Flomesh Ingress 使用实践(三)多租户 Ingress

原创 已于 2023-02-04 20:48:12 修改 · 200 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#kubernetes #云原生 #service_mesh

于 2023-02-03 13:39:24 首次发布
文章介绍了如何在Kubernetes中使用Flomesh的NamespacedIngress实现多租户IngressController,以达到组件隔离和流量管理的目的。通过部署NamespacedIngress资源,每个命名空间可以拥有独立的IngressController,确保不同租户之间的流量不互相影响。文章提供了安装FlomeshIngressController的步骤,创建独立IngressController的示例,以及验证其功能的测试过程。

在这里插入图片描述

背景

在当下的云计算时代,我们经常会听到“租户”、“多租户”。“租户”是多租户架构技术中的概念,这种技术是用来处理多个组织共用同一个系统或者组件时的数据隔离性。在 Kubernetes 中的最简单的多租户是根据命名空间( Namespace)进行划分的,众多的命名空间将资源/工作负载进行了隔离。

single-ingress-controller

作为 Kubernetes 资源之一的 Ingress 也不例外,用户可以在不同的命名空间下创建 Ingress 资源来控制进入集群的流量。即使 Ingress 资源实现了多租户,但作为组件的 Ingress Controller 依然是共用的,没有做到真正的隔离。

因此就有了多租户 Ingress Controller 的诉求:每个命名空间下都有独立的 Ingress Controller,命名空间之间做到组件的隔离,达到了互不影响目的。

原理

Flomesh 提出了 NamespacedIngress 的概念,通过控制器在指定的命名空间下部署 Ingress Controller。每个 Ingress Controller 只处理各自命名空间下 Ingress 资源标识的流量。

比如下面的 YAML 中定义了监控在端口 100 上的 Ingress Controller,同时还会为其创建 LoadBalancer 类型的 Service,监听在 100 端口。

