kubernetes ingress 及 Ingress Controller

最新推荐文章于 2023-02-27 21:43:34 发布
最新推荐文章于 2023-02-27 21:43:34 发布
阅读量287 收藏
点赞数
分类专栏: kubernetes
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/FR13DNS/article/details/118229146
版权

server 有一个问题就是无论哪种类型都只能实现 4 层转发和代理,如果要建立一个 http 的服务,那么每一个 app 都要建立成一个 http 主机,因为 4 层调度本身是无法卸载 http 会话的,事实上 k8s 集群还有一种引入集群外部流量的方式:ingress,ingress 资源是一种七层调度器,但他也脱离不了 server资源 和 web 服务

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-joOEKfYz-1624628357507)(https://raw.githubusercontent.com/ma823956028/image/master/picgo/20200829002221.png)]

图中 ingress-nginx service 可以被 DaemonSet 配合 ingress 共享网络名称空间的方式代替

Ingress

负责k8s中的7层负载均衡。其在物理机中有多种部署方式,而主要则有nodePort和hostNetwork两种部署方式。

  • nodePort:

    kubernetes 在内部集群中进行调度时,后端被代理的 pod 资源不会配置 https 的他们就是明文的 http,k8s 使用一个特殊的 pod (ingress) 对于这个 pod 来说她是运行在用户空间的正常的运行程序,如 nginx、haproxy 等,当用户试图访问某个后端服务时,不会直接访问该服务的 svc,而是先到 ingress,而 pod 与 pod 之间是在同一个网段的,这样就可以让 ingress 直接与后端 pod 通信并完成反代,而 ingress 需要接入外部流量则需要 svc,NodePort 的 svc。为了让 svc 拥有负载功能,即外部访问任意一个 Node 都能访问到这个 svc,则又需要在 node 之上再增加一个 LoadBalancer,这样架构会导致 4 次反代性能会大打折扣

  • hostnetwork:

    于是新的解决方案是让 ingress 共享节点的网络名称空间,相当于监听了宿主机的地址,所以边界流量直接经由 loadbalancer 或负载均衡器被打到了 ingress,并有它继续反代给真正的 pod,其中 loadbalancer 做四层代理给 ingress,ingress 做七层卸载给对应的 pod,但这样就会失去 ingress 的 svc,这样则只能在一个节点运行 ingress 也就造成了单点故障,所以这个 ingress 需要 DaemonSet 来控制 ingress,这样就恢复了高可用和负载能力,而大规模部署 k8s 集群时,我们会按比例挑出部分 node,并给 node 增加污点,让其他 pod 不可以运行在这些 node 上,但让 ingress 容忍这些污点加上 DaemonSet 来管理并让前端的 loadbalancer 调度

Ingress Controller

它与控制器不同,控制器作为 controllermanager 的子组件存在,而 Ingress 则单独特指一组 pod,而 ingress 的实现方式通常有三种

  1. Haproxy:并不被推荐
  2. nginx:主流
  3. Envoy:服务网格中多用此类服务
  4. Traefik:为微服务而生,与 nginx 竞争

Ingress 资源

我们知道 ingress 本身就是一个 web 服务了,但比如当我们使用 url 映射功能,让一个 url 通过 upstream server 配置映射到后端服务,在传统架构中非常容易实现,但容器内 pod 是有生命周期的,为了解决这个问题则需要引入 svc,通过这个 svc 关联至后端的 pod,但这个 svc 仅仅帮忙分类,不做转发节点使用,这个 svc 关联了多少 pod 就会写入 upstream 配置(此时写入配置的 ip 是 podip),所以这个 svc 可以是 headless 类型,这个 svc 是通过 ingress 资源写入 upstream 的,ingress 资源可以通过边界注入到 ingress controller 中并保存配置文件还可以通过 headless svc 动态的发现 pod 改变并写入配置文件和重载 nginx,此时就凸显出 nginx 作为传统建构中 web 服务的不足之处,Envoy 和 Traefik 都可以发现配置文件写入并自动重载自身服务实现动态机制,更加配合 ingress controller 的这种机制

