K8s service--ingress

已于 2022-04-19 20:42:24 修改
阅读量4.3k 收藏 4
点赞数
文章标签: docker 运维 kubernetes
于 2022-03-24 22:23:23 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_47295318/article/details/123697947
版权

目录

一、Ingress介绍

二、Ingress的部署

三、添加域名访问ingress

单域名服务

多域名多服务 

​Ingress nginx加密部署 

​Ingress 认证配置 

金丝雀发布(流量的切换)

一、Ingress介绍

一种全局的、为了代理不同后端 Service 而设置的负载均衡服务,就是 Kubernetes 里的Ingress 服务。

Ingress由两部分组成:Ingress controller和Ingress服务。

Ingress Controller 会根据你定义的 Ingress 对象,提供对应的代理能力。业界常用的各种反向代理项目,比如 Nginx、HAProxy、Envoy、Traefik 等,都已经为Kubernetes 专门维护了对应的 Ingress Controller

二、Ingress的部署

mkdir ingress
cd ingress/
ls
wget https://raw.githubusercontent.com/kubernetes/ingress-nginx/controller-v1.1.2/deploy/static/provider/baremetal/deploy.yaml #下载定义文件
ls
vim deploy.yaml #修改镜像的路径
kubectl apply -f deploy.yaml
kubectl get ns #应用后会创建一个名为ingress-nginx 的namespace
kubectl get pod -n ingress-nginx #查看pod状态
kubectl  -n ingress-nginx get all #可以看出ingress-controller已经正常运行

拉取上传镜像到本地仓库

kubectl get svc
kubectl delete svc lb-nginx
cd
cd pod/
kubectl get pod
 ls
vim deploy.yml
kubectl get pod --show-labels
kubectl apply -f deploy.yml
kubectl get svc #创建一个名为myservice的服务使用默认方式ClusterIP
kubectl describe svc myservice ##有endpoint
curl 10.106.65.81 #可以访问
kubectl get svc -n ingress-nginx
kubectl edit svc ingress-nginx-controller -n ingress-nginx #修改type:LoadBalancer
kubectl get svc -n ingress-nginx #Pod 的 IP地址配置给负载均衡服务做后端。
kubectl -n ingress-nginx describe svc ingress-nginx-controller
kubectl -n ingress-nginx get pod -o wide

三、添加域名访问ingress

单域名服务

在宿主机添加解析

cd
cd ingress/
ls
vim ingress.yaml
kubectl get svc
kubectl get ingressclasses.networking.k8s.io
kubectl apply -f ingress.yaml #创建ingress服务并将myservice添加为后端服务
kubectl describe ingress ingress-demo
kubectl -n ingress-nginx get pod ##ingress集群已经部署成功,可以使用以下命令查看ingress服务
kubectl -n ingress-nginx exec -it ingress-nginx-controller-58d78dc857-2cd2z -- bash #进入控制器查看添加的解析动态生效

外部测试访问成功

多域名多服务 

kubectl get all
cd
cd pod/
ls
cp deploy.yml deploy-2.yml
vim deploy-2.yml # 再添加一个服务
kubectl apply -f deploy-2.yml
kubectl describe get svc myapp-svc #查看添加成功
kubectl describe svc myapp-svc

 cd ingress/
 ls
 vim ingress.yaml #设置www2.westos.org
kubectl apply -f ingress.yaml
kubectl get ingress
kubectl describe ingress ingress-demo #当用户访问www2.westos.org时调度到版本为myapp-svc的pod
kubectl -n ingress-nginx exec -it ingress-nginx-controller-58d78dc857-2cd2z -- bash

可以成功访问,查看负载均衡情况 

Ingress nginx加密部署 

openssl req -x509 -sha256 -nodes -days 365 -newkey rsa:2048 -keyout tls.key -out tls.crt -subj "/CN=nginxsvc/O=nginxsvc" # 生成tls密钥和证书
ls
ll tls.key
ll tls.crt
kubectl create secret tls tls-secret --key tls.key --cert tls.crt #将生成的证书和key保存到secret里面
kubectl get secrets #查看secrets
kubectl describe secrets tls-secret #查看详细信息

Ingress 认证配置 

vim ingress.yaml
kubectl apply -f ingress.yaml #应用部署文件
kubectl describe ingress ingress-demo 查看服务状态,可以看出已经有了tls加密

当部署了加密后,默认访问80端口会被重定向到443端口
yum install -y httpd-tools #安装所需软件
htpasswd -c auth admin  #创建认证用户
ls
cat auth 查看生成的认证文件
kubectl create secret generic basic-auth --from-file=auth
kubectl get secret

