【Kubernetes】集群外部的请求访问集群内应用的最佳方式:Ingress

原创 已于 2024-08-18 20:27:29 修改 · 1.7k 阅读 · 32 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#kubernetes #容器 #云原生 #Ingress #k8s #代理 #Service

于 2024-08-18 11:31:11 首次发布

Service 服务》系列,共包含以下文章:

😊 如果您觉得这篇文章有用 ✔️ 的话,请给博主一个一键三连 🚀🚀🚀 吧 (点赞 🧡、关注 💛、收藏 💚)!!!您的支持 💖💖💖 将激励 🔥 博主输出更多优质内容!!!

集群外部的请求访问集群内应用的最佳方式:Ingress

Kubernetes 通过 Service 为 Pod 提供了统一的入口地址,并使用 NodePort 和 LoadBalance 类型的 Service 让 外部的请求 可以访问 集群内部的应用

但是,使用 NodePort 和 LoadBalance 类型有以下缺点:

  • NodePort 类型通过在每个节点上暴露一个端口作为外部访问的入口,因此当 Service 很多时,这种方式会占用集群的大量端口。
  • LoadBalance 类型需要为每一个 Service 都定义一个负载均衡器,会浪费资源。

因此,Kubernetes 提供了 Ingress 域名访问应用 的方式,这也是从集群外部访问集群内应用的最佳方式。

在这里插入图片描述

1.Ingress 是什么

Ingress 的本质是,定义了一组从域名(或 URL)到 Service 的路由转发规则。Ingress 不会公开端口信息和所使用的协议,而是通过配置 HTTP 或 HTTPS 的路由规则,来实现从集群外部访问集群内应用的 URL 并实现负载均衡功能。

要创建和配置 Ingress 路由转发规则,则需要使用 Ingress Controller。它可以由任何具有 反向代理 功能的应用(如 Nginx 和 Haproxy)来实现。

Ingress 的工作机制如下图所示。
在这里插入图片描述

2.使用 Ingress Controller 创建 Ingress

下面来演示如何使用 Ingress Controller 创建 Ingress,从而实现从集群外部访问集群内部的应用。首先部署 Ingress Controller,再部署应用服务,最后创建 Ingress 的路由规则从集群外部访问集群内部的应用。

在这里插入图片描述
在 GitHub 上搜索 kubernetes/ingress-nginx。🚀 https://github.com/kubernetes/ingress-nginx

🚀 ingress-nginx is an Ingress controller for Kubernetes using NGINX as a reverse proxy and load balancer.

安装 NGINX Ingress Controller(使用 ingress-nginx 项目的官方清单)。

kubectl apply -f https://raw.githubusercontent.com/kubernetes/ingress-nginx/controller-v1.1.3/deploy/static/provider/baremetal/deploy.yaml

输出的信息如下:

在这里插入图片描述

检查 Ingress Controller Pod 是否已启动。

kubectl get pods -n ingress-nginx -o wide

在这里插入图片描述

检查是否能看到 NodePort 服务。

kubectl get services -n ingress-nginx

在这里插入图片描述

从 Ingress-NGINX 控制器 v1.0.0 版本开始,需要一个 ingressclass 对象。在默认安装中,已经创建了一个名为 nginxingressclass 对象。

kubectl get ingressclasses -n ingress-nginx

在这里插入图片描述

如果这只是 Ingresss-NGINX 控制器的实例,您应该在入口类中添加注释 ingressclass.kubernetes.io/is-default-class

kubectl annotate ingressclasses nginx ingressclass.kubernetes.io/is-default-class="true" -n ingress-nginx

在这里插入图片描述

🚀 在集群中,我们可以设定一个默认的 IngressClass,以便处理所有没有指定 IngressClass 的 Ingress 资源。通过将 ingressclass.kubernetes.io/is-default-class 注解的值设定为 true,来使没有设置 ingressClassName 的 Ingress 使用此默认的 IngressClass。 修改后必须新创建的 Ingress 才会默认使用。

