K8s-Ingress

Kubernetes Ingress路由与部署指南
原创 已于 2025-09-03 08:57:55 修改 · 1k 阅读 · 17 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#kubernetes #云原生

于 2025-08-21 10:00:52 首次发布

Ingress 不会直接访问 Pod,它必须先访问 Service,再由 Service 转发给 Pod。

外部请求 (浏览器)
       │
       ▼
   Ingress Controller (Nginx)
       │ 根据域名/路径匹配
       ▼
   Service (ClusterIP / NodePort)
       │
       ▼
   Pod (应用容器)
 

一、Ingress

Ingress 是 Kubernetes 中的 七层(HTTP/HTTPS)路由规则,主要用来把 集群外的流量 引入到集群内部的 Service。

它不是单独工作的,必须依赖一个 Ingress Controller(常见的有 Nginx Ingress Controller、Traefik、HAProxy 等)。

有了 Ingress,就可以通过 域名 / 路径 来访问不同的 Service,而不用记 NodePort 或配置外部负载均衡。

二、实例说明

1、基于域名的路由

访问 frontend.example.com → 转发到 frontend-svc

访问 backend.example.com → 转发到 backend-svc

apiVersion: networking.k8s.io/v1
kind: Ingress
metadata:
  name: domain-based-ingress
spec:
  rules:
  - host: frontend.example.com
    http:
      paths:
      - path: /
        pathType: Prefix
        backend:
          service:
            name: frontend-svc
            port:
              number: 80
  - host: backend.example.com
    http:
      paths:
      - path: /
        pathType: Prefix
        backend:
          service:
            name: backend-svc
            port:
              number: 8080

根据请求的 域名 转发到不同的 Service。

pathType: Prefix   #前缀匹配路径,表示以这个 path 开头的请求都会命中。

还有其他两种:Exact、ImplementationSpecific(不推荐)

2、基于路径的路由

http://mall.example.com/ → 前端服务

http://mall.example.com/api → 后端服务

apiVersion: networking.k8s.io/v1
kind: Ingress
metadata:
  name: path-based-ingress
spec:
  rules:
  - host: mall.example.com
    http:
      paths:
      - path: /
        pathType: Prefix
        backend:
          service:
            name: frontend-svc
            port:
              number: 80
      - path: /api
        pathType: Prefix
        backend:
          service:
            name: backend-svc
            port:
              number: 8080

同一个域名,根据不同路径转发

3、启用 HTTPS (TLS)

你有一个证书 mall-tls(由 Secret 存储),希望通过 HTTPS 访问

apiVersion: networking.k8s.io/v1
kind: Ingress
metadata:
  name: tls-ingress
spec:
  tls:
  - hosts:
    - mall.example.com
    secretName: mall-tls   # 这里的 mall-tls 是存放证书的 Secret
  rules:
  - host: mall.example.com
    http:
      paths:
      - path: /
        pathType: Prefix
        backend:
          service:
            name: frontend-svc
            port:
              number: 80

mall-tls 是通过 kubectl create secret tls mall-tls --cert=mall.crt --key=mall.key 创建的。

用户访问时就是 https://mall.example.com

三、组合案例

部署一个 前后端分离商城

服务Pod 名称Service 名称端口
前端 (React)frontend-podfrontend-svc80
后端 (API)backend-podbackend-svc8080

用户访问 http://mall.example.com/ → 访问前端

用户访问 http://mall.example.com/api → 访问后端

通过 Ingress 实现统一入口,无需直接访问 NodePort 或 ClusterIP

1、部署前端 Deployment + Service

Deployment (frontend-deployment.yaml)

apiVersion: apps/v1
kind: Deployment
metadata:
  name: frontend-deployment
spec:
  replicas: 2
  selector:
    matchLabels:
      app: frontend
  template:
    metadata:
      labels:
        app: frontend
    spec:
      containers:
      - name: frontend
        image: nginx:alpine   # 假设前端打包后放在 Nginx 中
        ports:
        - containerPort: 80

Service (frontend-svc.yaml)

apiVersion: v1
kind: Service
metadata:
  name: frontend-svc
spec:
  selector:
    app: frontend
  ports:
  - port: 80
    targetPort: 80
  type: ClusterIP

2、部署后端 Deployment + Service

Deployment (backend-deployment.yaml)

apiVersion: apps/v1
kind: Deployment
metadata:
  name: backend-deployment
spec:
  replicas: 2
  selector:
    matchLabels:
      app: backend
  template:
    metadata:
      labels:
        app: backend
    spec:
      containers:
      - name: backend
        image: my-backend:latest
        ports:
        - containerPort: 8080

