K8S Gateway API 快速开始、胎教级教程

已于 2025-05-15 17:58:42 修改
阅读量991 收藏 10
点赞数 14
分类专栏: K8S 文章标签: kubernetes gateway linux
于 2025-05-15 17:14:14 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/matrixlzp/article/details/147957335
版权

假设有如下三个节点的 K8S 集群:

​​

k8s31master 是控制节点

k8s31node1、k8s31node2 是工作节点

容器运行时是 containerd

一、Gateway 是什么

  • 背景和目的

  • 入口(Ingress)目前已停止更新。新的功能正在集成至网关 API 中。
  • 在 Kubernetes 环境中,服务的网络访问管理至关重要。传统的 Ingress 资源在功能上存在一定局限性,例如对流量管理的细粒度控制不足、难以满足复杂的网络拓扑和多集群场景等需求。Gateway API 的出现就是为了克服这些局限性,提供更通用、更灵活且更具扩展性的网络流量管理解决方案,以适应现代云原生应用复杂的网络需求。

  • 核心概念

  • Gateway:代表了集群内的一个网络入口点,通常与底层的物理或虚拟网络设备相对应,定义了流量进入集群的位置以及相关的网络配置,如 IP 地址、端口等。
  • GatewayClass:用于描述 Gateway 的类型和配置参数,它是对一类 Gateway 的抽象定义,例如可以定义基于 Nginx、Istio 等不同技术实现的 GatewayClass,每个 GatewayClass 可以有自己特定的配置选项,如负载均衡算法、TLS 配置等。
  • HTTPRoute:用于定义 HTTP 流量的路由规则,通过匹配请求的路径、方法、头信息等条件,将流量路由到后端的不同服务或服务版本上,支持丰富的路由功能,如路径重写、请求头修改、流量分流等。
  • TLSRoute:专门用于处理 HTTPS 加密流量的路由规则,定义了如何将加密的 TLS 流量路由到后端服务,包括 TLS 证书的管理和配置,以及根据 TLS 握手信息进行流量路由的规则。
  • Service:Kubernetes 中的服务资源,是一组提供相同功能的 Pod 的抽象集合,通过 Service 可以实现对后端 Pod 的负载均衡和服务发现,Gateway API 通过与 Service 的结合,将外部流量路由到具体的后端服务上。

  •  请求数据流

以下是使用 Gateway 和 HTTPRoute 将 HTTP 流量路由到服务的简单示例:

在此示例中,实现为反向代理的 Gateway 的请求数据流如下:

  1. 客户端开始准备 URL 为 http://gateway.example.com 的 HTTP 请求
  2. 客户端的 DNS 解析器查询目标名称并了解与 Gateway 关联的一个或多个 IP 地址的映射。
  3. 客户端向 Gateway IP 地址发送请求;反向代理接收 HTTP 请求并使用 Host: 标头来匹配基于 Gateway 和附加的 HTTPRoute 所获得的配置。
  4. 可选的,反向代理可以根据 HTTPRoute 的匹配规则进行请求头和(或)路径匹配。
  5. 可选地,反向代理可以修改请求;例如,根据 HTTPRoute 的过滤规则添加或删除标头。
  6. 最后,反向代理将请求转发到一个或多个后端。

  •  资源链接

Gateway API 官网:https://gateway-api.sigs.k8s.io

NGINX Gateway Fabric 官网:https://docs.nginx.com/nginx-gateway-fabric

NGC github:https://github.com/nginx/nginx-gateway-fabric

Gateway API github:https://github.com/kubernetes-sigs/gateway-api

二、怎么找资源

Gateway API 是 Ingress API 的后继者。Gateway API 资源不是由 Kubernetes 原生实现的,而是被定义为受广泛实现支持的自定义资源(CustomResourceDefinition)。Gateway API CRD 是一个规范,就像 Java JDBC 一样,具体的实现依赖于各个厂商。

下面是官网列出的实现了 Gateway API 的一些项目,以及所处的阶段。

像我们熟悉的 NGINX Gateway Fabric、Istio、Envoy Gateway 都处于 GA 阶段。

我们今天来部署 NGINX Gateway Fabric,这个是 F5/Nginx 公司提供的一种 Gateway API 实现。

 