尝试使用上一步中的 NodePort 连接 Ingress 控制器。

curl 10.107.109.133

如果您尚未配置任何后端服务,您应该会看到来自 Nginx 的 404 Not Found。现在这样就可以了。

在这里插入图片描述

如果您看到 Nginx 的响应,则表明 Ingress Controller 正在运行并且您可以访问它。

部署一个小型测试应用程序(httpd Web 服务器)来验证您的 Ingress 控制器。

创建以下 YAML 文件并将其命名为 simple-web-server-with-ingress.yaml

apiVersion: v1
kind: Namespace
metadata:
  name: web
---
apiVersion: apps/v1
kind: Deployment
metadata:
  name: web-server
  namespace: web
spec:
  selector:
    matchLabels:
      app: web
  template:
    metadata:
      labels:
        app: web
    spec:
      containers:
      - name: httpd
        image: httpd:2.4.53-alpine
        ports:
        - containerPort: 80
---
apiVersion: v1
kind: Service
metadata:
  name: web-server-service
  namespace: web
spec:
  selector:
    app: web
  ports:
    - protocol: TCP
      port: 5000
      targetPort: 80
---
apiVersion: networking.k8s.io/v1
kind: Ingress
metadata:
  name: web-server-ingress
  namespace: web
spec:
  ingressClassName: nginx
  rules:
  - host: web.example.com
    http:
      paths:
      - path: /
        pathType: Prefix
        backend:
          service:
            name: web-server-service
            port:
              number: 5000

部署应用程序:

kubectl apply -f simple-web-server-with-ingress.yaml

查看 Pod、Deployment、Service 和 Endpoint 的信息。

kubectl get pod,deploy,svc,ep -n web -o wide

在这里插入图片描述

查看创建的 Ingress。

kubectl get ingress -n web

在这里插入图片描述

验证您是否可以使用 NodePort 访问您的应用程序。

curl 10.107.109.133 -H 'Host: web.example.com'

如果成功,您应该看到 <html><body><h1>It Works!</h1></body></html>

在这里插入图片描述

编辑 hosts 文件加入 IP 地址与域名的对应关系,如下:

10.107.109.133 web.example.com

通过域名访问应用,如下图所示。

在这里插入图片描述

3.Ingress 注解

有时默认的配置并不一定能满足实际的需求,这时可以通过修改 Ingress 的 注解annotations)来实现对特定参数的配置。在每次修改 Ingress 注解后,Ingress Controller 会立即加载新的配置。

下面是官方提供的一个示例。该示例将完成文件上传功能。但默认情况下上传的请求大小是 1 MB,修改注解可以改变请求的大小限制。例如,下面将请求的大小设置为 2 MB。

apiVersion: extensions/v1beta1
kind: Ingress
metadata:
  name: openbayes-server-ing
  annotations:
    nginx.ingress.kubernetes.io/proxy-body-size: "2048"
    nginx.ingress.kubernetes.io/ssl-redirect: "false"
spec:
  rules:
  - http:
      paths:
      - path: /api
        backend:
          serviceName: openbayes-server-svc
          servicePort: 80

下表为常用的 Ingress 注解。

注解名称
作用
nginx.ingress.kubernetes.io/app-root定义应用根目录
nginx.ingress.kubernetes.io/rewrite-target执行 URL 重定向
nginx.ingress.kubernetes.io/use-regex开启路径正则匹配
nginx.ingress.kubernetes.io/affinity开启会话的粘连
nginx.ingress.kubernetes.io/ssl-redirect开启 HTTP 到 HTTPS 的跳转
nginx.ingress.kubernetes.io/force-ssl-redirect即使未启用 TLS 也会强制重定向到 HTTP

4.基于 Ingress 的高可用架构

Ingress 的路由规则是由 Ingress Controller 创建和维护的,因此,Ingress Controller 的 高可用性 就显得非常重要了。如果在 Kubernetes 集群中只存在一个 Ingress Controller,则必然会造成 单点故障。为了解决这个问题,可以采用 Ingress Controller 的 多副本部署,并将其作为 DaemonSet 的守护进程在每个节点上启动一个。

为了最大限度地利用 Ingress 进行路由,建议可以将 Ingress Controller 以独占方式部署,这样可以避免业务应用与 Ingress 服务争用资源。

