Centro di Conoscenza DevOps
Centro di Conoscenza DevOps

NodePort vs. LoadBalancer vs. Ingress: Scegliere la Migliore Esposizione del Servizio

Naviga la scelta critica di esporre i Servizi Kubernetes esternamente confrontando NodePort, LoadBalancer e Ingress. Questa guida descrive l'architettura, il livello operativo (L4 vs. L7), i casi d'uso e le differenze chiave in termini di costi e complessità per ciascun metodo. Scopri quando utilizzare il semplice NodePort per il testing, il LoadBalancer dedicato per servizi singoli, o l'avanzato Ingress per routing Layer 7 centralizzato ed economicamente vantaggioso e per ambienti multi-servizio complessi.

31 visualizzazioni

NodePort vs. LoadBalancer vs. Ingress: Scegliere la Migliore Esposizione del Servizio

I Servizi Kubernetes sono oggetti fondamentali che forniscono una rete stabile a un insieme dinamico di Pod. Mentre i servizi gestiscono la comunicazione interna del cluster, esporre tali servizi esternamente—consentendo agli utenti o alle applicazioni esterne di interagire con essi—richiede una configurazione specifica. Scegliere il metodo di esposizione corretto è fondamentale e ha un impatto su sicurezza, costi e complessità.

Questo articolo fornisce un confronto esperto dei tre metodi principali per esporre i Servizi Kubernetes: NodePort, LoadBalancer e Ingress. Analizzeremo i meccanismi, i casi d'uso appropriati e i fattori pratici per guidarti nella selezione della soluzione ottimale per le tue applicazioni containerizzate.

1. Tipo di Esposizione del Servizio: NodePort

Il tipo di servizio NodePort è il modo più semplice e primitivo per esporre un servizio esternamente. Quando definisci un servizio come NodePort, Kubernetes apre una porta statica specifica su ogni Nodo nel cluster. Qualsiasi traffico diretto a quella porta su qualsiasi nodo viene instradato direttamente al servizio.

Come Funziona NodePort

  1. Una porta casuale all'interno di un intervallo designato (predefinito: 30000-32767) viene selezionata automaticamente.
  2. Questa porta viene aperta su tutti i nodi del cluster.
  3. Il Servizio resta in ascolto su questa NodePort, inoltrando il traffico ai Pod appropriati.

Per accedere all'applicazione, si utilizza http://<Node_IP>:<NodePort>.

Casi d'Uso e Limitazioni

Caratteristica Descrizione
Caso d'Uso Ambienti di sviluppo, test, o dove il bilanciamento del carico esterno è gestito da un dispositivo esterno non-cloud.
Complessità Molto Bassa.
Costo Zero (se si ignorano i costi VM sottostanti).
Limitazione Richiede la gestione manuale delle regole firewall esterne. Gli IP dei Nodi sono spesso dinamici. Restrizione sull'intervallo di porte (30000-32767).

Esempio NodePort

apiVersion: v1
kind: Service
metadata:
  name: my-app-nodeport
spec:
  type: NodePort
  selector:
    app: my-web-app
  ports:
    - port: 80
      targetPort: 8080
      # Optional: specify a NodePort, otherwise one is chosen automatically
      # nodePort: 30001

⚠️ Avviso: NodePort espone il servizio attraverso tutti i nodi. Se un nodo viene rimosso o il suo IP cambia, l'accesso esterno si interrompe. Questo non è generalmente raccomandato per gli ambienti di produzione che si affidano alla stabilità.

2. Tipo di Esposizione del Servizio: LoadBalancer

Il tipo di servizio LoadBalancer è il metodo standard per esporre le applicazioni a internet pubblico negli ambienti cloud (AWS EKS, GCP GKE, Azure AKS).

Quando un servizio è definito come LoadBalancer, Kubernetes provvede automaticamente al provisioning di un load balancer cloud di Livello 4 (L4) dedicato (ad esempio, AWS Classic ELB/NLB, Azure Load Balancer, GCP Network Load Balancer). Questo fornisce un indirizzo IP esterno stabile e ad alta disponibilità che instrada il traffico direttamente ai Pod del servizio.

Integrazione con il Cloud Provider

L'elemento chiave di differenziazione di LoadBalancer è la profonda integrazione con l'infrastruttura cloud sottostante. Il cloud provider gestisce il ciclo di vita del load balancer, i controlli di salute (health checks) e l'instradamento.

Casi d'Uso e Implicazioni sui Costi

Caratteristica Descrizione
Caso d'Uso Applicazioni semplici e pubbliche che richiedono un indirizzo IP dedicato e stabile. Adatto per protocolli non HTTP/S (TCP/UDP).
Complessità Bassa (a livello di configurazione).
Costo Alto. Ogni servizio LoadBalancer effettua il provisioning di una risorsa cloud dedicata, spesso con costi orari.
Vantaggio Fornisce immediata alta disponibilità e controlli di salute automatici.

