Kubernetes Ingress 进阶:如何基于来源 IP 实现精细化路由控制?

最新推荐文章于 2025-05-16 14:22:34 发布
最新推荐文章于 2025-05-16 14:22:34 发布
阅读量1.2k 收藏 14
点赞数 44
分类专栏: 包罗万象 文章标签: kubernetes tcp/ip 容器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-NC-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44976692/article/details/147978591
版权

个人名片
在这里插入图片描述
🎓作者简介:java领域优质创作者
🌐个人主页码农阿豪
📞工作室:新空间代码工作室(提供各种软件服务)
💌个人邮箱:[2435024119@qq.com]
📱个人微信:15279484656
🌐个人导航网站www.forff.top
💡座右铭:总有人要赢。为什么不能是我呢?

  • 专栏导航:

码农阿豪系列专栏导航
面试专栏:收集了java相关高频面试题,面试实战总结🍻🎉🖥️
Spring5系列专栏:整理了Spring5重要知识点与实战演练,有案例可直接使用🚀🔧💻
Redis专栏:Redis从零到一学习分享,经验总结,案例实战💐📝💡
全栈系列专栏:海纳百川有容乃大,可能你想要的东西里面都有🤸🌱🚀

目录

Kubernetes Ingress 进阶:如何基于来源 IP 实现精细化路由控制?

引言

在现代微服务架构中,Kubernetes Ingress 作为集群的入口网关,负责将外部请求路由到不同的后端服务。默认情况下,Ingress 支持基于 Host(域名) 和 Path(路径) 的路由规则,但某些业务场景(如灰度发布、IP 白名单访问、多线路流量调度)需要更精细的控制,例如 基于来源 IP(Source IP) 的路由。

本文将深入探讨:

  1. Kubernetes Ingress 默认路由机制
  2. 如何扩展 Ingress 以支持来源 IP 路由?
  3. 不同方案的实现方式及适用场景
  4. 代码示例与最佳实践

1. Kubernetes Ingress 默认路由机制

1.1 Ingress 基本概念

Ingress 是 Kubernetes 提供的 API 对象,用于管理外部访问集群服务的 HTTP/HTTPS 路由规则。它通常配合 Ingress Controller(如 Nginx、Traefik、Istio)使用,由 Controller 实现具体的流量转发逻辑。

1.2 标准 Ingress 规则

一个典型的 Ingress 配置如下:

apiVersion: networking.k8s.io/v1
kind: Ingress
metadata:
  name: example-ingress
spec:
  rules:
  - host: "foo.example.com"
    http:
      paths:
      - path: /
        pathType: Prefix
        backend:
          service:
            name: foo-service
            port:
              number: 80
  - host: "bar.example.com"
    http:
      paths:
      - path: /
        pathType: Prefix
        backend:
          service:
            name: bar-service
            port:
              number: 80

特点:

  • 基于 host(域名)和 path 路由。
  • 不支持直接基于来源 IP 的路由。

2. 为什么需要基于来源 IP 的路由?

2.1 典型业务场景

  1. IP 白名单访问控制:只允许特定 IP 访问管理后台。
  2. 多线路流量调度:电信用户访问服务 A,联通用户访问服务 B。
  3. 灰度发布:仅部分 IP 用户访问新版本服务。
  4. 安全防护:屏蔽恶意 IP 或 DDoS 攻击源。

2.2 技术挑战

Kubernetes Ingress 默认不提供 sourceIP 匹配规则,因此需要借助 Ingress Controller 扩展 或 上层代理 实现。

3. 实现方案对比

方案适用场景实现复杂度依赖组件
Nginx Ingress 注解简单 IP 匹配Nginx Ingress
自定义 Header + Ingress灵活但需前置代理负载均衡器 / CDN
Istio VirtualService高级流量管理Istio
云厂商 LB 规则云环境集成AWS ALB / Volcengine CLB

4. 方案 1:Nginx Ingress 扩展

4.1 使用 server-snippet 注解

Nginx Ingress 允许通过注解注入自定义 Nginx 配置:

apiVersion: networking.k8s.io/v1
kind: Ingress
metadata:
  name: ip-based-route
  annotations:
    nginx.ingress.kubernetes.io/server-snippet: |
      if ($remote_addr ~ "1.2.3.4") {
        rewrite ^ /special-path break;
      }
spec:
  rules:
  - host: example.com
    http:
      paths:
      - path: /special-path
        backend:
          service:
            name: special-service
            port:
              number: 80
      - path: /
        backend:
          service:
            name: default-service
            port:
              number: 80

