traefik篇- 理论介绍、安装配置以及使用详解

最新推荐文章于 2024-04-27 23:16:32 发布
最新推荐文章于 2024-04-27 23:16:32 发布
阅读量6.7k 收藏 14
点赞数 2
分类专栏: KUBERNETES 文章标签: traefik k8s traefik
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_35550345/article/details/107061942
版权

1 traefik理论概览

https://docs.traefik.io/
https://docs.traefik.cn/user-guide/kubernetes

假设你已经在你的基础设施上部署了一堆微服务。你可能使用了一个服务发现系统(例如 etcd 或 consul)或者一个资源管理框架(swarm,Mesos/Marathon)来管理所有这些服务。

如果你想让你的用户去从互联网访问你的某些微服务, 你就必需使用虚拟hosts或前缀路径来配置一个反向代理:

  • 域名 api.domain.com 将指向你的私有网络中的微服务 api
  • 路径 domain.com/web 将指向你的私有网络中的微服务 web
  • 域名 backoffice.domain.com 将指向你的私有网络中的微服务 backoffice ,在你的多台实例之间负载均衡

但是,微服务在会经常被添加、移除、杀死或更新,可能一天之内就会发生许多次。
传统的反向代理原生不支持动态配置。你不可能轻易的通过热更新更改它们的配置。
这时,Træfɪk就诞生了。

2 安装配置

https://docs.traefik.io/getting-started/install-traefik/#use-the-binary-distribution

2.1 二进制安装

wget https://github.com/containous/traefik/releases/download/v2.2.8/traefik_v2.2.8_linux_amd64.tar.gz
tar xvfz traefik_v2.2.8_linux_amd64.tar.gz
./traefik --help

2.2 docker安装

docker run -d -p 8080:8080 -p 80:80 \
    -v $PWD/traefik.toml:/etc/traefik/traefik.toml traefik:v2.2

2.3 helm3安装traefik v1

  • 前提:k8s集群1.14+,helm 3.X
helm repo add stable https://kubernetes-charts.storage.googleapis.com/
helm repo update
helm install traefik stable/traefik --set dashboard.enabled=true,serviceType=NodePort,dashboard.domain=dashboard.traefik,rbac.enabled=true  --namespace kube-system

在这里插入图片描述
在这里插入图片描述

查看service的端口
在这里插入图片描述
在本机的/etc/hosts中添加解析
172.16.212.11 dashboard.traefik
访问 http://dashboard.traefik:12577即可!

在这里插入图片描述

此时,无法访问https

2.4 helm3安装traefik v2

  • 安装
helm repo add traefik https://containous.github.io/traefik-helm-chart
helm repo update
helm install traefik traefik/traefik
  • 修改service端口暴露方式
kubectl edit service traefik
spec:
  clusterIP: 192.168.255.168
  externalTrafficPolicy: Cluster
  ports:
 - name: web
    nodePort: 30080
    port: 80
    protocol: TCP
    targetPort: web
 - name: websecure
    nodePort: 30443
    port: 443
    protocol: TCP
    targetPort: websecure
  selector:
    app.kubernetes.io/instance: traefik
    app.kubernetes.io/name: traefik
  sessionAffinity: None
  type: NodePort
  • 转发dashboard
# dashboard.yaml
apiVersion: traefik.containo.us/v1alpha1
kind: IngressRoute
metadata:
  name: dashboard
spec:
  entryPoints:
    - web
  routes:
    - match: Host(`traefik.guici.com`) && (PathPrefix(`/dashboard`) || PathPrefix(`/api`))
      kind: Rule
      services:
        - name: api@internal
          kind: TraefikService
          
kubectl apply -f dashboard.yaml

在本机的/etc/hosts中添加解析
172.16.212.11 traefik.guici.com
访问 http://traefik.guici.com:30080/dashboard/ 即可!

