K8s服务入口管理Traefik的安装使用和自动熔断

最新推荐文章于 2024-08-26 18:18:22 发布
最新推荐文章于 2024-08-26 18:18:22 发布
阅读量3.3k 收藏 8
点赞数
文章标签: docker kubernetes 运维 java 分布式
原文链接:https://edu.51cto.com/sd/d3cac
版权

微信公众号搜索 DevOps和k8s全栈技术 ,即可关注公众号,也可扫描文章最后的二维码关注公众号,每天会分享技术文章供大家阅读参考哈~

正文

前面部署了kubernetes/ingress-nginx 做为 Ingress Controller,使用 Nginx 反向代理与负载,经过 Ingress Controller 不断的跟 Kubernetes API 交互,实时获取后端 Service、Pod 等的变化,而后动态更新 Nginx 配置,并刷新使配置生效。Traefik 是一个用 Golang 开发的轻量级的 Http 反向代理和负载均衡器软件,因为能够自动化配置和刷新 backend 节点,目前能够被绝大部分容器平台与组件支持,例如 Docker, Swarm mode, Kubernetes,,Consul, Etcd, Rancher, Eureka 等。Traefik 设计的就可以实时跟 Kubernetes API 交互,感知后端 Service、Pod 等的变化,自动更新配置并热重载,使用上大致上差很少,可是 Traefik 更快速更方便,同时支持更多的特性,使反向代理、负载均衡更直接,更高效。node

Traefik 特性 nginx

  • 自动化动态配置无需服务重启

  • 支持多个负载平衡算法

  • 支持 Let’s Encrypt (通配符支持) 向您的微服务提供 HTTPS

  • 支持熔断,重试

  • 集群模式的高可用性

  • 提供简洁的 UI 界面

  • 支持 Websocket, HTTP/2, GRPC 协议

  • 提供监控的服务(Rest、Prometheus、Datadog、Statsd、InfluxDB)

  • 保留访问日志(JSON,CLF)

  • 快速

  • 支持 Rest API

  • 使用二进制文件打包,并做为一个 docker 镜像提供

部署 Traefik

全部的配置文件能够在官方的 github 仓库中找到,按照官方文档来便可。git

Role Based Access Control configuration (Kubernetes 1.6+ only) github

---
kind: ClusterRole
apiVersion: rbac.authorization.k8s.io/v1beta1
metadata:
  name: traefik-ingress-controller
rules:
  - apiGroups:
      - ""
    resources:
      - services
      - endpoints
      - secrets
    verbs:
      - get
      - list
      - watch
  - apiGroups:
      - extensions
    resources:
      - ingresses
    verbs:
      - get
      - list
      - watch
---
kind: ClusterRoleBinding
apiVersion: rbac.authorization.k8s.io/v1beta1
metadata:
  name: traefik-ingress-controller
roleRef:
  apiGroup: rbac.authorization.k8s.io
  kind: ClusterRole
  name: traefik-ingress-controller
subjects:
- kind: ServiceAccount
  name: traefik-ingress-controller
  namespace: kube-system
$ kubectl apply -f https://raw.githubusercontent.com/containous/traefik/master/examples/k8s/traefik-rbac.yaml

Deploy Traefik using a Deployment or DaemonSetweb

DaemonSet 会在每台 Node 节点上都建立 Pod 而 Deployment  是人为控制的副本数量(根据实际需求来取决),这里使用 DaemonSet 类型来部署 Traefik。算法

部署 Traefik(修改 hostNetwork: true) docker

#https://raw.githubusercontent.com/containous/traefik/master/examples/k8s/traefik-ds.yamlvi traefik-ds.yaml

