目錄
- 一、什么是Ingress
- 二、Ingress 工作機(jī)制
- 三、Ingress 核心概念
- 四、Ingress 工作原理
- 五、Ingress 使用
- 搭建 Ingress 環(huán)境
- 1、獲取 ingress-nginx
- 2、創(chuàng)建 ingress-nginx
- 部署兩組 service
- 創(chuàng)建tomcat-nginx.yaml
- 配置Http訪問代理
- 如何通過外網(wǎng)訪問呢?
- 配置Https訪問代理
一、什么是Ingress
在上一篇關(guān)于k8s之service的使用一篇中提到,Service對(duì)集群之外暴露服務(wù)的主要方式有兩種,NotePort和LoadBalancer,但這兩種方式,都有一定的缺點(diǎn),具體來說:
- NodePort 會(huì)占用很多集群機(jī)器的端口,當(dāng)集群服務(wù)變多的時(shí)候,過多的端口會(huì)給k8s的運(yùn)維人員帶來諸多的不便;
- 而LB的缺點(diǎn)是每個(gè)service需要一個(gè)LB,不僅浪費(fèi)而且麻煩,并且需要kubernetes之外設(shè)備的支持;
基于這種現(xiàn)狀,k8s提供了Ingress這種資源對(duì)象,Ingress只需要一個(gè)NodePort或者一個(gè)LB就可以滿足暴露多個(gè)Service的需求;
二、Ingress 工作機(jī)制
Ingress 的工作機(jī)制可參考下圖進(jìn)行理解;
實(shí)際上,Ingress相當(dāng)于一個(gè)7層的負(fù)載均衡器,可以理解為kubernetes對(duì)反向代理的一個(gè)抽象,它的工作原理類似于Nginx;
或者可以理解為:在Ingress里建立了諸多的映射規(guī)則,Ingress Controller通過監(jiān)聽這些配置規(guī)則并轉(zhuǎn)化成Nginx的反向代理配置 , 然后對(duì)外部提供服務(wù);
三、Ingress 核心概念
關(guān)于Ingress,有下面兩個(gè)概念需要重點(diǎn)理解
- ingress:kubernetes中的一個(gè)對(duì)象,作用是定義請(qǐng)求如何轉(zhuǎn)發(fā)到service的規(guī)則;
- ingress controller:具體實(shí)現(xiàn)反向代理及負(fù)載均衡的程序,對(duì)ingress定義的規(guī)則進(jìn)行解析,根據(jù)配置的規(guī)則來實(shí)現(xiàn)請(qǐng)求轉(zhuǎn)發(fā),實(shí)現(xiàn)方式有很多,比如Nginx, Contour, Haproxy等;
四、Ingress 工作原理
類比Nginx來說,Ingress工作原理如下
- 編寫Ingress規(guī)則,說明哪個(gè)域名對(duì)應(yīng)kubernetes集群中哪個(gè)Service;
- Ingressnen控制器動(dòng)態(tài)感知Ingress服務(wù)規(guī)則的變化,然后生成一段對(duì)應(yīng)的Nginx反向代理配置;
- Ingress控制器會(huì)將生成的Nginx配置寫入到一個(gè)運(yùn)行著的Nginx服務(wù)中,并動(dòng)態(tài)更新;
到此為止,不難發(fā)現(xiàn),Ingress 其實(shí)真正在工作的時(shí)候就像是充當(dāng)一個(gè)Nginx在使用,內(nèi)部配置了用戶定義的請(qǐng)求轉(zhuǎn)發(fā)規(guī)則;
整個(gè)工作原理可以參照下圖進(jìn)行理解
五、Ingress 使用
搭建 Ingress 環(huán)境
1、獲取 ingress-nginx
獲取ingress-nginx,本次案例使用的是0.30版本
在當(dāng)前目錄下創(chuàng)建一個(gè)ingress-controller目錄
mkdir ingress-controller
進(jìn)入目錄,下載兩個(gè)yaml文件,可以通過wget的方式
wget https://raw.githubusercontent.com/kubernetes/ingress-nginx/nginx-0.30.0/deploy/static/mandatory.yaml wget https://raw.githubusercontent.com/kubernetes/ingress-nginx/nginx-0.30.0/deploy/static/provider/baremetal/service-nodeport.yaml #如果仍然下載不下來,也可以考慮下載碼云上的 wget https://gitee.com/mirrors/ingress-nginx/raw/nginx-0.30.0/deploy/static/mandatory.yaml
或者進(jìn)入github直接手動(dòng)復(fù)制配置內(nèi)容到本地的yaml文件中
mandatory.yaml service-nodeport.yaml
注意,下載下來之后, 修改mandatory.yaml文件中的倉庫,否則拉取不到
quay.io/kubernetes-ingress-controller/nginx-ingress-controller:0.30.0
替換為
quay-mirror.qiniu.com/kubernetes-ingress-controller/nginx-ingress-controller:0.30.0
2、創(chuàng)建 ingress-nginx
kubectl apply -f ./
執(zhí)行完成后,可以看到創(chuàng)建了很多東西
執(zhí)行完成后,查看Pod和Service,可以看到下面這兩個(gè)信息,一個(gè)Pod(nginx-ingress-controller),一個(gè)Service(NodePort);
kubectl apply -f mandatory.yaml
kubectl apply -f service-nodeport.yaml
部署兩組 service
按照下圖所示,我們將部署兩組Pod,一組為nginx,一組為tomcat
創(chuàng)建tomcat-nginx.yaml
配置內(nèi)容如下
apiVersion: apps/v1
kind: Deployment
metadata:
name: nginx-deployment
namespace: default
spec:
replicas: 3
selector:
matchLabels:
app: nginx-pod
template:
metadata:
labels:
app: nginx-pod
spec:
containers:
- name: nginx
image: nginx:1.17.1
ports:
- containerPort: 80
---
apiVersion: apps/v1
kind: Deployment
metadata:
name: tomcat-deployment
namespace: default
spec:
replicas: 3
selector:
matchLabels:
app: tomcat-pod
template:
metadata:
labels:
app: tomcat-pod
spec:
containers:
- name: tomcat
image: tomcat:8.5-jre10-slim
ports:
- containerPort: 8080
---
apiVersion: v1
kind: Service
metadata:
name: nginx-service
namespace: default
spec:
selector:
app: nginx-pod
clusterIP: None
type: ClusterIP
ports:
- port: 80
targetPort: 80
---
apiVersion: v1
kind: Service
metadata:
name: tomcat-service
namespace: default
spec:
selector:
app: tomcat-pod
clusterIP: None
type: ClusterIP
ports:
- port: 8080
targetPort: 8080
使用下面的命令執(zhí)行Pod的創(chuàng)建
kubectl create -f tomcat-nginx.yaml
創(chuàng)建成功后,可以檢查下Pod的狀況,可以看到3個(gè)nginx,3個(gè)tomcat對(duì)應(yīng)的Pod成功創(chuàng)建和運(yùn)行起來了;
此時(shí),再查看service,可以看到nginx和tomcat對(duì)應(yīng)的兩個(gè)service;
到這里,我們就按照部署圖中的模型準(zhǔn)備完成,接下來就需要通過Ingress相關(guān)的配置登場(chǎng)了;
配置Http訪問代理
在當(dāng)前目錄下,創(chuàng)建ingress-http.yaml,配置內(nèi)容如下:
apiVersion: extensions/v1beta1
kind: Ingress
metadata:
name: ingress-http
namespace: default
spec:
rules:
- host: nginx.congge.com
http:
paths:
- path: /
backend:
serviceName: nginx-service
servicePort: 80
- host: tomcat.congge.com
http:
paths:
- path: /
backend:
serviceName: tomcat-service
servicePort: 8080
使用下面的命令創(chuàng)建并查看
kubectl create -f ingress-http.yaml
kubectl get ing ingress-http -n default
或
kubectl describe ing ingress-http -n default
也可以通過describe查看Ingress配置規(guī)則的詳細(xì)信息;
該規(guī)則解釋來說就是:
- 當(dāng)訪問: nginx.congge.com的時(shí)候,將由nginx-service處理,其背后處理的Pod分別為括號(hào)內(nèi)分配的IP:地址對(duì)應(yīng)的服務(wù);
- 當(dāng)訪問:tomcat … ,也是如此理解
如何通過外網(wǎng)訪問呢?
首先,我們查看下上面通過Ingres-controller創(chuàng)建時(shí)的service信息,下圖可以看到,這里有一個(gè)NodePort類型的service,分配的對(duì)外端口是30337;
所以,外網(wǎng)訪問的完整地址是,前提是當(dāng)前的這個(gè)域名要能正確使用;
http://nginx.congge.com:32599
http://tomcat.congge.com:30337
配置Https訪問代理
https的配置和http配置文件差不多,只是在使用https這種方式下,需要提前創(chuàng)建好響應(yīng)的證書;
創(chuàng)建證書
# 生成證書openssl req -x509 -sha256 -nodes -days 365 -newkey rsa:2048 -keyout tls.key -out tls.crt -subj "/C=CN/ST=BJ/L=BJ/O=nginx/CN=congge.com"# 創(chuàng)建密鑰kubectl create secret tls tls-secret --key tls.key --cert tls.crt
在當(dāng)前目錄下創(chuàng)建ingress-https.yaml配置文件,配置內(nèi)容如下:
apiVersion: extensions/v1beta1
kind: Ingress
metadata:
name: ingress-https
namespace: default
spec:
tls:
- hosts:
- nginx.congge.com
- tomcat.congge.com
secretName: tls-secret # 指定秘鑰
rules:
- host: nginx.congge.com
http:
paths:
- path: /
backend:
serviceName: nginx-service
servicePort: 80
- host: tomcat.congge.com
http:
paths:
- path: /
backend:
serviceName: tomcat-service
servicePort: 8080
使用下面的命令創(chuàng)建
kubectl create -f ingress-https.yaml
或者通過describe命令查看下相關(guān)的配置規(guī)則,與上面http不同的是,這里會(huì)多出一個(gè)TLS,可以看到,這個(gè)TLS所要保護(hù)的域名,正是上面配置的那兩個(gè)域名;
在通過外網(wǎng)訪問之前,我們?cè)俅尾榭聪聦?duì)外暴露的端口號(hào),由于是https,所以應(yīng)該訪問的是32559;
再次訪問時(shí),地址如下
https://nginx.congge.com:32599
https://tomcat.congge.com:30337
