K8s七层代理Ingress Controller详解

🐇明明跟你说过：个人主页

🏅个人专栏：《Kubernetes航线图：从船长到K8s掌舵者》 🏅

🔖行路有良友，便是天堂🔖

目录

一、前言

1、k8s简介

2、Ingress Controller简介

二、Ingress Controller基础

1、Ingress Controller的工作原理 

2、Ingress Controller与Service、LoadBalancer的对比 

三、Ingress资源对象

1、Ingress资源的定义

2、Ingress规则详解 

3、Ingress注解的使用

---

一、前言

1、k8s简介

Kubernetes单词起源于希腊语, 是“舵手”或者“领航员、飞行员”的意思。

Kubernetes（简称K8s）的前世今生可以追溯到谷歌（Google）内部的一个项目，它起源于2003年，当时谷歌正面临着不断增长的应用程序和服务的管理挑战。这个项目最初被称为"Borg"，是一个早期的容器编排系统。Borg 的成功经验成为 Kubernetes 开发的契机。

 有关k8s起源的介绍，请参考《初识K8s之前世今生、架构、组件、前景》这篇文章

​​​

​

Kubernetes的优点包括可移植性、可伸缩性和扩展性。它使用轻型的YAML清单文件实现声明性部署方法，对于应用程序更新，无需重新构建基础结构。管理员可以计划和部署容器，根据需要扩展容器并管理其生命周期。借助Kubernetes的开放源代码API，用户可以通过首选编程语言、操作系统、库和消息传递总线来构建应用程序，还可以将现有持续集成和持续交付（CI/CD）工具集成。

​​

2、Ingress Controller简介

Ingress Controller 是 Kubernetes 中的一个控制器，用于管理和配置入站网络流量的路由规则。它与 Kubernetes 的 Ingress 资源结合使用，为集群中的服务提供外部访问。

简单来说，Ingress Controller 负责根据定义的 Ingress 规则，将流量路由到集群中的不同服务和端口，并且可以执行负载均衡以分发流量到多个 Pod。它支持基于域名的虚拟主机路由和基于 URL 路径的路由，可以配置 HTTPS 连接和终端，同时还支持灵活的配置和自动化部署。

Ingress Controller 的作用类似于一个反向代理，它接收外部流量并将其路由到集群内部的服务。通过 Ingress Controller，可以轻松地实现多个服务的统一入口和管理，提高了集群中服务的可访问性和可用性。

二、Ingress Controller基础

1、Ingress Controller的工作原理 

Ingress Controller的工作原理主要涉及监听Ingress对象变化、解析Ingress规则、生成配置以及路由流量等步骤。

具体来说：

1. 监听Ingress对象变化：Ingress Controller通过Kubernetes API服务器监听Ingress对象的变化。当新的Ingress对象被创建、更新或删除时，Ingress Controller能够感知到这些变化。
2. 解析Ingress规则：Ingress Controller解析Ingress对象中定义的规则。这些规则包括主机名、路径、后端服务等信息，用于确定如何将流量路由到集群内的不同服务。
3. 生成配置：Ingress Controller将解析后的规则转化为特定负载均衡器（如Nginx、Traefik等）可以理解的配置。这些配置通常包括反向代理设置、负载均衡策略、SSL/TLS配置等。
4. 路由流量：Ingress Controller根据生成的配置，将外部流量路由到集群内的后端服务。这通常涉及到将请求的主机名和路径与Ingress规则进行匹配，然后将请求转发到相应的后端Pod上。
5. 动态更新：Ingress Controller能够实时响应Ingress对象的变化，并动态更新其配置。这意味着当Ingress规则发生变化时，无需重启Ingress Controller或整个集群，流量路由将自动更新以适应新的规则。

Ingress Controller通常还支持高级功能，如SSL/TLS终结、跨域资源共享（CORS）设置、请求头修改等，以满足不同应用场景的需求。

    

2、Ingress Controller与Service、LoadBalancer的对比 

Ingress Controller、Service 和 LoadBalancer 是 Kubernetes 中用于管理和配置网络流量的不同组件，它们各自承担着不同的角色和功能。

