k8s ingress原理及ingress-nginx部署测试
前篇文章说了service,这篇文章来折腾下ingress这个玩意。html
ingress是啥东东
上篇文章介绍service时有说了暴露了service的三种方式ClusterIP、NodePort与LoadBalance,这几种方式都是在service的维度提供的,service的做用体如今两个方面,对集群内部,它不断跟踪pod的变化,更新endpoint中对应pod的对象,提供了ip不断变化的pod的服务发现机制,对集群外部,他相似负载均衡器,能够在集群内外部对pod进行访问。可是,单独用service暴露服务的方式,在实际生产环境中不太合适:
ClusterIP的方式只能在集群内部访问。
NodePort方式的话,测试环境使用还行,当有几十上百的服务在集群中运行时,NodePort的端口管理是灾难。
LoadBalance方式受限于云平台,且一般在云平台部署ELB还须要额外的费用。前端
所幸k8s还提供了一种集群维度暴露服务的方式,也就是ingress。ingress能够简单理解为service的service,他经过独立的ingress对象来制定请求转发的规则,把请求路由到一个或多个service中。这样就把服务与请求规则解耦了,能够从业务维度统一考虑业务的暴露,而不用为每一个service单独考虑。
举个例子,如今集群有api、文件存储、前端3个service,能够经过一个ingress对象来实现图中的请求转发:node
ingress规则是很灵活的,能够根据不一样域名、不一样path转发请求到不一样的service,而且支持https/http。nginx
ingress与ingress-controller
要理解ingress,须要区分两个概念,ingress和ingress-controller:git
- ingress对象:
指的是k8s中的一个api对象,通常用yaml配置。做用是定义请求如何转发到service的规则,能够理解为配置模板。 - ingress-controller:
具体实现反向代理及负载均衡的程序,对ingress定义的规则进行解析,根据配置的规则来实现请求转发。
简单来讲,ingress-controller才是负责具体转发的组件,经过各类方式将它暴露在集群入口,外部对集群的请求流量会先到ingress-controller,而ingress对象是用来告诉ingress-controller该如何转发请求,好比哪些域名哪些path要转发到哪些服务等等。github
ingress-controller
ingress-controller并非k8s自带的组件,实际上ingress-controller只是一个统称,用户能够选择不一样的ingress-controller实现,目前,由k8s维护的ingress-controller只有google云的GCE与ingress-nginx两个,其余还有不少第三方维护的ingress-controller,具体能够参考官方文档。可是无论哪种ingress-controller,实现的机制都大同小异,只是在具体配置上有差别。通常来讲,ingress-controller的形式都是一个pod,里面跑着daemon程序和反向代理程序。daemon负责不断监控集群的变化,根据ingress对象生成配置并应用新配置到反向代理,好比nginx-ingress就是动态生成nginx配置,动态更新upstream,并在须要的时候reload程序应用新配置。为了方便,后面的例子都以k8s官方维护的nginx-ingress为例。web
ingress
ingress是一个API对象,和其余对象同样,经过yaml文件来配置。ingress经过http或https暴露集群内部service,给service提供外部URL、负载均衡、SSL/TLS能力以及基于host的方向代理。ingress要依靠ingress-controller来具体实现以上功能。前一小节的图若是用ingress来表示,大概就是以下配置:后端
apiVersion: extensions/v1beta1
kind: Ingress
metadata:
name: abc-ingress
annotations:
kubernetes.io/ingress.class: "nginx"
nginx.ingress.kubernetes.io/use-regex: "true"
spec:
tls:
- hosts:
- api.abc.com
secretName: abc-tls
rules:
- host: api.abc.com
http:
paths:
- backend:
serviceName: apiserver
servicePort: 80
- host: www.abc.com
http:
paths:
- path: /image/*
backend:
serviceName: fileserver
servicePort: 80
- host: www.abc.com
http:
paths:
- backend:
serviceName: feserver
servicePort: 8080
与其余k8s对象同样,ingress配置也包含了apiVersion、kind、metadata、spec等关键字段。有几个关注的在spec字段中,tls用于定义https密钥、证书。rule用于指定请求路由规则。这里值得关注的是metadata.annotations字段。在ingress配置中,annotations很重要。前面有说ingress-controller有不少不一样的实现,而不一样的ingress-controller就能够根据"kubernetes.io/ingress.class:"来判断要使用哪些ingress配置,同时,不一样的ingress-controller也有对应的annotations配置,用于自定义一些参数。列如上面配置的'nginx.ingress.kubernetes.io/use-regex: "true"',最终是在生成nginx配置中,会采用location ~来表示正则匹配。api
ingress的部署
ingress的部署,须要考虑两个方面:服务器
- ingress-controller是做为pod来运行的,以什么方式部署比较好
- ingress解决了把如何请求路由到集群内部,那它本身怎么暴露给外部比较好
下面列举一些目前常见的部署和暴露方式,具体使用哪一种方式仍是得根据实际需求来考虑决定。
Deployment+LoadBalancer模式的Service