此时可以在浏览器输入www1.westos.org 测试访问: 

可以看出输入地址自动被重定向到443端口,选择高级 -->接受: 

编辑部署文件 

vim ingress.yaml
kubectl apply -f ingress.yaml
kubectl describe ingress ingress-demo #查看已经加入

 在浏览器中可以访问,需要认证密码

vim ingress.yaml #编辑部署文件

我们要求重写的策略是:访问www1.westos.org时重写到www1.westos.org/hostname.html

kubectl apply -f ingress.yaml
kubectl describe ingress ingress-demo #查看已经加入 

测试访问: 

 金丝雀发布(流量的切换)

 kubectl get svc
kubectl delete svc myservice
cd pod/
ls
vim deploy.yml #更改name
kubectl apply -f deploy.yml
kubectl get svc
curl 10.107.109.238
kubectl delete svc myapp-svc
ls
vim deploy-2.yml
kubectl apply -f deploy-2.yml
kubectl get svc
cd
cd ingress/
ls
kubectl get svc
kubectl get ingress
kubectl delete ingress ingress-demo #清除实验环境
kubectl get ingress

在宿主机中添加解析

cp ingress.yaml v1-ingress.yaml
vim v1-ingress.yaml #修改版本v1
kubectl apply -f v1-ingress.yaml #应用
kubectl get ingress
kubectl describe ingress ingress-myapp
cp v1-ingress.yaml v2-ingress.yaml
vim  v2-ingress.yaml #设置让v1的流量以一定的权重转移到v2上,设置权重为10
kubectl apply -f v2-ingress.yaml
kubectl get ingress
kubectl describe ingress ingress-myapp-canary 

编写脚本执行curl -s myapp.westos.org并过滤出出现v1.v2的次数

执行脚本,可以看到v1流量切换为90,v2为10

vim  v2-ingress.yaml #修改权重
kubectl apply -f v2-ingress.yaml
kubectl describe ingress ingress-myapp-canary

测试成功:

vim  v2-ingress.yaml #修改权重
kubectl apply -f v2-ingress.yaml
kubectl describe ingress ingress-myapp-canary  

vim  v2-ingress.yaml #修改权重
kubectl apply -f v2-ingress.yaml
kubectl describe ingress ingress-myapp-canary  

calico网络插件

 

 Felix:监听ECTD中心的存储获取事件,用户创建pod后,Felix负责将其网卡、IP、MAC都设置好,然后在内核的路由表里面写一条,注明这个IP应该到这张网卡。同样如果用户制定了隔离策略,Felix同样会将该策略创建到ACL中,以实现隔离。 

 BIRD:一个标准的路由程序,它会从内核里面获取哪一些IP的路由发生了变化,然后通过标准BGP的路由协议扩散到整个其他的宿主机上,让外界都知道这个IP在这里,路由的时候到这里来。

IPIP工作模式:适用于互相访问的pod不在同一个网段中,跨网段访问的场景。 

BGP工作模式:适用于互相访问的pod在同一个网段,适用于大型网络。

NetworkPolicy策略模型:控制某个namespace下的pod的网络出入站规则

 查看使用的flannel插件

mkdir calico
cd calico/
ls
curl https://docs.projectcalico.org/manifests/calico.yaml -o calico.yml
ls
vim calico.yml ##修改镜像的路径

 在server1上拉取所需的镜像上传到本地仓库

上传到本地仓库

kubectl delete -f kube-flannel.yml
kubectl get pod -n kube-system
cd /etc/cni/
ls
cd net.d/
ls
rm -f 10-flannel.conflist #每个节点都要删除。要不然会对网络插件有影响,下次创建会自动生成

cd calico/
ls
kubectl apply -f calico.yml #部署创建
kubectl get pod -n kube-system #等待全部就绪
kubectl get all -n kube-system

kubectl get pod -n kube-system
cd /etc/cni/net.d/
ls #这时已经变成calicoc网络,但是外部不能访问
cd
 ls
cd ingress/
ls
kubectl delete -f v1-ingress.yaml #删除之前的部署文件
kubectl delete -f v2-ingress.yaml
kubectl get ingress
kubectl get pod
kubectl delete svc --all
kubectl get svc
kubectl delete deployments.apps deployment-myapp
kubectl delete deployments.apps deployment-nginx

kubectl get pod
kubectl get svc
cd
ls
cd pod/
ls
kubectl apply -f deploy.yml
kubectl get pod -o wide
kubectl get svc
curl 10.110.44.239 #集群内可以访问
curl 10.110.44.239/hostname.html
cd
cd ingress/
ls
cat v1-ingress.yaml
kubectl apply -f v1-ingress.yaml #创建服务可以通过外部访问