vi traefik-ds.yaml

---
apiVersion: v1
kind: ServiceAccount
metadata:
  name: traefik-ingress-controller
  namespace: kube-system
---
kind: DaemonSet
apiVersion: extensions/v1beta1
metadata:
  name: traefik-ingress-controller
  namespace: kube-system
  labels:
    k8s-app: traefik-ingress-lb
spec:
  template:
    metadata:
      labels:
        k8s-app: traefik-ingress-lb
        name: traefik-ingress-lb
    spec:
      serviceAccountName: traefik-ingress-controller
      terminationGracePeriodSeconds: 60
      hostNetwork: true
      restartPolicy: Always
      containers:
      - image: traefik
        name: traefik-ingress-lb
        ports:
        - name: http
          containerPort: 80
          hostPort: 80
        - name: admin
          containerPort: 8080
          hostPort: 8080
        securityContext:
          capabilities:
            drop:
            - ALL
            add:
            - NET_BIND_SERVICE
        args:
        - --api
        - --kubernetes
        - --logLevel=INFO
---
kind: Service
apiVersion: v1
metadata:
  name: traefik-ingress-service
  namespace: kube-system
spec:
  selector:
    k8s-app: traefik-ingress-lb
  ports:
    - protocol: TCP
      port: 80
      name: web
    - protocol: TCP
      port: 8080
      name: admin

部署查看
$ kubectl apply -f traefik-ds.yaml
serviceaccount/traefik-ingress-controller unchanged
daemonset.extensions/traefik-ingress-controller configured
service/traefik-ingress-service unchanged
$ kubectl apply -f traefik-ds.yaml
serviceaccount/traefik-ingress-controller unchanged
daemonset.extensions/traefik-ingress-controller unchanged
service/traefik-ingress-service unchanged
[root@kubernetes-master k8s]# kubectl -n kube-system get pod -o wide
NAME                                        READY   STATUS    RESTARTS   AGE   IP              NODE                NOMINATED NODE
traefik-ingress-controller-6fk9n            1/1     Running   0          41m   10.38.0.0       kubernetes-node-2   <none>
traefik-ingress-controller-f7kmc            1/1     Running   0          41m   10.40.0.1       kubernetes-node-1   <none>

备注:上述因为修改 hostNetwork: true ,其实已经在每一个 Node 节点开放了 80 与 8080 端口,80 提供正常服务,8080 是其自带的 UI 界面。后端

Node 节点查看开放的端口 api

$  netstat -ntlp
Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address           Foreign Address         State       PID/Program name
tcp6       0      0 :::8080                 :::*                    LISTEN      10253/traefik
tcp6       0      0 :::80                   :::*                    LISTEN      10253/traefik

Ingress 方式暴露 Traefik Web UI app

#  https://raw.githubusercontent.com/containous/traefik/master/examples/k8s/ui.yaml
vi traefik-web-ui.yaml

---
apiVersion: v1
kind: Service
metadata:
  name: traefik-web-ui
  namespace: kube-system
spec:
  selector:
    k8s-app: traefik-ingress-lb
  ports:
  - name: web
    port: 80
    targetPort: 8080
---
apiVersion: extensions/v1beta1
kind: Ingress
metadata:
  name: traefik-web-ui
  namespace: kube-system
  annotations:
    kubernetes.io/ingress.class: traefik
spec:
  rules:
  - host: traefik-ui.com
    http:
      paths:
      - backend:
          serviceName: traefik-web-ui
          servicePort: 80

部署查看

$ kubectl apply -f traefik-web-ui.yaml
service/traefik-web-ui created
ingress.extensions/traefik-web-ui created
$ kubectl get ingress -o wide --all-namespaces
NAMESPACE     NAME             HOSTS            ADDRESS   PORTS   AGE
kube-system   traefik-web-ui   traefik-ui.com             80      18s

配置Host文件

172.23.216.49 k8s.dashboard.com
172.23.216.49 traefik-ui.com

访问 http://traefik-ui.com/dashboard/ 经过 80 端口转发。

模拟部署一个程序

下面模拟部署一个程序,已 Nginx  为例:

vi nginx-deployment.yaml

apiVersion: v1
kind: Service
metadata:
  name: nginx-svc
spec:
  template:
    metadata:
      labels:
        name: nginx-svc
        namespace: default
spec:
  selector:
    run: nginx-pod
  ports:
  - protocol: TCP
    port: 80
    targetPort: 80
---
apiVersion: apps/v1beta1
kind: Deployment
metadata:
  name: nginx-pod
spec:
  replicas: 4
  template:
    metadata:
      labels:
        run: nginx-pod
    spec:
      containers:
      - name: nginx
        image: nginx:1.15.5
        ports:
        - containerPort: 80
---
apiVersion: extensions/v1beta1
kind: Ingress
metadata:
  name: ngx-ing
  annotations:
    kubernetes.io/ingress.class: traefik
spec:
  rules:
  - host: k8s.nginx.com
    http:
      paths:
      - backend:
          serviceName: nginx-svc
          servicePort: 80

