kubernetes下traefik配置http3

已于 2022-02-07 22:00:00 修改
阅读量939 收藏 1
点赞数
分类专栏: kubernetes traefik 文章标签: kubernetes
于 2021-07-28 16:22:03 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sinat_32188225/article/details/119182500
版权

traefik http3介绍

traefik 2.5的rc版本已经开始支持http3,目前版本是2.6。要实现traefik的http3功能有两个注意事项
1、启动traefik的时候要加两个配置 - --experimental.http3=true - --entrypoints.name.http3.advertisedport=443
2、在开启tls的tcp entrypoint上使用,且该entrypoint不能用作udp entrypoint
在这里插入图片描述

traefik kubernetes-crd 模式


这里我们采用helm安装traefik2.6版本 

helm repo add traefik https://helm.traefik.io/traefik;
helm repo update;
cat << EOF > traefik1.yaml
image:
  name: registry-vpc.cn-shenzhen.aliyuncs.com/liweilun/traefik
  tag: "v2.6"
ingressRoute:
  dashboard:
    enabled: false
experimental:
  http3:
    enabled: true
additionalArguments:
  - "--providers.kubernetescrd.allowexternalnameservices=true"
  - "--entrypoints.websecure.http3.advertisedport=443"
ports:
  web:
    port: 80
  websecure:
    port: 443
    http3: true
service:
  type: ClusterIP
hostNetwork: true
securityContext:
  capabilities:
    drop: [ALL]
    add: [NET_BIND_SERVICE]
  readOnlyRootFilesystem: false
  runAsGroup: 0
  runAsNonRoot: false
  runAsUser: 0
EOF
helm install -f traefik1.yaml traefik traefik/traefik;

这里的yaml文件可以分为几个部分。
第一个部分就是镜像image的name和tag标签。
第二部分就是是否开启crd模式下的dashboard,我只用yaml文件进行管理,所以不需要开启dashboard。
第三部分就是额外的静态命令行配置,这部分可以参考traefik官网上的静态配置,这里只开启了允许externalname服务以及在websecure接口开启http3。–entrypoints.name.http3.advertisedport=443 traefik2.6版本要开启advertiseport作为alt-svc接收外部http3 udp流量的端口
第四部分就是配置pod端口,官方chart里面有port、exportPort、hostPort三种,exportPort是service的port。因为traefik里面http3使用的是用pod的端口进行探测与交互,所以我们后面要使用hostnetwork,也因此这里要修改pod的端口为80和443。
第五部分就是securityContext安全上下文的capabilities安全能力。Capabilities 是一个内核级别的权限,它允许对内核调用权限进行更细粒度的控制,而不是简单地以 root 身份运行。Capabilities 包括更改文件权限、控制网络子系统和执行系统管理等功能。
在 securityContext 中,Kubernetes 可以添加或删除 Capabilities,单个 Capabilities 或逗号分隔的列表可以作为一个字符串数组进行配置。另外,我们也可以使用 all 来添加或删除所有的配置。这种配置会被传递给容器运行时,在它创建容器的时候会配置上 Capabilities 集合,如果 securityContext 中没有配置,那么容器将会直接容器运行时提供的所有默认配置。
因为我们需要绑定使用80和443两个1024以下的端口,所以我们需要capabilities开启add: [NET_BIND_SERVICE]
然后考虑后续可能使用traefik的证书申请功能所以我们把readOnlyRootFilesystem根文件系统是否只读设置false
runAsGroup设置运行的gid为0,也就是root组
runAsNonRoot是否设置为nonroot模式,设置false
runAsUser设置运行的uid为0,也就是root用户