说明:

  • $remote_addr 是客户端 IP。
  • 如果 IP 是 1.2.3.4,则重写到 /special-path,由 special-service 处理。

4.2 使用 configuration-snippet 精细化控制

annotations:
  nginx.ingress.kubernetes.io/configuration-snippet: |
    if ($remote_addr = "1.2.3.4") {
      set $proxy_upstream_name "default-special-service-80";
    }

适用场景:

  • 需要直接修改 upstream,而非重写路径。

5. 方案 2:自定义 Header + Ingress

5.1 前置代理设置 Header

如果流量经过 CDN / 负载均衡器(如 AWS ALB、Volcengine CLB),可以在该层注入自定义 Header:

X-Real-IP: 1.2.3.4

5.2 Ingress 匹配 Header

部分 Ingress Controller(如 Traefik)支持 Header 匹配:

apiVersion: networking.k8s.io/v1
kind: Ingress
metadata:
  name: header-based-route
  annotations:
    traefik.ingress.kubernetes.io/request-headers: "X-Real-IP=1.2.3.4"
spec:
  rules:
  - host: example.com
    http:
      paths:
      - path: /
        backend:
          service:
            name: special-service
            port:
              number: 80

6. 方案 3:Istio VirtualService

6.1 配置 VirtualService

Istio 提供了更强大的流量管理能力:

apiVersion: networking.istio.io/v1alpha3
kind: VirtualService
metadata:
  name: route-by-ip
spec:
  hosts:
  - "example.com"
  http:
  - match:
    - headers:
        x-forwarded-for:
          exact: "1.2.3.4"
    route:
    - destination:
        host: special-service
  - route:
    - destination:
        host: default-service

说明:

  • 匹配 X-Forwarded-For 头(需确保代理层已设置)。
  • 适用于 Service Mesh 架构。

7. 方案 4:云厂商负载均衡器规则

7.1 AWS ALB 示例

# 通过 ALB Ingress 注解实现
metadata:
  annotations:
    alb.ingress.kubernetes.io/conditions.special-service: |
      [{
        "Field": "source-ip",
        "SourceIpConfig": {
          "Values": ["1.2.3.4/32"]
        }
      }]
spec:
  rules:
  - host: example.com
    http:
      paths:
      - path: /
        backend:
          service:
            name: special-service
            port:
              number: 80

7.2 Volcengine CLB 规则

火山引擎 CLB 支持 基于源 IP 的流量调度,可在控制台配置:

  1. 创建监听规则,选择 IP 匹配。
  2. 将符合 IP 的请求转发到特定后端服务。

8. 最佳实践

  1. 优先使用 Nginx Ingress 注解(简单场景)。
  2. 云环境优先使用 LB 规则(高性能,低延迟)。
  3. Service Mesh 架构选择 Istio(高级流量管理)。
  4. 确保真实 IP 透传:
    • 在 Nginx Ingress 中启用 use-forwarded-headers
    • 在云 LB 中开启 X-Forwarded-For 支持。

9. 总结

本文介绍了 4 种实现 Kubernetes Ingress 基于来源 IP 路由的方案:

  1. Nginx Ingress 注解:适合简单 IP 匹配。
  2. Header + Ingress:需前置代理支持。
  3. Istio VirtualService:适用于 Service Mesh。
  4. 云厂商 LB 规则:云原生最佳实践。

选择建议:

