ingress实现grpc转发

最新推荐文章于 2025-04-09 23:36:14 发布
最新推荐文章于 2025-04-09 23:36:14 发布
阅读量2.2k 收藏 3
点赞数
文章标签: 运维 kubernetes ingress grpc
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_19344391/article/details/116382060
版权

目录

准备测试环境

准备GRPC服务

准备测试GRPC服务的命令行工具

测试gprcurl工具和grpc服务

生成SAN证书

配置openssl.cnf文件

生成密钥和证书

nginx-ingress-controller配置grpc转发

nginx-ingress-controller配置grpc-明文转发

nginx-ingress-controller配置grpc-TLS转发

traefik1.x配置grpc转发

traefik1.x配置grpc-明文转发

traefik1.x配置grpc-TLS转发

 

准备测试环境

准备GRPC服务

在kubernetes集群上部署GRPC服务,部署步骤请看:https://github.com/kubernetes/ingress-nginx/tree/master/docs/examples/grpc

准备测试GRPC服务的命令行工具

下载地址为:https://github.com/fullstorydev/grpcurl/releases

测试gprcurl工具和grpc服务

[root@nginx-nossl ~]# kubectl get svc fortune-teller-service
NAME                     TYPE        CLUSTER-IP       EXTERNAL-IP   PORT(S)     AGE
fortune-teller-service   ClusterIP   172.254.66.233   <none>        50051/TCP   2d16h
[root@nginx-nossl ~]# grpcurl -plaintext 172.254.66.233:50051 list
build.stack.fortune.FortuneTeller
grpc.reflection.v1alpha.ServerReflection

生成SAN证书

配置openssl.cnf文件

mkdir /root/k8s-binary/yaml/grpc/certs
cd /root/k8s-binary/yaml/grpc/certs
cp /etc/pki/tls/openssl.cnf .
vim +126 openssl.cnf
修改第126行为:
req_extensions = v3_req
然后添加:
[ v3_req ]
basicConstraints = CA:FALSE
keyUsage = nonRepudiation, digitalSignature, keyEncipherment
subjectAltName = @alt_names
[ alt_names ]
DNS.1 = nginx-ssl.grpc-ingress
DNS.2 = traefik-ssl.grpc-ingress
修改第85行为:
countryName             = supplied
stateOrProvinceName     = supplied
organizationName        = supplied

生成密钥和证书

生成CA密钥
openssl genrsa -out ca.key 2048
生成CA根证书
openssl req -x509 -new -nodes \
    -subj "/C=CN/ST=Beijing/L=Beijing/O=UnitedStack/OU=Devops/CN=nginx-ssl.grpc-ingress" \
	-key ca.key -subj "/CN=nginx-ssl.grpc-ingress" -days 5000 -out ca.crt
生成服务器密钥
openssl genrsa -out nginx-ssl.grpc-ingress.key 2048
生成服务器证书请求文件
openssl req -new -sha256 \
    -key nginx-ssl.grpc-ingress.key \
    -subj "/C=CN/ST=Beijing/L=Beijing/O=UnitedStack/OU=Devops/CN=nginx-ssl.grpc-ingress" \
    -reqexts SAN \
    -config <(cat openssl.cnf \
        <(printf "[SAN]\nsubjectAltName=DNS:nginx-ssl.grpc-ingress,DNS:traefik-ssl.grpc-ingress")) \
    -out nginx-ssl.grpc-ingress.csr
CA签署服务器证书
touch /etc/pki/CA/index.txt
echo 01 | tee /etc/pki/CA/serial
openssl ca \
	-cert ca.crt \
	-keyfile ca.key \
	-in nginx-ssl.grpc-ingress.csr \
	-extensions SAN \
	-config <(cat /root/k8s-binary/yaml/grpc/certs/openssl.cnf \
        <(printf "[SAN]\nsubjectAltName=DNS:nginx-ssl.grpc-ingress,DNS:traefik-ssl.grpc-ingress")) \
	-out nginx-ssl.grpc-ingress.crt

nginx-ingress-controller配置grpc转发

nginx-ingress-controller配置grpc-明文转发

nginx-ingress-controller不支持负载grpc明文转发,详情请看:https://github.com/kubernetes/ingress-nginx/issues/6736

nginx-ingress-controller配置grpc-TLS转发

生成secret

kubectl create secret tls grpcs-secret --key nginx-ssl.grpc-ingress.key --cert nginx-ssl.grpc-ingress.crt

