Ingress Controller实质上可以理解为监视器， Ingress Controller通过不断地跟Kubernetes API打交道， 实时地感知后端Service、 Pod等的变化， 比如新增和减少Pod， Service增加与减少等； 当得到这些变化信息后， Ingress Controller再结合下文的Ingress生成配置， 然后更新反向代理负载均衡器， 并刷新其配置， 起到服务发现的作用。

Ingress Controller将Ingress入口地址和后端Pod地址的映射关系（规则） 实时刷新到Load Balancer的配置文件中， 再让负载均衡器重载（reload） 该规则， 便可实现服务的负载均衡和自动发现。

对绝大多数刚刚接触Kubernetes的人来说， 都比较熟悉Nginx Ingress Controller， 一个对外暴露Service的7层反向代理。 Nginx Ingress Controller通过Kubernetes的annotations配置， 为Ingress提供丰富的个性化配置。

因为微服务架构及Kubernetes等编排工具最近几年才开始逐渐流行， 所以一开始的反向代理服务器（例如Nginx和HA Proxy） 并未提供对微服务的支持， 才会出现Nginx Ingress Controller这种中间层做Kubernetes和负载均衡器（例如Nginx） 之间的适配器（adapter） 。Nginx Ingress Controller的存在就是为了与Kubernetes交互， 同时刷新Nginx配置， 还能重载Nginx。 而号称云原生边界路由的Traefik设计得更彻底， 首先它是个反向代理， 其次原生提供了对Kubernetes的支持， 也就是说， Traefik本身就能跟Kubernetes打交道， 感知Kubernetes集群服务

的更新。 Traefik是原生支持Kubernetes Ingress的， 因此用户在使用Traefik时无须再开发一套Nginx Ingress Controller， 受到了广大运维人员的好评。 相

- --proxy-mode： 除了现有的userspace和iptables模式， IPVS模式通过--proxy-mode=ipvs进行配置；

- --ipvs-scheduler： 用来指定IPVS负载均衡算法， 如果不配置则默认使用roundrobin（rr） 算法。 支持配置的负载均衡算法有：

- --cleanup-ipvs： 类似于--cleanup-iptables参数。 如果设置为true， 则清除在IPVS模式下创建的IPVS规则；

- --ipvs-sync-period： 表示Kube-proxy刷新IPVS规则的最大间隔时间， 例如5秒、 1分钟等， 要求大于0

- -ipvs-min-sync-period： 表示Kube-proxy刷新IPVS规则的最小时间间隔， 例如5秒、 1分钟等， 要求大于0

- --ipvs-exclude-cidrs： 用于在清除IPVS规则时告知Kube-proxy不要清理该参数配置的网段的IPVS规则。 因为我们无法区分某条IPVS规则到底是Kube-proxy创建的， 还是其他用户程序的， 配置该参数是为了避免误删用户自己的IPVS规则。

- Kube-proxy配置启动参数masquerade-all=true， 即集群中所有经过Kube-proxy的包都做一次SNAT；

- Kube-proxy启动参数指定集群IP地址范围

- 支持Load Balancer类型的服务， 用于配置白名单

- 支持NodePort类型的服务， 用于在包跨节点前配置MASQUERADE， 类似于上文提到的iptables模式。

- NEW： 匹配连接的第一个包， 这表示conntrack对该数据包的信息一无所知。 通常发生在收到SYN数据包时。

- ESTABLISHED： 匹配连接的响应包及后续的包， conntrack知道该数据包属于一个已建立的连接。 通常发生在TCP握手完成之后。

- RELATED： RELATED状态有点复杂， 当一个连接与另一个ESTABLISHED状态的连接有关时，这意味着， 一个连接要想成为RELATED， 必须先有一条已经是ESTABLISHED状态的连接存在。 这个ESTABLISHED状态连接再产生一个主连接之外的新连接， 这个新连接就是RELATED状态。

- NVALID： 匹配那些无法识别或没有任何状态的数据包， conntrack不知道如何处理它。 该状态在分析Kubernetes故障的过程中起着重要的作用。