【kubernetes详解10】-Ingress详解

桂安俊@kylinOS

已于 2022-10-14 22:07:51 修改

阅读量3.7k

点赞数 2

分类专栏： Kubernetes 文章标签：学习 nginx kubernetes

于 2022-05-23 19:55:25 首次发布

本文链接：https://blog.youkuaiyun.com/qq_28903377/article/details/124933701

版权

Kubernetes 专栏收录该内容

14 篇文章

订阅专栏

一、Ingress介绍

在前面介绍中已经提到，Service对集群之外暴露服务的主要方式有两种：NotePort和LoadBalancer，但是这两种方式，都有一定的缺点：

NodePort方式的缺点是会占用很多集群机器的端口，那么当集群服务变多的时候，这个缺点就愈发明显
LB方式的缺点是每个service需要一个外部LB设备，浪费、麻烦，并且需要kubernetes之外设备的支持

基于这种现状，kubernetes提供了Ingress资源对象，Ingress只需要一个NodePort或者一个LB就可以满足暴露多个Service的需求。工作机制大致如下图表示：

实际上，Ingress相当于一个7层的负载均衡器，是kubernetes对反向代理的一个抽象，它的工作原理类似于Nginx，可以理解成在Ingress里建立诸多映射规则（即上图的Ingress的域名和service的映射），Ingress Controller通过监听这些配置规则并转化成Nginx的反向代理配置 , 然后对外部提供服务。在这里有两个核心概念：

ingress：kubernetes中的一个对象，作用是定义请求如何转发到service的规则
ingress controller：具体实现反向代理及负载均衡的程序，对ingress定义的规则进行解析，根据配置的规则来实现请求转发，实现方式有很多，比如Nginx, Contour, Haproxy等等

Ingress（以Nginx为例）的工作原理如下：

用户编写Ingress规则，说明哪个域名对应kubernetes集群中的哪个Service
Ingress控制器动态感知Ingress服务规则的变化，然后生成一段对应的Nginx反向代理配置
Ingress控制器会将生成的Nginx配置写入到一个运行着的Nginx服务中，并动态更新
到此为止，其实真正在工作的就是一个Nginx了，内部配置了用户定义的请求转发规则

如上图可以简述成，Ingress Service定义域名和Pod映射规则，Ingress控制器解析用户定义的规则，并对应生成nginx反向代理配置，并把配置写入到正在运行的Nginx服务中，后面客户端的访问请求就可以直接通过Nginx服务进行转发了。

二、Ingress实例演示

（本文演示的是基于nginx的Ingress Controller）

1、环境准备

（1）、搭建ingress环境

环境安装部分实际就是安装Ingress Controller包

步骤1：创建文件夹

mkdir ingress-controller

cd ingress-controller

步骤2：获取ingress-nginx，本次案例使用的是0.30版本

下载mandatory.yaml和service-nodeport.yaml文件，链接地址如下：

链接：https://pan.baidu.com/s/1Eo4djUhRnr0mVdhKZrbCUQ?pwd=1234
提取码：1234

步骤3：创建ingress-nginx

kubectl apply -f ./

步骤4：查看ingress-nginx

kubectl get pod -n ingress-nginx

注：如果ingress-nginx状态有问题，大概率是mandatory.yaml中的quay.io/kubernetes-ingress-controller/nginx-ingress-controller:0.30.0官方地址不能访问，可以使用describe查看错误详情，可以替换成国内其他地址，本次实验官方地址是可以正常实验的。

步骤5：查看service

kubectl get svc -n ingress-nginx

（2）、准备service和pod

为了后面的实验比较方便，创建如下图所示的模型：

创建tomcat-nginx.yaml：

apiVersion: apps/v1
kind: Deployment
metadata:
  name: nginx-deployment
  namespace: dev
spec:
  replicas: 3
  selector:
    matchLabels:
      app: nginx-pod
  template:
    metadata:
      labels:
        app: nginx-pod
    spec:
      containers:
      - name: nginx
        image: nginx:1.17.1
        ports:
        - containerPort: 80

---

apiVersion: apps/v1
kind: Deployment
metadata:
  name: tomcat-deployment
  namespace: dev
spec:
  replicas: 3
  selector:
    matchLabels:
      app: tomcat-pod
  template:
    metadata:
      labels:
        app: tomcat-pod
    spec:
      containers:
      - name: tomcat
        image: tomcat:8.5-jre10-slim
        ports:
        - containerPort: 8080