配置ingress

apiVersion: networking.k8s.io/v1
kind: Ingress
metadata:
  annotations:
    kubernetes.io/ingress.class: "nginx"
    nginx.ingress.kubernetes.io/ssl-redirect: "true"
    nginx.ingress.kubernetes.io/backend-protocol: "GRPC"
  name: fortune-ingress-nginx-ssl
  namespace: kube-system
spec:
  rules:
  - host: nginx-ssl.grpc-ingress
    http:
      paths:
      - path: /
        pathType: Prefix
        backend:
          service:
            name: fortune-teller-service
            port: 
              number: 50051
  tls:
  - secretName: grpcs-secret
    hosts:
      - nginx-ssl.grpc-ingress

测试

[root@MiWiFi-R4-srv certs]# grpcurl -cacert ca.crt nginx-ssl.grpc-ingress:443 list
build.stack.fortune.FortuneTeller
grpc.reflection.v1alpha.ServerReflection

 

traefik1.x配置grpc转发

traefik1.x配置grpc-明文转发

配置ingress

apiVersion: networking.k8s.io/v1
kind: Ingress
metadata:
  annotations:
    ingress.kubernetes.io/protocol: "h2c"
  name: fortune-ingress-traefik-nossl
  namespace: kube-system
spec:
  rules:
  - host: traefik-nossl.grpc-ingress
    http:
      paths:
      - path: /
        pathType: Prefix
        backend:
          service:
            name: fortune-teller-service
            port: 
              number: 50051

测试

[root@MiWiFi-R4-srv certs]# grpcurl -plaintext traefik-nossl.grpc-ingress:80 list
build.stack.fortune.FortuneTeller
grpc.reflection.v1alpha.ServerReflection

traefik1.x配置grpc-TLS转发

生成secret

kubectl create secret tls grpcs-secret --key nginx-ssl.grpc-ingress.key --cert nginx-ssl.grpc-ingress.crt

配置ingress

apiVersion: networking.k8s.io/v1
kind: Ingress
metadata:
  annotations:
    ingress.kubernetes.io/protocol: "https"
  name: fortune-ingress-traefik-ssl
  namespace: kube-system
spec:
  rules:
  - host: traefik-ssl.grpc-ingress
    http:
      paths:
      - path: /
        pathType: Prefix
        backend:
          service:
            name: fortune-teller-service
            port: 
              number: 50051
  tls:
  - secretName: grpcs-secret
    hosts:
      - traefik-ssl.grpc-ingress

traefik服务还需要增加以下启动配置

          args:
            - --defaultentrypoints=http,https
            - --entrypoints=Name:https Address::443 TLS
            - --entrypoints=Name:http Address::80
            - --insecureskipverify=true

测试

[root@MiWiFi-R4-srv certs]# grpcurl -cacert ca.crt traefik-ssl.grpc-ingress:443 list
build.stack.fortune.FortuneTeller
grpc.reflection.v1alpha.ServerReflection

 

 

 

 

