Kubernetes之Ingress

最新推荐文章于 2025-06-06 18:09:05 发布
最新推荐文章于 2025-06-06 18:09:05 发布
阅读量2.5k 收藏 5
点赞数 1
CC 4.0 BY-SA版权
分类专栏: kubernetes 文章标签: Kubernetes Ingress
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/dkfajsldfsdfsd/article/details/81224905

概述

向外网暴露集群内服务,以使客户端能够访问,有以下几种方法,本文重点描述Ingress。

LoadBalancer

LoadBalancer一般由云服务供应商提供或者用户自定义,运行在集群之外。在创建service时为其配置LoadBalancer相关参数,当从外网访问集群内servcie时,用户直接连接到LoadBalancer服务器,LoadBalancer服务器再将流量转发到集群内service。Loadbalancer配置及使用方法与各云服务供应商有关,本文不详细描述。

NodePort

这种方式要求集群中部分节点有被外网访问的能力。Kubernetes为每个NodePort类型的服务在集群中的每个节点上分配至少一个主机网络端口号。客户通过能被外网访问的节点IP加上节点端口的方式访问服务。大多数情况下不会通过这种方式向集群外暴露服务,原因有四。

  • 其一:大多情况下,为了安全起见,集群中的节点位于完全内网环境中,不应该有被外网直接访问的能力。一般外网访问集群中的节点都是通过边界服务器如网关、跳板等,而这种边界服务器需要通过各种方式进行安全加固。
  • 其二:如果集群内节点可以从外网直接访问的话,则会将集群内节点地址、服务名称、端口号等信息直接暴露在外,非常不安全。
  • 其三:服务端口号一般由系统自动分配,并非固定,而服务名称也可能发生变更,此时外部客户端需要跟踪变更并修改,属于重试耦合。
  • 其四:这种方式,每个服务至少向外网暴露一个端口号,当服务很多时不易于管理。

Ingress

Ingress不是某种产品、组件的名称,它应该是kubernetes向集群外暴露服务的一种思路、技术,用户完全可以根据这种思路提供自己的Ingress实现,当然kubernetes提供了默认Ingress实现还有其它第三方实现,一般无需自己开发。它的思路是这样的,首先在集群内运行一个服务或者pod也可以是容器,不管是什么它至少应该有一个外网可以访问的IP,至少向外网开放一个端口号,让它充当反向代理服务器。当外网想要访问集群内service时,只需访问这个反向代理服务器并指定相关参数,代理服务器根据请求参数并结合内部规则,将请求转发到service。这种思路与LoadBalancer的不同之处是它就位于集群内,而LoadBalancer位于集群外。与NodePort的不同之处是集群只向外暴露一个服务或者pod等,而NodePort是暴露全部service。

Kubernetes用nginx实现反向代理服务器,称为Ingress Controller,是pod类型资源。同时提供了Ingress类型对象,通过创建Ingress对象配置nginx反向代理服务器的转发规则。Nginx反向代理服务器收到来自外网的请求后,用请求的URL地址、请求头字段区别不同service,然后转发请求。

部署Ingress Controller

在Kubernetes中,Ingress Controller典型是pod类型资源,其部署方式与普通pod相同,通过Deployment、DaemonSet等副本控制器部署,其中更值推荐的是DaemonSet方式。Ingress Controller需要部署在具备连通外网能力的节点上,首先在目标节点打上Ingress Controller专用标签,然后在DaemonSet的配置文件中配置节点选择器选中此类标签,控制pod实例可以部署的节点,通过为节点增减相关标签控制Ingress Controller的pod实例个数。Ingress Controller一般占用两个节点主机端口,http用80,https用443。详细参考:https://git.k8s.io/ingress-nginx/README.md。外网通过http://节点外网ip:80/...或者https://节点外网ip:80/...就可以访问内部服务了,当前首先需要创建Ingress对象配置访问策略。

创建Ingress对象

本节通过创建各种Ingress对象,展示Ingress的各种典型用法。

Single Service Ingress

配置文件:

apiVersion: extensions/v1beta1
kind: Ingress
metadata:
  name: test-ingress
spec:
  backend:
    serviceName: testsvc
    servicePort: 80

创建对象:

$ kubectl get ing
NAME                RULE          BACKEND        ADDRESS
test-ingress        -             testsvc:80     107.178.254.228

以上配置中没有具体的rule,所以诸如http(s)://107.178.254.228/xxx之类的请求都转发到testsvc的80端口。

其于URL转发

假如打算实现如下目标:

foo.bar.com -> 178.91.123.132 -> / foo    s1:80
                                 / bar    s2:80

