在AWS Load Balancer Controller中配置NLB非标准端口的实践指南

背景介绍

AWS Load Balancer Controller是Kubernetes生态中管理AWS负载均衡器的重要组件。在实际生产环境中，我们经常遇到需要让网络负载均衡器(NLB)监听非标准端口(如7777、7778)的特殊需求。这种情况通常源于企业网络架构限制或安全合规要求。

核心问题分析

通过社区issue分析，开发者遇到的主要挑战是：

1. 无法通过标准配置让NLB监听指定非标准端口
2. 手动创建的监听器会被控制器自动移除
3. 缺乏明确的文档说明如何实现这一需求

这与ALB的配置体验形成对比，后者通过alb.ingress.kubernetes.io/listen-ports注解可以轻松实现端口定制。

技术解决方案

正确的Service配置方法

要实现NLB监听非标准端口，关键在于正确配置Service资源。以下是经过验证的有效配置示例：

apiVersion: v1
kind: Service
metadata:
  name: custom-port-service
  annotations:
    service.beta.kubernetes.io/aws-load-balancer-type: external
    service.beta.kubernetes.io/aws-load-balancer-scheme: internet-facing
    service.beta.kubernetes.io/aws-load-balancer-nlb-target-type: ip
spec:
  type: LoadBalancer
  selector:
    app: nginx
  ports:
    - name: custom-port-1
      port: 7777    # NLB监听端口
      targetPort: 80 # 容器实际端口
    - name: custom-port-2
      port: 7778
      targetPort: 80

关键配置说明

1. port字段：指定NLB对外暴露的监听端口
2. targetPort字段：对应Pod内容器实际监听的端口
3. 注解配置：必须明确指定使用NLB(external类型)和ip目标类型

实现原理

AWS Load Balancer Controller会：

1. 解析Service的ports配置
2. 自动创建对应端口的NLB监听器
3. 将监听器与指定的目标组关联
4. 维护监听器状态与Service配置的一致性

常见误区

1. 错误地尝试使用ALB的注解配置NLB
2. 混淆port和targetPort的概念
3. 遗漏必要的annotations配置
4. 手动修改NLB配置导致与控制器管理冲突

最佳实践建议

1. 始终通过Service资源定义端口配置
2. 避免手动修改AWS控制台上的NLB配置
3. 测试时先使用小规模部署验证配置
4. 监控NLB的健康检查状态
5. 考虑结合NetworkPolicy加强安全控制

总结

通过正确配置Service资源，开发者可以灵活地让AWS Load Balancer Controller管理的NLB监听任意指定端口。这种方法既保持了基础设施即代码的优势，又能满足特殊场景下的网络架构需求。理解Kubernetes Service与AWS NLB的映射关系是解决此类问题的关键。