部署查看

$ kubectl apply -f nginx-deployment.yam
$  kubectl get pods  --all-namespaces
NAMESPACE     NAME                                        READY   STATUS    RESTARTS   AGE
default       nginx-pod-5b5bc94455-ndcl6                  1/1     Running   0          18m
default       nginx-pod-5b5bc94455-nptm5                  1/1     Running   0          18m
default       nginx-pod-5b5bc94455-ptvzp                  1/1     Running   0          18m
default       nginx-pod-5b5bc94455-vw667                  1/1     Running   0          18m

修改 Host 文件

172.23.216.49 k8s.dashboard.com
172.23.216.49 traefik-ui.com
172.23.216.49 k8s.nginx.com

访问 k8s.nginx.com 便可,查看 traefik-ui(对应 4个 Pod)。

HTTPS 证书配置

生成自签名证书

openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout tls.key -out tls.crt -subj "/CN=traefik-ui.com"
kubectl -n kube-system create secret tls traefik-ui-tls-cert --key=tls.key --cert=tls.crt

配置

apiVersion: extensions/v1beta1
kind: Ingress
metadata:
  name: traefik-web-ui
  namespace: kube-system
  annotations:
    kubernetes.io/ingress.class: traefik
spec:
  rules:
  - host: traefik-ui.com
    http:
      paths:
      - backend:
          serviceName: traefik-web-ui
          servicePort: 80
  tls:
   - secretName: traefik-ui-tls-cert

自动熔断

在集群中,当某一个服务大量出现请求错误,或者请求响应时间过久,或者返回500+错误状态码时,我们希望可以主动剔除该服务,也就是不在将请求转发到该服务上,而这一个过程是自动完成,不需要人工执行。Traefik 通过配置很容易就能帮我们实现,Traefik 可以通过定义策略来主动熔断服务

举例:

  • NetworkErrorRatio() > 0.6:监测服务错误率达到60%时,熔断

  • LatencyAtQuantileMS(60.0) > 60:监测延时大于60ms时,熔断

  • ResponseCodeRatio(500, 600, 0, 600) > 0.5:监测返回状态码为[500-600]在[0-600]区间占比超过50%时,熔断

例子

apiVersion: v1
kind: Service
metadata:
  name: wensleydale
  annotations:
    traefik.backend.circuitbreaker: "NetworkErrorRatio() > 0.6" 
    traefik.backend.circuitbreaker: LatencyAtQuantileMS(60.0) > 2000 #>2秒熔断

