Ingress是一個(gè)API對(duì)象孔飒,用來(lái)管理集群外部訪問(wèn)集群內(nèi)部的服務(wù)(主要為http和https)灌闺。Ingress可以提供負(fù)載均衡、ssl卸載和虛擬主機(jī)的功能坏瞄。
Ingress控制器
Ingress控制器不同于其他控制桂对,他不屬于控制器管理器,而是一個(gè)類(lèi)似coreDns的插件鸠匀,常用的ingress控制器類(lèi)型有:
Contour(envoy)蕉斜、F5、Haproxy、ISTIO宅此、Kong机错、Nginx、Traefik
可以在集群中部署任意數(shù)量的ingress控制器父腕,其實(shí)就是部署多個(gè)Deployment或者DaemonSet弱匪。創(chuàng)建ingress資源時(shí)使用ingress-class注釋annotate使用哪個(gè)ingress controller。
Ingress資源
與其他資源相同璧亮,ingress資源也有apiVersion萧诫、kind和metadata三個(gè)字段。不同的ingress控制器支持不同的annotations杜顺,ingress經(jīng)常使用annotations來(lái)配置一些選項(xiàng)财搁,例如rewrite-target蘸炸。了解支持哪些注釋需要查看相關(guān)文檔躬络。Ingress spec包含配置負(fù)載均衡器或代理服務(wù)器所需的所有信息。ingress資源僅支持用于HTTP的規(guī)則搭儒,每個(gè)HTTP規(guī)則都包含以下信息:
主機(jī)(可選):適用于虛擬主機(jī)
路徑列表(例如穷当,/testpath),每個(gè)路徑都有一個(gè)用servicename和serviceport定義的相關(guān)后端淹禾。在LoadBalancer將流量導(dǎo)向引用的服務(wù)之前馁菜,主機(jī)和路徑必須與傳入請(qǐng)求的內(nèi)容匹配。
后端是服務(wù)和端口名稱(chēng)的組合铃岔。對(duì)與主機(jī)和規(guī)則路徑匹配的入口的HTTP(和HTTPS)請(qǐng)求將發(fā)送到列出的后端汪疮。
缺省后端ingress.spec.backend,未匹配到任何rule的流量毁习,將路由至缺省后端
Ingress實(shí)驗(yàn)
1智嚷、部署ingress controller
訪問(wèn)github上的項(xiàng)目網(wǎng)站https://github.com/kubernetes/ingress-nginx
下載deploy目錄中的部署文件mandatory.yaml
wget https://raw.githubusercontent.com/kubernetes/ingress-nginx/master/deploy/mandatory.yaml
Kubectl apply -f mandatory.yaml
所有涉及的資源:
namespace/ingress-nginx
configmap/nginx-configuration
configmap/tcp-services
configmap/udp-services
serviceaccount/nginx-ingress-serviceaccount
clusterrole.rbac.authorization.k8s.io/nginx-ingress-clusterrole
role.rbac.authorization.k8s.io/nginx-ingress-role
rolebinding.rbac.authorization.k8s.io/nginx-ingress-role-nisa-binding
clusterrolebinding.rbac.authorization.k8s.io/nginx-ingress-clusterrole-nisa-binding
deployment.extensions/nginx-ingress-controller
部署完成后,會(huì)生產(chǎn)一個(gè)nginx-ingress-controller的pod
2纺且、ingress service外部訪問(wèn)
新建NodePort類(lèi)型的service盏道,這樣所有node上都可以監(jiān)聽(tīng)80和443端口,報(bào)文會(huì)轉(zhuǎn)發(fā)至ingress controller载碌,標(biāo)簽選擇器與前面部署ingress控制器的標(biāo)簽一致
apiVersion: v1
kind: Service
metadata:
? name: ingress-nginx
? namespace: ingress-nginx
? labels:
? ? app.kubernetes.io/name: ingress-nginx
? ? app.kubernetes.io/part-of: ingress-nginx
spec:
? type: NodePort
? ports:
? ? - name: http
? ? ? port: 80
? ? ? targetPort: 80
? ? ? protocol: TCP
? ? - name: https
? ? ? port: 443
? ? ? targetPort: 443
? ? ? protocol: TCP
? selector:
? ? app.kubernetes.io/name: ingress-nginx
? ? app.kubernetes.io/part-of: ingress-nginx
3猜嘱、配置后端服務(wù)和deployment
新建后端服務(wù)testsvc及相關(guān)的deployment busybox-httpd
apiVersion: apps/v1beta1
kind: Deployment
metadata:
? labels:
? ? run: busybox-httpd
? name: busybox-httpd
spec:
? replicas: 2
? selector:
? ? matchLabels:
? ? ? run: busybox-httpd
? template:
? ? metadata:
? ? ? labels:
? ? ? ? run: busybox-httpd
? ? spec:
? ? ? containers:
? ? ? - command:
? ? ? ? - /bin/sh
? ? ? ? - -c
? ? ? ? - ifconfig > index.html && /bin/httpd -f
? ? ? ? image: busybox
? ? ? ? name: busybox-httpd
---
apiVersion: v1
kind: Service
metadata:
? labels:
? ? tier: front
? name: testsvc
? namespace: default
spec:
? selector:
? ? run: busybox-httpd
? ports:
? - name: http
? ? port: 80
? ? protocol: TCP
? ? targetPort: 80
? type: ClusterIP?