在这里插入图片描述

此时无法访问https
在这里插入图片描述

2.5 yaml方式部署traefik v2

详见https://www.qikqiak.com/post/traefik-2.1-101/

  • crd.yaml
apiVersion: apiextensions.k8s.io/v1beta1
kind: CustomResourceDefinition
metadata:
  name: ingressroutes.traefik.containo.us
spec:
  group: traefik.containo.us
  version: v1alpha1
  names:
    kind: IngressRoute
    plural: ingressroutes
    singular: ingressroute
  scope: Namespaced

---

apiVersion: apiextensions.k8s.io/v1beta1
kind: CustomResourceDefinition
metadata:
  name: ingressroutetcps.traefik.containo.us
spec:
  group: traefik.containo.us
  version: v1alpha1
  names:
    kind: IngressRouteTCP
    plural: ingressroutetcps
    singular: ingressroutetcp
  scope: Namespaced

---
apiVersion: apiextensions.k8s.io/v1beta1
kind: CustomResourceDefinition
metadata:
  name: middlewares.traefik.containo.us
spec:
  group: traefik.containo.us
  version: v1alpha1
  names:
    kind: Middleware
    plural: middlewares
    singular: middleware
  scope: Namespaced

---
apiVersion: apiextensions.k8s.io/v1beta1
kind: CustomResourceDefinition
metadata:
  name: tlsoptions.traefik.containo.us
spec:
  group: traefik.containo.us
  version: v1alpha1
  names:
    kind: TLSOption
    plural: tlsoptions
    singular: tlsoption
  scope: Namespaced

---
apiVersion: apiextensions.k8s.io/v1beta1
kind: CustomResourceDefinition
metadata:
  name: traefikservices.traefik.containo.us
spec:
  group: traefik.containo.us
  version: v1alpha1
  names:
    kind: TraefikService
    plural: traefikservices
    singular: traefikservice
  scope: Namespaced
  • rbac.yaml
kind: ClusterRole
apiVersion: rbac.authorization.k8s.io/v1
metadata:
  name: traefik
rules:
  - apiGroups:
      - ""
    resources:
      - pods
      - services
      - endpoints
      - secrets
    verbs:
      - get
      - list
      - watch
  - apiGroups:
      - extensions
    resources:
      - ingresses
    verbs:
      - get
      - list
      - watch
  - apiGroups:
      - extensions
    resources:
      - ingresses/status
    verbs:
      - update
  - apiGroups:
      - traefik.containo.us
    resources:
      - ingressroutes
      - ingressroutetcps
      - middlewares
      - tlsoptions
      - traefikservices
    verbs:
      - get
      - list
      - watch

---
kind: ServiceAccount
apiVersion: v1
metadata:
  name: traefik
  namespace: kube-system