Service：

• 作用：Service 是 Kubernetes 中用于定义服务的抽象，它可以将应用程序暴露给集群内部或者外部的其他组件。Service 将后端 Pod 的 IP 和端口映射到一个稳定的虚拟 IP 和端口，其他组件可以通过访问 Service 来访问后端的 Pod。
• 类型：Service 可以有多种类型，包括 ClusterIP、NodePort、LoadBalancer 等，每种类型都有不同的使用场景和特性。

LoadBalancer：

• 作用：LoadBalancer 是 Kubernetes 中的一种 Service 类型，它将服务暴露给外部网络，并且可以自动创建并配置外部负载均衡器，以将流量分发到集群中的后端 Pod。LoadBalancer Service 类型通常由云服务提供商提供支持，并且可以实现负载均衡和高可用性。
• 特点：LoadBalancer Service 类型通常会创建一个云服务提供商的负载均衡器，该负载均衡器会自动接收流量并将其转发到 Service 中的后端 Pod。

Ingress Controller：

• 作用：Ingress Controller 是 Kubernetes 中的一个控制器，用于管理和配置入站网络流量的路由规则。它通过与 Kubernetes 的 Ingress 资源结合使用，为集群中的服务提供外部访问。Ingress Controller 通过定义 Ingress 资源来实现对外的流量路由和负载均衡。
• 特点：Ingress Controller 支持基于域名的虚拟主机路由和基于 URL 路径的路由，可以配置 HTTPS 连接和终端，并且支持灵活的配置和自动化部署。

对比：

• 使用场景：Service 用于暴露服务给集群内部，LoadBalancer 用于将服务暴露给外部网络，并且可以实现负载均衡，而 Ingress Controller 则用于在集群内部配置和管理入站网络流量的路由规则。
• 功能特点：Service 提供基本的服务暴露功能，LoadBalancer 提供外部负载均衡功能，而 Ingress Controller 则提供了更灵活的路由和流量控制功能。
• 关系：Ingress Controller 通常与 Service 配合使用，通过定义 Ingress 资源来实现流量的路由和负载均衡。在一些场景下，Ingress Controller 可以与 LoadBalancer 类型的 Service 配合使用，以实现更复杂的流量控制和管理。

   

三、Ingress资源对象

1、Ingress资源的定义

Ingress 资源是 Kubernetes 中用于配置入站网络流量的路由规则的对象。通过定义 Ingress 资源，你可以指定流量的路由规则，例如将流量路由到不同的服务、根据域名进行虚拟主机路由、配置 TLS 终端等。

以下是一个简单的 Ingress 资源定义示例：

apiVersion: networking.k8s.io/v1
kind: Ingress
metadata:
  name: example-ingress
spec:
  rules:
    - host: example.com
      http:
        paths:
          - path: /app1
            pathType: Prefix
            backend:
              service:
                name: app1-service
                port:
                  number: 80
          - path: /app2
            pathType: Prefix
            backend:
              service:
                name: app2-service
                port:
                  number: 80
  tls:
    - hosts:
        - example.com
      secretName: example-tls-secret

在这个示例中：

• metadata.name 指定了 Ingress 资源的名称。
• spec.rules 定义了路由规则，指定了根据域名进行虚拟主机路由。对于域名 example.com，将流量路由到两个不同的服务 app1-service 和 app2-service，分别是 /app1 和 /app2 的路径。
• spec.tls 定义了 TLS 终端配置，指定了要为哪个域名配置 TLS，并且指定了 TLS 证书的密钥对的名称。

我们可以根据需要在 Ingress 资源中定义更多的路由规则、TLS 终端配置等，以满足实际需求。在创建完成 Ingress 资源后，Ingress Controller 将会根据定义的规则来管理和配置入站网络流量。

2、Ingress规则详解 

Ingress 规则用于定义入站流量的路由规则，它包含了域名、路径、后端服务等信息，以指导 Ingress Controller 如何将流量路由到集群中的服务。

下面详细解释一下 Ingress 规则的各个部分：

1. 主机规则（Host Rule）：

spec:
  rules:
    - host: example.com

• host 字段指定了主机名，用于基于域名进行虚拟主机路由。只有满足指定主机名的请求才会匹配这个规则。

2. 路径规则（Path Rule）：

    - http:
        paths:
          - path: /app1
            backend:
              service:
                name: app1-service
                port:
                  number: 80

