在 Kubernetes 集群环境中，网络访问的设置常常让人困惑，尤其是关于为何用 ClusterIP + Ingress 无法从外部访问内部 MySQL，而 NodePort 却可以的问题。这背后涉及到 Kubernetes 网络模型和相关组件的工作原理。

来了解一下 ClusterIP。ClusterIP 是 Kubernetes 服务的默认类型，它为集群内部的 Pod 提供一个稳定的内部 IP 地址。这种类型的服务主要用于集群内部的通信，将流量导向一组后端 Pod。它的作用范围局限在集群内部网络，外部无法直接通过 ClusterIP 访问到服务。

Ingress 则是 Kubernetes 中用于管理外部访问集群服务的组件。它通过配置规则，将外部流量路由到集群内部的服务。然而，仅使用 ClusterIP + Ingress 无法从外部访问内部 MySQL 服务，原因在于 Ingress 本身通常依赖于负载均衡器（如 Nginx Ingress Controller）来工作，且 Ingress 规则需要正确配置以匹配服务。如果配置不正确，或者底层的负载均衡器没有正确设置，就无法将外部流量正确导向 ClusterIP 服务。

而 NodePort 类型的服务则有所不同。NodePort 在每个节点上打开一个特定端口（默认 30000 - 32767 范围），任何发送到节点该端口的流量都会被转发到对应的后端 Pod。这就使得外部客户端可以通过访问节点的 IP 地址和 NodePort 端口，间接地访问到集群内部的服务。由于它直接在节点层面暴露了端口，外部网络可以直接与之通信，绕过了 ClusterIP 仅在内部网络有效的限制。

ClusterIP + Ingress 无法从外部访问内部 MySQL 可能是由于配置问题或 Ingress 依赖的负载均衡器设置不当。而 NodePort 通过在节点上直接暴露端口的方式，为外部访问集群内部服务提供了一条简单直接的途径，这就是为何它能够实现外部对内部 MySQL 的访问。理解这些网络模型和服务类型的差异，对于在 Kubernetes 集群中实现高效、安全的网络通信至关重要。