Kubernetes暴露服务的方式目前只有三种:LoadBlancer Service、NodePort Service、Ingress,通俗来讲,ingress和之前提到的Service、Deployment,也是一个k8s的资源类型,ingress用于实现用域名的方式访问k8s内部应用。
Ingress为Kubernetes集群中的服务提供了入口,可以提供负载均衡、SSL终止和基于名称的虚拟主机,在生产环境中常用的Ingress有Treafik、Nginx、HAProxy、Istio等。
一、基本概念
service的作用体现在两个方面,对集群内部,它不断跟踪pod的变化,更新endpoint(端点)中对应pod的对象,提供了ip不断变化的pod的服务发现机制;对集群外部,他类似负载均衡器,可以在集群内外部对pod进行访问。
在Kubernetes中,Pod的IP地址和service的ClusterIP仅可以在集群网络内部使用,对于集群外的应用是不可见的。为了使外部的应用能够访问集群内的服务,Kubernetes目前提供了以下几种方案:
NodePort:将service暴露在节点网络上,NodePort背后就是Kube-Proxy,Kube-Proxy是沟通service网络、Pod网络和节点网络的桥梁。
测试环境使用还行,当有几十上百的服务在集群中运行时,NodePort的端口管理就是个灾难。因为每个端口只能是一种服务,端口范围只能是 30000-32767。
LoadBalancer:通过设置LoadBalancer映射到云服务商提供的LoadBalancer地址。这种用法仅用于在公有云服务提供商的云平台上设置 Service 的场景。受限于云平台,且通常在云平台部署LoadBalancer还需要额外的费用。在service提交后,Kubernetes就会调用CloudProvider在公有云上为你创建一个负载均衡服务,并且把被代理的Pod的IP地址配置给负载均衡服务做后端。
externalIPs:service允许为其分配外部IP,如果外部IP路由到集群中一个或多个Node上,Service会被暴露给这些externalIPs。通过外部IP进入到集群的流量,将会被路由到Service的Endpoint上。
Ingress:只需一个或者少量的公网IP和LB,即可同时将多个HTTP服务暴露到外网,七层反向代理。可以简单理解为service的service,它其实就是一组基于域名和URL路径,把用户的请求转发到一个或多个service的规则。
注意:
目前比较流行的IngressController有ingress-nginx( 由Kubemetes官方维护)、 nginx-ingress(由Nginx官方维护,注意和Ingress-nginx的区别)、Traefik、Istio等。
ingress-nginx(Kubemetes维护)
ingress:接口,编写规则--》yaml
ingress-controller:nginx
客户端(浏览器)---》地址栏(url)---》dns解析---》ip(安装了ingress-nginx的节点ip)-路由规则--》service---》pod
服务发布
重定向
前后端的分离(aaa.com,aaa.com/api)
htttps-->ssl 终结
身份认证
灰度发布(金丝雀发布)
1.Ingress 组成
( 1 ) ingress:
ingress是一个API对象,通过yaml文件来配置,ingress对象的作用是定义请求如何转发到service的规则,可以理解为配置模板。
ingress通过http或https暴露集群内部service,给service提供外部URL、负载均衡、SSL/TLS能力以及基于域名的反向代理。ingress要依靠 ingress-controller 来具体实现以上功能。
( 2 ) ingress-controller:
ingress-controller是具体实现反向代理及负载均衡的程序,对ingress定义的规则进行解析,根据配置的规则来实现请求转发。
ingress-controller并不是k8s自带的组件,实际上ingress-controller只是一个统称,用户可以选择不同的ingress-controller实现,目前,由k8s维护的ingress-controller只有google云的GCE与ingress-nginx两个,其他还有很多第三方维护的ingress-controller,具体可以参考官方文档。但是不管哪一种ingress-controller,实现的机制都大同小异,只是在具体配置上有差异。