  • 自建集群 → Nginx Ingress / Istio。
  • 云托管集群 → 直接使用云厂商 LB 功能。

通过合理选择方案,可以实现 精细化流量控制,提升业务安全性与可用性。

Kubernetes(K8S) 入门进阶实战完整教程
JustinMars的博客
03-15 3635
Kubernetes详细教程 1. Kubernetes介绍 1.1 应用部署方式演变 在部署应用程序的方式上,主要经历了三个时代: 传统部署:互联网早期,会直接将应用程序部署在物理机上 优点:简单,不需要其它技术的参与 缺点:不能为应用程序定义资源使用边界,很难合理地分配计算资源,而且程序之间容易产生影响 虚拟化部署:可以在一台物理机上运行多个虚拟机,每个虚拟机都是独立的一个环境 优点:程序环境不会相互产生影响,提供了一定程度的安全性 缺点:增加了操作系统,浪费了部分资源 容器化部署:
Java微服务的容器化革命:Docker与Kubernetes实践全解析
墨夶的博客
12-18 1924
总之,通过合理规划和精心设计,我们可以充分利用Docker和Kubernetes的优势,构建出高效、自动化且易于维护的Java微服务集群。希望这篇文章能为你提供有价值的指导,并激发你在探索这条道路上不断前进的动力。如果你有任何疑问或想要分享自己的经验,请随时留言交流!以上内容是一次生成的内容极限,涵盖了关于构建Java微服务——Docker和Kubernetes实践的详细指南,包括从基础概念到具体实现步骤,再到高级优化技巧等多个方面。如果您有更多问题或者想要深入了解某个特定部分,请随时告诉我!
异构推理集群实时监控与自动扩缩容实战:基于 Kubernetes × DCGM × KEDA 的动态资源管理全流程解析
努力分享一些人工智能相关的知识干货!
05-07 801
在大规模 AI 推理集群部署中,GPU、NPU 与 CPU 资源往往存在异构并存、负载动态变化等问题。如何实现对推理任务运行态资源的实时监控,并基于业务指标完成高效的自动扩缩容控制,已成为生产环境中的关键挑战。本文聚焦 Kubernetes × NVIDIA DCGM × KEDA 的集成实践,构建一套支持多维指标采集、推理服务弹性调度与容器自动调控的异构资源管理系统。通过对实时 GPU 利用率、推理时延、请求速率等指标的监测与动态决策,形成完整的 AI 服务弹性控制闭环,适用于智能客服、多模型调度、视频分
Kubernetes + Triton Inference Server:打造高性能多模型推理平台全流程实战
努力分享一些人工智能相关的知识干货!
04-28 894
随着AI应用场景日益丰富,单一模型推理已难以满足实际业务需求,多模型并发推理成为平台建设的新常态。Triton Inference Server作为NVIDIA推出的高性能推理框架,原生支持TensorRT、ONNX、PyTorch、TensorFlow等多种模型格式,具备动态批处理、模型版本管理、多实例部署等核心能力。本文基于真实工程经验,详细讲解如何在Kubernetes集群中部署Triton推理平台,构建支持高并发、多模型、弹性扩缩容的生产级推理系统,附完整配置示例与性能优化实践。
【云原生】Kubernetes学习笔记
passnight的博客
09-23 3681
Kubernates学习笔记; 在真实集群中学习Kubernate的使用, 包含了Kubernetes的基本使用及部署
云原生 Kubernetes 应用的金丝雀发布策略
AI云原生与云计算技术学院
05-13 665
在云原生时代,微服务架构与容器化部署的普及对应用发布提出更高要求:如何在保证服务可用性的同时,安全高效地推进版本迭代?传统的全量发布模式(如蓝绿部署、滚动更新)已难以满足复杂业务场景需求,金丝雀发布作为精细化灰度发布的核心策略,通过渐进式流量释放与实时风险监控,成为现代DevOps流水线的关键环节。流量路由的核心机制(标签选择、权重分配、Header路由)健康检测体系设计(指标采集、异常熔断、自动回滚)与CI/CD系统的集成方案(Argo CD、Jenkins X)
Kubernetes-进阶(Pod生命周期/调度/控制器,Ingress代理,数据存储PV/PVC)
JolyouLu的博客
10-24 491
以下是Pod的yaml中可配置的信息使用命令可以看到pod的可配置的属性使用命令可以看到pod.metadata的可配置的属性apiVersion: v1 #必选,版本号,例如v1kind: Pod   #必选,资源类型,例如 Podmetadata:   #必选,元数据name: string #必选,Pod名称namespace: string #Pod所属的命名空间,默认为"default"labels:    #自定义标签列表spec: #必选,Pod中容器的详细定义。
【部署实战】KServe × Knative × Volcano:构建企业级大模型推理服务托管平台
努力分享一些人工智能相关的知识干货!
04-29 1031
大模型推理应用对云原生托管平台提出了超越传统微服务应用的全新要求,需要在推理链路治理、资源弹性伸缩、异构资源编排、推理流量优化等方面实现系统化升级。本篇基于真实可复现的工程实践,聚焦于 KServe 推理服务托管框架、Knative 弹性流量控制平台和 Volcano 智能资源调度器的结合使用,系统拆解如何构建企业级大模型推理托管平台,从底层资源管理到推理链优化,全面提升推理服务的稳定性、性能和资源利用率,支撑规模化推理应用在生产环境中的稳定运行。