往期精彩文章

kubernetes全栈技术+企业案例演示【带你快速掌握和使用k8s】

python运维开发实战

kubernetes面试题汇总

DevOps视频和资料免费领取

kubernetes技术分享-可用于企业内部培训

谈谈我的IT发展之路

kubernetes系列文章第一篇-k8s基本介绍

kubernetes系列文章第二篇-kubectl

了解pod和pod的生命周期-这一篇文章就够了

Kubernetes中部署MySQL高可用集群

Prometheus+Grafana+Alertmanager搭建全方位的监控告警系统-超详细文档

k8s1.18多master节点高可用集群安装-超详细中文官方文档

k8s中蓝绿部署、金丝雀发布、滚动更新汇总

运维常见问题汇总-tomcat篇

关于linux内核参数的调优,你需要知道

kubernetes挂载ceph rbd和cephfs

报警神器Alertmanager发送报警到多个渠道

jenkins+kubernetes+harbor+gitlab构建企业级devops平台

kubernetes网络插件-flannel篇

kubernetes网络插件-calico篇

kubernetes认证、授权、准入控制

限制不同的用户操作k8s资源

面试真题&技术资料免费领取-覆盖面超全~

Prometheus监控MySQL

Prometheus监控Nginx

Prometheus监控Tomcat

linux面试题汇总

测试通过storageclass动态生成pv

通过编写k8s的资源清单yaml文件部署gitlab服务

helm安装和使用-通过helm部署k8s应用

k8s基于Ingress-nginx实现灰度发布

Prometheus Operator-上篇-安装和使用篇

Prometheus Operator-下篇

通过kubeconfig登陆k8s的dashboard ui界面

通过token令牌登陆k8s dashboard ui界面 

kubernetes集群的etcd数据库详细介绍

Linux网络流量监控工具

kubernetes搭建EFK日志管理系统

prometheus operator监控k8s集群之外的haproxy组件         

kubernetes ConfigMap存储卷                                            

技术交流群

学无止境,了解更多关于kubernetes/docker/devops/openstack/openshift/linux/IaaS/PaaS相关内容,想要获取更多资料和免费视频,可按如下方式进入技术交流群

                            扫码加群????

微信:luckylucky421302

微信公众号

                                     长按指纹关注公众号????

                       

