k8s.gcr.io/kube-proxy:v1.21.14

kube-proxy是Kubernetes集群中部署在每个节点上的网络代理组件，核心职责是实现Service资源的网络转发逻辑，以及维护节点级别的网络规则。作为连接Service与Pod的桥梁，它让Kubernetes的网络抽象（如虚拟IP、负载均衡）能够落地到实际节点网络中。

具体来说，kube-proxy通过监听Kubernetes API Server，实时跟踪Service和Endpoint资源的变化。当用户创建或更新Service时，它会根据Service的类型（ClusterIP、NodePort、Load***等）在节点上生成对应的转发规则——这些规则通常基于iptables或IPVS实现，作用是将发往Service虚拟IP的流量“引流”到后端Pod。比如访问ClusterIP时，规则会把流量转发到该Service关联的Pod IP；使用NodePort时，则会将节点特定端口的外部流量转发到后端Pod。

在流量分发上，kube-proxy支持基础的负载均衡策略。默认情况下采用轮询模式，将请求均匀分配给Service关联的多个Pod，避免单个Pod过载。如果某个Pod因故障从Endpoint中移除，kube-proxy会动态更新转发规则，不再将流量导向故障Pod，实现自动故障转移。对于大规模集群，还可通过IPVS模式启用更复杂的负载均衡算法（如最小连接数、源IP哈希），提升流量分发效率。

工作模式方面，当前主流是iptables和IPVS两种。iptables模式依赖Linux系统自带的iptables工具，配置简单但在Service数量庞大时规则链会变得复杂，可能影响性能；IPVS则是专门的负载均衡模块，规则管理更高效，支持百万级并发，更适合大规模集群。此外，kube-proxy还会配合网络插件（如Calico、Flannel）执行网络策略，通过规则限制Pod间的通信范围，增强集群安全性。

简单讲，没有kube-proxy，Service的虚拟IP就只是“空中楼阁”，Pod间的跨节点通信、外部流量的集群接入都无法实现。它是Kubernetes网络模型的“执行者”，确保了Service的稳定性和流量的灵活调度，是集群网络正常运行的核心组件之一。