这里我们要注意,开启了http3之后,客户端再开翻墙的软件去访问http3的网站就会变成http2

李炜伦
关注
专栏目录
Kubernetes 集成Traefik(一)—— 转发鉴权
gmHappy
03-30 677
一、需求描述 通过Kubernetes集成Traefik,实现请求接收、服务发现、路由转发及服务转发验证。 本文Kubernetes采用K3S进行安装配置,具体细节请参照以下链接: K3S使用(一)—— 集群安装 Kuboard统一管理 NFS持久卷声明等使用示例 K3S使用(二)—— 将自带traefik版本升级为2.4 二、功能实现 2.1 转发鉴权 example-whoami-authentication-middleware.yaml ## Middleware1 apiVersion: trae
Kubernetestraefik的会话保持和负载均衡策略配置方式
嗡汤圆的博客
03-28 4394
Traefik是一个开源的反向代理工具,在Kubernetes集群内充当Ingress的角色,具有高性能,配置灵活,可根据Kubernetes服务动态配置等优点。 官方文档: Traefik Traefik的默认配置为不做会话保持,即同一个用户的请求会在后端应用的不同实例之间切换。对于需要通过Session维持登录状态的服务就会出现登录无效的问题。而Traefik对于其配置教程在官方文档中Kube...
kubernetes-traefik:使用Traefik作为网络入口和LoadBalancer的开源kubernetes部署
02-26
kubernetes-traefik 使用Traefik作为Network Ingress和LoadBalancer的开源Kubernetes部署。
Traefik-kubernetes 初试
xiaomin1991222的专栏
03-12 236
traefik 是一个前端负载均衡器,对于微服务架构尤其是 kubernetes 等编排工具具有良好的支持;同 nginx 等相比,traefik 能够自动感知后端容器变化,从而实现自动服务发现;今天小试了一下,在此记录一下使用过程 一、Kubernetes 服务暴露介绍 从 kubernetes 1.2 版本开始,kubernetes提供了 Ingress 对象来实现对外暴露服务;到...
traefik获取不到用户真实IP问题
最新发布
moustar007的专栏
09-20 234
【代码】traefik获取不到用户真实IP问题。
Kubernetes上使用Traefik
weixin_30746117的博客
12-01 195
本节内容: Traefik介绍 部署测试用的两个服务 Role Based Access Control configuration (Kubernetes 1.6+ only) 部署Traefik 部署 Ingress 部署Traefik UI 访问测试 健康检查 一、Traefik介绍 traefik 是一个前端负载均衡器,对于微服务架构尤其是 kuberne...
kubernetes 部署 traefik
IT
01-06 3668
Træfɪk 是一个为了让部署微服务更加便捷而诞生的现代HTTP反向代理、负载均衡工具。它支持多种后台 (Docker, Swarm, Kubernetes, Marathon, Mesos, Consul, Etcd, Zookeeper, BoltDB, Rest API, file…) 来自动化、动态的应用它的配置文件设置。
kubernetes部署traefik1.7
boomxiaolong的博客
01-18 2010
1、镜像 docker pull traefik:v1.7.33-alpine 2、tag docker images | grep traefik traefik v1.7.33-alpine d2edc46527be 3 months ago 89MB docker tag d2edc46527be registry.cn-shenzhen.aliyuncs.com/hqyinfra/traefik:v1.7.33-alpine 3、推送 docker push registry
terraform-gcp-kubernetes-traefik:有关如何使用terraform部署gke集群并将traefik用作入口控制器的小例子
02-04
在本项目中,我们主要探讨如何使用Terraform在Google Cloud Platform (GCP)上创建一个Kubernetes Engine (GKE) 集群,并配置Traefik作为集群的入口控制器。Terraform是一种流行的基础设施即代码(IaC)工具,它允许...
Kubernetes 部署 Traefik Ingress 控制器 (1.7.12)
sinat_28371057的博客
01-03 375
目录[-] . 一、Ingress 介绍 . 二、Traefik 介绍 . 三、部署 Ingress 控制器 Traefik . 1、Traefik 两种部署方式介绍 . 2、创建 Traefik 配置文件 . 3、将 Traefik 配置文件挂载到 ConfigMap . 4、设置 CA 证书 . 5、给节点设置 Label . 6、创建 Traefik 服务账户与角色权限 . 7、创建 Traefik Ingress Controller . 四、配置 Ingress 访问策略
Kubernetes traefik 系列|traefik部署与使用
weixin_48711696的博客
08-10 2200