一般来说,ingress-controller的形式都是一个pod,里面跑着daemon程序和反向代理程序。daemon负责不断监控集群的变化,根据 ingress对象生成配置并应用新配置到反向代理,比如ingress-nginx就是动态生成nginx配置,动态更新upstream,并在需要的时候reload程序应用新配置。
ingress-controller才是负责具体转发的组件,通过各种方式将它暴露在集群入口,外部对集群的请求流量会先到 ingress-controller, 而ingress对象是用来告诉ingress-controller该如何转发请求,比如哪些域名、哪些URL要转发到哪些service等等。
2.Ingress工作过程
用户访问一个业务的流程如下:
(1)用户在浏览器中输入域名
(2)域名解析至业务的入口IP(一般为外部负载均衡器,比如阿里的SLB或者DMZ的网关)。
(3)外部负载均衡器反向代理至kubernetes的入口(一般为Ingress,或者通过NodePort暴露的服务等)。
(4)Ingress根据自身的配置找到对应的Service,再代理到对应的Service上。
(5)最后到达Service对应的某一个Pod上。
可见,在一般情况下,Ingress主要是一个用户kubernetes集群业务的入口。是业务能够 正常提供服务的核心,所以在生产环境中,推荐使用单独的服务器作为Ingress Controller。Controller可以使用Traefik、Istio、Nginx、HaProxy等作为Ingress Controller。因为相对于其他Ingress Controller,管理人员更熟悉Nginx或者HaProxy等服务,所以本章主要讲解Ingress Nginx的安装与常用配置,这也是kubernetes官方提供的Ingress Controller。
3.Ingress 工作原理
(1)ingress-controller通过和 kubernetes APIServer 交互,动态的去感知集群中ingress规则变化,
(2)然后读取它,按照自定义的规则,规则就是写明了哪个域名对应哪个service,生成一段nginx配置,
(3)再写到nginx-ingress-controller的pod里,这个ingress-controller的pod里运行着一个Nginx服务,控制器会把生成的 nginx配置写入 /etc/nginx.conf文件中,
(4)然后reload一下使配置生效。以此达到域名区分配置和动态更新的作用。
二、安装Ingress Nginx Controller
由于Ingress Controller相当于kubernetes集群中服务的"大门"因此在生产环境中,一定要保障Controller的稳定性和可用性。为了提高Ingress Controller的可用性,我们-般采用单独的服务器作为Controller节点,以此保障Ingress Controller的Pod资源不会被其他服务的Pod影响。
Ingress Nginx官方提供了多种部署方式,本节课将采用Helm的方式进行安装,并且将Ingress Controller安装在k8s-node0l节点。
1.下载并安装helm(已有helm环境可忽略此步骤)
[root@k8s-master ~]# wget https://get.helm.sh/helm-v3.9.4-linux-amd64.tar.gz
[root@k8s-master ~]# tar zxvf helm-v3.9.4-linux-amd64.tar.gz
[root@k8s-master ~]# mv linux-amd64/helm /usr/local/bin/
2.下载并修改Ingress Controller参数(已有离线包可忽略此步骤)
[root@k8s-master ~]# helm repo \
add ingress-nginx https://kubernetes.github.io/ingress-nginx
"ingress-nginx" has been added to your repositories
[root@k8s-master ~]# helm repo update
Hang tight while we grab the latest from your chart repositories...