其中foo.bar.com是http请求体头部中的host字段,178.91.123.132是Ingress Controller外网地址,当请求路径与/foo匹配时转发到s1服务的80端口,当与/bar匹配时转发到s2服务的80端口,其最核心逻辑是用URL区分不同服务。

配置如下:

apiVersion: extensions/v1beta1
kind: Ingress
metadata:
  name: test
  annotations:
    nginx.ingress.kubernetes.io/rewrite-target: /
spec:
  rules:
  - host: foo.bar.com
    http:
      paths:
      - path: /foo
        backend:
          serviceName: s1
          servicePort: 80
      - path: /bar
        backend:
          serviceName: s2
          servicePort: 80

创建对象:

$ kubectl get ing
NAME      RULE          BACKEND   ADDRESS
test      -
          foo.bar.com
          /foo          s1:80
          /bar          s2:80

 基于名称的虚拟主机

实现如下目标:

foo.bar.com --|                 |-> foo.bar.com s1:80
              | 178.91.123.132  |
bar.foo.com --|                 |-> bar.foo.com s2:8

这种方式的核心逻辑是用http请求中的host字段区分不同服务,而不是URL。如host: foo.bar.com的请求被转发到s1服务80端口,如host: bar.foo.com的请求被转发到s2服务80端口。

配置:

apiVersion: extensions/v1beta1
kind: Ingress
metadata:
  name: test
spec:
  rules:
  - host: foo.bar.com
    http:
      paths:
      - backend:
          serviceName: s1
          servicePort: 80
  - host: bar.foo.com
    http:
      paths:
      - backend:
          serviceName: s2
          servicePort: 80

TLS 

利用Secret类型对象为Ingress Controller提供私钥及证书,对通信链路加密。

Secret配置:

apiVersion: v1
data:
  tls.crt: base64 encoded cert
  tls.key: base64 encoded key
kind: Secret
metadata:
  name: testsecret
  namespace: default
type: Secret

在Ingress对象中引用:

apiVersion: extensions/v1beta1
kind: Ingress
metadata:
  name: no-rules-map
spec:
  tls:
  - secretName: testsecret
  backend:
    serviceName: s1
    servicePort: 80

 更新Ingress对象

使用kubectl edit命令编辑Ingress实时对象:

$ kubectl get ing
NAME      RULE          BACKEND   ADDRESS
test      -                       178.91.123.132
          foo.bar.com
          /foo          s1:80
$ kubectl edit ing test

 在弹出的编辑器中修改:

spec:
  rules:
  - host: foo.bar.com
    http:
      paths:
      - backend:
          serviceName: s1
          servicePort: 80
        path: /foo
  - host: bar.baz.com
    http:
      paths:
      - backend:
          serviceName: s2
          servicePort: 80
        path: /foo
..

保存关稍后确认更新:

$ kubectl get ing
NAME      RULE          BACKEND   ADDRESS
test      -                       178.91.123.132
          foo.bar.com
          /foo          s1:80
          bar.baz.com
          /foo          s2:80

 参考:

$ kubectl get ing
NAME      RULE          BACKEND   ADDRESS
test      -                       178.91.123.132
          foo.bar.com
          /foo          s1:80
          bar.baz.com
          /foo          s2:80
Kubernetes集群服务发现之Ingress资源详解(三十)
江晓龙的博客
11-04 1万+
Ingress-nginx资源介绍及详细配置 文章目录Ingress-nginx资源介绍及详细配置1.Ingress原理总结2.部署Ingress环境2.1.部署Ingress2.2.准备两个不同的service资源3.Ingress资源清单文件4.Ingress两种暴露方式4.1.http方式暴露4.2.https方式暴露4.3.进入Ingress容器查看生成的nginx配置5.扩展:ingress映射node节点80/443端口5.1.通过主机网络模式实现5.2.通过主机端口方式实现 1.Ingress
【K8S系列】第十三讲:Ingress详解
热门推荐
颜淡慕潇
12-23 2万+
NotePortIngressNodePort方式:最大的缺点是会占用很多集群机器的端口,而且需要在外部搭建额外的负载均衡;LB方式:最大的缺点则是每个service一个LB,有点浪费,并且需要k8s之外的支持,【eg:cloud provider】;ingressIngress就是为了解决1,2两种方式的限制,只需要一个NodePort或者一个LB就可以满足所有service对外服务的需求。
十、Ingress从外部访问的最佳方式
三成的博客
12-10 3768
概述 客户使用https进行访问,域名会被解析为IP,而这个IP是你调度器的IP地址, 但是客户连接的后端节点真实服务器,如果你认为集群足够安全那么在调度器可以卸载ssl,客户和调度器之间使用https,而调度器和后端节点使用http, 但是service的NodePort是基于iptables或者ipvs的4层调度转发,不支持ssl卸载,那么就需要在每一个提供服务的节点配置https的sll证书,如果是k8s集群那么就是每个pod, 注:service的NodePort前端加lb还只能加4层lb,因为如
kubernetesingress
syztoo
09-10 1万+
原文博客: https://www.cnblogs.com/linuxk/p/9706720.html https://www.cnblogs.com/caibao666/p/11235500.html 一、什么是IngressKubernetes 暴露服务的方式目前只有三种:LoadBlancer Service、NodePort Service、Ingress; 1、...
k8s安装ingress-nginx
最新发布
椰汁菠萝
06-06 497
摘要:在墙内环境安装ingress-nginx时,因无法使用helm需改用yaml文件安装。注意区分社区版ingress-nginx与官方版nginx-ingress。操作步骤包括:1)从GitHub下载deploy.yaml;2)将文件中的镜像前缀替换为阿里云源registry.aliyuncs.com/google_containers;3)调整镜像版本确保可拉取;4)通过kubectl apply完成部署。该方法解决了墙导致的镜像拉取问题。(150字)
Kubernetes Ingress基本使用
散步的博客
05-06 2011
Ingress: 为什么需要Ingress? Service可以使用NodePort暴露集群外访问端口,但是性能低下不安全 缺少Layer7的统一访问入口,可以负载均衡、限流等 ingress 公开了从集群外部到集群内服务的 HTTP 和 HTTPS 路由。 流量路由由 Ingress 资源上定义的规则控制。、 我们使用Ingress作为整个集群统一的入口,配置Ingress规则转到对应的Service nginx ingress: 这是nginx官方做的,适配k8s的,分为开源版和nginx p
一文读懂k8s的外网访问方式,Ingress/NodePort/LoadBanlancer
mukewangguanfang的博客
04-10 3211
在k8s中创建的微服务,大部分都是在集群内部互相调用,这时候,使用DNS就可以很方面访问。 比如:服务名是 my-service,端口号是8080,命名空间是yifan,那么就可以通过域名+端口 “my-service.yifan.svc.cluster.local:8080” 在集群内访问。 当然,也可以直接用服务的ClusterIP+服务的端口号,只是这么使用的较少。 DNS解析到的IP也就是这个服务的ClusterIP,只是咱们不需要记住ClusterIP,记住服务名对应的域名更加容易。
nginx controller 自定义头
huangruifeng的博客
03-02 3684
ingress-nginx-controller的configmap里添加enable-underscores-in-headers: "true"即可。如下: apiVersion: v1 data: allow-snippet-annotations: "true" enable-underscores-in-headers: "true" use-forwarded-headers: "true" kind: ConfigMap metadata: annotations:
quay.io/kubernetes-ingress-controller/nginx-ingress-controller:0.20.0镜像包
03-06
kubernetes的quay.io/kubernetes-ingress-controller/nginx-ingress-controller:0.20.0镜像包,版本为v0.20.0。文件先解压,之后得到nginx-ingress-controller.0.20.0.tar
KubernetesIngress
千度阿三的博客
07-20 352
Ingress 可以把外部需要进入到集群内部的请求转发到集群中的一些服务上,从而实现把服务映射到集群外部的需要。Ingress 能把集群内 Service 配置成外网能够访问的 URL,流量负载均衡,提供基于域名访问的虚拟主机等,相当于一个流量入口。它的基础构件叫做 Ingress Controller。
KubernetesIngress Controller
Java大数据联盟
04-16 1139
3.4 安装Nginx-Ingress-Controller 创建配置文件: 在 master 节点中创建一个名称为 nginx-ingress-controller.yaml 的配置文件,该配置文件中定义了安装Nginx-Ingress-Controller所需要的各种资源,该yaml 配置文件的内容参考了官方示例 https://raw.githubusercontent.com/kube...
kubernetes 安装 ingress controller
虫虫的博客
