k8s ingress详解(1)

最新推荐文章于 2025-08-15 00:54:02 发布
原创 最新推荐文章于 2025-08-15 00:54:02 发布 · 2.4w 阅读 · 12 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文介绍了 Kubernetes 中 Ingress 的概念及其应用场景,包括如何搭建 Ingress Service、配置 HTTP 和 HTTPS 服务、添加 TLS 证书等内容,并探讨了多种高级配置选项。

ingress 是除了 hostport  nodeport  clusterIP以及云环境专有的负载均衡器外的访问方式,官方提供了Nginx ingress controller。

通常情况下,service和pod的IP可以被集群网络访问。外部访问的所有流量被丢弃或转发到别处。ingress是允许入站连接到达群集服务的规则集合.可以为外部提供可访问服务的URL,流量负载均衡,可被终止的ssl连接,以及基于配置的虚拟主机。

配置服务器或负载平衡器是比想象中要难。大多数Web服务器的配置文件非常相似。虽然一些应有有一些奇怪的特点,但是我们可以用相似的逻辑去实现期望的结果。ingress体现了这一理念,ingress controller是用来处理所有共同特性的。

ingress controller通过监听/ingresses接口从而更新ingress 从而达到ingress的预期,这里我们先讲述怎么搭建ingress service

api: /apis/extensions/v1beta1/ingresses



使用官方的部署方式
git clone https://github.com/kubernetes/contrib
cd contrib/ingress/controllers/nginx
能翻墙的可以自己pull image,不过我翻墙相当慢,相关镜像最好从灵雀云时速云等的镜像市场拉,自行tag一下。

1.Default backend server
在部署ingress之前需要先部署Default backend server,实现了简单的ingress作为默认返回值,做了两件事
1).为/提供服务,返回404
2).在/healthz返回200
#创建rc  default-http-backend
kubectl create -f examples/default-backend.yaml
#暴露端口
kubectl expose rc default-http-backend --port=80 --target-port=8080 --name=default-http-backend
2.创建ingress controller server
#默认是一个rc 可以根据具体情况自己修改
kubectl create -f examples/default/rc-default.yaml

使用calico等overlay网络可能导致hostport不可用,可以增加“hostNetwork: true” 配置启用host模式


3.创建http服务
kubectl run echoheaders --image=gcr.io/google_containers/echoserver:1.4 --replicas=1 --port=8080
kubectl expose deployment echoheaders --port=80 --target-port=8080 --name=echoheaders-x
kubectl expose deployment echoheaders --port=80 --target-port=8080 --name=echoheaders-y
4.添加ingress
kubectl create -f examples/ingress.yaml
查看kubectl get ing可以看到对应的ingress
5.验证
 curl -H "Host:foo.bar.com"  127.0.0.1/foo
 curl -H "Host:bar.baz.com"  127.0.0.1/bar
6.配置https
openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout /tmp/tls.key -out /tmp/tls.crt -subj "/CN=foo.bar.com"
kubectl create secret tls foo-secret --key /tmp/tls.key --cert /tmp/tls.crt
echo "
apiVersion: extensions/v1beta1
kind: Ingress
metadata:
  name: foo
  namespace: default
spec:
  tls:
  - hosts:
    - foo.bar.com
    secretName: foo-secret
  rules:
  - host: foo.bar.com
    http:
      paths:
      - backend:
          serviceName: echoheaders-x
          servicePort: 80
        path: /
" | kubectl create -f -
 kubectl get ing
 curl https://127.0.0.1 -H 'Host:foo.bar.com' -k

7. 默认证书配置,不配置则使用自签名证书
--default-ssl-certificate 添加默认页面ssl证书
echo "        - --default-ssl-certificate=default/foo-secret" >>rc-default.yaml

8. 服务端跳转
默认配置访问ingress http,跳转https 
在configmap 中ssl-redirect: "false" 关闭跳转
configmap 通过--nginx-configmap指定
例如:
apiVersion: v1
data:
  ssl-redirect: "false"
kind: ConfigMap
metadata:
  namespace: nginx-ingress
  name: nginx

9关闭HSTS(强制客户端(如浏览器)使用HTTPS与服务器创建连接)
hsts=false

10 Kube-Lego实现密钥自动管理
例子:
https://github.com/jetstack/kube-lego


11 暴露TCP服务

默认不暴露TCP端口
--tcp-services-configmap 实现
apiVersion: v1
kind: ConfigMap
metadata:
  name: tcp-configmap-example
data:
  9000: "default/example-go:8080"

12暴露UDP端口

  --udp-services-configmap 配置方式同tcp

13 Proxy Protocol
在nginx-configmap中启用
apiVersion: v1
data:
  use-proxy-protocol: "true"
kind: ConfigMap
metadata:
  namespace: nginx-ingress
  name: nginx