---

apiVersion: v1
kind: Service
metadata:
  name: nginx-service
  namespace: dev
spec:
  selector:
    app: nginx-pod
  clusterIP: None
  type: ClusterIP
  ports:
  - port: 80
    targetPort: 80

---

apiVersion: v1
kind: Service
metadata:
  name: tomcat-service
  namespace: dev
spec:
  selector:
    app: tomcat-pod
  clusterIP: None
  type: ClusterIP
  ports:
  - port: 8080
    targetPort: 8080

创建：

kubectl delete ns dev   #避免干扰，把dev namespace删掉重建
kubectl create ns dev

kubectl create -f tomcat-nginx.yaml

查看：

kubectl get svc,pods -n dev

2、http代理

创建ingress-http.yaml

apiVersion: extensions/v1beta1
kind: Ingress
metadata:
  name: ingress-http
  namespace: dev
spec:
  rules:
  - host: nginx.guianjun.com     
    http:
      paths:
      - path: /
        backend:
          serviceName: nginx-service
          servicePort: 80
  - host: tomcat.guianjun.com
    http:
      paths:
      - path: /
        backend:
          serviceName: tomcat-service
          servicePort: 8080

如上yaml配置，配了2个rules规则，其中以nginx规则为例，host: nginx.guianjun.com是主机域名，path是web主机地址，访问时和域名结合使用，如果path是/，那就访问http://nginx.guianjun.com/，如果path是/xxx，那就访问http://nginx.guianjun.com/xxx。请求转发流程是，当有外部请求过来，访问的是nginx.guianjun.com，就会转发到serviceName指定的nginx-service的servicePort 80端口上，如下图：

同理，访问tomcat.guianjun.com会转发到tomcat-service的8080端口。

创建：

kubectl create -f ingress-http.yaml

查看ingress：

# ing是ingress的缩写
kubectl get ing ingress-http -n dev

查看ingress详情：

kubectl describe ing ingress-http -n dev

如上图可以看到转发规则，nginx.guianjun.com:80随机转发到后面3个pod的ip，tomcat.guianjun.com亦如此。

接下来，在本地电脑上配置host文件（C:\Windows\System32\drivers\etc\hosts）,解析上面的两个域名到192.168.1.50(master)上

然后，就可以分别访问tomcat.itheima.com:30762 和 nginx.itheima.com:30762 查看效果了

如果忘记端口可以kubectl get svc -n ingress-nginx查看，如上图，http访问时30762，如下进行访问测试：http://nginx.guianjun.com:30762/和http://tomcat.guianjun.com:30762/两个地址

如上即实现了基于nginx的http反向代理。

3、https代理

创建证书：

openssl req -x509 -sha256 -nodes -days 365 -newkey rsa:2048 -keyout tls.key -out tls.crt -subj "/C=CN/ST=BJ/L=BJ/O=nginx/CN=guianjun.com"

创建密钥：

kubectl create secret tls tls-secret --key tls.key --cert tls.crt

创建ingress-https.yaml：

apiVersion: extensions/v1beta1
kind: Ingress
metadata:
  name: ingress-https
  namespace: dev
spec:
  tls:
    - hosts:     #表示哪些域名需要用https访问
      - nginx.guianjun.com   
      - tomcat.guianjun.com
      secretName: tls-secret # 指定秘钥，此处名字要跟上面kubectl create secret tls tls-secret --key tls.key --cert tls.crt创建时的tls-secret保持一致
  rules:
  - host: nginx.guianjun.com
    http:
      paths:
      - path: /
        backend:
          serviceName: nginx-service
          servicePort: 80
  - host: tomcat.guianjun.com
    http:
      paths:
      - path: /
        backend:
          serviceName: tomcat-service
          servicePort: 8080

创建：

kubectl create -f ingress-https.yaml

查看ingress：

kubectl get ing ingress-https -n dev

查看ingress详情：

kubectl describe ing ingress-https -n dev

下面可以通过浏览器访问https://nginx.guianjun.com:31180 和 https://tomcat.guianjun.com:31180来查看了，https端口可以通过查看service获取，如下图，30762是http端口，31180是https端口