我们基于 NGINX Gateway Fabric 官网安装文档,来教大家如何安装 NGINX Gateway Fabric。

因为 NGINX Gateway Fabric 依赖 Gateway API CRD,所以第一步就是要安装 Gateway API CRD。

 NGF 与 K8S 的版本依赖关系倒是不大 1.19+即可,与 Gateway API CRD 的版本依赖比较大。

直接运行官网推荐的命令是肯定运行不了的,因为众所周知的原因,github.com 在国内是访问不了的。但是我们可以把命令请求的资源文件下载下来,直接在本地集群中运行。

kubectl kustomize "https://github.com/nginx/nginx-gateway-fabric/config/crd/gateway-api/standard?ref=v1.6.2" | kubectl apply -f -
  • kubectl kustomize:命令用于根据指定的配置生成 Kubernetes 资源清单。这里指定的是一个来自 GitHub 仓库 nginx/nginx-gateway-fabric 的配置路径,ref=v1.6.2 表示使用该仓库 v1.6.2 版本的配置。kubectl kustomize 会读取该路径下的配置文件(如kustomization.yaml等),对其中定义的资源进行定制化处理,生成最终的 Kubernetes 资源清单文件内容。
  • | kubectl apply -f -| 是管道符,将 kubectl kustomize 命令的输出作为 kubectl apply -f - 的输入。kubectl apply -f - 中的 -f 表示从文件中读取资源配置来创建或更新 Kubernetes 资源,- 表示从标准输入读取。所以这部分命令会将 kubectl kustomize 生成的资源清单内容在 Kubernetes 集群中应用,即创建或更新对应的 Kubernetes 资源,比如可能会创建与 NGINX Gateway Fabric 相关的自定义资源,这些资源用于配置和管理基于 NGINX Gateway Fabric 的网关功能,像网关的路由规则、服务暴露方式等。

 https://github.com/nginx/nginx-gateway-fabric/config/crd/gateway-api/standard

https://github.com/kubernetes-sigs/gateway-api/config/crd 

执行这五份就可以,不过 Gateway API 官方也有提供一份统一的 yaml。

https://github.com/kubernetes-sigs/gateway-api/releases

我这里也提供给大家 standard-install.yaml

三、部署

1)部署 Gateway API CRDs

[root@k8s31master gateway]# kubectl apply -f standard-install.yaml

# 查看是否安装到位
kubectl get crds | grep gateway.networking.k8s.io

2)部署 NGF CRDs

NGF 也有一些自定义资源,所以也要执行 crds.yaml

[root@k8s31master gateway]# kubectl apply -f crds.yaml

 3)部署 NGF

因为是本地自建集群,所以没有云服务商 LoadBalancer 提供公网 IP,选择 NodePort 的方式暴露端口。

整个部署依赖两个镜像:

ghcr.io/nginx/nginx-gateway-fabric:1.6.2
ghcr.io/nginx/nginx-gateway-fabric/nginx:1.6.2

  • 下载镜像

找个国内好访问的镜像站,在各个工作节点上提前下载好镜像。

# 在 node1 执行
[root@k8s31node1 ~]# ctr -n=k8s.io images pull ghcr.nju.edu.cn/nginx/nginx-gateway-fabric/nginx:1.6.2
[root@k8s31node1 ~]# ctr -n=k8s.io images pull ghcr.nju.edu.cn/nginx/nginx-gateway-fabric:1.6.2

# 在 node2 执行
[root@k8s31node2 ~]# ctr -n=k8s.io images pull ghcr.nju.edu.cn/nginx/nginx-gateway-fabric/nginx:1.6.2
[root@k8s31node2 ~]# ctr -n=k8s.io images pull ghcr.nju.edu.cn/nginx/nginx-gateway-fabric:1.6.2

将 deploy.yaml 中 ghcr.io 全部替换为 ghcr.nju.edu.cn

 修改 Deployment 副本数

spec:
  replicas: 2
# 跟工作节点数量一致

 修改 Deployment Pod 亲和性

    affinity:
        podAntiAffinity:
          preferredDuringSchedulingIgnoredDuringExecution:
          - weight: 100
            podAffinityTerm:
              labelSelector:
                matchLabels:
                  app.kubernetes.io/name: nginx-gateway
              topologyKey: kubernetes.io/hostname

 让每个节点上都安装 nginx-gateway-controller。官网给的 nginx-gateway-controller 的部署方式是 Deployment,官网也推荐使用 DaemonSet,在每一个节点上安装一份,对于请求处理的性能更佳。