...Successfully got an update from the "ingress-nginx" chart repository
Update Complete. ⎈Happy Helming!⎈
[root@k8s-master ~]# helm pull ingress-nginx/ingress-nginx --version 4.7.1
[root@k8s-master ~]# tar xvf ingress-nginx-4.7.1.tgz
[root@k8s-master ~]# vim ingress-nginx/values.yaml
(1)将Controller的registry仓库地址修改为国内的
controller:
name: controller
image:
chroot: false
registry: registry.cn-hangzhou.aliyuncs.com
image: tanzu/controller
tag: "v1.6.4"
#digest: sha256:15be4666c53052484dd2992efacf2f50ea77a78ae8aa21ccd91af6baaa7ea22f
#digestChroot: sha256:0de01e2c316c3ca7847ca13b32d077af7910d07f21a4a82f81061839764f8f81
(2)修改opentelemetry镜像地址
opentelemetry:
enabled: false
image: registry.cn-hangzhou.aliyuncs.com/tanzu/opentelemetry:v20230107
containerSecurityContext:
allowPrivilegeEscalation: false
(3)将admissionWebhook的镜像地址修改为国内的
patchWebhookJob:
securityContext:
allowPrivilegeEscalation: false
resources: {}
patch:
enabled: true
image:
registry: registry.cn-hangzhou.aliyuncs.com
image: tanzu/kube-webhook-certgen
tag: v20220916-gd32f8c343
#digest: sha256:543c40fd093964bc9ab509d3e791f9989963021f1e9e4c9c7b6700b02bfb227b
pullPolicy: IfNotPresent
(4)修改hostNetwork的值为true
设置为true时,该Pod将与其所在节点共享网络命名空间。
(5)dnsPolicy设置为ClusterFirstWithHostNet
kubernetes可以在pod级别通过 dnspolicy字段设置DNS策略。目前支持的DNS策略如下:
- Default: 继承pod所在宿主机的域名解析设置。
- ClusterFirst: 将优先使用kubernetes环境的dns服务(如coreDNS提供的域名解析服务),将无法解析的域名转发到系统配置的上游DNS服务器。
- ClusterFirstWithHostNet: 适用与以hostNetwork模式运行的pod。
- None: 忽略集群的DNS配置,需要手工通过dnsConfig自定义DNS配置。这个选项在1.9版本中开始引入,到1.10版本时升级为Beta,到1.14版本时达到稳定版本。
(6)nodeSelector添加ingress: " true "
nodeSelector:
ingress: true
kubernetes.io/os: linux
此配置能够将ingress安装在带有"ingress: true"标签的节点上。
(7)修改kind类型为DeamonSet
kind: DeamonSet
注意:
如果已经下载好了离线的helm和ingress-nginx,可以直接解压并安装,不必下载。
3.部署ingress
(1)给需要部署Ingress Controller的节点打标签
[root@k8s-master ~]# kubectl label node k8s-node01 ingress=true
(2)创建namespace
[root@k8s-master ~]# kubectl create ns ingress-nginx
namespace/ingress-nginx created
(3)安装ingress-nginx
[root@k8s-master ~]# cd ingress-nginx
安装
[root@k8s-master ~]# helm install ingress-nginx -n ingress-nginx .
注意最后有一个点
卸载(不必要)
helm uninstall ingress-nginx -n ingress-nginx
查看安装信息
[root@master ~]# ku get pod -n ingress-nginx -o wide
NAME READY STATUS RESTARTS AGE IP NODE NOMINATED NODE READINESS GATES
ingress-nginx-controller-rbzvg 1/1 Running 0 61s 192.168.10.102 node1 <none> <none>
三、Ingress Nginx入门
首先从最简单的配置开始,假如公司有一个web服务的容器,需要为其添加一个域名,此时可以使用Ingerss实现该功能。
1.创建一个用于学习的namespace
[root@k8s-master ~]# kubectl create ns study-ingress
2.创建一个nginx作为web服务
[root@master ~]# ku create deployment nginx --image=nginx:1.7.9 -n study-ingress
deployment.apps/nginx created
3.创建一个该web容器的Service
[root@master ~]# ku expose deployment nginx --port 80 -n study-ingress
service/nginx exposed
4.创建ingress指向上一步中的Service