Kubernetes之(十七)网络模型和网络策略
weixin_30528371的博客
04-12 398
目录 Kubernetes之(十七)网络模型和网络策略 Kubernetes网络模型和CNI插件 Docker网络模型 Kubernetes网络模型 Flannel网络插件 Direct routing模式配置 Host-gw后端 ...
Kubernetes实战进阶:从入门到企业级容器编排专家
![Kubernetes]...Kubernetes作为目前最流行的容器编排平台,其核心目标是简化容器化应用的部署、管理和扩展。在深入了解Kubernetes之前,我们需要先从基础概念
容器技术】:Docker与Kubernetes进阶指南,专家带你飞!
![【容器技术】:Docker与Kubernetes进阶指南,专家带你飞!](https://media.licdn.com/dms/image/D5612AQE-xnyd5G633Q/article-cover_image-shrink_600_2000/0/1682396695516?... # 摘要 随着云原生技术的迅速发展,...
Kubernetes Service高级配置:实现复杂网络需求的7个技巧
[Kubernetes Service高级配置:实现复杂网络需求的7个技巧](https://drek4537l1klr.cloudfront.net/posta2/Figures/CH10_F01_Posta2.png) # 1. Kubernetes Service简介与基本配置 在Kubernetes的世界里,Service是...
Kubernetes核心技术指南】:零基础到专家的进阶之路
![【Kubernetes核心技术指南】:零基础到...从集群的部署与初始化配置,到Kubernetes对象管理、网络基础与服务发现,再到高可用集群配置、自动伸缩与资源优化、安全机制与最佳实践,文章详细描述了在不同层面上如何高效
K8s 图形界面管理kubesphere
u013454416的博客
05-13 1162
KubeSphere是一个基于Kubernetes的开源容器平台,旨在简化企业级Kubernetes集群的部署、管理和运维。它提供了多租户管理、DevOps流水线、应用商店、监控与日志、服务网格、网络策略等核心功能,帮助企业快速构建和运维云原生应用。KubeSphere的架构设计模块化且可扩展,支持多种安装方式,包括All-in-One、多节点和KubeKey安装。使用指南涵盖了从登录控制台到创建企业空间、项目、部署应用、配置DevOps流水线、监控与日志等操作。此外,KubeSphere还支持多集群管理、
黑马k8s(五)
dengfengling999的博客
05-13 290
使用配置文件:name:nginx就是pod的名称,不是pod控制器的名称,用命令行的时候,没有办法单独起一个pod,用yaml运行的起的是单独的一个pod。通过pod的ip,使用curl进行访问,这个ip地址会随着pod的重新创建而变化。查看dev下面的pod控制器,要想真正的删掉pod,删掉pod控制器,就可以了。run nginx:nginx是pod控制器的名称,不是pod的名称。查看 dev下面的pod,第二个pod处于容器创建的状态。启动一个不存在的镜像:pod。
容器化-k8s-介绍及下载安装教程
最新发布
hy_4377的博客
05-16 1087
K8s 的核心目的是提高容器化应用的部署效率、可扩展性和可靠性,降低运维成本,使开发人员和运维人员能够更加专注于应用本身的开发和业务逻辑,而不是基础设施的管理。8、安装kubeadm,kubelet和kubectl,在主节点中,默认是使用kubeadm来创建集群,kubelet运行集群,kubectl 操作集群。4、设置用户名,添加主机名与IP对应的关系,免密(这一步可以只在master执行),这一步我为后面传输网络做准备。和上面安装主节点的方式一样,按照步骤:1、2、3、5、6、7、8 步骤依次安装。
Rocky Linux 9.5 基于kubeadm部署k8s
wjy6_的博客
05-14 290
【代码】Rocky Linux 9.5 基于kubeadm部署k8s。
k8s之Kubebuilder 的设计哲学
woshihlf的博客
05-14 747
简单来说,Kubebuilder 希望开发者像写普通 Go 程序一样编写 Operator,,目的是减少维护成本、提高可读性,同时保持灵活性。(如 CRD 生成),而非引入新的复杂度。Kubebuilder 的设计哲学强调。
k8s初始化时候,报错无法通过 CRI(容器运行时接口)与 containerd 通信
qq_36967200的博客
05-13 638
首先确定containerd 配置正确启用了 CRI 插件,sudo cat /etc/containerd/config.toml | grep -A 5 “[plugins.“io.containerd.grpc.v1.cri”]”这说明 kubeadm 无法通过 CRI(容器运行时接口)与 containerd 通信,因为缺少了正确的服务实现,通常这是由于 containerd 的配置不兼容或者 containerd 安装得不完整。再次初始化集群就可以了。
评论 16
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

码农阿豪@新空间

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值