火兄
关注
nginx-ingress基于gRPC协议通信
zing的博客
01-08 1074
此文档演示如何通过nginx-ingress将流量路由到gRPC服务上。 环境 环境 版本 kubernetes 1.17.4 Rancher v2.4.5 nginx-ingress 0.25.1 示例 以下gRPC应用基于ingress自带的示例,您也可以使用自己的gRPC应用进行测试 地址:https://github.com/kubernetes/ingress-nginx/tree/master/docs/examples/grpc 部署一个gRPC应用 该应用程序
Ingress企业实战:实现GRPC与WebSocket服务访问
云原生运维
09-10 674
gRPCgRPC Remote Procedure Call)是一种开源的远程过程调用(RPC)框架,由Google开发并于2015年发布。它使用HTTP/2协议进行通信,旨在简化跨网络的服务通信和跨语言的服务调用。IDL(Interface Definition Language): gRPC 使用IDL来定义服务接口和消息格式。它使用Protocol Buffers(通常简称为ProtoBuf)作为默认的IDL工具。
如何通过 Nginx Ingress 快速解决 gRPC 长连接负载不均衡问题
easylife206的专栏
11-06 1620
公众号关注「奇妙的 Linux 世界」设为「星标」,每天带你玩转 Linux !背景当前推荐引擎服务集群的外部访问入口及负载均衡使用的是阿里云的SLB,然而其负载均衡,由于grpc长连接的缘故,表现不尽如人意,尽管加了定时重连的相关配置,多个pod依然会有旱的旱死,涝的涝死的情况.刚好新建的k8s集群版模型服务这种情况也比较明显,所以相关的优化就被提上了日程.听说新版的nginx-ingress...
第五章:Nginx Ingress安装与配置_《再也不踩坑的kubernetes实战指南》
最新发布
C/C++
04-09 961
Nginx Ingress安装与配置
使用k8s Ingress暴露gRPC服务
全栈工程师开发手册(原创)https://github.com/tencentmusic/cube-studio
04-18 2002
Kubernetes 暴露服务的方式目前只有三种:LoadBlancer Service、NodePort Service、Ingress;前两种估计都应该很熟悉,下面详细的了解下这个 Ingress Ingress由两部分组成:Ingress Controller 和 Ingress 服务。 参考:https://www.jianshu.com/p/189fab1845c5 ...
[干货]kubenertes ingress负载grpc
weixin_38166686的博客
08-27 1694
目录 概述 搭建 生成公私钥 创建secret 创建ingress 访问 概述 一般情况下,我们的系统对外暴露HTTP/HTTPS的接口,内部使用rpc(GRPC)通讯,这时GRPC在服务之间通过servic...
使用ingress nginx代理grpc
月夜楓
08-12 3014
使用ingress nginx代理grpc使用ingress代理dgraph grpc服务搭建dgraph服务配置ui使用java client连接dgraph概述生成公钥 使用ingress代理dgraph grpc服务 最近在使用图数据库dgraph,开始选择使用k8s拉起整个图数据库,使用ingress nginx代理grpc端口,别问我为什么使用grpc服务,是因为dgraph-io/dgraph4j使用的就是grpc协议。 搭建dgraph服务 使用官方文档中的yaml,直接拉起 # This h
gRPC:从小白入门到大神精通(C++版)
码事漫谈
02-08 1259
gRPC是Google开源的一款RPC框架,基于HTTP/2协议,使用Protobuf作为接口定义语言。它允许客户端直接调用不同机器上的服务端方法,就像调用本地方法一样,极大地简化了分布式系统的开发。比如,在一个电商系统中,订单服务可以通过gRPC调用库存服务,查询商品库存信息,而无需关心底层的网络通信细节。通过从入门到精通的学习过程,我们全面掌握了C++中gRPC的使用方法、核心原理和高级应用技巧。gRPC作为一款强大的RPC框架,为分布式系统的开发提供了高效、可靠的通信解决方案。
18. 基于Ingress实现k8s七层调度和负载均衡: 使用Envoy作为Ingress控制器
# 1. 理解Ingress和Envoy ## 1.1 什么是Ingress IngressKubernetes中的一个API对象,用于...相比于传统的NodePort方式,Ingress能够更加灵活精细地控制流量的转发。 ## 1.3 Envoy的介绍和特性 Envoy是一款高性
保姆级教程,从概念到实践帮你快速上手 Apache APISIX Ingress
ApacheAPISIX的博客
10-29 630
1Apache APISIX Ingress 概览Apache APISIX Ingress 定义在 K8s 生态中,Ingress 作为表示 K8s 流量入口的一种资源,想要让其生效,就需要有一个 Ingress Controller 去监听 K8s 中的 Ingress 资源,并对这些资源进行相应规则的解析和实际承载流量。在当下趋势中,像 Kubernetes Ingress Nginx 就是使用最广泛的 Ingress Controller 实现。而 APISIX Ingress 则是另一种 Ingr
