2025年11月5日

KubernetesにMetalLBをインストールして、オンプレでも「Service: LoadBalancer」を利用出来るようにする

はじめに

Kubernetesではpodへの負荷分散を行うためにAWSのEKSなどのCloudサービス上で、ServiceとしてLoadBalancerを定義することが可能です。

KubernetesにおけるServiceとは、クラスター内で1つ以上のPodとして実行されているネットワークアプリケーションを公開する方法です。 Kubernetesでは、なじみのないサービスディスカバリーのメカニズムを使用するためにユーザーがアプリケーションの修正をする必要はありません。 KubernetesはPodにそれぞれのIPアドレス割り振りや、Podのセットに対する単一のDNS名を提供したり、それらのPodのセットに対する負荷分散が可能です。 Serviceを利用する動機 Kubernetes Podはクラスターの状態に合わせて作成され削除されます。Podは揮発的なリソースです。 Deploymentをアプリケーションを稼働させるために使用すると、Podを動的に作成・削除してくれます。各Podはそれ自身のIPアドレスを持ちます。しかしDeploymentでは、ある時点において同時に稼働しているPodのセットは、その後のある時点において稼働しているPodのセットとは異なる場合があります。この仕組みはある問題を引き起こします。もし、あるPodのセット(ここでは"バックエンド"と呼びます)がクラスター内で他のPodのセット(ここでは"フロントエンド"と呼びます)に対して機能を提供する場合、フロントエンドのPodがワークロードにおけるバックエンドを使用するために、バックエンドのPodのIPアドレスを探し出したり、記録し続けるためにはどうすればよいでしょうか? ここで Service について説明します。 Serviceリソース Kubernetesにおいて、ServiceはPodの論理的なセットや、そのPodのセットにアクセスするためのポリシーを定義します(このパターンはよくマイクロサービスと呼ばることがあります)。 ServiceによってターゲットとされたPodのセットは、たいていセレクターによって定義されます。その他の方法について知りたい場合はセレクターなしのServiceを参照してください。例えば、3つのレプリカが稼働しているステートレスな画像処理用のバックエンドを考えます。これらのレプリカは代替可能です。— フロントエンドはバックエンドが何であろうと気にしません。バックエンドのセットを構成する実際のPodのセットが変更された際、フロントエンドクライアントはその変更を気にしたり、バックエンドのPodのセットの情報を記録しておく必要はありません。 Serviceによる抽象化は、クライアントからバックエンドのPodの管理する責務を分離することを可能にします。クラウドネイティブのサービスディスカバリーアプリケーション内でサービスディスカバリーのためにKubernetes APIが使える場合、ユーザーはエンドポイントをAPI Serverに問い合わせることができ、またService内のPodのセットが変更された時はいつでも更新されたエンドポイントの情報を取得できます。非ネイティブなアプリケーションのために、KubernetesはアプリケーションとバックエンドPodの間で、ネットワークポートやロードバランサーを配置する方法を提供します。 Serviceの定義 KubernetesのServiceはPodと同様にRESTのオブジェクトです。他のRESTオブジェクトと同様に、ユーザーはServiceの新しいインスタンスを作成するためにAPIサーバーに対してServiceの定義をPOSTできます。Serviceオブジェクトの名前は、有効なDNSラベル名である必要があります。例えば、TCPで9376番ポートで待ち受けていて、app=MyappというラベルをもつPodのセットがあるとします。 apiVersion: v1 kind: Service metadata: name: my-service spec: selector: app: MyApp ports: - protocol: TCP port: 80 targetPort: 9376 この定義では、"my-service"という名前のついた新しいServiceオブジェクトを作成します。これはapp=Myappラベルのついた各Pod上でTCPの9376番ポートをターゲットとします。 Kubernetesは、このServiceに対してIPアドレス("clusterIP"とも呼ばれます)を割り当てます。これはServiceのプロキシによって使用されます(下記の仮想IPとServiceプロキシを参照ください)。 Serviceセレクターのコントローラーはセレクターに一致するPodを継続的にスキャンし、“my-service”という名前のEndpointsオブジェクトに対して変更をPOSTします。備考:ServiceはportからtargetPortへのマッピングを行います。デフォルトでは、利便性のためにtargetPortフィールドはportフィールドと同じ値で設定されます。 Pod内のポートの定義は名前を設定でき、ServiceのtargetPort属性にてその名前を参照できます。これは単一の設定名をもつService内で、複数の種類のPodが混合していたとしても有効で、異なるポート番号を介することによって利用可能な、同一のネットワークプロトコルを利用します。この仕組みはServiceをデプロイしたり、設定を追加する場合に多くの点でフレキシブルです。例えば、バックエンドソフトウェアにおいて、次のバージョンでPodが公開するポート番号を変更するときに、クライアントの変更なしに行えます。 ServiceのデフォルトプロトコルはTCPです。また、他のサポートされているプロトコルも利用可能です。多くのServiceが、1つ以上のポートを公開する必要があるように、Kubernetesは1つのServiceオブジェクトに対して複数のポートの定義をサポートしています。各ポート定義は同一のprotocolまたは異なる値を設定できます。セレクターなしのService Serviceは多くの場合、KubernetesのPodに対するアクセスを抽象化しますが、他の種類のバックエンドも抽象化できます。例えば: プロダクション環境で外部のデータベースクラスターを利用したいが、テスト環境では、自身のクラスターが持つデータベースを利用したい場合 Serviceを、異なるNamespaceのServiceや他のクラスターのServiceに向ける場合ワークロードをKubernetesに移行するとき、アプリケーションに対する処理をしながら、バックエンドの一部をKubernetesで実行する場合このような場合において、ユーザーはPodセレクターなしでServiceを定義できます。 apiVersion: v1 kind: Service metadata: name: my-service spec: ports: - protocol: TCP port: 80 targetPort: 9376 このServiceはセレクターがないため、対応するEndpointsオブジェクトは自動的に作成されません。ユーザーはEndpointsオブジェクトを手動で追加することにより、向き先のネットワークアドレスとポートを手動でマッピングできます。

