一、什么是SLB
实现k8s的服务service的一种推荐方式,也是服务上云后,替代LVS的一个必选产品。
那么它有什么作用呢?
- 1、负载均衡,是它与生俱来的。可以配置多个服务器组:包括虚拟服务器组、默认服务器组、主备服务器组。
- 2、SSL证书解析,支持https协议的443端口,可以帮助我们进行证书管理,减轻业务网关的压力。
- 3、流量网关。它往往是前置于业务网关,不能替代你的业务网关。
- 4、监控连接数和流量带宽。
- 5、提供对外可访问的TCP端口应用,比如socket编程。slb实现多个socket程序的负载均衡。
二、逻辑架构图
左侧是外网配置,右侧是内网配置,相对外网配置就明显简单。
三、配置外网域名
1、新增DNS
2、SLB配置
配置SLB对外的端口80和443
3、https443需要管理证书
4、配置转发策略
详细的配置说明见: https://help.aliyun.com/document_detail/85955.html?spm=5176.11783189.0.0.5c481eb9mB4PHg
输入你的域名,第二个填写path子路径,第三是选择虚拟服务器组,下面就看下怎么新建虚拟服务器组。
可以看到,两个不同的域名,指向不同的虚拟服务器组。
一个是指向kong集群的80端口,另外一个是指向nginx集群的80端口。
5、新建虚拟服务器组
四、内网DNS
比起外网DNS的配置就简单得多,处理的是80端口,不需要解析SSL证书。
而inges内网域名是指向内网SLB。
SLB
内网域名,使用http协议,则使用下面的80端口。
当然,该ingress也支持https协议443端口,也就是外网访问的指向了。(需要ssl证书,仅限外网访问)
这里,没有配置转发策略,而是使用的k8s容器服务的路由。
路由ingress
五、注意事项
1、监听协议区分http和tcp
如果你监听的后端是nginx或kong,那么使用http:80和http:443是没问题的。
如果你监听的后端是socket程序,只能监听tcp协议。
总结一句话, 尽量监听http协议,除非不得已才监听tcp协议。
当配置的是http协议,支持管理ssl证书和转发策略即路由规则。请对比着看http协议和tcp协议的区别:
http协议的监听443端口,会多两个管理:"配置转发策略"和"管理证书"。
http协议的监听80端口,会多一个管理:"配置转发策略",无需管理ssl证书。
2、健康检查
如果你监听的后端是nginx,支持http协议的健康检查。
如果你监听的后端是kong,建议你关掉http协议的健康检查,否则会出现Kong不健康的异常情况。
如果你监听的后端是socket程序,可以开启监控检查。
3、同时支持http和https协议
http协议使用80端口,https协议使用443端口。二者配置的虚拟服务器组都指向nginx/kong的80端口。
同时支持http和https协议的好处在于,方便调用端使用。
六、总结
对于自建IDC,可能会自己搭建LVS集群来实现负载均衡,不过还是建议你使用SLB,它还可以管理DNS/域名及证书。
当然SLB不是无偿的,它会涉及到一些费用,需要你流心。
- 公网下行流量
- 容量单位
- 实例租用费
可以看到,流量的费用不低,SLB区分内网还是外网还是很有必要的。
其次,http接口在返回数据的时候,特别是查询接口,尽量减少返回的报文。
最后,我想说,注意及时看SLB的监控数据:连接数和流量。
除了http协议外,SLB还可以看到tcp端口层面的数据。
这对于socket编程的程序监控就有意义多了。