08-06 1025
kubernetes 安装 ingress controller
Ingress的概念和原理
个人博客
11-01 1万+
一、What、Why (一) ingress诞生的背景: 到达service所选中的节点上,然后负载均衡到每一个节点上。nodeport虽然提供了对外的方式但也有很大的弊端: 由于servcie的实现方式use_space、iptables、ipvs这三种方式只支持4层协议通信,不支持7层协议,因此nodeport不能代理https(客户端的角度);nodeport需要暴露service所属每个node节点上端口,当需求越来越多,端口数量越多,导致维护成本过高,并且集群不好管理(运维的技术难度)。
KubernetesIngress-nginx部署使用
小健健的博客
02-21 6018
博文大纲:一、Ingress简介1)Ingress组成2)Ingress工作原理3) Ingress可以解决什么问题?二、配置Ingress-nginx1)搭建registry私有仓库2)创建用于测试的Pod2)创建tomcat服务及其service3)确保以上资源对象成功创建4)创建Ingress-controller资源对象5)创建Ingress资源对象6)为Ingress-controll...
k8s常用命令
YSY02的博客
12-20 2708
1、编辑ingress kqa edit ingress
K8S-INGRESS原理,部署及应用
运维老炮
12-20 1万+
一. 题记 各位,总算回来!博客断更快一年了吧,这一年过的真不容易,和疫情一样。公司降薪换工作,到了新公司和我八字不合,差点给我整出来抑郁症,又开始换工作,刚稳定了两周,又出车祸了,被一个老大爷骑着三轮车怼成了骨折。自己遭罪又贴钱,倒了血霉了。这本命年真是不好过呀。还好到年底了,这一年就要结束了。小太爷又回来了!回来就好,回来就继续写博客吧,就这命了!我记得k8s原理我写到了pod原理这块,先放放,刚做了ingress,先学这个吧,这个有点意思。 我打算用三...
Ingress 使用域名访问服务
男儿当自强
06-02 4147
Ingress是Kubenetes中的一个controller对象,使用Ingress可以通过域名来访问服务,一个服务对应一组pod,实现负载均衡。 Ingress并不是xi
[kubernetes]-通过nginx + ingress处理外网请求
爷来辣的博客
09-05 2265
需求: 通过nginx + nginx-ingress 模拟slb+ingress 处理外网请求,直接请求到ingress服务器觉得不是太好。 先在阿里云添加一条dns 解析test-jenkins.ihaozhuo.com到公司的公网ip 网关映射域名到内网192.168.1.108的80端口 即nginx端口 在108上通过nginx 转发请求 到kubernetesingress node ip为192.168.1.203 conf.d/test-jenkins.conf 如下 #ser
ingress的使用
Hurry6的博客
04-14 1758
Service对集群之外暴露服务的主要方式有两种:NotdePort和 LoadBalancer,但是这两种方式,都有一定的缺点:基于这种现状,kubernetes提供了Ingress资源对象,Ingress只需要一个NodePort或者一个LB就可 以满足暴露多个Service的需求。工作机制大致如下图表示: 实际上,Ingress相当于一个7层的负载均衡器,是kubernetes对反向代理的一个抽象,它的工作原理 类似于Nginx,可以理解成在Ingress里建立诸多映射规则,Ingress Cont
kubernetes部署ingress
02-27
### 部署 IngressKubernetes 中 #### 准备工作 为了使 Nginx Ingress Controller 正常运行,在集群中安装该控制器是必要的。这可以通过应用官方提供的配置文件来完成: ```bash kubectl apply -f https://raw.githubusercontent.com/kubernetes/ingress-nginx/controller-v0.41.2/deploy/static/provider/cloud/deploy.yaml ``` 上述命令会部署最新的稳定版本的 Nginx Ingress Controller[^1]。 #### 创建 TLS Secret 对于 HTTPS 支持来说,创建一个包含 SSL 证书和私钥的秘密资源 (Secret) 是必需的操作。通过 `kubectl create` 命令可以轻松实现这一点: ```bash kubectl create secret tls kube-dasboard-ssl --cert=path/to/tls.crt --key=path/to/tls.key -n ingress-nginx ``` 这条指令将会在一个命名空间内创建名为 `kube-dasboard-ssl` 的秘密资源,用于存储指定路径下的证书文件和密钥文件[^4]。 #### 定义 Ingress 资源 定义并应用 Ingress YAML 文件能够设置访问服务的具体规则。下面是一个针对 kubernetes-dashboard 设置 Ingress 的例子: ```yaml apiVersion: networking.k8s.io/v1 kind: Ingress metadata: name: ingress-kube-dashboard namespace: default annotations: kubernetes.io/ingress.class: "nginx" nginx.ingress.kubernetes.io/backend-protocol: "HTTPS" spec: tls: - hosts: - dashboard.kube.com secretName: kube-dasboard-ssl rules: - host: dashboard.kube.com http: paths: - pathType: Prefix path: "/" backend: service: name: kubernetes-dashboard port: number: 443 ``` 此配置指定了域名 `dashboard.kube.com` 将被映射到名称为 `kubernetes-dashboard` 的 Service 上,并启用了TLS终止功能以提供安全连接[^2]。 #### 查看日志 如果遇到任何问题或想要验证配置是否生效,可以查看 Ingress 控制器 Pod 的实时日志来进行调试: ```bash kubectl logs -f $(kubectl get pods -l app.kubernetes.io/name=ingress-nginx -o jsonpath='{.items[0].metadata.name}') -n ingress-nginx ``` 这段脚本将获取正在运行的第一个匹配标签的选择器所对应的Pod的名字,并打印其最新日志输出[^3]。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值