kubernetes.io

AWSのALB等のサービスを利用して、podへの負荷分散を行える便利なServiceリソースなのですが、オンプレミスでは利用出来ません。これをオンプレミスで利用出来るようにするのがMetalLBです。

MetalLB :: MetalLB, bare metal load-balancer for Kubernetes

MetalLB is a load-balancer implementation for bare metal Kubernetes clusters, using standard routing protocols. Note Despite the beta status of the project / API, MetalLB is known to be stable and reliable. The project maturity page explains what that implies. Why? Kubernetes does not offer an implementation of network load balancers (Services of type LoadBalancer) for bare-metal clusters. The implementations of network load balancers that Kubernetes does ship with are all glue code that calls out to various IaaS platforms (GCP, AWS, Azure…).

metallb.universe.tf

今回は以下のリファレンスを参照して、MetalLBをインストールしていきます。

Installation :: MetalLB, bare metal load-balancer for Kubernetes

Before starting with installation, make sure you meet all the requirements. In particular, you should pay attention to network addon compatibility. If you’re trying to run MetalLB on a cloud platform, you should also look at the cloud compatibility page and make sure your cloud platform can work with MetalLB (most cannot). There are three supported ways to install MetalLB: using plain Kubernetes manifests, using Kustomize, or using Helm. Preparation If you’re using kube-proxy in IPVS mode, since Kubernetes v1.

metallb.universe.tf

構成

MetalLB導入前の構成

Ingress ControllerをNodePortで公開する必要があり、外部からはNodePortを経由してアクセスします。

MetalLB導入後の構成

MetalLBを導入することで、Ingress ControllerをLoadBalancerタイプに変更でき、NodePortを使わずに外部からアクセス可能になります。

インストール

MetalLBにはBGP用と、BGPを利用していない小規模NW用のインストール方法が存在します。
今回は後者を利用します。

インストール実行

本記事執筆時点ではMetalLBのバージョンは「v0.15.2」です。以下のコマンドを実行します。

kubectl apply -f https://raw.githubusercontent.com/metallb/metallb/v0.15.2/config/manifests/metallb-native.yaml

Kustomizeを利用している場合は以下の定義を利用します。

namespace: metallb-system

# URLをhttp経由で取得するために、公式ドキュメントのgit経由からURLを変更しています。
resources:
  - https://raw.githubusercontent.com/metallb/metallb/v0.15.2/config/manifests/metallb-native.yaml

Helmでのインストールの場合は以下の定義を利用します。

helm repo add metallb https://metallb.github.io/metallb
helm install metallb metallb/metallb
or
helm install metallb metallb/metallb -f values.yaml

MetalLB用のOperatorもあるようです。

OperatorHub.io | The registry for Kubernetes Operators

The registry for Kubernetes Operators

operatorhub.io

今回はKustomizeを利用するため、以下のコマンドでデプロイします。

kubectl apply -k .

