NodePort端口监听隔离

背景介绍

这个功能源于社区的需求，详细讨论可以在 issue #1183中找到。

In edge network scenarios, service isolation is required. For example, when using a NodePort type service, it should only serve specific node pools.

架构与原理

引入了一个名为 nodeportisolation 的新过滤器来处理此功能，并为 NodePort Service添加了一个新的注解 nodeport.openyurt.io/listen，以在 YurtHub 中触发 nodeportisolation 过滤器。 nodeportisolation 过滤器根据服务中的 nodeport.openyurt.io/listen 注解设置重新组装 kube-proxy list/watch 服务请求的response。

有关数据过滤框架详细设计的更多信息，请参考[resource-access-control]（.../resource-access-control/resource-access-control.md）。

开启方法

以下是为 NodePort/LoadBalancer 服务引入 nodeport.openyurt.io/listen 注解的说明：

• key：nodeport.openyurt.io/listen

• value：用 ',' 分隔的节点池名称列表

  • foo：使指定的 NodePort Service在名为 foo 的节点池中的节点上监听。
  • -foo：禁止指定的 NodePort Service在名为 foo 的节点池中的节点上监听。
  • *：使指定的 NodePort Service在所有节点池中的节点上监听。
  • 如果配置中有重复的节点池名称，将使用第一个配置。
  • 如果未配置节点池名称，将在这些未配置的节点池中的节点上禁用这个 NodePort Service 监听。
  • 孤儿节点（不位于节点池中）将与原生 Kubernetes 相同对待，因此 NodePort Service 将在孤儿节点上监听。

• 注解设置示例：

  - `nodeport.openyurt.io/listen=foo, bar`：在 `foo` 和 `bar` 节点池中的节点上启用这个 NodePort Service监听。
  - `nodeport.openyurt.io/listen=foo, *`：在所有节点池中的节点上启用这个 NodePort Service监听。
  - `nodeport.openyurt.io/listen=-foo, -bar`：在所有节点池中的节点上禁用这个 NodePort Service监听。
  - `nodeport.openyurt.io/listen=-foo, *`：仅在 `foo` 节点池中的节点上禁用这个 NodePort Service监听。
  - `nodeport.openyurt.io/listen=foo,-foo`：在 `foo` 节点池中的节点上启用这个 NodePort Service监听。
  - `nodeport.openyurt.io/listen=-foo`：在所有节点池中的节点上禁用这个 NodePort Service监听（包括 `foo` 节点池）。