---
kind: ClusterRoleBinding
apiVersion: rbac.authorization.k8s.io/v1
metadata:
  name: traefik
roleRef:
  apiGroup: rbac.authorization.k8s.io
  kind: ClusterRole
  name: traefik
subjects:
- kind: ServiceAccount
  name: traefik
  namespace: kube-system
  • deployment.yaml (使用了下面提到的使用阿里云dns作为获取证书的途径,需要创建secret)
apiVersion: apps/v1
kind: Deployment
metadata:
  name: traefik
  namespace: kube-system
  labels:
    app: traefik
spec:
  selector:
    matchLabels:
      app: traefik
  strategy:
    type: Recreate
  template:
    metadata:
      labels:
        app: traefik
    spec:
      serviceAccountName: traefik
      tolerations:
      - operator: "Exists"
      nodeSelector:
        kubernetes.io/hostname: node-name
      volumes:
      - name: acme
        hostPath:
          path: /data/k8s/traefik/acme
      containers:
      - image: traefik:2.2.1
        name: traefik
        ports:
        - name: web
          containerPort: 80
          hostPort: 80
        - name: websecure
          containerPort: 443
          hostPort: 443
        - name: mongo
          hostPort: 27017
          containerPort: 27017
        - name: postgres
          hostPort: 5432
          containerPort: 5432
        - name: redis
          hostPort: 6379
          containerPort: 6379
        args:
        - --entryPoints.web.address=:80
        - --entryPoints.websecure.address=:443
        - --entryPoints.mongo.address=:27017
        - --entryPoints.postgres.address=:5432
        - --entryPoints.redis.address=:6379
        - --api=true
        - --api.dashboard=true
        - --ping=true
        - --providers.kubernetesingress
        - --providers.kubernetescrd
        - --serversTransport.insecureSkipVerify=true
        # - --providers.file.filename=/config/traefik-tls.toml
        - --log.level=INFO
        - --accesslog
        # 使用 dns 验证方式
        - --certificatesResolvers.ali.acme.dnsChallenge.provider=alidns
        # 邮箱配置
        - --certificatesResolvers.ali.acme.email=ych_1024@163.com
        # 保存 ACME 证书的位置
        - --certificatesResolvers.ali.acme.storage=/etc/acme/acme.json
        # 下面是用于测试的ca服务,如果https证书生成成功了,则移除下面参数
        # - --certificatesresolvers.ali.acme.caserver=https://acme-staging-v02.api.letsencrypt.org/directory
        envFrom:
        - secretRef:
            name: traefik-alidns-secret    #这个secret是需要手动创建的,详见2.6.1
            # ALICLOUD_ACCESS_KEY
            # ALICLOUD_SECRET_KEY
            # ALICLOUD_REGION_ID
        volumeMounts:
        - name: acme
          mountPath: /etc/acme
        # - name: config
        #   mountPath: /config
        # - name: certs
        #   mountPath: /certs
        resources:
          requests:
            cpu: "50m"
            memory: "50Mi"
          limits:
            cpu: "200m"
            memory: "100Mi"
        securityContext:
          allowPrivilegeEscalation: true
          capabilities:
            drop:
            - ALL
            add:
            - NET_BIND_SERVICE
        readinessProbe:
          httpGet:
            path: /ping
            port: 8080
          failureThreshold: 1
          initialDelaySeconds: 10
          periodSeconds: 10
          successThreshold: 1
          timeoutSeconds: 2
        livenessProbe:
          httpGet:
            path: /ping
            port: 8080
          failureThreshold: 3
          initialDelaySeconds: 10
          periodSeconds: 10
          successThreshold: 1
          timeoutSeconds: 2
  • dashboard.yaml
apiVersion: traefik.containo.us/v1alpha1
kind: IngressRoute
metadata:
  name: traefik-dashboard
spec:
  routes:
  - match: Host(`traefik.guici.com`)
    kind: Rule
    services:
    - name: api@internal
      kind: TraefikService

---
apiVersion: traefik.containo.us/v1alpha1
kind: IngressRoute
metadata:
  name: traefik-dashboard-tls
spec:
  entryPoints:
    - websecure
  routes:
  - match: Host(`traefik.qikqiak.com`)
    kind: Rule
    services:
    - name: api@internal
      kind: TraefikService
  tls:
    certResolver: ali
    domains:
    - main: "*.qikqiak.com"
  # tls:
  #   secretName: who-tls
# ---
# apiVersion: traefik.containo.us/v1alpha1
# kind: Middleware
# metadata:
#   name: auth
# spec:
#   basicAuth:
#     secret: secretName # Kubernetes secret named "secretName"

在这里插入图片描述

2.6 配置支持https访问

用 HTTPS 访问应用必然就需要证书

2.6.1 使用阿里云的dns提供商获取证书——这种方式是生产常用方式

  • 准备工作

需要api接口的accesskey,secretkey和阿里云区域名称;