基于gRPC的API网关设计与实现:架构师必读
首先,对gRPC的基本概念、核心特性和服务实现进行了概述,随后详细介绍了API网关的设计理念、架构模式和核心功能。文章进一步探讨了如何基于gRPC实现高性能的API网关,并结合实际案例分析了部署策略。最后,本文展望...
Nginx配置代理gRPC的方法
01-20
Nginx 1.13.10新增了对gRPC的原生支持。本文介绍如何配置Nginx的gRPC。 安装Nginx Nginx版本要求:1.13.10。 gRPC必须使用HTTP/2传输数据,支持明文和TLS加密数据,支持流数据的交互。这是为了充分利用 HTTP/2 连接的多路复用和流式特性。所以在安装部署nginx时需要安装http/2。使用源码安装,编译时需要加入http_ssl和http_v2模块: $ auto/configure --with-http_ssl_module --with-http_v2_module Nginx以明文的方式发布gRPC服务。 nginx是使用http服务
grpc:带代理的grpc示例
05-12
gRPC示例 本节说明如何将Traefik和linkerd用作gRPC应用程序的反向代理 特拉菲克 Traefik服务器工作台 特拉菲克http 启动traefik和grpc服务器 docker-compose -f docker-compose-traefik.yml up 服务器问好监听端口:7777 服务器世界在端口:7778上侦听 Traefik在端口上监听:4140 client -> Traefik -> Hello -> traefik -> World 用它 启动客户端 ./curl localhost:4140/toto 特雷菲克gRPC 启动traefik和grpc服务器 docker-compose -f docker-compose-traefik-grpc.yml up 服务器问好监听端口:7777 服务器世界在端口:7778上侦听 Traefik在端口
通过阿里云容器服务K8S Ingress Controller实现gRPC服务访问
weixin_33782386的博客
06-01 2240
gRPC简介 gRPC是Google开源的一个高性能RPC通信框架,通过Protocol Buffers作为其IDL,可以在不同语言开发的平台上使用,同时基于HTTP/2协议实现,继而提供了连接多路复用、头部压缩、流控等特性,极大地提高了客户端与服务端的通信效率。 在gRPC里客户端应用可以像本地方法调用一样可以调用到位于不同服务器上的服务端应用方法,...
grpc系列-初探grpc 路由注册和转发实现
u014763610的博客
05-23 2529
grpc grpc将按照系列来讲,本次博客,从大体来讲,主要包括路由注册、路由转发、unary和stream的差异点 后面主要会讲述优雅停机、binlog、channelz、HTTP2.0特性、intercepter、proto(包含编码、以及代码生成) 总结 google实现的rpc框架,开发者定义proto文件,即接口文件,通过命令生成具体代码 路由通过method识别,前面一截是service name、后面一截是method name,通过.作为分隔 unary是定义好整个请求流程,业务只需要
Kubernetes生产实践系列之十九:ServiceMesh之使用Ingress Nginx暴露Kubernetes上的gRPC服务
cloudvtech的博客
07-04 1686
一、前言 转载自https://blog.csdn.net/cloudvtech
Nacos 2.x 新增 grpc 端口,Nginx 需要配置TCP端口转发的注意事项
小单的博客专栏
07-25 1574
另外两个端口 9849 和 7848,是服务端之间的通信端口,请勿暴露到外部网络环境和客户端测,一般这两个端口不需要在 Nginx 中配置 TCP 转发端口。如果需要使用 Nginx 将 Nacos 对外暴露进行端口转发,除了默认主端口 8848 之外,还需要额外转发(默认主端口+1000=9848)在默认主端口 8848 之外又新增了三个端口,新增端口是在配置的主端口。(主端口 -1000)Jraft 请求服务端端口,用于处理服务端间的 Raft 相关请求。的基础上,进行一定偏移量自动生成。
【翻译】Kubernetes Ingress gRPC实例与Dune报价服务
超级码力
11-13 305
作者:Viktor Gamov2021年9月24日 特邀文章,最初发表在Kong的博客上,作者是Kong的首席开发者倡导者Viktor Gamov API有各种不同的形状和形式。在本教程中,我将向你展示一个Kubernetes Ingress gRPC实例。我将解释如何将gRPC服务部署到Kubernetes,并使用Kong的Kubernetes Ingress控制器提供对该服务的外部访问...
GRPC在k8s中的服务发现和负载均衡_traefik-ingress
wangxin123wangxin的博客
02-25 4787
GRPC在k8s中的服务发现和负载均衡
ingress实现https
02-20
### 使用 Ingress 实现 HTTPS 配置 为了配置 HTTPS,Nginx Ingress Controller 支持通过 TLS 终止来加密流量。这可以通过创建带有 `tls` 字段的 Ingress 资源并关联相应的 Secret 来完成。 #### 准备 SSL 证书和...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值