部署 Ingress nginx

  1. 拖拽 github 仓库上的代码,并构建 ingress-nginx Controller

    [root@master-0 ~]# yum install git
[root@master-0 ~]# git clone https://github.com/kubernetes/ingress-nginx.git
[root@master-0 ~]# cd /root/ingress-nginx/deploy/static/provider/cloud
[root@master-0 cloud]# kubectl apply -f deploy.yaml

  2. 构建后端 pod 与 service

    [root@master-0 ingress]# cat deploy-demo.yaml
apiVersion: v1
kind: Service
metadata:
  name: myapp
  namespace: default
spec:
  selector:
    app: myapp
    release: canary
  type: ClusterIP
  clusterIP: 10.208.208.208
  ports:
  - name: http
    targetPort: 80
    port: 80
---
apiVersion: apps/v1
kind: Deployment
metadata:
  name: myapp-deploy
  namespace: default
spec:
  replicas: 3
  selector:
    matchLabels:
      app: myapp
      release: canary
  template:
    metadata:
      labels:
        app: myapp
        release: canary
    spec:
      containers:
      - name: myapp
        image: nginx:1.7
        ports:
        - name: http
          containerPort: 80
[root@master-0 ingress]# kubectl apply -f deploy-demo.yaml
service/myapp created
deployment.apps/myapp-deploy unchanged

  3. 此时,为了让 ingress controller 接入集群外部流量,我们可以修改 with-rbac.yaml 文件来实现共享 node 的网络名称空间,当然还可以给 ingress controller 增加一个 nodeport 的 service 的方式来实现,这里使用第二种方法

    [root@master-0 ingress]# cat service-nodeport.yaml
apiVersion: v1
kind: Service
metadata:
  name: ingress-nginx
  namespace: ingress-nginx
spec:
  type: NodePort
  ports:
  - name: http
    port: 80
    targetPort: 80
    protocol: TCP
    nodePort: 30080
  - name: https
    port: 443
    targetPort: 443
    protocol: TCP
    nodePort: 30443
  selector:
    app: ingress-nginx
[root@master-0 ingress]# kubectl apply -f .
service/myapp unchanged
deployment.apps/myapp-deploy unchanged
service/ingress-nginx created
[root@master-0 ingress]# kubectl get svc -n ingress-nginx
NAME                                 TYPE           CLUSTER-IP       EXTERNAL-IP   PORT(S)                      AGE
ingress-nginx                        NodePort       10.220.176.76    <none>        80:30080/TCP,443:30443/TCP   31s
... ...

  4. 使用 ingress 资源增加 nginx 规则

    apiVersion: extensions/v1beta1
kind: Ingress
metadata:
  name: ingress-myapp
  namespace: default                        # 与发布的后端 pod 处在同一个名称空间
  annotations:
    kubernetes.io/ingress.class: "nginx"    # 标识使用 nginx
spec:
  rules:
  - host: myapp.magedu.com                  # 虚拟机主机型,这个域名必须能被公网访问
    http:
      paths:                                # 请求路径以及映射到后端的集合,可以有多个
      - path:                               # 空即根值
        backend:
          serviceName: myapp                # 后端 pod 的信息
          servicePort: 80

HTTPS 的证书处理

  1. 生成证书

    [root@master-0 ingress]# openssl genrsa -out tls.key 2048
[root@master-0 ingress]# openssl req -new -x509 -key tls.key -out tls.crt -subj /C=CN/ST=Beijing/L=Beijing/O=DevOps/CN=magedu.com
[root@master-0 ingress]# ls
deploy-demo.yaml  ingress-myapp.yaml  service-nodeport.yaml  tls.crt  tls.key

  2. 将证书创建为 secret 资源

    [root@master-0 ingress]# kubectl create secret tls ingress-secret --cert=tls.crt --key=tls.key
secret/ingress-secret created
[root@master-0 ingress]# kubectl describe secrets ingress-secret    #base64编码
Name:         ingress-secret
Namespace:    default
Labels:       <none>
Annotations:  <none>