Esempio LoadBalancer

apiVersion: v1
kind: Service
metadata:
  name: my-app-loadbalancer
spec:
  type: LoadBalancer
  selector:
    app: my-api-service
  ports:
    - protocol: TCP
      port: 80
      targetPort: 8080

Dopo la creazione, il cluster assegnerà un indirizzo IP esterno (visibile nello stato del servizio) gestito dal cloud provider.

3. Kubernetes Ingress: Instradamento di Livello 7

Ingress è fondamentalmente diverso da NodePort e LoadBalancer. Ingress non è un tipo di Servizio, ma piuttosto un oggetto API che definisce le regole per l'accesso esterno, tipicamente HTTP e HTTPS (Livello 7).

Ingress funge da punto di ingresso centrale, consentendo un instradamento sofisticato basato sui nomi host e sui percorsi URL. Questo approccio è essenziale per la gestione di più servizi dietro un unico indirizzo IP.

Il Ruolo dell'Ingress Controller

Affinché le regole Ingress funzionino, è necessario prima implementare un Ingress Controller (ad esempio, Nginx, Traefik, Istio). Il Controller monitora le definizioni delle risorse Ingress e configura un reverse proxy/load balancer L7 sottostante basato su tali regole.

Fondamentalmente, l'Ingress Controller stesso è solitamente esposto utilizzando un singolo servizio LoadBalancer o NodePort.

Funzionalità Avanzate di Ingress

Ingress eccelle quando sono necessarie funzionalità avanzate di gestione del traffico:

  1. Ottimizzazione dei Costi: Utilizzare un singolo LoadBalancer cloud (per esporre il Controller) invece di un LoadBalancer per ogni servizio applicativo.
  2. Hosting Virtuale: Instradare il traffico in base ai nomi host (api.example.com va al Servizio A; www.example.com va al Servizio B).
  3. Instradamento Basato sul Percorso (Path-Based Routing): Instradare il traffico in base ai percorsi URL (/v1/users va al Servizio A; /v2/posts va al Servizio B).
  4. Terminazione SSL/TLS: Gestire la gestione dei certificati e la decrittazione centralmente.

Esempio di Risorsa Ingress

Questo esempio instrada il traffico per api.example.com/v1 al servizio my-api-v1.

apiVersion: networking.k8s.io/v1
kind: Ingress
metadata:
  name: example-ingress
spec:
  ingressClassName: nginx # Specify the controller in use
  rules:
  - host: api.example.com
    http:
      paths:
      - path: /v1
        pathType: Prefix
        backend:
          service:
            name: my-api-v1
            port:
              number: 80
  # ... other rules for different services/hosts

4. Guida al Confronto e alla Selezione

La scelta del metodo ottimale comporta la valutazione di fattori come l'ambiente, la complessità, il set di funzionalità e il costo operativo.

Tabella di Confronto delle Caratteristiche

Caratteristica NodePort LoadBalancer Ingress
Livello L4 (TCP/UDP) L4 (TCP/UDP) L7 (HTTP/S)
Stabilità (IP) Instabile (usa l'IP del Nodo) Stabile (IP Cloud Dedicato) Stabile (Usa l'IP del Controller)
Costo Basso (Overhead operativo elevato) Alto (Costo delle risorse per servizio) Moderato (Un LoadBalancer per il Controller)
Logica di Instradamento Semplice inoltro di porta Semplice inoltro di porta Nome host, Percorso, Terminazione SSL
Dipendenza dal Cloud Nessuna Alta Alta (Richiede Controller esposto da LoadBalancer)
Adatto alla Produzione No Sì (App Semplici) Sì (App Complesse)

Criteri di Decisione: Scegliere il Metodo di Esposizione

  1. Solo per Interni o Test: Se devi semplicemente testare la connettività all'interno del tuo cluster o se gestisci autonomamente il networking esterno (ad esempio, in un ambiente bare-metal), usa NodePort.

  2. Per Esposizione L4 Semplice e Dedicata: Se la tua applicazione utilizza protocolli non HTTP (come protocolli TCP personalizzati o UDP) o se hai una sola applicazione pubblica che necessita di accesso L4 immediato e dedicato, usa LoadBalancer.

  3. Per Esposizione L7 Complessa e Multi-Servizio: Se hai più servizi da esporre, richiedi l'instradamento basato sul percorso o sul nome host, necessiti della terminazione SSL centralizzata o desideri ridurre al minimo i costi cloud condividendo un singolo IP esterno, usa Ingress.

Best Practice (Migliore Pratica): Per i deployment di produzione in ambienti cloud gestiti, Ingress è generalmente la scelta preferita. Fornisce la sofisticazione, la centralizzazione della sicurezza e l'efficienza dei costi necessarie per gestire un numero crescente di microservizi.

Conclusione

Kubernetes offre una gamma di soluzioni per l'esposizione dei servizi, passando dalla base L4 NodePort, attraverso il LoadBalancer L4 integrato nel cloud, fino alle sofisticate capacità di instradamento L7 di Ingress. Comprendendo il livello operativo, il modello di costo e la logica di instradamento richiesta da ciascun metodo, gli ingegneri possono progettare architetture di rete scalabili, sicure ed economicamente vantaggiose per i loro carichi di lavoro di produzione.