一、这里说一下treafik最大的容易走入圈套的地方。
1、treafik默认不是hostnetwork模式。为了暴露自己出来它有一个LB类型的SVC。
这里的External_ip为我的节点IP,因为使用了k3s自带的LB,这个SVC就很容易绕进去。
1、第一个这个LB的作用是为了暴露treafik给集群外的Client访问使用。
2、这里的80和443是占用了External_ip为我的节点IP的80和443.
3、以及对应的30285和32299都是占用了节点IP的端口。
4、相当于浪费了两个端口。
5、正常如果是hostnetwork模式就没有这个问题。
二、gateway的配置。
*这里的端口8443对应是配置treafik中POD的监听端口:
websecure: # 用于 Gateway
port: 8443
protocol: TCP*这里的工作流是这样的:
1、通过gatewayclass找到 traefik.
2、通过label找到treafik
3、然后把gateway配置文件丢给treafik进行处理。
ip-172-27-183-66:~/harbor/istio # cat harbor-gateway.yaml
apiVersion: gateway.networking.k8s.io/v1
kind: Gateway
metadata:
name: harbor-gateway
namespace: harbor
spec:
gatewayClassName: traefik
listeners:
- name: https
port: 8443
protocol: HTTPS
hostname: "k8s.kox xne"
tls:
mode: Terminate
certificateRefs:
- kind: Secret
name: k8s.koxxxxxline
allowedRoutes:
namespaces:
from: Same三、helm参数
deployment:
podAnnotations:
prometheus.io/port: "8082"
prometheus.io/scrape: "true"
global:
systemDefaultRegistry: ""
image:
repository: rancher/mirrored-library-traefik
tag: 3.3.2
priorityClassName: system-cluster-critical
providers:
kubernetesIngress:
enable: false
publishedService:
enabled: true
nativeLBByDefault: true
kubernetesGateway:
enabled: true
nativeLBByDefault: true #打开则通过svc再L B一次,默认false 直接到pod
gateway:
enabled: true
listeners:
web: # 用于 Gateway
port: 8000
protocol: TCP
websecure: # 用于 Gateway
port: 8443
protocol: TCP
service:
ipFamilyPolicy: PreferDualStack
tolerations:
- key: CriticalAddonsOnly
operator: Exists
- effect: NoSchedule
key: node-role.kubernetes.io/control-plane
operator: Exists
- effect: NoSchedule
key: node-role.kubernetes.io/master
operator: Exists四、重点istio
**istio的gateway提供会自动生成一个lb的svc。**这么做就相当于直接把服务暴露到外面,特别适合和公有云集成特别好的场景。一个业务自动一个LB。