Ingress nginx 公开TCP服务

已于 2024-11-09 17:19:27 修改
阅读量1.3k 收藏 8
点赞数 8
分类专栏: ingress 文章标签: nginx ingress
于 2024-11-09 17:18:45 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u012881331/article/details/143633687
版权

文章目录

背景

公司业务繁多, HTTP、GRPC、TCP多种协议服务并存,Kubernetes流量入口复杂,所以萌生了通过LoadBalancer + Ingress-nginx 的方式完全的结果入口流量,当然在高并发的场景下可以对LoadBalancer 和Ingress-nginx 进行拆分管理。

HTTP以及GRPC在Ingress上的使用就不过多说明了。 主要验证下ingres-nginx对TCP流量的转发,以及简单窥探下实现逻辑。

搞起

首先先准备好内部TCP环境, 这里使用mysql作为测试服务,使用如下命令对服务进行部署。

cat > mysql.yaml << EOF
apiVersion: apps/v1
kind: Deployment
metadata:
  name: mysql-master
  labels:
    name: mysql-master
  namespace: default
spec:
  replicas: 1
  selector:
    matchLabels:
      app: mysql-master
      name: mysql-master
  template:
    metadata:
      labels:
        app: mysql-master
        name: mysql-master
    spec:
      containers:
      - name: mysql-master
        image: mysql:9
        imagePullPolicy: Always
        ports:
        - containerPort: 3306
        env:
        - name: MYSQL_ROOT_PASSWORD
          value: "123456"
---
kind: Service
apiVersion: v1
metadata:
  name: mysql
  namespace: default
spec:
  type: ClusterIP
  clusterIP: None
  ports:
   - name: mysql
     port: 3306
  selector:
    name: mysql-master
---
# 创建ingress tcp转发用到的configmap
apiVersion: v1
kind: ConfigMap
metadata:
  name: tcp-services
  namespace: ingress-nginx
data:
  9000: "default/mysql:3306"
EOF
kubectl apply -f mysql.yaml

ingress对于TCP与UDP的转发通过增加--tcp-services-configmap--udp-services-configmap参数配置,用于指定配置保存的configmap。
configmap 格式如下:
<external port>:<namespace/service name>:<service port/name>:[PROXY]:[PROXY]

  • external port:表示ingress对外暴露的端口,需要在ingress service进行添加。 下一步添加。
  • <namespace/service name>:service 所在的namespace及名称。
  • <service port/name>:service的名称或端口。
  • [PROXY]:[PROXY]:TCP 服务中使用代理协议解码 (listen) 和/或编码 (proxy_pass)。第一个PROXY控制代理协议的解码,第二个PROXY控制使用代理协议的编码。(可选)

拓展( PROXY Protocol )

什么是 PROXY Protocol ? 其实很简单,就是为了解决多层NET或TCP转发时 无法获取客户端真实IP的问题,在 TCP 第一行加入了一些信息标识协议、客户端地址、转发地址以及端口等。目前有 v1 和 v2 两个版本。

开源版本支持:

  • HTTP 的 PROXY 协议:NGINX Open Source 1.5.12及更高版本
  • TCP 客户端 PROXY 协议:NGINX Open Source 1.9.3及更高版本
  • 接受 TCP 的 PROXY 协议:NGINX Open Source 1.11.4及更高版本
  • PROXY 协议 v2:NGINX Open Source 1.13.11及更高版本
    NGINX Open Source 默认不包含HTTP和Stream TCP的 Real-IP 模块;

一般获取客户端真实IP有以下2种方案:

HTTP:

  • 使用 X-Forwarded-For(XFF)头
  • Proxy Protocol + X-Forwarded-For

TCP:

  • Proxy Protocol + nginx日志分析
  • 基于网络层信息获取(toa)

然后接着说, 需要对ingress-nginx service 开启相应的端口转发,增加如下配置。

    - name: proxied-tcp-9000
      port: 9000
      targetPort: 9000
      protocol: TCP

最后,修改ingress-nginx deployment , 在启动参数中加入如下配置,用来更新nginx 关于TCP/UDP的转发配置。

args:
    - /nginx-ingress-controller
    - --tcp-services-configmap=ingress-nginx/tcp-services