Traefik是一个功能强大的负载均衡工具,它支持4层和7层的基本负载均衡操作,通过IngressRoute、IngressRouteTCP、IngressRouteUDP资源即可轻松实现。为了满足更复杂的负载均衡需求,Traefik还抽象出了TraefikService资源,允许实现加权轮询、流量复制等高级操作。
Kubernetes 1.18.3 部署 Traefik2.2
南宫乘风-Linux运维-虚拟化容器-Python编程 ownit.top
03-29 1148
Kubernetes 1.18.3 部署 Traefik2.0 Centos 3.10.0-693.el7.x86_64 Kubernetes 1.18.3 Traefik 2.2 [root@k8s-master1 traefik]# kubectl get cs NAME STATUS MESSAGE ERROR controller-manager Healthy ok schedu
traefik_使用Traefik引导Kubernetes流量
cumo7370的博客
07-15 415
traefik 在本文中,我们将部署几个简单的网站,并学习如何使用Traefik将来自外部世界的流量引入到我们的集群中。 之后,我们还将学习如何删除Kubernetes资源。 让我们开始吧! 所需材料 要继续阅读本文,您只需要我们在上一篇文章中构建的k3s Raspberry Pi集群 。 由于您的集群将从网络上提取图像,因此该集群将需要能够访问互联网。 在这里 。 部署一个简单的...
prometheus监控kubernetes集群应用(traefik
zhangshaohuas的博客
09-07 1014
Prometheus的数据指标是通过一个公开的 HTTP(S) 数据接口获取到的,我们不需要单独安装监控的 agent,只需要暴露一个 metrics 接口,Prometheus 就会定期去拉取数据 对于一些普通的 HTTP 服务,我们完全可以直接重用这个服务,添加一个/metrics接口暴露给 Prometheus 现在很多服务从一开始就内置了一个/metrics接口,比如 Kubernetes 的各个组件、istio 服务网格都直接提供了数据指标接口。 有一些服务即使没有原生集成该接口,也完全可以使用一
Kubernetes集群 服务暴露 Traefik
weixin_54720351的博客
03-22 1047
参考链接: https://traefik.cn/是一个为了让部署微服务更加便捷而诞生的现代HTTP反向代理、负载均衡工具。它支持多种后台 (DockerSwarmKubernetesMarathonMesosConsulEtcdZookeeperBoltDB, Rest API, file…) 来自动化、动态的应用它的配置文件设置。
kubernetes中安装traefik2
zy353003874的博客
05-25 1891
traefik2 DaemonSet 云原生微服务中我们使用了traefik2来作为我们的网关,当然我们也是通过DaemonSet(也可以使用deployment)的方式来部署到Kubernetes集群中。 DaemonSet部署之后的pod有如下特征 Kubernetes集群中的每个work node上都有这个pod(traefik2实例) 每个work node上只有一个这样的pod实例 当有新的work node加入Kubernetes集群后,该pod会自动在新加入的work node上被创建出来,
Kubernetes集群部署traefik Ingress
完颜振江
01-22 519
理解Ingress 简单的说,ingress就是从kubernetes集群外访问集群的入口,将用户的URL请求转发到不同的service上。Ingress相当于nginx、apache等负载均衡方向代理服务器,其中还包括规则定义,即URL的路由信息,路由信息得的刷新由Ingress controller来提供。 理解Ingress Controller Ingress Controller 实质上可以理解为是个监视器,Ingress Controller 通过不断地跟 kubernetes API 打
kubernetes 部署 Traefik1.7版本
运维那些事儿
03-07 671
一、基础知识 Traefik 是一款优秀的反向代理工具,与 Nginx 相比,Traefik 具有以下优势 1.1、原生支持动态配置。例如,Kubernetes 的 Ingress 资源或 IngressRoute 等 CRD 资源(Nginx 每次需重新加载完整配置,部分情况下可能会影响连接)。 1.2、原生支持服务发现。使用 Ingress 或 IngressRoute 等动态配置后,会自动 watch 后端 endpoint,同步更新到负载均衡的后端列表中。 1.3、提供美观的 Dashboard 管
kubernetes集群基于traefik对外提供服务
apl359的博客
07-22 541
一、前置知识点理解Ingress简单的说,ingress就是从kubernetes集群外访问集群的入口,将用户的URL请求转发到不同的service上。Ingress相当于nginx、ap...
Kubernetes上部署Traefik 2.1:CRD与配置详解
在部署 TraefikKubernetes 时,推荐将其放置在 `kube-system` 命名空间下,这样可以确保 Traefik 的稳定性和隔离性。部署过程中,你需要编写并应用包含这些 CRD 的 YAML 文件,然后可以通过 Helm 或手动方式安装...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值