14.自定义错误

实际就是通过更改官方例子中的custom-default-backend角色实现,通过X-Code 和 X-Format两个维度控制

通过aledbf/nginx-error-server:0.1 替换default-backend进行测试
curl -v http://10.10.10.150/ -H 'Accept: application/json'
curl -v http://10.10.10.150/

https://github.com/kubernetes/contrib/tree/b13fc59e59f56e74dfb613eb6f4fbda9c96e20f2/ingress/controllers/nginx/examples/custom-errors

15.状态页面
enable-vts-status=true

16.运行多个ingress

通过备注告诉哪个ingress controller添加该ingress

annotations:
    kubernetes.io/ingress.class: "nginx"

不指出则会在所有ingreess 上面配置

17禁用 ingress
kubernetes.io/ingress.class设置为空或不存在的字符则不会再ingress controller 中加载

Rancher入门到精通-2.0 ingress-nginx 异常 /etc/ingress-controller/ssl/default-fake-certificate.pem permissi
隔壁老瓦的专栏
10-21 3075
Error generating self-signed certificate: could not create temp pem file /etc/ingress-controller/ssl/default-fake-certificate.pem: open /etc/ingress-controller/ssl/default-fake-certificate.pem57502229...
k8s Ingress使用详解
congge
02-20 7693
k8s Ingress使用详解
k8s往secret里导入证书_Rancher 修改Kubernetes Ingress默认ssl证书
weixin_29715563的博客
12-23 1377
Rancher: v2.2.3 Kubernetes: v1.13.5准备证书密钥: mycert.cert 准备证书: mycert.cert # 创建证书secret yaml文件并命名为ingress-default-cert kubectl -n ingress-nginx create secret tls ingress-default-cert --cert=mycert.cert...
k8singress详解
最新发布
鲸屿的博客
08-15 819
ingress是一种 七层 流量转发机制,即七层负载均衡------>请求抵达ingress后,ingress会匹配url的路径部分 将不同的路径分发不同的后端svc来处理**补充:**请求到了svc之后,svc依据自己 标签 选中的微服务pod以及负载均衡策略(例如ipvs)来将请求转发给指定pod **注意:**svc拥有负载均衡能力的前提是它有clusterIP​ 为了用引入七层负载均衡把微服务重新汇聚成一个整体 然后对外暴漏,将内部微服务架构近似于一个单体 ​ ingress的控制器----》负
理解Kubernetes中的Ingress:服务暴露与流量路由的关键机制
进击的Blazor
12-02 1101
Ingress负责将来自集群外部的HTTP和HTTPS路由导向集群内部的服务。其流量路由功能由定义在Ingress资源上的规则所控制,这些规则允许根据诸如URIs、主机名、路径等Web概念进行精细的流量分发。例如,一个简单的Ingress配置可以将所有流量发送到单个服务,或者根据不同的路径将流量路由到不同的后端服务。Ingress在Kubernetes集群中扮演着至关重要的角色,它提供了一种强大而灵活的方式来管理外部对集群内服务的访问。
K8S中的ingress
L2111533547的博客
08-09 2万+
Kubernetes暴露服务的方式目前只有三种:LoadBlancer Service、NodePort Service、Ingress;这一片主要聊聊Ingress
k8singress
11-27 9877
一、基本概念 1、Kubernetes 暴露服务的方式: NodePort:后期维护困难,不支持虚拟路径 LoadBlancer:需要云厂商支持,有局限性 ClusterIP:只能在集群内部访问 Ingress:灵活,无依赖 前三种方式都是在service的维度提供的,service的作用体现在两个方面,对集群内部它不断跟踪pod变化,更新endpoint中对应的pod的对象,提供IP不断变化的pod的服务发现机制;对集群外部,它类似负载均衡器,可以在集群内外对pod进行访问。但是单独使用service暴露
K8S系列】第十三讲:Ingress详解
热门推荐
颜淡慕潇
12-23 2万+
NotePortIngressNodePort方式:最大的缺点是会占用很多集群机器的端口,而且需要在外部搭建额外的负载均衡;LB方式:最大的缺点则是每个service一个LB,有点浪费,并且需要k8s之外的支持,【eg:cloud provider】;ingressIngress就是为了解决1,2两种方式的限制,只需要一个NodePort或者一个LB就可以满足所有service对外服务的需求。
详解k8s组件Ingress边缘路由器并落地到微服务-kubernetes
02-25
进食,更准确的讲就是入口,即外部流量进入k8s集群必经之口。这到大门到底有什么作用?我们如何使用Ingressk8s又是如何进行服务发现的呢?先看一张图:虽然k8s集群内部署的pod、server都有自己的IP,但是却无法...