Service (backend-svc.yaml)

apiVersion: v1
kind: Service
metadata:
  name: backend-svc
spec:
  selector:
    app: backend
  ports:
  - port: 8080
    targetPort: 8080
  type: ClusterIP

3、创建 Ingress

Ingress (mall-ingress.yaml)

apiVersion: networking.k8s.io/v1
kind: Ingress
metadata:
  name: mall-ingress
spec:
  rules:
  - host: mall.example.com
    http:
      paths:
      - path: /
        pathType: Prefix
        backend:
          service:
            name: frontend-svc   #前端的service
            port:
              number: 80
      - path: /api
        pathType: Prefix
        backend:
          service:
            name: backend-svc    #后端的service
            port:
              number: 8080

浏览器访问 http://mall.example.com/api    ###后端的路径
        │
        ▼
Ingress Controller (Nginx)
        │ 根据规则匹配路径 /api
        ▼
Service: backend-svc                             ###后端的service
        │ 转发请求到对应 Pod
        ▼
Pod: backend-pod
 

##有待补充

十一、K8S-ingress
爱吃西红柿的博客
01-22 1442
当你在Kubernetes集群中运行多个应用程序时,每个应用程序都有自己的服务。为了让外部用户访问这些应用程序,就好像他们访问网站一样,我们需要一种方法来管理流量的分配和路由。这就是Ingress的作用。想象一下,您的Kubernetes集群就像一个大型的公寓楼,每个公寓是一个应用程序。而Ingress就是大楼的大门,允许外部人员进入。大门上有一个保安,他会检查来访者的目的地,并根据他们的要求告诉他们去哪里。Ingress就是这个保安,他知道应该将来自某个网址的请求引导到特定的应用程序。
Kubernetes】使用ingress的实践,理解流量路由
m0_74282926的博客
08-01 949
用户发起请求:如Ingress接收请求检查域名是否匹配Ingress规则检查路径/api是否匹配path: /api根据规则转发到Service处理请求找到Endpoints中的Pod(10.244.1.74和10.244.2.75)通过负载均衡将请求转发到其中一个PodPod响应请求Nginx容器处理请求并返回结果。
k8s-ingress控制器
2501_92004703的博客
10-07 808
kubernetes对反向代理的一个抽象,它的工作原理类似于Nginx,可以理解成在Ingress里建立诸多映射规则,Ingress Controller通过监听这些配置规则并转化成Nginx的反向代理配置 , 然后对外部提供服务。因为我们是基于域名做的负载均衡的配置,所有必须要在浏览器里使用域名去访问,不能使用ip地址。再次在nfs服务器上测试,多测试几次,因为service 背后的ipvs的调度算法是轮询的。/usr/share/nginx/html/bar 文件夹不存在,导致404错误。
K8S-Ingress-Controller
jzyue
11-04 1095
service是将一组pod管理起来,提供了一个cluster ip和service name的统一访问入口,屏蔽了pod的ip变化。 ingress 是一种基于七层的流量转发策略,即将符合条件的域名或者location流量转发到特定的service上,而ingress仅仅是一种规则,k8s内部并没有自带代理程序完成这种规则转发。 ingress-controller 是一个代理服务器,将ingress的规则能真正实现的方式,常用的有 nginx,traefik,haproxy。但是在k8s集群中,建议使用
k8s-ingress
吴大侠的博客
09-05 1637
一、基本概念 1. 把端口号对外暴露,通过ip+端口号进行访问 使用Service里面的NodePort实现 2.NodePort缺陷 在每个节点上都会起到端口,在访问时候通过任何节点,通过节点ip+暴露端口实现访问 意味着每个端口只能使用一次,一个端口对应一个应用 实际访问中都是使用域名进行访问,根据不同域名跳转不同端口服务中去 3.Ingress和Pod关系 pod和ingress...
使用k8s-ingress进行金丝雀发布
u011830181的博客
03-15 1903
k8s上进行金丝雀发布
