记一次通过K8S ingress访问业务服务出现404问题

已于 2023-02-14 10:14:23 修改
阅读量1.2k 收藏 1
点赞数 1
文章标签: kubernetes lua 容器
于 2023-02-14 09:51:27 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/kingwinstar/article/details/127807804
版权

前言

本文主要复盘某次协助业务部门排查ingress访问业务报404问题

案例模拟复现

业务部门ingress配置了https,访问出现

因为业务部门的CA证书是买的,理论是不应该出现红色三角形图标。于是查看证书

发现证书不是业务部门配置的那个。他们的配置tls密文形如下

apiVersion: v1
data:
  tls.crt: LS0tLS1CRUdJTiBDRVJUSUZJQ0FURS0tLS0tCk1JSUdEakNDQkhhZ0F3SUJBZ0lSQU13Y省略。。。。
  tls.key: LS0tLS1CRUdJTiBSU0EgUFJJVkFURSBLRVktLS0tLQpNSUlFb3dJQkFBS0NBUUVBcG15Y
  省略。。。。
kind: Secret
metadata:
  annotations:
    field.cattle.io/description: '*.lybgeek.com 泛域名证书'
  name: tls.lybgeek.com 
  namespace: test
type: kubernetes.io/tls

ingress rule配置形如下

apiVersion: networking.k8s.io/v1
kind: Ingress
metadata:
  name: demo-ingress
  namespace: lybgeek
spec:
  rules:
  - host: demo.lybgeek.com
    http:
      paths:
      - backend:
          service:
            name: demo-service
            port:
              number: 80
        path: /
        pathType: Prefix
  tls:
  - hosts:
    - demo.lybgeek.com
    secretName: tls.lybgeek.com

眼尖的朋友估计一眼就可以看出端倪,tls密文配置和ingress配置的namespace不一样。于是我们这边就将tls的namespace也改成lybgeek。本以为问题应该可以解决。访问发后,发现仍然是404,仍然是红色三角形图标屹立不倒。

于是产生了一个猜测,有没有可能域名绑定的 ip不是我们配置的ingress node ip,问业务方,他说很肯定说,域名绑定就是配置的ingress node ip,那就非常诡异了。后面通过查看ingress容器中的nginx.conf,发现那个配置并没写入形如下内容

                                                                                        
        server {                                                                                                                 
                server_name demo.lybgeek.com ;                                        
                                                                                                                                                                                              
                listen 80  ;                                                                                                             
                listen 443  ssl http2 ;                                                                                                        
                                                                                                                                 
                set $proxy_upstream_name "-";   
				ssl_certificate_by_lua_block {                                                                                  
                        certificate.call()                             
                }  
                location / {                                                                                                                                                                  
                                                                                                                      
                        set $namespace      "lybgeek";                                    
                        set $ingress_name   "demo-ingress";                                                             
                        set $service_name   "demo-service";                                                                              
                        set $service_port   "80";                                                                               
                        set $location_path  "/";                            
                        set $global_rate_limit_exceeding n;  
					 rewrite_by_lua_block {                                                                                  
                                lua_ingress.rewrite({                                                                                                                                         
                                        force_ssl_redirect = false,                               
                                        ssl_redirect = false,          
                                        force_no_ssl_redirect = false,      
                                        preserve_trailing_slash = false,                   
                                        use_port_in_redirects = false,                                                                                                                        
                                        global_throttle = { namespace = "", limit = 0, window_size = 0, key = { }, ignored_cidrs = { } },
                                })                                                   
                                balancer.rewrite()                                                                                                                                            
                                plugins.run()                                                                         
                        }
						                                                                                                                                                                           
                        header_filter_by_lua_block {                                                                                           
                                lua_ingress.header()                                                                                           
                                plugins.run()                                                                                    
                        }                                                                                                                      
                                                                                                                                                                                              
                        body_filter_by_lua_block {                                                                                       
                                plugins.run()                                                                                                  
                        }  
                       port_in_redirect off;                                                                                                  
                                                                                                                                 
                        set $balancer_ewma_score -1;                                                                                           
                        set $proxy_upstream_name "demo-service-80";                                                                                                                       
                        set $proxy_host          $proxy_upstream_name;                                                                         
                        set $pass_access_scheme  $scheme;                                                                                      
                                                                                                                                 
                        set $pass_server_port    $server_port;                                                                                 
                                                                                                                                                                                              
                        set $best_http_host      $http_host;                                                                             
                        set $pass_port           $pass_server_port;                                                                            
                                                                                                                                                                                              
                        set $proxy_alternative_upstream_name "";   						
                }

从这基本上有大概率可以说明,域名绑定的ip并不是ingress node ip。但我们还是要以事实作为依据。后面通过ping域名,发现域名绑定的端口确实不是ingress node ip。

