Kubernetes 生产环境 kube-proxy 模式选型终极指南
—— iptables、IPVS 与 nftables 的性能、稳定性与演进权衡
在 Kubernetes 网络体系中,kube-proxy 并不起眼,却决定了 Service 流量如何真正到达 Pod。 当集群规模变大、Service 数量上千、Pod 端点数以万计时,kube-proxy 的模式选择,往往会成为性能瓶颈、延迟抖动甚至生产事故的根源。
本文将从工程实践视角,系统性对比 kube-proxy 的三种模式:
- iptables(默认、最稳妥)
- IPVS(大规模生产首选)
- nftables(未来方向,但仍需谨慎)
目标只有一个:
让你在生产环境中,做出“不会后悔”的选择。
一、kube-proxy 到底在做什么?
在 Kubernetes 中,Service 是一个抽象概念,真正的数据转发由 kube-proxy 在每个 Node 上完成:
- 监听 Service / Endpoint 变化
- 将变化转换为 内核转发表规则
- 由 Linux 内核完成最终的流量转发与负载均衡
不同的 kube-proxy 模式,本质区别在于: 👉 “如何在内核中实现 Service → Pod 的映射与负载均衡”