下图展示了基于 Ingress 的高可用架构,其中引入了 KeepAlived 以实现从公网域名到机房的公网 IP 地址服务器的路由解析。
在这里插入图片描述

Kubernetes外部如何访问集群内的服务?
✨ 欢迎来到【Seal ^_^ 的优快云博客】!✨
08-29 2648
Kubernetes中,服务默认只在集群内部可见。为了实现外部访问Kubernetes提供了几种不同的方法。
如何从 Kubernetes 集群访问集群内的容器服务
NetEaseResearch的博客
06-11 6178
容器网络跟机房网络不在一个网络平面,一般不能互通,然则在混合环境中如何从 Kubernetes 集群外去访问 Kubernetes 集群里面的服务呢?本文将介绍该需求的多种实现方式
k8s 使用ingress-nginx访问集群内部应用
yxt625520的博客
10-23 803
因为Ingress-nginx-controller是部署在k8s集群内部以pod方式运行,是可以访问集群内部k8s的各个服务的,而只需要将Ingress-nginx-controller监听的80/443端口提供暴露给外部访问,并安装一定规则进行代理转发,即可实现外部通过Ingress-nginx-controller访问到内部应用
K8s学习----Ingress 控制器:集群外部访问
最新发布
Chihiro1002的博客
09-22 933
Kubernetes Ingress是管理集群外部访问的核心方案,由Ingress资源(路由规则)和Ingress控制器(执行者)组成。它提供统一入口、灵活路由和集中安全三大优势。部署Nginx Ingress控制器只需简单命令,配置规则时需定义域名/路径与服务的映射关系。进阶功能包括多服务路由、多域名管理和HTTPS加密。相比NodePort和LoadBalancer,Ingress更适合生产环境的多服务统一管理,通过单一入口简化访问并集中处理HTTPS证书,是Kubernetes服务暴露的首选方案。
kubernetes ingress方式访问集群服务
xingyuzhe的博客
07-10 4129
目标:通过Ingress方式访问集群服务环境:Kubenetes集群 / Linux步骤:概述-&gt;部署Kubernetes Ingress容器-&gt;编写jupyter部署yaml文件-&gt;运行测试1.概述应用部署到Kubernetes集群之后,需要对外发布服务,目前Kubernetes支持三种方式暴露服务:(1)NodePortService通过与集群节点的端口映射进行服务发布,外部...
Kubernetesk8s集群对外服务之Ingress
F12138X的博客
08-15 2081
必须以率直、谦虚的态度,乐观进取、向前迈进
Kubernetes——Service & Ingress外部请求访问集群内部服务方式
Wollens Blogs
05-15 2089
Service 将运行在一组 Pods 上的应用程序公开为网络服务的抽象方法。使用 kubernetes 你无需修改应用程序即可使用不熟悉的服务发现机制,kubernetes 为 Pods 提供自己的 IP 地址,并为一组 Pod 提供相同的 DNS 名,并且可以在它们之间进行负载均衡。 发布服务(服务类型) 由于运行的 Pod IP 是 docker 网桥的 IP 地址段进行分配的通常是一个虚拟的二层网络,外部网络并没有办法直接访问且由于 Pod IP 不是固定的、随时改变的, K8s 引入 Servic
Kubernetes 集群Service&Ingress 网络无法访问排障处理
2403_89316708的博客
12-03 1645
访问集群Ingress 的故障现象大多为几秒延时,原因是7层 CLB 如果请求 RS 后端超时(大概4s),会重试下一个 RS,所以如果 Client 设置的超时时间较长,出现回环问题的现象就是请求响应慢,有几秒的延时。使用公网 Ingress 和 LoadBalancer 类型公网 Service 不存在回环问题,主要是公网 CLB 收到的报文源 IP 是子机的出口公网 IP,而子机内部无法感知自己的公网 IP,当报文转发回子机时,不认为公网源 IP 是本机 IP,也就不存在回环。
Kubernetes--从集群外部访问Pod或Service
GaoChuang_的博客
11-14 1685
一、背景 由于Pod和Service都是Kubernetes集群范围内的虚拟概念,所以集群外的客户端系统无法通过Pod的IP地址或者Service的虚拟IP地址和虚拟端口号访问它们。为了让外部客户端可以访问这些服务,可将Pod或Service的端口号映射到宿主机,以使客户端应用能够通过物理机访问容器应用。 二、将容器应用的端口号映射到物理机 (1)通过设置容器级别的hostPort,将容器应用的端口号映射到物理机: apiVersion: v1 kind: Pod metadata: ...
[Kubernetes]9. K8s ingress讲解借助ingress配置http,https访问k8s集群应用
zhoupenghui168的博客
01-11 1683