[root@master ~]# vim web-ingress.yaml
apiVersion: networking.k8s.io/v1
kind: Ingress
metadata:
name: nginx-ingress
namespace: study-ingress
spec:
ingressClassName: nginx
rules:
- host: nginx.test.com
http:
paths:
- backend:
service:
name: nginx
port:
number: 80
path: /
pathType: ImplementationSpecific
备注:
路径类型
有3种支持的path类型:
- ImplementationSpecific:对于这种path类型,匹配取决于IngressClass。可以将其视为一个单独的pathType或者将其认为和Prefix或者Exact路径类型一样。
- Exact:精确匹配URL路径,并且区分大小写
- Prefix: 根据URL中的,被/分割的前缀进行匹配。匹配区分大小写并且按照元素对路径进行匹配。path元素指的是路径中由/分隔符分隔的标签列表。
- 注意:如果路径的最后一个元素是请求路径中最后一个元素的子字符串,那么这个是不匹配的。【举例:/foo/bar匹配/foo/bar/baz,但是不匹配/foo/barbaz
5.创建该ingress
[root@master ~]# ku create -f web-ingress.yaml
ingress.networking.k8s.io/nginx-ingress created
注意:
不要删除此ingress,否则,后面的ssl无法访问
6.客户端访问测试
创建的Ingress绑定的域名为nginx.test.com,由于本书的IngressController是以hostNetwork模式部署的,因此将域名解析至IngressController所在的节点即可。如果IngressController上层还有一层网关,解析至网关IP即可。接下来通过域名nginx.test.com即可访问Web服务器。
可以看到通过上述简单的Ingress资源定义就可以实现以域名的方式访问服务,不需要再去维护复杂的Ngmx配置文件,大大降低了运维的复杂度和出错的频率。
接下来通过一些其他配置实现企业内常用的功能,比如重定向、前后端分离、错误友好页面等。
四、Ingress Nginx域名重定向Redirect
当一个服务需要更换域名时,并不能对其直接更改,需要一个过渡的过程。在这个过程中,需要将旧域名的访问跳转到新域名,此时可以使用Redirect功能。待旧域名无访问时,再停止旧域名。
在Nginx作为代理服务器时,Redirect可用于域名的重定向,比如访问old.com被重定向到new.com。Ingress可以更简单地实现Redirect功能。接下来用nginx.redirect.com作为旧域名,baidu.com作为新域名进行演示。
1.编辑Ingress文件
[root@master ~]# vim redirect.yaml
apiVersion: networking.k8s.io/v1
kind: Ingress
metadata:
annotations:
nginx.ingress.kubernetes.io/permanent-redirect: https://www.baidu.com
name: nginx-redirect
namespace: study-ingress
spec:
ingressClassName: nginx
rules:
- host: nginx.redirect.com
http:
paths:
- backend:
service:
name: nginx
port:
number: 80
path: /
pathType: ImplementationSpecific
2. 创建Ingress
[root@master ~]# ku create -f redirect.yaml
ingress.networking.k8s.io/nginx-redirect created
3.测试
在客户端的hosts文件添加域名nginx.redirect.com,IP地址为k8s-node01节点的IP地址。
使用域名nginx.redirect.com访问网站,打开的是baidu,com,说明跳转成功。
五、Ingress Nginx前后端分离Rewrite
现在大部分应用都是前后端分离的架构,也就是前端用某个域名的根路径进行访问,后端接口采用/api进行访问,用来区分前端和后端。或者同时具有很多个后端,需要使用/api-a到A服务,/api-b到B服务,但是由于A和B服务可能并没有/api-a和/api-b的路径,因此需要将/api-x重写为"/",才可以正常到A或者B服务,否则将会出现404的报错。此时可以通过Rewrite功能达到这种效果。
1.创建一个应用模拟后端服务
[root@master ~]# ku create deployment backend-api --image=nginx:1.7.9 -n study-ingress
deployment.apps/backend-api created
2. 创建Service暴露应用
[root@master ~]# ku expose deployment backend-api --port 80 -n study-ingress
service/backend-api exposed
3. 查看该Service的地址,并通过/api-a访问测试
[root@master ~]# ku get svc -n study-ingress
NAME TYPE CLUSTER-IP EXTERNAL-IP PORT(S) AGE
backend-api ClusterIP 10.108.200.70 <none> 80/TCP 3s
nginx ClusterIP 10.108.137.55 <none> 80/TCP 64m
http://nginx.test.com/api-a
4. 编辑ingress,实现rewrite
[root@master ~]# vim rewirte.yaml
apiVersion: networking.k8s.io/v1
kind: Ingress
metadata:
annotations:
nginx.ingress.kubernetes.io/rewrite-target: /$2
name: backend-api
namespace: study-ingress
spec:
ingressClassName: nginx
rules:
- host: nginx.test.com
http:
paths:
- backend:
service:
name: backend-api
port:
number: 80
path: /api-a(/|$)(.*)
pathType: ImplementationSpecific
5. 创建该ingress
[root@master ~]# ku create -f rewirte.yaml
ingress.networking.k8s.io/backend-api created
6.访问测试
六、 Ingress Nginx SSL配置
生产环境对外的服务一般需要配置HTTPS协议,使用Ingress也可以非常方便地添加HTTPS的证书°。
由于是学习环境,并没有权威证书,因此需要使用OpenSSL生成一个测试证书(如果是生产环境,那么证书为在第三方公司购买的证书,无须自行生成)。
1.生成证书
[root@master ~]# openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout tls.key -out tls.crt -subj "/CN=nginx.test.com"
Generating a 2048 bit RSA private key
........................................................................................+++
......................................+++
writing new private key to 'tls.key'
-----
2. 创建证书的secret
[root@master ~]# ku create secret tls ca-secret --cert=tls.crt --key=tls.key -n study-ingress
secret/ca-secret created
3. 编辑ingress
[root@k8s-master ~]# vim ingress-ssl.yaml
apiVersion: networking.k8s.io/v1
kind: Ingress
metadata:
creationTimestamp: null
name: nginx-ingress-ssl
spec:
ingressClassName: nginx-ssl
rules:
- host: nginx.test.com
http:
paths:
- backend:
service:
name: nginx
port:
number: 80
path: /
pathType: ImplementationSpecific
tls:
- hosts: ##证书授权的域名列表
- nginx.test.com
secretName: ca-secret ##证书的secret名字
4. 创建此ingress
[root@master ~]# ku create -f ingress-ssl.yaml
ingress.networking.k8s.io/nginx-ingress-ssl created
5. 访问测试
七、Ingress Nginx基本认证
有些网站可能需要通过密码来访问,对于这类网站可以使用nginx的basic-auth设置密码访问,具体方法如下,由于需要使用htpasswd工具,因此需要安装httpd。
1.安装httpd
[root@master ~]# yum -y install httpd
2. 使用htpasswd创建用户
[root@master ~]# htpasswd -c auth zhangsan
New password:
Re-type new password:
Adding password for user zhangsan
3. 基于之前创建的密码文件创建secret
[root@master ~]# ku create secret generic basic-auth --from-file=auth -n study-ingress
secret/basic-auth created
4.编辑ingress,包含密码认证
[root@master ~]# vim ingress-with-auth.yaml
apiVersion: networking.k8s.io/v1
kind: Ingress
metadata:
annotations:
nginx.ingress.kubernetes.io/auth-realm: Please Input Your Username and Password
nginx.ingress.kubernetes.io/auth-secret: basic-auth
nginx.ingress.kubernetes.io/auth-type: basic
name: ingress-with-auth
namespace: study-ingress
spec:
ingressClassName: nginx
rules:
- host: auth.test.com
http:
paths:
- backend:
service:
name: nginx
port:
number: 80
path: /
pathType: ImplementationSpecific
备注:
nginx.ingress.kubernetes.io/auth-secret: auth 密码文件的secret名称
nginx.ingress.kubernetes.io/auth-type: basic 认证类型
host: auth.test.com 客户端要访问的域名,注意不要使用前面的域名,或者把前面的ingress都删掉
5.部署此ingress
[root@master ~]# ku create -f ingress-with-auth.yaml
ingress.networking.k8s.io/ingress-with-auth created
6.访问测试
在客户端添加域名auth.test.com的解析