K8S-INGRESS原理,部署及应用
别来沾边儿
10-10 1888
Ingress解决的是新的服务加入后,域名和服务的对应问题,基本上是一个ingress的对象,通过yaml进行创建和更新进行加载。来保护 Ingress。的服务)配置成外网能够访问的URL,流量负载均衡,及SSL,并提供域名访问的虚拟主机等,客户通过访问URL(API资源服务的形式,例如:caas.one/kibana)进入和请求Service,一个Ingress控制器负责处理所有Ingress的请求流量,它通常是一个负载均衡器,它也可以设置在边界路由器上,或者由额外的前端来帮助处理HA方式的流量。
K8S-ingress
屈帅波的技术博客
09-29 735
概述:客户使用https进行访问,域名会被解析为IP,而这个IP是你调度器的IP地址,但是客户连接的是你后端节点真实服务器,如果你认为集群足够安全那么在调度器可以卸载ssl,客户和调度器之间使用https,而调度器和后端节点使用http,但是service的NodePort是基于iptables或者ipvs的4层调度转发,不支持ssl卸载,那么就需要在每一个提供服务的节点配置https的sll证...
k8s-ingress
weixin_44103804的博客
06-23 494
ingress Controller : 反向代理程序,需要监视api server 上ingress资源的变动,并生成具体应用的自身的配置文件格式,将新加入的ingress转化成反向代理配置文件并动态加载使其生效,最终完成流量转发。ingress API : 定义了抽象路由配置信息,只是原数据,需要由相应的控制器动态加载,将代理配置抽象成一个ingress对象,每个服务对应一个yaml配置文件,负责以k8s标准资源格式定义流量调度、路由等规则。简单来说,是一个代理,可以根据配置转发请求到指定的服务上。
K8S--Ingress的作用
IT利刃出鞘的博客
01-15 5679
本文介绍K8SIngress的作用。
精选资源
citrix-k8s-ingress-controller:适用于Kubernetes的Citrix ADC(NetScaler)入口控制器:
02-03
"citrix-k8s-ingress-controller"是Citrix为Kubernetes设计的专用入口控制器,它将Citrix ADC的强大功能集成到Kubernetes生态系统中,以实现更高效、安全的流量管理。 1. **Kubernetes Ingress**: Kubernetes ...
精选资源
k8s-ingress-haproxy:用于HAProxy的Kubernetes入口控制器
02-20
接下来,使用Git,将此存储库克隆到$ GOPATH / src / github.com / previousnext / k8s-ingress-haproxy。 所有必需的依赖项都已供应或自动安装,因此您只需键入make test 。 这将运行测试并编译二进制文件。 如果...
k8s-ingress-claim:一种可以防止对HostsDomain进行意外重复声明的准入控制策略
05-02
k8s-ingress-claim提供了一种准入控制策略,可防止现有入口已经声明的入口意外重复请求主机/域。 执行 这被实现为 ,其中k8s-ingress-claim服务作为部署在每个集群上运行。 Webhook配置为将对ingress资源的CREATE和...
精选资源
apisix-ingress-controller:K8的入口控制器
04-01
适用于Kubernetes的Apache APISIX 使用进行Kubernetes 。...使用具有最小学习曲线的k8s yaml结构,对具有自定义资源定义(CRD)的Apache APISIX进行声明式配置。 适用于Yaml期间的热重装。 本机Ku
Ubuntu24.04基于Docker部署K8s(使用私服部署)
会飞的小蛮猪博客
11-24 350
最近开始正在学习和使用k8s,对几种安装方式都进行了测试,这次主要使用了离线镜像和软件源的方式来进行了安装。需要自己先对软件源和镜像源提前部署!
记一次K8s故障告警排查(Grafna告警排查)
最新发布
Connie1451的博客
11-25 115
找出占用磁盘最大的目录,分析目录来源,分析是否K8s 的节点配置不对,一般原因都是磁盘IO占用过大,根据具体业务修改节点配置可解决。
K8S 日志收集方案
叱咤少帅的博客
11-24 88
Fluent Bit DaemonSet → Loki → Grafana
K8s 集群部署微服务 - yaml 版本(三)
weixin_45278293的博客
11-20 776
首先 volumeClaimTemplates 是 StatefulSet(有状态服务) 的专属字段。为 StatefulSet 管理每一个 pod 都会单独创建一个独立的、与 pod 生命周期绑定的 pvc 以及对应的 pv。每个 Pod 挂载自己的专属存储,数据互不干扰,且 Pod 重建(即使调度到其他节点)仍能绑定到原来的 PVC。日志可通过 NFS 共享存储挂载(所有副本写日志到同一个 NFS 目录,或按 Pod 名分目录),无需每个副本专属 PVC。
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值