  •  运行

[root@k8s31master gateway]# kubectl apply -f deploy.yaml

  •  验证

整个部署会帮我们创建 2 个 nginx-gateway-controller Pod,分别运行在两个工作节点上,负责监听请求:

kubectl get pod -n nginx-gateway -owide

创建了 1 个 gatewayclass 资源,引用 nginx-gateway-controller,且 gatewayclass 的名字叫 nginx:

kubectl get gatewayclass -n nginx-gateway

 

创建了一个 NodePort 的 Service,代理了那 2 个 nginx-gateway-controller Pod:

kubectl get svc -n nginx-gateway
kubectl describe svc -n nginx-gateway

 后续请求各个工作节点的 30185 端口,则会被 nginx-gateway-controller 80 端口接管。

 四、将流量路由到应用

  1)创建应用

apiVersion: apps/v1
kind: Deployment
metadata:
  name: tomcat-deploy
spec:
  replicas: 2
  selector:
    matchLabels:
      app: tomcat
  template:
    metadata:
      labels:
        app: tomcat
    spec:
      containers:
       - name: tomcat
         image: tomcat:8.5-jre8-alpine
         imagePullPolicy: IfNotPresent
         ports:
         - containerPort: 8080
---
apiVersion: v1
kind: Service
metadata:
  name: tomcat-svc
spec:
  type: ClusterIP
  selector:
    app: tomcat
  ports:
  - port: 8080
    protocol: TCP
    targetPort: 8080

创建了 2 个 tomcat Pod,和一个 Service,Service 暴露 8080 端口。

 2)创建 gateway

apiVersion: gateway.networking.k8s.io/v1
kind: Gateway
metadata:
  name: nginx-gateway
  namespace: default
spec:
  gatewayClassName: nginx
  listeners:
  - name: http
    protocol: HTTP
    port: 80

gatewayClassName 要使用我们 NGF 为我们创建的名字 nginx。

gateway 监听 80 端口。

 3)创建 httproute

apiVersion: gateway.networking.k8s.io/v1
kind: HTTPRoute
metadata:
  name: example-route
  namespace: default
spec:
  parentRefs:
    - name: nginx-gateway
  hostnames:
    - "gateway.example.com"
  rules:
    - matches:
        - path:
            type: PathPrefix
            value: / 
      backendRefs:
        - name: tomcat-svc
          kind: Service
          port: 8080
  • parentRefs:绑定我们新建的 gateway。
  • hostnames:定义访问的主机名。
  • rules.matches:定义路由规则,PathPrefix 表示路径前缀匹配。
  • backendRefs:定义后端服务以及服务端口。

 4)访问

curl -H "Host: gateway.example.com" http://192.168.40.20:30185/

 集群外随便找台机子访问都能访问到 tomcat。

 修改本机 hosts 也能浏览器访问:

192.168.40.20 gateway.example.com

 五、原理

其实 nginx-gateway-controller 就是一个 nginx,它会监听 gateway 跟 httproute 的变化,重写 nginx.conf,重启 nginx。

# nginx-gateway-64fd456f8-5qh6k
# nginx-gateway-64fd456f8-n9h26
kubectl exec -it -n nginx-gateway nginx-gateway-64fd456f8-5qh6k -c nginx -- nginx -T