  • 1)创建secret
kubectl -n default create secret generic traefik-alidns-secret \
--from-literal=ALICLOUD_ACCESS_KEY=<your-access-key> \
--from-literal=ALICLOUD_SECRET_KEY=<your-secret-key> \
--from-literal=ALICLOUD_REGION_ID=<aliyun-region>
  • 2)编辑deploy
  template:
    metadata:
      labels:
        app: traefik
    spec:
      serviceAccountName: traefik
      tolerations:
      - operator: "Exists"
      nodeSelector:
        traefik: "true"
      containers:
      - image: traefik:v2.1.9
        name: traefik
        ports:
        - name: web
          containerPort: 80
          hostPort: 80
        - name: websecure
          containerPort: 443
          hostPort: 443
        - name: metrics
          hostPort: 8082
          containerPort: 8082
        args:
        - --entryPoints.web.address=:80
        - --entryPoints.websecure.address=:443
        - --api=true
        - --api.dashboard=true
        - --ping=true
        - --providers.kubernetesingress
        - --providers.kubernetescrd
        - --log.level=INFO
        - --accesslog
        - --accesslog.filepath=/logs/access.log
        - --log
        - --log.filepath=/logs/traefik.log
        - --serverstransport.insecureskipverify=true
        - --certificatesResolvers.ali.acme.dnsChallenge.provider=alidns   	#1
        - --certificatesResolvers.ali.acme.email=example@qq.com				#2
        - --certificatesResolvers.ali.acme.storage=/etc/acme/acme.json		#3
        - --entryPoints.metrics.address=:8082
        - --metrics.prometheus=true
        - --metrics.prometheus.buckets=0.100000, 0.300000, 1.200000, 5.000000
        - --metrics.prometheus.addEntryPointsLabels=true
        - --metrics.prometheus.addServicesLabels=true
        - --metrics.prometheus.entryPoint=metrics
        - --metrics.prometheus.manualrouting=true
        envFrom:
        - secretRef:
            name: traefik-alidns-secret				#4

2.6.2 也可以使用自签名的证书——一般只在测试时用

#创建证书
openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout traefik-tls.key -out traefik-tls.crt -subj "/CN=traefik.qikqiak.com"

#通过 Secret 对象来引用证书文件
kubectl create secret tls traefik-tls --cert=traefik-tls.crt --key=traefik-tls.key

#修改 ingressroute
apiVersion: traefik.containo.us/v1alpha1
kind: IngressRoute
metadata:
  name: traefik-dashboard-tls
spec:
  entryPoints:
    - websecure
  routes:
  - match: Host(`traefik.qikqiak.com`)
    kind: Rule
    services:
    - name: api@internal
      kind: TraefikService
  tls:
    secretName: traefik-tls

在这里插入图片描述

由于用的是自签名证书,所以不受信任

3 ingressroute代理设置

3.1 http

apiVersion: traefik.containo.us/v1alpha1
kind: IngressRoute
metadata:
  name: ingressroute # 修改名称
  namespace: default           # 修改namespace
spec:
  entryPoints:
    - web
  routes:
  - match: Host(`name.domain.com`) # 域名
    kind: Rule
    services:
    - name: nginx  # ServiceName
      port: 80     # ServicePort

3.2 https

  • 阿里dns
apiVersion: traefik.containo.us/v1alpha1
kind: IngressRoute
metadata:
  name: ingressroute-tls # 修改名称
  namespace: default           # 修改namespace
spec:
  entryPoints:
    - websecure
  routes:
  - match: Host(`name.domain.com`) # 域名
    kind: Rule
    services:
    - name: nginx  # ServiceName
      port: 80     # ServicePort
  tls:
    certResolver: ali
    domains:
    - main: "*.domain.com"
  • 自签名证书
apiVersion: traefik.containo.us/v1alpha1
kind: IngressRoute
metadata:
  name: ingressroute-tls # 修改名称
  namespace: default           # 修改namespace
spec:
  entryPoints:
    - websecure
  routes:
  - match: Host(`name.domain.com`) # 域名
    kind: Rule
    services:
    - name: nginx  # ServiceName
      port: 80     # ServicePort
  tls:
    secretName: traefik-tls   #创建方式见 2.6.2

