创建LoadBalancer类型的service了，举例说明如下：
创建一个应用Deployment：

cat <<EOF | kubectl apply -f -

apiVersion: apps/v1
kind: Deployment
metadata:
  name: edgeapp-deployment
  labels:
    app: edgeapp
spec:
  selector:
    matchLabels:
      app: edgeapp
  template:
    metadata:
      labels:
        app: edgeapp
    spec:
      containers:
      - name: nginx
        image: nginx:1.19.4
        ports:
        - containerPort: 80
      nodeSelector:
        openyurt.io/is-edge-worker: 'true'

EOF

创建一个与该Deployment对应的LoadBalancer service：

cat <<EOF | kubectl apply -f -

apiVersion: v1
kind: Service
metadata:
  name: edgeapp-svc
spec:
  selector:
    app: edgeapp
  ports:
    - protocol: TCP
      port: 80
      targetPort: 80
  type: LoadBalancer

EOF

验证LoadBalancer service是否创建成功：

#kubectl get service
NAMESPACE     NAME              TYPE           CLUSTER-IP        EXTERNAL-IP        PORT(S)           AGE
default       kubernetes        ClusterIP      192.167.0.1       <none>             443/TCP           10d
default       edgeapp-svc       LoadBalancer   192.167.188.185   192.168.122.90     80:31378/TCP      9s

从EXTERNAL-IP中，可以看到LoadBalancer service已经从IP地址池中获取了IP地址。

验证LoadBalancer service是否可以访问：

#curl 192.168.122.90
<!DOCTYPE html>
<html>
<head>
<title>Welcome to nginx!</title>
<style>
    body {
        width: 35em;
        margin: 0 auto;
        font-family: Tahoma, Verdana, Arial, sans-serif;
    }
</style>

注意事项

1). 从Kubernetes v1.14.2开始，如果kube-proxy采用IPVS模式，必须打开strict ARP模式

    kubectl edit configmap -n kube-system kube-proxy

    apiVersion: kubeproxy.config.k8s.io/v1alpha1
    kind: KubeProxyConfiguration
    mode: "ipvs"
    ipvs:
      strictARP: true

2). 用户可以配置多个IP地址池，创建LoadBalancer service的时候可以通过annotations选择使用哪个地址池
3). 配置IP地址池时，通常IP地址是公网IP以便集群外可以访问，如果配成集群内私网IP，那该服务只能在集群内被访问

参考链接

https://metallb.universe.tf/
https://www.51cto.com/article/707574.html
https://blog.csdn.net/shigiaz/article/details/118390917