Kubernetes K8SIngress详解与示例
踏歌行的专栏
09-23 1万+
K8SIngress概述与说明,并详解Ingress常用示例
Kubernetes(K8S)之学废了(八):Ingress详解
weixin_47712609的博客
07-04 2782
文章目录一、 ingress介绍二、ingress的使用HTTP代理 一、 ingress介绍 Service对集群之外暴露服务的主要方式有两种:NotePort和LoadBalancer。但是这 两种方式,都有一定的缺点: NodePor方式的缺点是会占用很多集群机器的端口,那么当集群服务空多的时候,这个缺点就愈发明显 LB方式的缺点是每个service需要一个LB,浪费、麻烦,并且需要kubernetes之外设备的支持,基于这种现状,kubernetes提供了ingress资源对象,Ingres.
[云原生] K8singress
热心网友
03-11 2091
service的作用体现在两个方面,对集群内部,它不断跟踪pod的变化,更新endpoint中对应pod的对象,提供了ip不断变化的pod的服务发现机制;对集群外部,他类似负载均衡器,可以在集群内外部对pod进行访问。在Kubernetes中,Pod的IP地址和service的ClusterIP仅可以在集群网络内部使用,对于集群外的应用是不可见的。
k8s 对外服务之 Ingress
2201_75549363的博客
11-20 1898
ingress-controller并不是k8s自带的组件,实际上ingress-controller只是一个统称,用户可以选择不同的ingress-controller实现,目前,由k8s维护的ingress-controller只有google云的GCE与ingress-nginx两个,其他还有很多第三方维护的ingress-controller,具体可以参考官方文档。在Kubernetes中,Pod的IP地址和service的ClusterIP仅可以在集群网络内部使用,对于集群外的应用是不可见的。
k8s指南-Ingress
xiaoyi52的专栏
12-12 5979
通常情况下,service和pod仅可在集群内部网络中通过ip地址访问。如果想从集群外部访问集群内部,则必须要有Ingress
K8S篇之Ingress详解以及用法说明
小橙子的笔记屋
07-08 3137
ingress简介以及用法
【kubernetes】k8s对外服务之Ingress
qq_54188720的博客
08-13 6428
K8S集群外部的客户端访问K8S集群内部的方案基于Service实现:NodePort、LoadBalancer、externalIPs 只能支持四层代理转发,如果K8S集群规模较大运行的业务服务较多,NodePort端口/externalIPs管理成本会很高基于Ingress实现:支持七层代理转发,可自定义规则根据用户请求的域名或URL路径转发给指定的Service端点实现Pod的代理访问一般来说,ingress-controller的形式都是一个pod,里面跑着daemon程序和反向代理程序。dae
K8s】专题七(3):Kubernetes 服务发现之 Ingress
运维、实施交付领域知识交流
07-15 2422
Kubernetes 专题 - 服务发现之 Ingress
【一起来学kubernetes】7、k8s中的ingress详解
技术人集结地
11-25 5092
通常情况下,Ingress部署在所有的Node节点上,可以配置提供服务外部访问的URL、负载均衡、终止SSL,并提供基于域名的虚拟主机,但它不会暴露任意端口或协议。需要注意的是,Nginx类型的Ingress实现可以通过扩展Nginx Ingress Controller来实现更多的功能,比如认证、限流、重定向等。需要注意的是,Ingress的实现方案可能会因所选的Ingress控制器而有所不同。需要注意的是,Istio类型的Ingress实现具有强大的流量管理和安全功能,但也需要更多的配置和维护工作。
k8s ingress入门与实战
愿你的微笑化成风的专栏
09-26 1130
介绍了k8s(kubernetes)ingressingress-controller、ingress-nginx-controller的基础概念与基本使用
k8s ingress详解
10-14
K8s ingress(进入)是Kubernetes(K8s)中负责管理和控制入口流量的一种资源对象。它允许我们灵活地将外部流量路由到Kubernetes集群中的不同服务和后端容器。 K8s ingress作为一种API对象,定义了一组规则,用于指定流量如何从集群外部进入特定的服务。它可以基于IP地址、主机名、URL路径等信息来进行路由和转发。 K8s ingress使用了标准的HTTP和HTTPS协议,并可以与一些标准的负载均衡器(如Nginx、HAProxy等)进行集成。在创建ingress资源时,常常会指定一个负载均衡器作为入口流量的进入点。该负载均衡器可以在集群外部接收流量,并将其转发到Kubernetes内部的不同服务上。 K8s ingress不仅提供了流量路由和负载均衡的功能,还支持请求的TLS终结(也称为SSL终结),即可以通过TLS协议对传入的TLS流量进行解密并转发至后端的服务。这极大地简化了为服务配置和管理SSL证书的过程。 另外,K8s ingress还支持多种流量处理的方式,如:会话粘滞、重试和故障转移等。这些功能使得在Kubernetes集群中实现高可用和灵活的流量管理变得更加容易。 总之,K8s ingress为我们提供了管理Kubernetes集群入口流量的强大工具。通过定义一些规则和策略,我们可以根据流量的特点和需求将其精确地路由和转发到后端服务上,并提供一些额外的功能,如负载均衡、SSL终结和多流量处理等。这使得我们可以更好地管理和控制流量,提高服务的可用性和稳定性。
评论 7
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值