K8s ingress借助ingress配置http,https访问k8s集群应用,怎么配置ssl证书,域名解析操作
探索K8s Ingress外部流量如何接入集群服务
wdfdgygg77的博客
03-18 487
同时,Ingress Controller作为Ingress的实际执行者,运行在K8s集群节点上,负责监听Ingress资源的变化,并根据配置更新负载均衡器(如Nginx、Traefik等)的规则,实现流量的动态转发。在这个配置中,定义了一个名为“example - ingress”的Ingress资源,关联到“example.com”域名,当访问该域名的根路径时,流量会被转发到名为“web - service”的Service的80端口。Ingress资源对象是K8s中定义路由规则的核心。
云原生kubernetes对外服务之Ingress
康师傅没有眼泪
12-18 2630
Ingress:只需一个或者少量的公网IP和LB,即可同时将多个HTTP服务暴露到外网,七层反向代理。可以简单理解为serviceservice,它其实就是一组基于域名和URL路径,把用户的请求转发到一个或多个service的规则。
kubernetes————Ingress对象
taonihou_的博客
09-04 626
hostNetwork https访问:https://web2.ale.com/bar/ https://web2.ale.com/foo/hostNetwork http访问:http://web2.ale.com/bar/ http://web2.ale.com/foo/nodeport访问时加的是ingress svc暴露的nodeport端口。https访问:https://www.ale.cn:32376/http访问:http://www.ale.cn:30375/
详解k8s集群内外的访问方式
tigerhhzz的博客
03-31 4872
Ingress、NodePort和LoadBalancer都是Kubernetes中用于将Service公开到外部的方法,但它们之间有一些区别和适用场景。Ingress:如果需要在同一IP地址和端口上公开多个服务,并根据请求路径或主机名进行路由,则可以使用IngressIngressKubernetes中的一个抽象层,它可以将多个Service公开到同一个IP地址和端口上,并根据请求路径或主机名进行路由,非常适合用于Web应用程序。NodePort。
Kubernetes Ingress:灵活的集群外部网络访问的利器
Hanko的专栏
09-21 238
一般安装都会失败,主要是国内无法下载镜像。改成国内镜像源,一般旧怎么的还是比较多的,新版本还是比较少安装个代理,然后下载手动下载镜像tar,再docker load进本地镜像库里。使用tag修改镜像tag:!!
云原生Kubernetes----Ingress对外服务
hy199707的博客
06-04 2157
随着Kubernetes云原生应用领域的广泛应用,如何高效地管理集群外部流量成为了许多开发者和管理员面临的挑战。在Kubernetes中,Ingress提供了一个标准化的方式来管理外部流量到集群内部服务的路由,从而简化了流量管理的复杂性。本文将介绍Ingress的基本概念、工作原理以及如何使用Ingress来优化你的Kubernetes集群的流量路由
KubernetesIngress 对外服务、ingress-controlle
Mo_nor的博客
06-11 971
kubectl edit svc 服务名#添加IP地址ingress-controller 用于对外接收请求对外发布的四种方式
十、Ingress外部访问最佳方式
三成的博客
12-10 3842
概述 客户使用https进行访问,域名会被解析为IP,而这个IP是你调度器的IP地址, 但是客户连接的后端节点真实服务器,如果你认为集群足够安全那么在调度器可以卸载ssl,客户和调度器之间使用https,而调度器和后端节点使用http, 但是service的NodePort是基于iptables或者ipvs的4层调度转发,不支持ssl卸载,那么就需要在每一个提供服务的节点配置https的sll证书,如果是k8s集群那么就是每个pod, 注:service的NodePort前端加lb还只能加4层lb,因为如
Ingress 统一的访问入口(ingress-nginx)(一)
qq_41967899的博客
01-22 1331
本次实践的主要目的就是将入口统一,不再通过 LoadBalancer 等方式将端口暴露出来,而是使用 Ingress 提供的反向代理负载均衡功能作为我们的唯一入口。 kubernetes 版本为1.16.0 部署tomcat 部署 Tomcat 但仅允许在内网访问,我们要通过 Ingress 提供的反向代理功能路由到 Tomcat 之上 apiVersion: apps/v1 kind: De...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

大数据与AI实验室

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值