再新建一個(gè)后端服務(wù)hostnamesvc及相關(guān)的deployment busybox-httpd-2
apiVersion: apps/v1beta1
kind: Deployment
metadata:
? labels:
? ? run: busybox-httpd-2
? name: busybox-httpd-2
spec:
? replicas: 2
? selector:
? ? matchLabels:
? ? ? run: busybox-httpd-2
? template:
? ? metadata:
? ? ? labels:
? ? ? ? run: busybox-httpd-2
? ? spec:
? ? ? containers:
? ? ? - command:
? ? ? ? - /bin/sh
? ? ? ? - -c
? ? ? ? - hostname > index.html && /bin/httpd -f
? ? ? ? image: busybox
? ? ? ? name: busybox-httpd
---
apiVersion: v1
kind: Service
metadata:
? labels:
? ? tier: front
? name: hostnamesvc
? namespace: default
spec:
? selector:
? ? run: busybox-httpd-2
? ports:
? - name: http
? ? port: 80
? ? protocol: TCP
? ? targetPort: 80
? type: ClusterIP
5、配置ingress資源
新建ingress資源test-ingress嫁艇,選擇服務(wù)testsvc作為后端
apiVersion: extensions/v1beta1
kind: Ingress
metadata:
? name: test-ingress
spec:
? backend:
? ? serviceName: testsvc
? ? servicePort: 80
查看ingress service朗伶,他將HTTP自動(dòng)分配到NodePort 30746,而endpoint為10.244.1.90:80
在所有節(jié)點(diǎn)上步咪,都可以看到這個(gè)端口已經(jīng)監(jiān)聽(tīng)
查看ingress對(duì)象可以看到test-ingress選擇了testsvc這個(gè)service论皆,并且可以直接獲得了service的endpoints,并沒(méi)有使用service的IP 10.110.72.96.
修改ingress資源test-ingress,設(shè)置兩個(gè)虛擬機(jī)主機(jī)test1和test2,再新建一個(gè)后端服務(wù)datesvc及相關(guān)的deployment busybox-httpd-3纯丸。
注意:如果ingress中沒(méi)有指定hosts偏形,也可以用IP地址來(lái)訪問(wèn),但ingress-nginx默認(rèn)要求https觉鼻,所以這時(shí)會(huì)遇到訪問(wèn)總是308跳轉(zhuǎn)的問(wèn)題俊扭,需要增加注釋nginx.ingress.kubernetes.io/ssl-redirect: "false"來(lái)解決。
apiVersion: extensions/v1beta1
kind: Ingress
metadata:
? name: test-ingress
? annotations:
? nginx.ingress.kubernetes.io/ssl-redirect: "false"
spec:
? rules:
? - host: test1
? ? http:
? ? ? paths:
? ? ? ? - path:
? ? ? ? ? backend:
? ? ? ? ? ? serviceName: testsvc
? ? ? ? ? ? servicePort: 80
? - host: test2
? ? http:
? ? ? paths:
? ? ? ? - path:
? ? ? ? ? backend:
? ? ? ? ? ? serviceName: hostnamesvc
? ? ? ? ? ? servicePort: 80
? - http:
? ? paths:
? ? ? - path: /
? ? ? ? backend:
? ? ? ? ? serviceName: datesvc
? ? ? ? ? servicePort: 80
修改host文件
訪問(wèn)test1坠陈、test2和使用ip訪問(wèn)
可以通過(guò)查看nginx配置來(lái)驗(yàn)證:
kubectl -n ingress-nginx exec? -it? nginx-ingress-controller-6c885cc56d-8n5nh -- /bin/sh
增加ssl卸載功能
openssl genrsa -out tls.key 2048
openssl req -new -x509 -key tls.key -out tls.crt -subj /C=CN/ST=SC/L=CHENGDU/O=IT/CN=test1
kubectl create secret tls test1 --cert=tls.crt? --key=tls.key
未配置ssl證書(shū)的站點(diǎn)默認(rèn)也有一個(gè)證書(shū)萨惑,缺省用https也可以打開(kāi)
Hostnetwork的方式:
修改deployment,將kind修改為daemonSet仇矾,因?yàn)閏ontroller必須監(jiān)聽(tīng)到多個(gè)node上
去掉replicas,因?yàn)閐aemonSet不需要replicas
增加daemonset.spec.template.spec.hostNetwork 為true
注意: 部署ingress時(shí)需要注意端口不與node上的應(yīng)用端口沖突庸蔼,一般建議部署在部分專(zhuān)用node上