韩先超
关注
应用网关 OpenResty 对接 K8s 实践
Tommy Xiao
10-28 1214
当前云原生应用网关有很多选择,例如:Nginx/OpenResty、Traefik、Envoy 等,从部署流行度来看 OpenResty 毋容置疑是最流行的反向代理网关。本篇探讨的就是 Kubernetes 为了统一对外的入口网关而引入的 Ingress 对象是如何利用 OpenResty 来优化入口网关的能力的。 为什么需要 OpenResty 原生 Kubernetes Service 提供对...
【学习笔记 - Kubernetesk8s)】Ingress 统一访问入口
热门推荐
AlanLee97的博客
02-29 3万+
Ingress 统一访问入口 什么是 Ingress 通常情况下,Service 和 Pod 的 IP 仅可在集群内部访问。集群外部的请求需要通过负载均衡转发到 Service 在 Node 上暴露的 NodePort 上,然后再由 kube-proxy 通过边缘路由器 (edge router) 将其转发给相关的 Pod 或者丢弃。而 Ingress 就是为进入集群的请求提供路由规则的集合 In...
k8s之istio实现服务请求熔断(1)
jiayu的博客
04-26 1315
熔断,是创建弹性微服务应用程序的重要模式。熔断能够使您的应用程序具备应对来自故障、潜在峰值和其他未知网络因素影响的能力
Kubernetes traefik 系列|traefik部署与使用
weixin_48711696的博客
08-10 1332
Traefik是一个功能强大的负载均衡工具,它支持4层和7层的基本负载均衡操作,通过IngressRoute、IngressRouteTCP、IngressRouteUDP资源即可轻松实现。为了满足更复杂的负载均衡需求,Traefik还抽象出了TraefikService资源,允许实现加权轮询、流量复制等高级操作。
【监控】Traefik集成sentinel实现接口的熔断、限流、降级
比嗨皮兔
04-10 411
Traefik 中配置 Sentinel 的 Dashboard 地址和应用名称等参数,可以通过 Traefik Middleware metadata 来实现,并结合 Traefik Sentinel 插件和路由规则来实现限流和降级控制。在 Traefik 中配置 Sentinel 的 Dashboard 地址和应用名称等参数,可以通过 Traefik Middleware metadata 来实现。在 Traefik 配置文件中添加 Sentinel 插件的配置。
八,熔断、降级
Coding到灯火阑珊的专栏
09-29 996
熔断器 Hystrix-go hystrix-go是用go实现的hystrix版,提供了基础的熔断、降级功能。 项目中应用 完整代码: https://github.com/Justin02180218/micro-kit 在 pkg 下新建目录 circuitbreakers,创建 hystrix.go 文件: 代码如下: import "github.com/afex/hystrix-go/hystrix" func Hystrix(commandNam
k8s部署Traefik
田园园野的博客
06-02 8704
Ingress: ingress是从kubernetes集群外访问集群的入口,将用户的URL请求转发到不同的service上。Ingress相当于nginx、apache等负载均衡方向代理服务器,其中还包括规则定义,即URL的路由信息,路由信息得的刷新由Ingress controller来提供。 Ingress Controller 实质上可以理解为是个监视器,Ingress Controlle...
千云物流-k8s安装路由traefik
Hello Word
12-02 787
traefik开源的边缘路由器,traefik 本身就能跟 kubernetes API 交互,感知后端变化。traefik 是一个前端负载均衡器,做反向代理。对于微服务架构尤其是 kubernetes 等编排工具具有良好的支持;traefik部署在k8s上分为daemonset和deployment。所有操作都会自动实时进行(热加载)。在2.0版本之后增加了tcp代理。证书有效期为3个月,剩余不足30天时,Traefik自动尝试续订。
Istio最佳实践:在K8s上通过Istio服务网格进行灰度发布
weixin_42538690的博客
09-06 5938
Istio是什么? Istio是Google继Kubernetes之后的又一开源力作,主要参与的公司包括Google,IBM,Lyft等公司。它提供了完整的非侵入式的微服务治理解决方案,包含微服务管理、网络连接以及安全管理等关键能力,无需修改任何代码就能够实现微服务的负载均衡,服务服务之间的认证授权以及监控。从整个基础设施角度上看,可以将它理解为PaaS平台上的一个面向微服务管理平台的补充。...
详解k8s组件Ingress边缘路由器并落地到微服务-kubernetes
01-28
总的来说,Ingress是k8s服务对外暴露的关键手段,通过Ingress Controller和反向代理Web服务器,可以实现灵活的流量管理服务发现,为微服务架构提供了强大的支持。正确配置和选择合适的Ingress解决方案对于k8s集群...
k8s大总结
最新发布
怨行客
08-26 164
1. ingress 不同的网络域名path 对应不同的 后端svc的功能 ingress 定下规则,ingress-controller 根据这个规则,配置了负载均衡器(比如 nginx),让它知道访问 www.test.com的时候,将流量转发到 web-service
GRPC在k8s中的服务发现和负载均衡_traefik-ingress
wangxin123wangxin的博客
02-25 4564
GRPC在k8s中的服务发现和负载均衡
【7】K8s_Ingress | Service的统一网关入口
强哥的微博
01-15 3333
Service的统一网关入口k8s中的一个api对象,一般用yaml配置。作用是定义请求转发的规则,可以理解为配置模板或者配置文件可以配置提供服务外部访问的URL、负载均衡、终止SSL,并提供基于域名的虚拟主机。
详解K8S入口Ingerss
天然玩家的博客
09-21 2万+
(1)Ingress是集群中管理外部接入Service的接口(API)对象。 (2)Ingress可提供负载均衡、SSL终端和基于名称虚拟主机等功能。 (3)Ingress中的每个路径需要有对应的路径类型。支持的三种路径类型:ImplementationSpecific、Exact和Prefix。 (4)Ingress可路由一个或多个Service,并且可动态更新Service路由关系。通过kubectl edit ingress ingress-name。
k8s 集群部署traefik
以梦为马,不负韶华
04-03 762
k8s 集群部署traefik
traefik】基于k8s搭建traefik, nginx与traefik共存
lixiaonan0318的博客
04-27 2218
ingress controller 负责解析 Ingress 的反向代理规则,当它收到请求后就会根据规则将请求转发到对应的 Service。每种边缘路由都有自己的 ingress controller,如 nginx ingress controller。此toml文件是静态的,不会热更新,关于动态配置文件下一篇再聊。检查pod 状态是否正常即可。
k8s安装traefik作为ingress
虫虫的博客
03-28 1453
k8s安装traefik作为ingress
【微服务】微服务中的熔断、降级与限流
qq_20623849的博客
11-09 2012
熔断、限流、降级、高并发
我对微服务、SpringCloud、k8s、Istio的一些杂想
chengwei9208的博客
07-26 1059
一、微服务与SOA “微服务”是一个名词,没有这个名词之前也有“微服务”,一个朗朗上口的名词能让大家产生一个认知共识,这对推动一个事务的发展挺重要的,不然你叫微服务他叫小服务的大家很难集中到一个点上。 业界对微服务与SOA的区别争论比较多大多都是在微观上对比他们的区别什么微服务粒度更细啊...
K8s离线全自动部署:v2.6版本全面升级与特点
本文档详细介绍了k8sKubernetes)的全自动离线部署方案,特别强调了其高可用性和自动化特性。该部署系统针对CentOS 7.4/7.5/7.6/7.7版本,提供了多个Kubernetes版本的选择,包括1.16.2、1.15.4和1.15.3,对应不同...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值