• http.paths 定义了基于 URL 路径的路由规则。每个 path 字段指定了一个路径前缀，并且指定了与该路径匹配的后端服务。

3. 路径类型（Path Type）：

            pathType: Prefix

• pathType 字段指定了路径的类型，常见的取值有 Prefix 和 Exact。
• Prefix 表示路径前缀匹配，即请求的路径以指定的路径前缀开头时匹配规则。
• Exact 表示路径完全匹配，即请求的路径与指定的路径完全相同时匹配规则。

4. 后端服务（Backend Service）：

            backend:
              service:
                name: app1-service
                port:
                  number: 80

• backend.service.name 指定了后端服务的名称，即将请求转发到哪个 Kubernetes Service。
• backend.service.port.number 指定了后端服务的端口号，即将请求转发到后端服务的哪个端口。

5. TLS 终端（TLS Termination）：

  tls:
    - hosts:
        - example.com
      secretName: example-tls-secret

• tls 字段用于配置 TLS 终端，指定了要为哪些域名配置 TLS，并且指定了 TLS 证书的密钥对的名称（存储在 Kubernetes Secret 中）。

 

3、Ingress注解的使用

Ingress 注解是用于在 Ingress 资源中定义额外配置和元数据的方式。它们允许你为特定的 Ingress 路由规则提供额外的配置选项，例如负载均衡算法、TLS 配置、缓存设置等。

下面是一些常见的 Ingress 注解以及它们的用法：

1. nginx.ingress.kubernetes.io/rewrite-target：

• 作用：重写 URL 路径，用于将请求重定向到不同的路径。

示例：

annotations:
  nginx.ingress.kubernetes.io/rewrite-target: /$1

2. nginx.ingress.kubernetes.io/ssl-redirect：

• 作用：强制将 HTTP 请求重定向到 HTTPS。

示例：

annotations:
  nginx.ingress.kubernetes.io/ssl-redirect: "true"

3. nginx.ingress.kubernetes.io/backend-protocol：

• 作用：指定后端服务的通信协议。

示例：

annotations:
  nginx.ingress.kubernetes.io/backend-protocol: "HTTPS"

4. nginx.ingress.kubernetes.io/affinity：

• 作用：设置会话粘滞性。

示例：

annotations:
  nginx.ingress.kubernetes.io/affinity: "cookie"

5. nginx.ingress.kubernetes.io/proxy-connect-timeout 和 nginx.ingress.kubernetes.io/proxy-read-timeout：

• 作用：配置代理连接和读取超时时间。

示例：

annotations:
  nginx.ingress.kubernetes.io/proxy-connect-timeout: "10s"
  nginx.ingress.kubernetes.io/proxy-read-timeout: "20s"

6. nginx.ingress.kubernetes.io/enable-cors：

• 作用：启用 CORS (跨域资源共享) 支持。

示例：

annotations:
  nginx.ingress.kubernetes.io/enable-cors: "true"

7. nginx.ingress.kubernetes.io/whitelist-source-range：

• 作用：配置 IP 白名单，只允许特定的 IP 地址范围访问。

示例：

annotations:
  nginx.ingress.kubernetes.io/whitelist-source-range: "192.168.1.0/24,10.0.0.0/16"

8. kubernetes.io/ingress.class：

• 作用：指定使用哪个 Ingress Controller 处理该 Ingress 资源。

示例：

annotations:
  kubernetes.io/ingress.class: "nginx"

9. cert-manager.io/cluster-issuer：

• 作用：配置证书颁发器（issuer），用于自动管理 TLS 证书。

示例：

annotations:
  cert-manager.io/cluster-issuer: "letsencrypt-prod"

通过使用这些 Ingress 注解，可以定制化和增强 Ingress 资源的功能，以满足不同场景下的需求，如安全性、性能、可用性等。

💕💕💕每一次的分享都是一次成长的旅程，感谢您的陪伴和关注。希望这些关于Kubernetes的文章能陪伴您走过技术的一段旅程，共同见证成长和进步！😺😺😺

🧨🧨🧨让我们一起在技术的海洋中探索前行，共同书写美好的未来！！！