Type:  kubernetes.io/tls

Data
====
tls.key:  1675 bytes
tls.crt:  1277 bytes

  3. 创建 https 的 yaml 文件

    apiVersion: extensions/v1beta1
kind: Ingress
metadata:
  name: ingress-myapp-tls
  namespace: default
  annotations:
    kubernetes.io/ingress.class: "nginx"
spec:
  tls:            #证书配置集合
  - hosts:
    - myapp.magedu.com      #列表形式
    secretName: ingress-secret
  rules:
  - host: myapp.magedu.com
    http:
      paths:
      - path:
        backend:
          serviceName: myapp
          servicePort: 80
FR13DNS
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
K8S集群Ingress https实践
weixin_34044273的博客
05-24 289
前文介绍使用ingress结合traefik实现了入口的动静分离,本文将在前文基础上实现ingress的https配置。 为了简单且高效,建议应用容器化部署之后,https卸载在ingress这一级实现。通俗一点来说就是用户到ingress的连接走https协议,ingress到后端服务的连接走http协议。 我们对https的配置要求也比较简单,主要如下:1、http自动重定向到https2、...
k8s ingress-controller处理流程及原理
风向决定发型丶的博客
05-17 5699
k8s之ingress-controller处理流程及原理
k8s集群安装Ingress,KubeSphere可视化界面安装K8s
delete_bug的博客
09-13 1512
K8s安装Ingress KUbeSphere
k8s部署mysql5.7单机版并初始化sql,NodePort/ClusterIP/HeadlessIngress发布
求道问术
02-25 867
==可行方式 mysql-nodeport-ingress.yaml == 初始化sql - 只有容器首次启动时才会执行/docker-entrypoint-initdb.d下的文件 - 若非首次启动,删除挂在的data目录,再新建data mysql配置文件my.cnf - 使用configmap创建my.cnf文件,使用volumeMounts挂载绑定了configmap的volume volumeMounts挂载绑定了configmap的volume - subPath方式使用configmap
Kubernetes Ingress Controller 技术细节探讨
小楼一夜听春雨,深巷明朝卖杏花
06-11 616
对于许多企业来说,将生产环境转移到Kubernetes集群上,会让应用程序的流量管理变得复杂且具有挑战性。 而Ingress Controller允许通过Yaml编排脚本提供高可用的七层负载均衡、Waf防火墙或者API Gateway,它是Kubernetes集群对外服务的核心组件。 Ingress-nginx是Kubernetes Ingress Controller开源版本中的一种,它使用了NGINX作为反向代理和负载均衡器,生态完善、功能丰富,性能与稳定性也是极优秀的。 ...
kubernetesIngress详解
清风
03-04 7394
IngressIngress介绍Ingress使用环境准备搭建ingress环境准备service和podHttp代理(ingress-http.yaml)Https代理(ingress-https.yaml) Ingress介绍   Service对集群之外暴露服务的主要方式有两种:NotePort和LoadBalancer,但是这两种方式,都有一定的缺点: NodePort方式的缺点是会占用很多集群机器的端口,那么当集群服务变多的时候,这个缺点就愈发明显 LB方式的缺点是每个service需要一个LB
021 Kubernetes ingressIngress Controller.mp4
05-07
021 Kubernetes ingressIngress Controller.mp4
quay.io/kubernetes-ingress-controller/nginx-ingress-controller:0.20.0镜像包
03-06
kubernetes的quay.io/kubernetes-ingress-controller/nginx-ingress-controller:0.20.0镜像包,版本为v0.20.0。文件先解压,之后得到nginx-ingress-controller.0.20.0.tar
Kubernetes 1.19.4安装Nginx-Ingress-Controller
12-17
Kubernetes 1.19.4安装Nginx-Ingress-Controller全套资源 包含以下内容: deploy.yml jettech-kube-webhook-certgen-v1.5.0.tar k8s.gcr.io-ingress-nginx-controller-v0.41.2.tar nginx-1.19.5.tar
kubernetes-ingress:适用于K8的HAProxy入口控制器
02-04
