一、Gateway 修改原因
- metadata.name: example-gateway → web-gateway
· 原因:题目要求创建一个名叫 web-gateway 的网关。名字必须与题目一致,因为后面 HTTPRoute 要通过这个名字来引用它。
- gatewayClassName: example-class → nginx
· 原因:gatewayClassName 指定集群中实际运行的是哪个网关控制器(比如 Nginx、Envoy、Istio 等)。example-class 只是一个示例名字,不指向任何真实控制器;改成 nginx 表示你要使用 Nginx Gateway 实现(前提是集群已安装对应的 GatewayClass)。
- 监听器从 http:80 改为 https:443,并增加 hostname 和 tls
· 原因:
· 原来的 protocol: HTTP、port: 80 是明文传输,不安全。题目要求对外暴露服务,通常需要 HTTPS 加密。
· port: 443 是 HTTPS 的标准端口,浏览器访问时不需要手动写端口号。
· hostname: gateway.web.k8s.local:严格限定只处理这个域名的请求,避免其他域名的流量误入。
· tls 配置:既然要处理 HTTPS,就必须有证书来解密。mode: Terminate 表示网关自己解密(而不是透传给后端)。certificateRefs 指向存有证书的 Secret web-cert。
简单说:改这些是因为题目要的是一个安全的、绑定特定域名的 HTTPS 入口。
二、HTTPRoute 修改原因
- metadata.name: example-httproute → web-route
· 原因:题目明确要求路由资源名为 web-route,保持唯一性和可识别性。
- parentRefs0.name: example-gateway → web-gateway
· 原因:这条路由要挂载到刚才创建的 web-gateway 上,而不是旧的 example-gateway。parentRefs 就是用来建立路由与网关的关联的。
- hostnames: "www.example.com" → "gateway.web.k8s.local"
· 原因:网关只监听 gateway.web.k8s.local 这个域名,所以路由必须声明同一个域名,否则请求会被拒绝。域名不一致就无法匹配。
- matches0.path.value: /login → /
· 原因:原示例只匹配 /login 路径,意味着只有访问 /login 才会被转发。题目要求的是"所有路径"(相当于 Ingress 里的 paths: /),所以改成根路径 /。PathPrefix 类型下,/ 匹配所有请求。
- backendRefs.name: example-svc → web
· 原因:后端服务名字变了,题目要求转发给名为 web 的 Service(而不是 example-svc)。这是实际业务服务的名称。
- backendRefs.port: 8080 → 80
· 原因:目标 Service web 监听的端口是 80(常见 HTTP 端口),而不是 8080。端口必须匹配 Service 的定义,否则流量发不过去。
三、整体逻辑串联
-
网关定义入口:用 web-gateway 在 443 端口、域名 gateway.web.k8s.local 上接收 HTTPS 请求,证书从 web-cert 获取。
-
路由定义转发:用 web-route 挂载到 web-gateway,对所有路径(/)的请求,转发到 web Service 的 80 端口。
-
所有名字、域名、端口、路径都必须前后一致,否则流量无法正常流入后端。
一句话总结修改原因:题目要求的是一个特定的 HTTPS 网关加全路径路由,因此要把示例中的占位符(example-xxx、/login、8080、HTTP 等)全部换成题目给出的真实值。