apiVersion: flomesh.io/v1alpha1  
kind: NamespacedIngress  
metadata:  
  name: namespaced-ingress-
最低0.47元/天 解锁文章
k8s Ingress使用详解
congge
02-20 7717
k8s Ingress使用详解
Flomesh Ingress 使用实践(一)基础功能
shaderx004的博客
02-03 159
[FSM](https://github.com/flomesh-io/fsm)Flomesh 的另一款开源产品,用于 Kubernetes 南北向的流量管理。FSM 以可编程代理 [Pipy](https://github.com/flomesh-io/pipy) 为核心,提供了 Ingress 管理器、Gateway API* 实现、负载均衡器以及跨集群的服务注册发现等功能。 从这篇开始,我们将通过多篇文章以演示的方式对 Flomesh Ingress 功能进行介绍。
使用 NGINX 在 Kubernetes 中实现多租户和命名空间隔离
NGINX开源社区的博客
02-01 568
随着企业规模的不断扩大,Kubernetes 中的开发和运营工作流程也变得愈加复杂。与每个团队都拥有自己的集群相比,各个团队之间共享 Kubernetes 集群集群中资源的做法通常更经济高效、更安全。但是,如果团队无法以安全可靠的方式共享资源或者配置遭黑客利用,则可能会对部署的应用系统造成严重损害。网络和资源级别的多租户实践和命名空间隔离有助于团队安全地共享 Kubernetes 资源。您还可以按照单租户独占的方式隔离应用,从而显著缩小攻击的影响范围。
ingress nginx基于域名的网络转发资源
weixin_46837396的博客
08-25 3373
一、Ingress介绍 在前面课程中已经提到,Service集群之外暴露服务的主要方式有两种:NotePort和LoadBalancer,但是这两种方式,都有一定的缺点: # NodePort方式的缺点是会占用很多集群机器的端口,那么当集群服务变多的时候,这个缺点就愈发明显 # LB方式的缺点是每个service需要一个LB,浪费、麻烦,并且需要kubernetes之外设备的支持 基于这种现状,kubernetes提供了Ingress资源对象,Ingress只需要一个NodePort或者一个LB就
Flomesh Ingress 使用实践(二)TLS 进阶
shaderx004的博客
02-03 145
我们已经在上一篇《Flomesh Ingress 基础功能》中实现了两种入口方式,这篇将会介绍后两种模式所使用的 HTTPS 上游,以及基于 HTTPS 入口的客户端验证。这两种 TLS 的应用也是在 mTLS 中用到的。 - HTTPS 上游:需要针对上游也就是后端服务的证书进行检查 - 客户端验证:主要是使用 HTTPS 入口时,对客户端使用的证书进行检查
Flomesh Ingress 使用实践(四)TLS 透传
shaderx004的博客
02-08 405
[FSM](https://github.com/flomesh-io/fsm)Flomesh 流量管理体系的一个开源组件,用于 Kubernetes 南北向的流量管理。FSM 以可编程代理 Pipy 为核心,提供了 Ingress 管理器、Gateway API* 实现、负载均衡器以及跨集群的服务注册发现等功能。今天就为大家介绍 Flomesh Ingress 的 SSL 透传功能。
ingress使用
Hurry6的博客
04-14 1807
Service集群之外暴露服务的主要方式有两种:NotdePort和 LoadBalancer,但是这两种方式,都有一定的缺点:基于这种现状,kubernetes提供了Ingress资源对象,Ingress只需要一个NodePort或者一个LB就可 以满足暴露多个Service的需求。工作机制大致如下图表示: 实际上,Ingress相当于一个7层的负载均衡器,是kubernetes对反向代理的一个抽象,它的工作原理 类似于Nginx,可以理解成在Ingress里建立诸多映射规则,Ingress Cont
ingress 多个path_使用Ingress来负载发微服务
weixin_39613561的博客
12-27 5321
目录使用Ingress来负载发微服务Demo规划准备Demo并完成部署创建部署(Deployment)资源创建服务(Service)资源创建Ingress资源并配置转发规则 使用Ingress来负载发微服务NodePort Service存在太多缺陷,不适合生产环境。LoadBlancer Service则不太灵活,比如针对微服务架构,那么不同服务是否需要多个负...
Ingress Controller介绍及部署实践
lldhsds的专栏
06-28 1567
ingress nginx是一种使用nginx实现的ingress controller,作为K8S的反向代理和负载均衡器。Kubernetes 是容器化应用管理的事实标准。对许多企业而言,将生产工作负载迁移到 Kubernetes 会增加应用流量管理方面的挑战和复杂性。Ingress controller 能够将 Kubernetes 应用流量路由的复杂性抽象出来,并在 Kubernetes 服务和外部服务之间建立了一座桥梁。
ingress nginx使用域名访问
咸鱼的博客
04-25 901
有什么疑问及时提出,我看到会第一时间回复
Ingress-Controller高可用方案及多租户场景
09-20
多租户环境中,每个租户Ingress配置应单独定义,并使用标签(Labels)和选择器(Selectors)进行管理。 部署时,还需要考虑Ingress-Controller的升级和回滚策略,保证在升级过程中用户服务不会受到影响。此外,...
K8S-高可用集群
weixin_46683975的博客
12-07 1059
本文详细介绍了Kubernetes高可用集群的部署过程。集群包含3个master节点(k8s-master01-03)和2个worker节点(k8s-worker01-02),使用keepalived+haproxy实现高可用。部署步骤包括:系统基础配置(关闭防火墙、SELinux、swap等)、内核参数优化、安装containerd运行时、部署kubeadm/kubelet/kubectl组件、配置高可用VIP(192.168.115.166)、集群初始化、节点加入、Calico网络插件安装以及Metri
Kubespray在线部署K8s
会飞的小蛮猪博客
12-08 388
各种部署k8s方式,都去尝试下,目前相对都是比较简单的基础部署,高级参数好需要各位自己持续研究,最终还是看公司用啥
K8S-RBAC 认证中心
2503_92914039的博客
12-09 908
K8S 集群的访问控制流程主要包括个环节:认证(Authenticating)、授权(Authorization)和准入控制(Admission Control)。所有对集群的请求都必须经过这个环节的检查,才能被 API Server 处理。
K8s持久化存储:数据永不丢失的秘密
2502_92917225的博客
12-09 930
上面介绍的PV和PVC模式都是需要先创建好PV,然后定义好PVC和pv进行一对一的Bond,但是如果PVC请求成千上万,那么就需要创建成千上万的PV,对于运维人员来说维护成本很高,Kubernetes提供一种自动创建PV的机制,叫,它的作用就是创建PV的模板。k8s集群管理员通过创建storageclass可以动态生成一个存储卷pv供k8s pvc使用。每个StorageClass都包含字段provisioner,parameters和reclaimPolicy。
K8S-Deployment
最新发布
weixin_46683975的博客
12-11 370
Kubernetes Deployment管理指南 摘要:Deployment是Kubernetes管理无状态应用的核心对象,通过声明式配置实现Pod和ReplicaSet的自动化管理。本文详细解析了Deployment的YAML文件结构、核心功能及企业应用场景,包括: 核心功能:声明式更新、版本控制、扩缩容和自愈能力 YAML配置:详细说明metadata、spec等关键字段 操作场景:滚动更新、版本回滚和状态监控 高级配置:资源配额、健康检查和多容器部署 更新策略:maxSurge与maxUnavail
【k8s-1.34.2安装部署】一.系统初始化及k8s集群规划
weixin_56364253的博客
12-08 778
k8s1.34.2的安装总体没什么变化,主要在于结合最新版本的containerd、gateway Api、istio、cilium进行安装,新版本的一些软件和旧的存在一些区别。本章节主要是通过搭建最新版的k8s集群,并搭建gateway Api来进行一些开发环境调试和部署,现将整个k8s1.34.2的安装过程进行记录。
从零搭建企业级K8s集群
qq_21305943的专栏
12-08 937
Kubernetes已经成为容器编排的事实标准,但搭建一个生产可用的K8s集群并不简单。我第一次搭建K8s集群的时候,照着官方文档用kubeadm init,看起来很顺利,结果上线后各种问题:证书过期集群挂了、etcd数据丢了恢复不了、网络插件选错了性能很差、master单点导致业务中断…后来陆陆续续踩了无数坑,才算搞明白企业级K8s集群应该怎么搭。这篇文章就是把这些经验整理出来,让你少走弯路。•高可用是基础:3 Master + VIP负载均衡•etcd备份是保险:每天备份,定期验证•。
构建能访问k8s集群的容器
luohualiushui1的专栏
12-11 728
构建能访问k8s集群的容器
HAProxy Ingress控制器的使用指南及版本支持
标题中的“haproxy-inress:HAProxy入口”及描述中提到的HAProxy Ingress,指的是HAProxy作为入口控制器在Kubernetes环境中的使用。在详细解释这个概念前,需要先对几个关键词有所了解。 HAProxy是一种高性能、开源...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

PipyFlomesh

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值