docker build -t haproxytech/kubernetes-ingress -f build/Dockerfile . 可以使用以下示例环境创建 deploy/kind/create.sh 请参阅以获取控制器图像的所有可用参数。 可用的自定义在进行了描述 文件中描述了运行...
NGINX Ingress Controller:用于 Kubernetes 的 NGINX 入口控制器-开源
06-04
ingress-nginx 是 Kubernetes 的入口控制器,使用 NGINX 作为反向代理和负载均衡器。 它围绕 Kubernetes Ingress 资源构建,使用 ConfigMap 来存储 NGINX 配置。 这个 Ingress 控制器的目标是组装一个配置文件(nginx.conf)。 此要求的主要含义是在配置文件发生任何更改后需要重新加载 NGINX。 但需要注意的是,我们不会在仅影响上游配置的更改(即部署应用程序时端点更改)时重新加载 Nginx。 我们使用 lua-nginx-module 来实现这一点。 查看下面以了解有关它是如何完成的更多信息。 通常,Kubernetes 控制器使用同步循环模式来检查控制器中的所需状态是否已更新或是否需要更改。 为此,我们需要使用集群中的不同对象构建模型,特别是(无特殊顺序)Ingress、Service、Endpoint、Secrets 和 Configmap。
ingress controller安装资源
10-19
ingress controller安装镜像和yaml文件
Kubernetes 初识Ingress Controller以及部署
小楼一夜听春雨,深巷明朝卖杏花
12-29 2003
Ingress是什么 NodePort存在的不足: • 一个端口只能一个服务使用,端口需提前规划 • 只支持4层负载均衡(iptables ipvs) 当应用越来越多的时候,管理端口就会变得麻烦起来了。那么可不可以在集群当中暴露一个端口完成所有项目的统一接入。 Nodeport只支持四层的数据包转发,所以不支持基于域名的做分流,基于uri做匹配。 有没有只在集群当中暴露一个端口同时是一个全局的负载均衡器可以提供所有项目的统一接入呢? IngressIngress公开了从集群外部到集群内服..
K8S 安装 Ingress Controller
李大能
02-27 1529
以 NGINX 开源技术为基础(kubernetes.io),可在GitHub的代码库中找到,由 Kubernetes 社区维护,并且 F5 NGINX 承诺帮助管理该项目。
kubernetes IngressIngress controller
weixin_38320674的博客
04-01 501
前言 拥抱开源,无私分享,共享技术,相互学习,共同进步,分享更多有深度的文章,欢迎转发分享 四层负载均衡调度器service回顾 使用四层负载均衡调度器service时,当客户端访问kubernetes集群内部的应用时,数据包走向如下面流程所示 client--->nodeip:port--->service ip:port--->podip:port 客户端-->no...
Kubernetes Ingress Controller的使用及高可用落地
weixin_30681615的博客
04-25 526
Kubernetes Ingress Controller的使用及高可用落地 看懂本文要具备一下知识点: Service实现原理和会应用 知道反向代理原理,了解nginx和apache的vhost概念 了解service的几种类型(Nodeport、clusterip、LB) 四层和七层区别(不明白就这样去理解,七层最常见就是应用层的http,也就是url...
18-【kubernetesKubernetes ingressingress Controller
qq_42303254的博客
09-27 649
一、前言 1、service的缺点 service的工作模式:userspace(基于iptables的)、iptables、ipvs,无论是哪一种工作模式,都是四层调度器。 四层调度器的缺点在于:只是工作在OSI网络模型的第四层,因此如果用户访问的是https请求,service将束手无策。 那么针对这种https请求,Kubernetes集群有两种处理方案: 【1】、方案一:client——>调度器——>node节点(多个node节点)——>service——>能够提供
【翻译】用Kubernetes Ingress Controller管理Docker应用程序
超级码力
11-19 210
作者:Alvin Lee2021年9月17日 原文为Alvin Lee在Kong的博客上发表的客座文章 回想一下,当你的开发团队转换到Docker化容器时。曾经需要在虚拟机上提供多种服务的应用程序过渡到由多个整齐的Docker容器组成的应用程序。虽然结果是一个精简的系统,但这个过渡可能是令人生畏的。 现在,是时候进行另一次转型飞跃了:从单一的容器集转移到使用Kubernetes的复制集的高...
8款开源的Kubernetes Ingress Controller/API Gateway推荐
weixin_34268753的博客
09-21 836
2019独角兽企业重金招聘Python工程师标准>>> ...
腾讯云ingress controller
最新发布
06-06
腾讯云提供了 TKE Ingress Controller 来实现 Kubernetes 集群中的 Ingress 负载均衡功能。TKE Ingress Controller 是一种 Kubernetes 插件,可以自动创建和配置腾讯云负载均衡、流量转发、SSL 证书等服务,从而帮助...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值