解决方案

将域名映射的ip改为ingress node ip,再访问

总结

虽然文中轻描淡写,但实际上排查花费了不少时间,本文就做个记录,方便以后出现类似问题排查

linyb极客之路
关注
k8s ingress 安装,503,404,解决
csdn问鼎
06-20 1663
下载deploy.yaml 下载image 执行 查看服务 创建具体的ingress 问题总结 ingress address为空 访问报503 访问404
Kubernetes - nginx-ingress 配置跳坑指南
热门推荐
研究与专注
09-13 2万+
GitHub地址: https://github.com/QingyaFan/container-cloud/blob/master/kubernetes-ingress-2018-06-e.md IngressKubernetes集群对外暴露服务的一种推荐方式,Ingress其实是封装了nginx(也可以是traefic),背后还是nginx在发挥作用,Ingress的作用是不断检测服务的e...
k8s部署gateway、nacos 、app通过网关访问app出现404
青春不流名
09-11 998
问题
ingressK8S集群外访问404错误
CSDNCDN的博客
06-19 1841
因此如果K8S集群外想要访问到集群内的应用,就需要把URL中的host字段传过来,但是在使用nginx配置时,如果没有特别设置,在进行负载或是反向代理时,会把源IP或是源请求中的host字段屏蔽掉,导致访问失败,匹配不到对应的host。ingress配置时,使用了通过监听K8S集群内节点指定端口的域名访问,将匹配的域名转发到对应的service,然后实现正常的访问。理解了原理,那么接下来就简单了,只要将源IP和host原封不动的转发到后端就行,因此在nginx配置中加上两个参数就行。
Kubernetesingress服务访问404或者503总结
qq_44579341的博客
01-09 9086
Kubernetesingress服务访问404或者503总结
Ingress 服务404的测试探索
m0_59267075的博客
03-13 644
Ingress 服务404的测试探索
k8singress
wang0907的博客
01-14 874
首先我们来定义路由规则,访问本文metadata:spec:rules:http:paths:- backend:service:port:number: 80path: /status:定义要使用ingress class是ngx-ink(后面会定义)设置规则的主域名是ngx.testpath: /访问的路径是,即将访问时会匹配到该规则。使用名称为ngx-svc的service,number: 80后端服务的端口号为80,代表使用精准匹配。
K8S对外服务Ingress
10-10
KubernetesK8S)集群中,Ingress是实现外部网络访问内部服务的重要机制,它为微服务提供了基于路径的路由规则,使得外部请求能够根据URL映射到不同的内部服务。本文将深入探讨K8S中的Ingress,以及与之相关的...
k8singress实战小栗子
wang0907的博客
01-15 1483
本文接。本文看一个基于ingress作为流量入口的实战例子,架构图如下:接下来详细看下。
k8s ingress原理及ingress-nginx部署测试
xiaxia2022的博客
09-26 1031
ingress 原理 service的三种方式ClusterIP、NodePort与LoadBalance,这几种方式都是在service的维度提供的,service的作用体现在两个方面,对集群内部,它不断跟踪pod的变化,更新endpoint中对应pod的对象,提供了ip不断变化的pod的服务发现机制,对集群外部,他类似负载均衡器,可以在集群内外部对pod进行访问。但是,单独用service暴露服务的方式,在实际生产环境中不太合适:ClusterIP的方式只能在集群内部访问。NodePor...
k8s核心操作_Service封装服务暴露端口_NodePort方式暴露_公网IP可访问_Ingress网络模型分析及安装_统一网关入口_调用---分布式云原生部署架构搭建025
最新发布
添柴程序猿的专栏
07-10 401
可以看到这个结构,这的上面,给所有的deployment,都生成对应的service,组成了,service层网络.可以看到,ingress就是很多service集合的,一个入口,给很多的service提供了一个统一的入口或者说网关。service a订单服务,需要,用户服务了,直接去调用 用户服务service b,这个service就可以,然后可以看到,我们映射暴露的是8000端口,但是使用NodePort方式的时候,每个pod,都映射到自己的公网IP上了,也就是可以使用公网IP来访问这个Pod。
ingress host IP时 访问404错误
lswzw的博客
04-05 5219
ingress host为错误域名或IP访问404错误 一般ingress。yaml写法如下: apiVersion: extensions/v1beta1 kind: Ingress metadata: name: nginx-test namespace: default spec: rules: - host: test.lswzw.cn #这都是写固定的域名 h...
minikube ingress 404 问题
net_wolf的专栏
09-09 1233
参考一份指南尝试了一下minikube的ingress配置,最后出现404问题: https://awkwardferny.medium.com/getting-started-with-kubernetes-ingress-nginx-on-minikube-d75e58f52b6c 确认svc可以访问,比如: D:\minikube>kubectl get svc meow-svc NAME TYPE CLUSTER-IP EXTERNAL-I
k8s-Ingress部署
weixin_33854644的博客
05-28 321
2019独角兽企业重金招聘Python工程师标准>>> ...
关于使用ingress部署gitlab域名访问,一直显示404
qq_48349180的博客
12-14 648
ingress声明式文件内的annotations选线下添加如下内容,是把这个ingress访问描述成nginx格式进行访问
k8s部署metrics server
hefashion0190的专栏
01-25 860
Kubernetes Metrics Server 是集群范围内的资源使用数据聚合器。 它的工作是从 Kubelet 在每个节点上公开的 Summary API 收集指标。 资源使用指标,例如容器 CPU 和内存使用情况,在解决奇怪的资源使用问题时很有帮助。 所有这些指标都可以通过 Metrics API 在 Kubernetes 中使用。 Metrics API 具有给定节点或给定 pod 当前使用的资源量。 由于它不存储指标值,因此 Metrics Server 用于此目的。 部署 yamls文件在 M
k8s使用kubectl创建tomcat访问页面出现404页面
weixin_52837796的博客
04-01 1810
出现页面404,发布目录出问题。最新版的Tomcat镜像,webapps是空的
一次酣畅淋漓的 K8s Ingress 排错过程(302,404,503,...)
虫虫的博客
03-11 1409
一次酣畅淋漓的 K8s Ingress 排错过程(302,404,503,...)
浏览器无法访问K8S中的tomcat
程序员小金的博客
08-22 1178
tomcat部署成功,浏览器访问404: 进入容器查看: 进入webapps文件夹,发现面没有内容,进入另外一个webapps.dist文件夹,发现文件都在这面,于是 再次访问页面: 问题解决
k8s ingress实现灰度发布
07-27
- *1* [【云原生 | Kubernetes 实战】20、K8s Ingress 实现业务灰度发布](https://blog.csdn.net/weixin_46560589/article/details/128505651)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630",...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值