完结~撒花🎉~~

参考

nginx-ingress 服务架构图
在这里插入图片描述
根据配置的信息自动加载后端IP、Port (https://github.com/kubernetes/ingress-nginx/blob/main/rootfs/etc/nginx/lua/tcp_udp_balancer.lua)
在这里插入图片描述

ingress-controller tcp转发
mofiu的博客
08-18 5818
此yaml测试可用ingress 不支持tcp转发,可以使用ingress-controller来做tcp转发 例如: apiVersion: v1 kind: ConfigMap metadata: name: nginx-tcp-ingress-configmap data: 7077: "default/sparkdingtest-master:7077" 6066: "defau
Nginx如何实现 TCP和UDP代理?
最新发布
m0_74824755的博客
03-07 1111
Nginx是一个高性能的HTTP和反向代理服务器,同时也支持TCP/UDP代理。在1.9.13版本后,Nginx已经支持端口转发,包括TCP和UDP协议。NginxTCP/UDP代理功能允许它作为一个中间人,接收来自客户端的TCP或UDP请求,并将这些请求转发到指定的后端服务器,然后将后端服务器的响应返回给客户端。通过这些配置,Nginx可以作为一个强大的TCP/UDP代理服务器,适用于多种应用场景,如数据库、邮件服务器、游戏服务器等。
Nginx-Ingress-Controller自定义端口实现TCP/UDP转发
游走在技术边缘
01-23 443
部署在k8s上的Nacos需要开放GRPC端口9948、9949,需要在nginx-ingress-controller开启tcp/udp支持
K8S Ingress-Nginx导出TCP端口
crabdave的博客
12-28 1077
K8S Ingress-Nginx导出TCP端口
Ingress 暴露tcp端口
weixin_30810583的博客
01-17 3262
有一部分应用 需要暴露tcp端口,查看官方文档 https://github.com/kubernetes/ingress-nginx/blob/master/docs/user-guide/exposing-tcp-udp-services.mdIngress 不支持TCP 和 UDP 服务,可以通过Ingress controller 来实现, 默认yaml已经添加了, 通过...
k8s之nginx-ingresstcp或udp的4层网络负载
zhaikaiyun的博客
12-14 5587
检查nginx-ingress是否开启tcp、udp转发 [test@test02 ingress]$ kubectl get pod -n ingress-nginx -o yaml |grep -i configmap - --configmap=$(POD_NAMESPACE)/nginx-configuration - --tcp-services-configmap=$(POD_NAMESPACE)/tcp-services - --udp-services-c...
ingress-nginx代理tcp使其能外部访问mysql
qq_43144842的博客
01-19 1215
这里使用的是daemonset方式部署的,如果是deployment,需要将daemonset修改成deployment添加tcp配置。
基于 Nginx Ingress Controller 的四层(TCP)转发配置
qq_42895490的博客
11-24 1869
本指南将展示如何通过配置ConfigMap来实现 Nginx Ingress Controller 的四层转发(TCP),并通过配置测试应用程序验证配置的有效性。本文中使用的 Kubernetes 组件包括ConfigMapServiceDeployment以及 LoadBalancer 类型的 Service。还将演示如何热加载修改ConfigMap,以使更改能够即时生效。Nginx-Ingress-Controller 的安装文档可以参考此。
Kubernetes——part4-3 基于Ingress Nginx实现灰度发布系统
渔阳的博客
01-05 1004
工作中,会经常对应用进行升级发版,在互联网公司尤为频繁,主要是为了满足业务的快速发展。经常用到的发布方式有滚动更新、蓝绿发布、灰度发布。
【Kubernetes】Ingress Nginx安装使用
dingpwen的博客
05-29 1188
Ingress Nginx官方地址: https://kubernetes.github.io/ingress-nginx/deploy/ https://kubernetes.github.io/ingress-nginx/deploy/baremetal/ 在Kubenetes集群中,要使得我们的微服务可以被集群外的机器访问,就得为每个微服务暴漏一个端口,一方面这样不安全,另一方面端口数量有限,所以需要用到类似ingress nginx类型工具来进行内部dns管理。 ingress nginx安装很.
k8s部署ingress-nginx脚本,ingress-nginx v1.2.0版本deploy.yaml
10-19
kubernetes 中的 pod 中容器想要对外部用户提供服务就需要将 pod 服务暴露至外部,让用户可以访问,而 Service 的表现形式为 ip 地址和端口号(ClusterIP:port)&(NodePort)即工作在四层 TCP/IP 层只能够通过 ip +...
k8s ingress原理及ingress-nginx部署测试
xiaxia2022的博客
09-26 1070
ingress 原理 service的三种方式ClusterIP、NodePort与LoadBalance,这几种方式都是在service的维度提供的,service的作用体现在两个方面,对集群内部,它不断跟踪pod的变化,更新endpoint中对应pod的对象,提供了ip不断变化的pod的服务发现机制,对集群外部,他类似负载均衡器,可以在集群内外部对pod进行访问。但是,单独用service暴露服务的方式,在实际生产环境中不太合适:ClusterIP的方式只能在集群内部访问。NodePor...
deploy
小螺号的博客
02-23 477
apiVersion: v1 kind: Namespace metadata: name: ingress-nginx labels: app.kubernetes.io/name: ingress-nginx app.kubernetes.io/instance: ingress-nginx Source: ingress-nginx/templates/controller-serviceaccount.yaml apiVersion: v1 kind: ServiceAccount metadat
