k8s-service中iptable node port实现原理是什么

1. iptables Node Port的概念

Kubernetes NodePort是Kubernetes中一种服务类型，它可以将容器的端口映射到Kubernetes节点的端口，从而使外部可以通过节点端口访问容器。NodePort通常用于在集群外部提供服务，可以将容器从集群外部访问，而不必担心容器IP的变化。

2. iptables Node Port的实现原理

Kubernetes实现NodePort的核心是iptables，它是Linux内核的一个网络包过滤框架，可以控制网络数据包的流动。Kubernetes将NodePort服务的实现分解为两个步骤：

1）首先，Kubernetes会使用iptables的DNAT功能将外部发往NodePort的网络数据包转发到容器内部的端口；

2）然后，Kubernetes会使用iptables的SNAT功能将容器内部的网络数据包转发到外部。

3. iptables Node Port的实现过程

Kubernetes实现NodePort的过程如下：

1）Kubernetes会在节点上创建一个iptables规则，将外部发往NodePort的网络数据包转发到容器内部的端口；

iptables -t nat -A PREROUTING -p tcp --dport  -j DNAT --to-destination :

2）Kubernetes会在节点上创建一个iptables规则，将容器内部的网络数据包转发到外部；

iptables -t nat -A POSTROUTING -p tcp -d  --dport  -j SNAT --to-source :

3）Kubernetes会在节点上创建一个iptables规则，将外部发往NodePort的网络数据包接受；

iptables -A INPUT -p tcp -m state --state NEW -m tcp --dport  -j ACCEPT

4）Kubernetes会在节点上创建一个iptables规则，将容器内部的网络数据包发送出去；

iptables -A OUTPUT -p tcp -m state --state NEW -m tcp --dport  -j ACCEPT

通过以上4个iptables规则，Kubernetes就可以实现NodePort服务。