六、A/B 测试、金丝雀发布

这一篇文章

云原生之深入解析K8S Istio Gateway服务的架构分析与实战操作
╰つ栺尖篴夢ゞ
07-07 3335
Istio 提供一种简单的方式来为已部署的服务建立网络,该网络具有负载均衡、服务间认证、监控、网关等功能,而不需要对服务的代码做任何改动。istio 适用于容器或虚拟机环境(特别是 k8s),兼容异构架构;istio 使用 sidecar(边车模式)代理服务的网络,不需要对业务代码本身做任何的改动;HTTP、gRPC、WebSocket 和 TCP 流量的自动负载均衡;istio 通过丰富的路由规则、重试、故障转移和故障注入,可以对流量行为进行细粒度控制;支持访问控制、速率限制和配额。
kubernetes Gateway API-1-部署和基础配置
qq_22648091的博客
12-26 1379
每个过滤器 都指定了对传入请求进行的特定修改,例如添加自定义请求头或修改现有请求头。另一个潜在的用例可能是,当你有一个前端需要知道它是在与后端服务器的稳定版还是测试版通信时,为了呈现不同的UI或相应地调整其响应解析。HTTPRoute资源可以修改HTTP请求的标头和来自客户端的HTTP响应。重定向更改配置的URL组件以匹配重定向配置,同时保留原始请求URL中的其他组件。修改 HTTP 请求头是在传入请求中添加、删除或修改HTTP 请求头的过程。操作,并指定要修改的请求头 名称和要设置的新值。
微服务 在 k8s 中部署网关 Gateway 服务
小楼一夜听春雨,深巷明朝卖杏花
06-10 6804
k8s 中部署网关 Gateway 服务 网关就是门户,由它向后路由 1)构建镜像 [root@master microservic-test]# cd gateway-service/ [root@master gateway-service]# ls Dockerfile pom.xml src target [root@master gateway-service]# cd target/ [root@master target]# ls classes gateway-s
k8s 部署gateway
qq_36465337的博客
03-22 4106
项目地址 一 : 简介 在上一篇文章中解释了k8s 中的pod 的相互注册的问题 , 那其实这就比较简单了 我只需要把gateway注册到Eureka当中就可以了 有不明白的请看我的部署Eureka 集群的 Ereka 部署 二 : 部署 第一步 :准备好创建 pod 的资源清单 这里不做过多解释 在eureka 当中全部有解释信息 apiVersion: extensions...
k8s 中的 Gateway API 的背景和简介【k8s 系列之四】
kfashfasf的博客
10-23 1682
Gateway APIKubernetes 1.19 版本引入的一种新的 API 规范,会成为 Ingress 的下一代替代方案。主要原因是 Ingress 资源对象不能很好的满足网络需求,很多场景下 Ingress 控制器都需要通过定义 annotations 或者 crd 来进行功能扩展,这对于使用标准和支持是非常不利的,新推出的 Gateway API 旨在通过可扩展的面向角色的接口来增强服务网络。
K8s 暴露服务的新方法 Gateway API 详解,它有什么好处?
技术宅,专注云原生、Go、Linux、Java等技术分享,原创文章、效率工具、实战解决方案!关注我,了解互联网动态,学 IT 不迷路
08-08 2615
Gateway API 是新的官方 Kubernetes 资源的集合,它们定义了由供应商实现的规范,类似于 Ingress 由 Google、Amazon 等实现的方式。ReferenceGrant(仍处于 alpha 阶段,替换 ReferencePolicy )TCPRoute(仍处于 alpha 阶段)TLSRoute(仍处于 alpha 阶段)UDPRoute(仍处于 alpha 阶段)SIG-Network 所述的新面向角色。...
K8SapiVersion版本详解
爱死亡机器人
01-18 2万+
1. 背景 Kubernetes的官方文档中并没有对apiVersion的详细解释,而且因为K8S本身版本也在快速迭代,有些资源在低版本还在beta阶段,到了高版本就变成了stable。 如Deployment: 1.6版本之前 apiVsersion:extensions/v1beta1 1.6版本到1.9版本之间:apps/v1beta1 1.9版本之后:apps/v1 2. 各种apiVersion的含义 alpha 该软件可能包含错误。启用一个功能可能会导致bug 随时可能会丢弃对该功能
Enhancing K8s Gateway API with Easegress Without Changing a Single Line of Code
智子
11-21 1914
In the article “Revolutionize Your Kubernetes Experience with Easegress: Kubernetes Gateway API”, we explored the powerful capabilities of the Kubernetes Gateway API. Today, we will present how to use the flexibility of Kubernetes Gateway to enhance its fu
K8S简介和安装部署详细教程
热门推荐
BlogPan的专栏
10-03 4万+