デプロイすると以下のようになります。

[root@k8s-bastion ~]# kubectl get all -n metallb-system
NAME                              READY   STATUS    RESTARTS       AGE
pod/controller-58fdf44d87-4j2zp   1/1     Running   1 (117s ago)   2m37s
pod/speaker-4vjbx                 1/1     Running   0              2m37s
pod/speaker-js6p6                 1/1     Running   0              2m37s
pod/speaker-khxhd                 1/1     Running   0              2m37s
pod/speaker-lkdk6                 1/1     Running   0              2m37s
pod/speaker-xq59w                 1/1     Running   0              2m37s

NAME                              TYPE        CLUSTER-IP       EXTERNAL-IP   PORT(S)   AGE
service/metallb-webhook-service   ClusterIP   10.108.202.241   <none>        443/TCP   2m38s

NAME                     DESIRED   CURRENT   READY   UP-TO-DATE   AVAILABLE   NODE SELECTOR            AGE
daemonset.apps/speaker   5         5         5       5            5           kubernetes.io/os=linux   2m37s

NAME                         READY   UP-TO-DATE   AVAILABLE   AGE
deployment.apps/controller   1/1     1            1           2m37s

NAME                                    DESIRED   CURRENT   READY   AGE
replicaset.apps/controller-58fdf44d87   1         1         1       2m37s

現状、利用するIPアドレスを設定していないため、このままではLoadBalancerを定義してもIPアドレスが割り振られないため、IPアドレスを設定していきます。

利用するIPアドレスの設定

MetalLBで利用するIPアドレスの範囲を設定するために、IPAddressPoolとL2Advertisementの2つのリソースを定義します。

IPAddressPool の作成

IPAddressPoolリソースでは、LoadBalancerに割り当てるIPアドレスの範囲を定義します。単一のIP,CIDR指定等可能ですが、今回は単一のIP指定にします。

apiVersion: metallb.io/v1beta1
kind: IPAddressPool
metadata:
  name: default-pool
  namespace: metallb-system
spec:
  addresses:
    - 192.168.0.50/32

L2Advertisement の作成

L2Advertisementリソースでは、L2モード（ARP）でIPアドレスをアドバタイズする設定を行います。

apiVersion: metallb.io/v1beta1
kind: L2Advertisement
metadata:
  name: default-l2
  namespace: metallb-system
spec:
  ipAddressPools:
    - default-pool # 上記で定義したIPAddressPoolの名前を指定

デプロイ

上記の2つのリソースをデプロイします。せっかくKustomizeを利用しているので、resourcesに追加しちゃいましょう。

namespace: metallb-system

resources:
  - https://raw.githubusercontent.com/metallb/metallb/v0.15.2/config/manifests/metallb-native.yaml
  - ipaddresspool.yaml
  - l2advertisement.yaml

Ingress ControllerをLoadBalancerタイプに変更

Ingress Controllerを事前に設定しているため、Ingress ControllerのServiceをLoadBalancerタイプに変更します。

これにより、外部からMetalLBが割り当てたIPアドレス経由でIngress Controllerにアクセス可能となり、portを意識する必要が無くなります。

なお、Ingress Controllerのセットアップについては以下の記事を参照してください。

KubernetesにIngressを設定して、Kubernetes内部でホストベースルーティング出来るようにする

tech.teshiblog.com

Ingress ControllerをLoadBalancerに変更

Ingress ControllerはデフォルトでNodePortで公開されていますが、これをLoadBalancerに変更します。

Kustomizeを利用している場合は、以下のようにpatchで変更できます。
利用していない場合は、kubectl edit service/ingress-nginx-controller -n ingress-nginxでも修修正可能です。

apiVersion: kustomize.config.k8s.io/v1beta1
kind: Kustomization
resources:
  - https://raw.githubusercontent.com/kubernetes/ingress-nginx/controller-v1.13.3/deploy/static/provider/baremetal/deploy.yaml

patches:
  - target:
      kind: Service
      name: ingress-nginx-controller
      namespace: ingress-nginx
    patch: |-
      - op: replace
        path: /spec/type
        value: LoadBalancer

kubectl apply -k .

デプロイ後、Ingress ControllerのTypeがLoadBalancerに変わり、EXTERNAL-IPが割り振られます。

[root@k8s-bastion ]# kubectl get service -n ingress-nginx
NAME                                 TYPE           CLUSTER-IP       EXTERNAL-IP    PORT(S)                      AGE
ingress-nginx-controller             LoadBalancer   10.111.186.246   192.168.0.50   80:30080/TCP,443:30443/TCP   46h

これで外部からhttp://192.168.0.50でIngress Controllerにアクセスできるようになります。

各アプリケーション（Redmine等）はClusterIPのServiceのままで、Ingressリソースで定義したホスト名（例：redmine.home.tessy.dev）でアクセス可能になります。

まとめ

オンプレミス環境では、通常LoadBalancerタイプのServiceを利用できず、NodePortを使う必要がありました。 MetalLBを導入することで、Cloud環境と同様にLoadBalancerタイプのServiceを利用できるようになり、IPアドレスのみでアクセス可能となりました。これにより、外部サービスからportを意識する必要がなくなるため、より汎用的な設定が可能となりました。