外部访问成功 :

限制访问指定服务

kubectl describe ingress ingress-myapp
kubectl get pod --show-labels #显示标签
cd
cd calico/
ls
 vim policy.yaml #编写nginx限制服务文件
kubectl apply -f policy.yaml
kubectl get networkpolicies.networking.k8s.io
kubectl  get pod -o wide
curl 10.244.141.194 #访问不了,因为没有匹配的标签
kubectl run demo -it  --image=busyboxplus #运行容器

podSelector:每个 NetworkPolicy 都包括一个 podSelector,它对该策略所 适用的一组 Pod 通过labels进行选择。示例中的策略选择带有 "access=true" 标签的 Pod。 空的 podSelector 选择名字空间下的所有 Pod。

重新打开一个终端 :查看标签

 kubectl get pod --show-labels
kubectl label pod demo access=true #添加标签
kubectl get pod --show-labels

在容器内访问成功实现负载均衡

cd calico/
ls
vim policy.yaml
kubectl apply -f policy.yaml
kubectl describe networkpolicies. access-nginx
kubectl create namespace test #创建ns
kubectl get ns --show-labels #还没有符合要求的标签
kubectl -n test get pod
kubectl -n test get pod --show-labels
kubectl get ns --show-labels
kubectl label ns test role=test #加入标签
kubectl get ns --show-labels

namespaceSelector:此选择器将选择特定的名字空间,应将所有 Pod 用作其 入站流量来源或出站流量目的地 

from 数组中包含两个元素,允许来自本地名字空间中标有 access=true的 Pod 的连接, 来自任何名字空间中标有 role=test 的任何 Pod 的连接。