Kubernetes简称为K8s,是用于自动部署、扩缩和管理容器化应用程序的开源系统,起源于Google 集群管理工具Borg。
K8sapi gateway---ambassador实操
weixin_30379531的博客
08-27 1454
对于api gateway,以前总是认知感觉和proxy差不多。 最近几天,撸完了ambassador的官方文档,才比较系统的了解了gateway的功能。 它和传统的nginx proxy或是k8s里的ingress还是有一定差别的。 近期准备在公司用起来。 一,Ambassador是什么? ambassador是datawire开源的服务网关,很好的支持kubernet...
Kubernetesk8sAPI Server详解
匠人精神,持之以恒!
10-31 1万+
文章目录一、概述二、K8s REST API 设计思想三、API 访问1)kubectl 命令行访问方式2)kubectl proxy访问方式3)curl访问方式(https)4)postman访问方式5)使用证书认证访问方式(https)四、通过API接口增删改查1)namespace2)Pod3)Node3)Service 一、概述 k8s API Server提供了k8s各类资源对象(pod,RC,Service等)的增删改查及watch等HTTP Rest接口,是整个系统的数据总线和数据中心。
k8s客户端kubectl 跳板机 发布部署springcloud+nacos+gateway 微服务脚本
10-07
k8s客户端kubectl 跳板机 发布部署springcloud+nacos+gateway 微服务脚本
k8s_gateway:一个CoreDNS插件来解析所有类型的外部Kubernetes资源
04-06
这个插件依赖于它自己与k8s API服务器的连接,并且不与现有的插件共享任何代码。 假设该插件现在可以部署为一个单独的实例(与内部kube-dn一起),并且可以用作Kubernetes集群中的单个外部DNS接口。 描述 k8s_...
K8S集群中部署EFK日志收集
小五
05-14 1088
本文介绍了在CentOS 7.9系统上,使用KubernetesK8S)v1.26.14版本部署Elasticsearch(ES)7.17.3的过程。首先,环境准备包括配置Ceph或NFS存储,并增加RBAC权限和日志模板。接着,通过ECK方式安装自定义资源并部署Elasticsearch,配置了Master节点和Data节点的角色及资源需求。生产环境中建议优化Master节点配置,分离Data节点角色以提高性能。最后,通过测试验证ES的正常运行,并提供了Fluentd的DaemonSet配置文件示例,用
容器化-k8s-介绍及下载安装教程
最新发布
hy_4377的博客
05-16 1069
K8s 的核心目的是提高容器化应用的部署效率、可扩展性和可靠性,降低运维成本,使开发人员和运维人员能够更加专注于应用本身的开发和业务逻辑,而不是基础设施的管理。8、安装kubeadm,kubelet和kubectl,在主节点中,默认是使用kubeadm来创建集群,kubelet运行集群,kubectl 操作集群。4、设置用户名,添加主机名与IP对应的关系,免密(这一步可以只在master执行),这一步我为后面传输网络做准备。和上面安装主节点的方式一样,按照步骤:1、2、3、5、6、7、8 步骤依次安装。
黑马k8s(五)
dengfengling999的博客
05-13 285
使用配置文件:name:nginx就是pod的名称,不是pod控制器的名称,用命令行的时候,没有办法单独起一个pod,用yaml运行的起的是单独的一个pod。通过pod的ip,使用curl进行访问,这个ip地址会随着pod的重新创建而变化。查看dev下面的pod控制器,要想真正的删掉pod,删掉pod控制器,就可以了。run nginx:nginx是pod控制器的名称,不是pod的名称。查看 dev下面的pod,第二个pod处于容器创建的状态。启动一个不存在的镜像:pod。
Rocky Linux 9.5 基于kubeadm部署k8s
wjy6_的博客
05-14 284
【代码】Rocky Linux 9.5 基于kubeadm部署k8s
k8s之LoadBalancer Service 解析
woshihlf的博客
05-12 650
Cluster IP (10.233.50.2):External IP (显示为 ):服务暴露了多个端口,每种端口有不同的含义:Service Port (如9091/TCP):TargetPort (如9091/TCP):NodePort (如19650/TCP):当前服务暴露了4个端口组: 每组格式为:通过Cluster IP: 通过服务DNS名 (在同一个命名空间): 集群外部连接 通过NodePort (当外部IP未分配时): 通过LoadBalancer IP (当外部IP分
k8s初始化时候,报错无法通过 CRI(容器运行时接口)与 containerd 通信
qq_36967200的博客
05-13 632
首先确定containerd 配置正确启用了 CRI 插件,sudo cat /etc/containerd/config.toml | grep -A 5 “[plugins.“io.containerd.grpc.v1.cri”]”这说明 kubeadm 无法通过 CRI(容器运行时接口)与 containerd 通信,因为缺少了正确的服务实现,通常这是由于 containerd 的配置不兼容或者 containerd 安装得不完整。再次初始化集群就可以了。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值