一、全局视角：从外到内的三层结构

• 计算层：Pod
• 应用真正运行的地方，监听端口（如 3000）。

• 服务发现层：Service
• 把“一堆会变的 Pod”抽象成“一个稳定的后端服务入口”。

• 入口与治理层：Ingress / Gateway
• 把外部 HTTP(S) 流量接进集群，并按域名/路径路由到不同 Service，同时承载 TLS、访问控制、插件等治理能力。

• Service 解决“后端不稳定”

• Ingress/Gateway 解决“入口路由与治理”

二、Pod：应用所在之处，但不适合作为稳定入口

• 生命周期短、可替换：重启、扩缩容、发布都会产生新的 Pod

• IP 不稳定：Pod 重建后 IP 会变化

三、Service：把一组 Pod 变成一个稳定的“服务”

3.1 Service 的工作方式（直觉版）

• Service 通过 selector 选中一组 Pod（或指向一组 Endpoints/EndpointSlice）

• K8s 维护后端列表

• 访问 Service 时，流量被分发到某一个后端 Pod

3.2 Service 的常见类型

1) ClusterIP（默认）

• 只能在集群内部访问

• 最常见：微服务之间互相调用、内部依赖（Redis、内部 API 等）

2) NodePort

• 在每个 Node 上开放一个端口（通常在 30000–32767 范围）

• 外部可访问 NodeIP:NodePort → 进入该 Service → 转发到后端 Pod

• 端口范围有限

• 治理能力弱

• 生产环境通常不会把 NodePort 当最终对外入口

3) LoadBalancer

• 云环境下会自动创建一个云负载均衡器

• 得到一个外部地址（例如 <cloud-lb-dns>）

• 单个服务要直接对外（且不需要复杂的 host/path 路由）

• 或者给“入口组件”（ingress controller / 网关 proxy）配一个对外 LB

四、Ingress：描述 HTTP(S) 路由规则的资源

• 哪些域名（Host）

• 哪些路径（Path）

• 转发到哪个 Service

• Ingress 资源本身不负责转发

• 真正负责转发的是 Ingress Controller（例如 Nginx Ingress Controller，或云厂商的 LB Controller）

五、Gateway API：Ingress 的“下一代入口标准”

• GatewayClass：网关实现提供的能力类型

• Gateway：入口实例（监听端口/hostname/TLS/允许哪些 namespace 挂载路由）

• HTTPRoute：路由规则（host/path → backend Service）

• Ingress：入口与路由往往揉在一个对象里

• Gateway API：入口（Gateway）与路由（HTTPRoute）分开，更清晰

六、网关（Gateway 实现）：入口能力的落地者

• 作为入口代理接收外部流量

• 按路由规则转发到后端 Service

• 提供治理能力（鉴权、限流、IP 白名单、日志、观测等）

• Gateway/HTTPRoute 描述规则与绑定关系

• 网关 controller 负责把规则落实成实际转发行为

七、云上负载均衡器：为什么会出现 “LB”

• 集群里运行一个 controller

• controller 监听 K8s 资源变化（例如 Ingress）

• controller 调用云厂商 API 创建/更新真实的 LB（Listener、TargetGroup、健康检查等）

八、把示例域名串起来：从 DNS 到 Pod 的完整链路

1. DNS
• 域名解析到对外入口地址（例如 <cloud-lb-dns>）

2. 云负载均衡器（LB）
• 接收 443，转发到集群入口网关/入口组件

3. 入口与路由（Ingress 或 Gateway/HTTPRoute）
• 按 host/path 匹配，选择后端 Service

4. Service
• 稳定入口，负载均衡到后端 Pod

5. Pod
• 处理请求并返回响应

九、速记：如何区分这些名词

• Service：稳定的后端入口 + 负载均衡到 Pod（解决“后端不稳定”）

• ClusterIP：Service 默认形态，集群内访问

• NodePort：Service 暴露方式之一，Node 上开端口

• LoadBalancer：Service 暴露方式之一，云上创建 LB

• Ingress：HTTP(S) 入口路由规则（需要 ingress controller）

• Gateway/HTTPRoute：更结构化的入口与路由标准（需要 gateway controller）

• 云负载均衡器（LB）：云侧入口（常由 controller 根据 K8s 资源创建/维护）

附录：一套从域名追到 Pod 的排障路径（kubectl 实操版）

A. 确认 kubectl 指向正确集群

B. Gateway API 场景：先看 Gateway 是否 Ready、监听是否覆盖域名

• spec.listeners[].hostname 是否覆盖目标域名/通配符

• status.conditions 是否 Ready=True

C. Gateway API 场景：再看 HTTPRoute 是否被接受、后端引用是否解析成功

• spec.hostnames 是否命中目标域名（如 <service>.<dc>.example.internal）

• spec.parentRefs 是否绑定正确 Gateway

• spec.rules.backendRefs 指向哪个 Service/端口

• status.parents[].conditions 是否 Accepted=True、ResolvedRefs=True

D. Service 层：Service 是否存在、端口是否正确、是否真的选到了后端

• Pod label 是否匹配 Service selector

• readiness 是否通过

• targetPort 是否正确

E. Pod 层：Pod 是否 Ready、事件与日志是否暴露根因

F. Ingress 场景：Ingress 是否生成外部地址、Events 是否提示失败原因

• 是否存在外部 Address（常见为 <cloud-lb-dns>）

• Events 是否有权限、子网、证书、规则冲突等错误提示

G. 用错误码当“指路牌”

• 连接超时：优先检查入口层与网络边界（LB/Ingress/Gateway、网络策略、安全组）

• 404：优先检查路由未命中（host/path、绑定关系）

• 502/503：优先检查后端不可达（Service endpoints 为空、Pod 不 Ready、端口映射错误）