在容器内无法访问

成功访问

LY_CS
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
citrix-k8s-ingress-controller:适用于Kubernetes的Citrix ADC(NetScaler)入口控制器:
02-03
"citrix-k8s-ingress-controller"是Citrix为Kubernetes设计的专用入口控制器,它将Citrix ADC的强大功能集成到Kubernetes生态系统中,以实现更高效、安全的流量管理。 1. **Kubernetes Ingress**: Kubernetes ...
k8s-ingress.zip
03-14
k8s 相应的ingress yaml 文件,包含 configmap.yaml,default-backend.yaml,mandatory.yaml,rbac.yaml,without-rbac,tcp-service,udp-service.
k8s部署ingress-nginx
qq_40208428的博客
10-20 3613
k8s服务对外暴露有三种方式Nodeport: 服务暴露需要在集群每个节点都开放一个同样的端口,通过来访问,如果服务数量多了,开放的端口就难以管理: 大部分情况下只适用于支持外部负载均衡器的云提供商(AWS,阿里云,华为云等)使用。每个服务都会由云服务提供一个IP作为入口,转发相应的流量,但每个LoadBlancer Service都会产生费用,成本比较高。如果想要在内网环境中使用就需要部署网络负载均衡器,比如MetalLB等组件,它主要提供两个功能:地址分配和外部通知。所以这次我们主要来介绍。
Kubernetes——Ingress详解
一坨小橙子的博客
06-04 776
Sevice回顾、Ingress定义、组成、工作原理;部署Nginx-Ingress-Controller、DaemonSet-Hostwork+NodeSelector、Deployment+NodePort、HTTP代理访问虚拟主机、HTTPS代理访问、Nginx访问认证、Nginx的重写
K8S(1.28)--部署ingress-nginx(1.9.1)
IT利刃出鞘的博客
01-17 2174
本文介绍K8S部署ingress-nginx的方法。 本文使用的K8S和ingress-nginx都是最新的版本。
K8S-Ingress-Controller
jzyue
11-04 1015
service是将一组pod管理起来,提供了一个cluster ip和service name的统一访问入口,屏蔽了pod的ip变化。 ingress 是一种基于七层的流量转发策略,即将符合条件的域名或者location流量转发到特定的service上,而ingress仅仅是一种规则,k8s内部并没有自带代理程序完成这种规则转发。 ingress-controller 是一个代理服务器,将ingress的规则能真正实现的方式,常用的有 nginx,traefik,haproxy。但是在k8s集群中,建议使用
K8s部署ingress-nginx-controller
m0_73256973的博客
05-27 540
通过配置,Ingress 可为 Service 提供外部可访问的 URL、对其流量作负载均衡、 终止 SSL/TLS,以及基于名称的虚拟托管等能力。集群网络(Cluster Network): 一组逻辑的或物理的连接,基于 Kubernetes 网络模型实现集群内的通信。Ingress 是对集群中服务的外部访问进行管理的 API 对象,典型的访问方式是 HTTP。节点(Node): Kubernetes 集群中的一台工作机器,是集群的一部分。这两个镜像是作者同步的官方镜像,会持续更新,大家可以拉取使用!
K8S--Ingress的作用
IT利刃出鞘的博客
01-15 5446
本文介绍K8S的Ingress的作用。
k8s service - ingress
面朝大海,春暖花开
09-11 154
k8s service - ingress 为什么需要 ingress ? k8s 默认提供 service 负载均衡 ,而传统的 service 只是 4 层负载( ip + port), 而 ingress 提供了 7 层负载,即可以通过域名访问 流程图 ingress-nginx 安装 ingress nginx 主页: ingress-nginx [root@k8s-node2 ~]# kubectl apply \n -f https://raw.githubusercontent.com/
K8s--Service和Ingress
qq_52807660的博客
11-26 1761
Service ------------------------------------------------------------一、Service介绍------------------------------------------------ 在kubernetes中,pod是应用程序的载体,我们可以通过pod的ip来访问应用程序,但是pod的ip地址不是固定的, 这也就意味着不方便直接采用pod的ip对服务进行访问。 为了解决这个问题,kubernetes提供了Service资源,Ser
k8s部署ingress-nginx步骤
weixin_48878440的博客
04-21 3770
k8s部署ingress应用 部署ingress 部署ingress-nginx ingress详细解析
k8s指南-Ingress
xiaoyi52的专栏
12-12 2949
通常情况下,service和pod仅可在集群内部网络中通过ip地址访问。如果想从集群外部访问集群内部,则必须要有Ingress
k8s之ServiceIngress,service-nodeport.yaml,mandatory.yaml
03-03
在Kubernetes(k8s)集群中,Service和Ingress是两个关键的组件,它们用于定义和管理应用的网络访问策略。本篇文章将深入探讨这两个概念以及如何通过配置文件`service-nodeport.yaml`和`mandatory.yaml`来设置它们。...
k8s-fordocker-desktop-v1.29.1
03-01
【标题】"k8s-fordocker-desktop-v1.29.1" 是一个专为 Docker Desktop 用户设计的 Kubernetes(k8s)环境版本,版本号为 v1.29.1。这个软件包旨在帮助Windows用户在本地环境中便捷地搭建和管理Kubernetes集群。 ...
如何将Python应用容器化到Docker中
2402_84885073的博客
07-23 458
将Python应用容器化到Docker中是一个常见且有用的做法,它可以帮助你轻松地在不同的环境中部署和运行你的应用,无需担心环境差异带来的问题。
docker略览
whyeahu的博客
07-23 702
使用 Docker Compose 可以将多个 Docker 容器组合成一个应用程序,并定义它们之间的关系和依赖。它使用一个 YAML 文件来配置应用程序的服务、网络和卷等,并使用一条命令启动、停止和管理整个应用程序的容器。使用 Dockerfile,你可以定义所需的基础镜像、安装软件包、复制文件、设置环境变量、运行命令等一系列操作,最终生成一个包含应用程序和其依赖的可运行镜像。在 Docker 中,你可以创建自定义网络,或者使用默认的网络。Docker 网络类型。
Docker搭建仓库(两种方式)
2301_77138117的博客
07-22 672
补充上一篇
Docker use experience
最新发布
sdc20102010的博客
07-24 314
docker run -it -d --name 容器名 -p 宿主机端口:容器端口 -v 宿主机文件存储位置:容器内文位置 镜像名:Tag /bin/bash。docker commit -m="提交的描述信息" -a="作者" 容器ID 要创建的目标镜像名:[标签名]docker load -i <镜像文件.tar>
k8s安装ingress-nginx
10-18
好的,关于k8s安装ingress-nginx,你可以按照以下步骤进行操作: 1. 添加ingress-nginx的helm chart仓库: ``` helm repo add ingress-nginx https://kubernetes.github.io/ingress-nginx helm repo update ``` 2. 安装ingress-nginx: ``` helm install ingress-nginx ingress-nginx/ingress-nginx ``` 3. 等待ingress-nginx部署完成,可以使用以下命令查看ingress-nginx的状态: ``` kubectl get pods -n ingress-nginx ``` 4. 部署Ingress资源,例如: ``` apiVersion: networking.k8s.io/v1 kind: Ingress metadata: name: example-ingress annotations: nginx.ingress.kubernetes.io/rewrite-target: / spec: rules: - host: example.com http: paths: - path: /example pathType: Prefix backend: service: name: example-service port: name: http ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值