4 中间件的使用

4.1 如果只希望用户通过 https 来访问应用

  • 创建中间件
apiVersion: traefik.containo.us/v1alpha1
kind: Middleware
metadata:
  name: redirect-https
spec:
  redirectScheme:
    scheme: https
  • 在ingressroute中使用即可
---
apiVersion: traefik.containo.us/v1alpha1
kind: IngressRoute
metadata:
  name: ingressroutetls-http
spec:
  entryPoints:
    - web	#这里指的是http,websecure指的是https
  routes:
  - match: Host(`myapp.domain.com`) && PathPrefix(`/tls`)
    kind: Rule
    services:
    - name: myapp
      port: 80
    middlewares: 
    - name: redirect-https
鬼刺
关注
  • 2
    点赞
  • 14
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
Traefik 详解
weixin_33787529的博客
09-27 3963
为什么80%的码农都做不了架构师?>>> ...
Nginx的另一个选择 - Traefik 入手及简单配置
weixin_34376562的博客
01-30 5661
原文地址 Traefik 与 nginx 一样,是一款反向代理的工具,至于使用他原因基于以下几点 漂亮的 dashboard 界面 可基于容器 label 进行配置 新添服务简单,不用像 nginx 一样复杂配置,并且不用频繁重启 对 prometheus 和 k8s 的集成 尝试一下... 接下来讲一下它的基本功能以及文件配置 安装 下载二进制文件,指定配置文件,直接执行可以启动。 ./tr...
入门traefik系列——路由配置使用
qq_33816243的博客
09-30 4764
主要讲解路由规则的配置使用,包含HTTP域名路由、HTTPS域名路由(自有证书、自动续签证书)、TCP路由(TLS证书)、UDP路由以及多个k8s server路由配置
traefik使用 -- consul catalog动态配置
qq_17303159的博客
08-10 1184
consul下载地址:https://www.consul.io/downloads traefik下载地址:https://github.com/traefik/traefik/releases 启动traefik的命令 traefik.exe --api.insecure=true --configFile=traefik-sample.yml 配置文件 traefik-sample.yml ############################################..
traefik】基于k8s搭建traefik, nginx与traefik共存
最新发布
lixiaonan0318的博客
04-27 1041
ingress controller 负责解析 Ingress 的反向代理规则,当它收到请求后就会根据规则将请求转发到对应的 Service。每种边缘路由都有自己的 ingress controller,如 nginx ingress controller。此toml文件是静态的,不会热更新,关于动态配置文件下一再聊。检查pod 状态是否正常即可。
Traefik-v2.x快速入门
shykevin的博客
03-09 3879
一、概述 traefik与nginx一样,是一款优秀的反向代理工具,或者叫Edge Router。至于使用它的原因则基于以下几点 无须重启即可更新配置 自动的服务发现与负载均衡 与docker的完美集成,基于container label的配置 漂亮的dashboard界面 metrics的支持,对prometheus和k8s的集成 接下来讲一下它的安装...
IBM-WebSphere-MQ介绍安装以及配置服务详解.docx编程资料
04-14
IBM-WebSphere-MQ介绍安装以及配置服务详解.docx
CocoaPods详解之----使用
03-03
使用这些库的时候通常需要:下载开源库的源代码并引入工程向工程中添加开源库使用到的framework解决开源库和开源库以及开源库和工程之间的依赖关系、检查重复添加的framework等问题如果开源库有更新的时候,还需要将...
eclipse的git插件安装配置使用详解
08-18
eclipse的git插件安装配置使用详解 Eclipse是一款功能强大且广泛使用的集成开发环境(IDE),而Git是一款版本控制系统,二者结合可以大幅提高开发效率和团队协作能力。以下是eclipse的git插件安装配置使用...
docker-compose的安装使用详解
01-11
使用 Docker Compose 不再需要使用 shell 脚本来启动容器。(通过 docker-compose.yml 配置) Docker Compose的安装 Github源 sudo curl -L ...
traefik yml配置
takujo的博客
02-15 3841
