ingress controller是独立与controller-manager的
Ingress的主要作用是可以利用nginx,haproxy,envoy,traefik等负载均衡器来暴露集群内部服务。
利用Ingress可以解决内部资源访问外部资源的方式,和四层调度替换为七层调度的问题。
解决因为四层iptables/ipvs规则实现调度或加密tsl的方式过于复杂且效率低下的问题,因为四层调度的iptables/ipvs模块无法卸载,所以使用七层负载均衡来替代。
用户访问过程:
用户访问->nodeIP:Nodeport->podIP:containerPort
ingress原理:
用户访问-->LB-->ingress-nginx-service-->ingressController-ingress-nginx-pod-->ingress字段中调用的后端pod
后端pod的service只提供pod归类,归类后ingress会将此service中的后端pod信息提取出来,然后动态注入到ingress-nginx-pod中的ingress字段中
随后,后端pod就被调用到了
例:myapp
1.下载资源。github上搜索ingress-nginx,找到deploy项目,下载里面的mandatory.yaml,或在https://kubernetes.github.io/ingress-nginx/deploy/查看教程下载mandatory.yaml和service-nodeport.yaml
下载yaml后,kubectl apply -f mandatory.yaml。会创建1个pod:nginx-ingress-controller,1个svc:ingress-nginx,1个namespace
kubectl apply -f service-nodeport.yaml会创建一个service
这两条命令创建出ingress框架:ns/svc/deploy/ingress/,以后创建后端和后端匹配的ingress资源就可以使用生成的svc来访问了
2.创建myapp后端资源:
1 apiVersion: v1
2 kind: Service
3 metadata:
4 name: myapp
5 namespace: default
6 spec:
7 selector:
8 app: myapp
9 release: canary
10 ports:
11 - name: http
12 targetPort: 80
13 port: 80
14 ---
15 apiVersion: apps/v1
16 kind: Deployment
17 metadata:
18 name: myapp-deploy
19 namespace: default
20 spec:
21 replicas: 3
22 selector:
23 matchLabels:
24 app: myapp
25 release: canary
26 template:
27 metadata:
28 labels:
29 app: myapp
30 release: canary
31 spec:
32 containers:
33 - name: myapp
34 image: ikubernetes/myapp:v2
35 ports:
36 - name: http
37 containerPort: 80
3.创建ingress
1 apiVersion: extensions/v1beta1
2 kind: Ingress
3 metadata:
4 name: ingress-myapp
5 namespace: default
6 annotations:
7 kubernetes.io/ingess.class: "nginx"
8 spec:
9 rules:
10 - host: smbands.com
11 http:
12 paths:
13 - path:
14 backend:
15 serviceName: myapp ##注此处必须要和后端pod的service的名称一致,否则会报503错误
16 servicePort: 80 ##注此处必须要和后端pod的service的端口一致,否则会报503错误
#然后kubectl apply -f myapp-demo.yaml、kubectl apply -f ingress-demo.yaml。
4.访问。
确保hosts文件可以正确解析即可访问,使用域名+ingress-nginx的service暴露的端口
自签证书https tls
例:
1.生成所需文件
生成私钥文件:openssl genrsa -out tls.key 2048
生成证书文件:openssl req -new -x509 -key tls.key -out tls.crt -subj /C=CN/ST=Beijing/L=Beijing/O=DepOps/CN=tomcat.smbands.com
会有tls.crt tls.key两个文件
2.创建后端pod资源
1 apiVersion: v1
2 kind: Service
3 metadata:
4 name: tomcat ##下面的Ingess的资源清单里面的serviceName必须与此名称一致,否则报503错误。
5 namespace: default
6 spec:
7 selector:
8 app: tomcat
9 release: canary
10 ports:
11 - name: http
12 targetPort: 8080
13 port: 8080
14 - name: ajp
15 targetPort: 8009
16 port: 8009
17 ---
18 apiVersion: apps/v1
19 kind: Deployment
20 metadata:
21 name: tomcat-deploy
22 namespace: default
23 spec:
24 replicas: 3
25 selector:
26 matchLabels:
27 app: tomcat
28 release: canary
29 template:
30 metadata:
31 labels:
32 app: tomcat
33 release: canary
34 spec:
35 containers:
36 - name: tomcat
37 image: tomcat
38 ports:
39 - name: http
40 containerPort: 8080
41 - name: ajp
42 containerPort: 8009
3.创建secert资源,使其将证书密钥注入到tomcat配置文件中:
1 kubectl create secret tls tomcat-ingress-secret --cert=tls.crt --key=tls.key
4.创建ingress资源:
1 apiVersion: extensions/v1beta1
2 kind: Ingress
3 metadata:
4 name: ingress-tomcat-tls
5 namespace: default
6 annotations:
7 kubernetes.io/ingess.class: "nginx"
8 spec:
9 tls:
10 - hosts:
11 - tomcat-smbands.com
12 secretName: tomcat-ingress-secret
13 rules:
14 - host: tomcat.smbands.com
15 http:
16 paths:
17 - path:
18 backend:
19 serviceName: tomcat ##注:这里的serviceName必须与pod的service名称一致,否则会报503错误。
20 servicePort: 8080 ##注此处必须要和后端pod的service的端口一致,否则会报503错误
5.应用
kubectl apply -f tomcat-ingress-tls.yaml
6.访问。
确保hosts文件可以正确解析即可访问,使用域名https://tomcat.smbands.com:ingress的service向外暴露的端口。