ingress 暴露 TCP 和 UDP 服务
weixin_42562106的博客
05-13 2330
#打标签(只暴露这两台机) kubectl label nodes node91.com node92.com storagenode=nginx ingress暴露前添加以下参数(安装再最下面镜像已经替换好) #这个就不解释了 hostNetwork: true #直接匹配标签 nodeSelector: storagenode: nginx TCP暴露 tee tcp-test.yaml<<'-EOF' apiVersion: v1 kind: ConfigMap metadata
【kubernetes系列】kubernetes之使用ingress访问TCP和 UDP服务
margu_168的博客
07-20 1773
前面我们通过部署nginx-ingress作为一个访问入口,访问的都是支持http类型的服务,但是某些些场景下我们的服务不支持通过http服务访问,如MySQL,但是MySQL支持通过tcp进行访问。如果通过nodeport方式的话,每个节点都会暴露端口,会显得繁琐浪费。而我们集群一般会部署一个nginx-ingress,我们可以通过它来支持tcp的访问。
Ingress代理设置
qq_24442273的博客
09-30 623
资料 Ingress-Nginx github网址: https://github.com/kubernetes/inress-nginx Ingress-Nginx 官方网址: https://kubernetes.github.io/ingress-nginx/ Nginx以NodePort的形式去跟Pod交互 原理 Store监听 方式是以Pod的形式向我们APiServer发起连接进行监听,如果发生了一些新的数据写入会写入到循环队列里去(updatteChannel),NginxControlle
[kubernetes]-ingress开启非80或443的tcp端口
爷来辣的博客
09-05 9287
需求:部分服务不想通过80端口被访问,网关上对80端口有限制,只允许内网访问80和443,所以外网域名必须带端口号访问。以前是直接映射到服务器的端口号,k8s不想通过label指定机子部署。于是研究一下ingress 开启除80和443以外的端口 创建tcp-service.yaml 暴露tcp端口 # tcp-service.yaml apiVersion: v1 kind: Service metadata: name: ingress-nginx namespace: ingress-ngi
K8s+ingress-tcp(mysql)解决方案
完颜振江
01-24 3368
第一部分ingress设置的部分 部署ingress-controller 部署ingress-controller pod及相关资源 先给要部署nginx-ingress的node打上特定标签 [root@k8s-master ]# kubectl label nodes k8s-node1 custom/ingress-controller-ready=true [root@k8s-master ]# kubectl label nodes k8s-node1 custom/ingress-c
k8s nginx ssl
05-27
您想了解关于在 Kubernetes 中使用 Nginx 部署 SSL 的方法吗?如果是这样,您可以按照以下步骤进行操作: 1. 生成 SSL 证书和密钥 您可以使用 OpenSSL 工具生成 SSL 证书和密钥。例如,使用以下命令生成一个自签名的 SSL 证书和密钥: ``` openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout tls.key -out tls.crt -subj "/CN=example.com" ``` 2. 创建 Kubernetes 密钥和证书对象 使用 kubectl 命令创建 Kubernetes 密钥和证书对象: ``` kubectl create secret tls tls-secret --key tls.key --cert tls.crt ``` 3. 部署 Nginx Ingress Controller 您可以使用 Helm 安装 Nginx Ingress Controller,例如: ``` helm repo add ingress-nginx https://kubernetes.github.io/ingress-nginx helm repo update helm install my-release ingress-nginx/ingress-nginx ``` 4. 配置 Ingress 路由 在您的应用程序 Ingress 路由中添加以下注释来启用 SSL: ``` apiVersion: networking.k8s.io/v1beta1 kind: Ingress metadata: name: my-ingress annotations: nginx.ingress.kubernetes.io/ssl-redirect: "true" nginx.ingress.kubernetes.io/ssl-passthrough: "true" nginx.ingress.kubernetes.io/backend-protocol: "HTTPS" spec: tls: - hosts: - example.com secretName: tls-secret rules: - host: example.com http: paths: - path: / backend: serviceName: my-service servicePort: 80 ``` 其中: - `nginx.ingress.kubernetes.io/ssl-redirect: "true"` 启用所有流量重定向到 HTTPS。 - `nginx.ingress.kubernetes.io/ssl-passthrough: "true"` 配置 SSL 透传。 - `nginx.ingress.kubernetes.io/backend-protocol: "HTTPS"` 告诉 Nginx 与后端服务通信时使用 HTTPS 协议。 - `tls` 部分定义了 SSL 证书和密钥。 - `rules` 部分定义了路由规则。 在这个例子中,所有的流量都将被重定向到 HTTPS,并且 SSL 透传将被启用。请注意,这需要在 Nginx Ingress Controller 中启用 TCP/UDP 透传。 希望这些步骤能帮助到您。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值