静态配置traefik.yml # 流量入口 entryPoints: # 定义入口,任意起名 web: # 监听端口 address: :80 forwardedHeaders: insecure: true # http: # redirections: # #转发到另一个入口 # entryPoint: # to: websecure # sche..
Traefik HTTPS 配置
weixin_30660027的博客
06-20 568
参考 add-a-tls-certificate-to-the-ingress Entry Points Definition 使用traefik作为ingress controller透出集群中的https后端 1. Traefik 1.1 TLS # 针对 "traefik","cert" 名字必须是 "tls.crt", "key" 名字必须是 "tls.key","traefik-in...
Traefik 2 基础授权验证(前
为了不折腾而去折腾的那些事
12-02 1742
Traefik 2 基础授权验证(前) 我们经常会看到在访问应用前,系统提示用户进行鉴权操作,或出于某些原因,内部提供公网服务的应用需要藏在一些基础的鉴权认证后,避免直接向大众公开。 除了使用各种语言来实现鉴权外,使用 Traefik 也可以简单快速的满足这些需求。 准备基础的 Web 服务Demo 我们先以 whoami 为例,启动一个 Web 服务,配置如下: version: '3' services: whoami: image: containous/whoami lab
Kubernetes 部署 Ingress 控制器 Traefik v2.0
Richardlygo的博客
10-14 864
一、Traefik 简介 二、Kubernetes 部署 Traefik 1、创建 CRD 资源 2、创建 RBAC 权限 3、创建 Traefik 配置文件 4、节点设置 Label 标签 5、Kubernetes 部署 Traefik 三、Traefik 路由规则配置 1、配置 HTTP 路由规则 (Traefik Dashboard 为例) 2、配置 HTTPS 路由规则...
阿里云服务器启动部署traefik
wflsyf的博客
12-05 857
为了方便管理采用文件映射的方式改变traefik里面的一些配置,我的文件都是放在root目录下。安装docker之后。 在root目录下创建traefik文件夹,添加两个文件。 (1)docker-compose-demo.yml version: "3" services: traefik: image: traefik:v2.5 deploy: mode: global placement: constraints:
traefik
qq_40021015的博客
01-24 5364
traefik(https://traefik.io/) 是一款开源的反向代理与负载均衡工具。非常适合与微服务系统结合,可以实现自动化动态配置。目前支持 Docker, Swarm, Mesos/Marathon, Mesos, Kubernetes, Consul, Etcd, Zookeeper, BoltDB, Rest API 等等后端模型。 我们可以使用 traefik + docker + daocloud 来打造一套最简的 CI/CD 系统,准确的说是最低配版的 CI/CD 系统… 不过适合个
K8s中nodePort、port、targetPort、hostPort介绍
zongshan_csdn的博客
01-27 7254
K8s中nodePort、port、targetPort、hostPort介绍 1、nodePort 外部流量访问k8s集群中service入口的一种方式(另一种方式是LoadBalancer),即nodeIP:nodePort是提供给外部流量访问k8s集群中service的入口。比如外部用户要访问k8s集群中的一个Web应用,那么我们可以配置对应service的type=NodePort,nodePort=30001。其他用户就可以通过浏览器http://node:30001访问到该web服务。而数据库等
k8s--基础--07--环境搭建--安装traefik
zhou920786312的博客
08-08 783
traefik 与 nginx 一样,是反向代理工具,或者叫 Edge Router。
Traefik-kubernetes 初试
督门提酒的博客
03-02 8199
traefik 是一个前端负载均衡器,对于微服务架构尤其是 kubernetes 等编排工具具有良好的支持;同 nginx 等相比,traefik 能够自动感知后端容器变化,从而实现自动服务发现;今天小试了一下,在此记录一下使用过程 一、Kubernetes 服务暴露介绍 从 kubernetes 1.2 版本开始,kubernetes提供了 Ingress 对象来实现对外暴露
rtsp- simple- server 的配置文件详解以及怎么修改
07-16
下面是配置文件的详细解释以及如何修改它: 1. 配置文件位置:默认的配置文件名为 `rtsp-simple-server.yml`,可以在启动服务器时通过 `-c` 参数指定配置文件的路径和名称。 2. 基本设置: - `rtspPort`:指定...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

鬼刺

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值