若是要把ingress部署在公有云,那用这种方式比较合适。用Deployment部署ingress-controller,建立一个type为LoadBalancer的service关联这组pod。大部分公有云,都会为LoadBalancer的service自动建立一个负载均衡器,一般还绑定了公网地址。只要把域名解析指向该地址,就实现了集群服务的对外暴露。
Deployment+NodePort模式的Service
一样用deployment模式部署ingress-controller,并建立对应的服务,可是type为NodePort。这样,ingress就会暴露在集群节点ip的特定端口上。因为nodeport暴露的端口是随机端口,通常会在前面再搭建一套负载均衡器来转发请求。该方式通常用于宿主机是相对固定的环境ip地址不变的场景。
NodePort方式暴露ingress虽然简单方便,可是NodePort多了一层NAT,在请求量级很大时可能对性能会有必定影响。
DaemonSet+HostNetwork+nodeSelector
用DaemonSet结合nodeselector来部署ingress-controller到特定的node上,而后使用HostNetwork直接把该pod与宿主机node的网络打通,直接使用宿主机的80/433端口就能访问服务。这时,ingress-controller所在的node机器就很相似传统架构的边缘节点,好比机房入口的nginx服务器。该方式整个请求链路最简单,性能相对NodePort模式更好。缺点是因为直接利用宿主机节点的网络和端口,一个node只能部署一个ingress-controller pod。比较适合大并发的生产环境使用。
ingress测试
咱们来实际部署和简单测试一下ingress。测试集群中已经部署有2个服务gowebhost与gowebip,每次请求能返回容器hostname与ip。测试搭建一个ingress来实现经过域名的不一样path来访问这两个服务:
测试ingress使用k8s社区的ingress-nginx,部署方式用DaemonSet+HostNetwork。
部署ingress-controller
部署ingress-controller pod及相关资源
官方文档中,部署只要简单的执行一个yaml
https://raw.githubusercontent.com/kubernetes/ingress-nginx/master/deploy/static/mandatory.yaml
mandatory.yaml这一个yaml中包含了不少资源的建立,包括namespace、ConfigMap、role,ServiceAccount等等全部部署ingress-controller须要的资源,配置太多就不粘出来了,咱们重点看下deployment部分:
apiVersion: apps/v1
kind: Deployment
metadata:
name: nginx-ingress-controller
namespace: ingress-nginx
labels:
app.kubernetes.io/name: ingress-nginx
app.kubernetes.io/part-of: ingress-nginx
spec:
replicas: 1
selector:
matchLabels:
app.kubernetes.io/name: ingress-nginx
app.kubernetes.io/part-of: ingress-nginx
template:
metadata:
labels:
app.kubernetes.io/name: ingress-nginx
app.kubernetes.io/part-of: ingress-nginx
annotations:
prometheus.io/port: "10254"
prometheus.io/scrape: "true"
spec:
serviceAccountName: nginx-ingress-serviceaccount
containers:
- name: nginx-ingress-controller
image: quay.io/kubernetes-ingress-controller/nginx-ingress-controller:0.25.0
args:
- /nginx-ingress-controller
- --configmap=$(POD_NAMESPACE)/nginx-configuration
- --tcp-services-configmap=$(POD_NAMESPACE)/tcp-services
- --udp-services-configmap=$(POD_NAMESPACE)/udp-services
- --publish-service=$(POD_NAMESPACE)/ingress-nginx
- --annotations-prefix=nginx.ingress.kubernetes.io
securityContext:
allowPrivilegeEscalation: true
capabilities:
drop:
- ALL
add:
- NET_BIND_SERVICE
# www-data -> 33
runAsUser: 33
env:
- name: POD_NAME
valueFrom:
fieldRef:
fieldPath: metadata.name
- name: POD_NAMESPACE
valueFrom:
fieldRef:
fieldPath: metadata.namespace
ports:
- name: http
containerPort: 80
- name: https
containerPort: 443
livenessProbe:
failureThreshold: 3
httpGet:
path: /healthz
port: 10254
scheme: HTTP
initialDelaySeconds: 10
periodSeconds: 10
successThreshold: 1
timeoutSeconds: 10
readinessProbe:
failureThreshold: 3
httpGet:
path: /healthz
port: 10254
scheme: HTTP
periodSeconds: 10
successThreshold: 1
timeoutSeconds: 10
能够看到主要使用了“quay.io/kubernetes-ingress-controller/nginx-ingress-controller:0.25.0”这个镜像,指定了一些启动参数。同时开放了80与443两个端口,并在10254端口作了健康检查。
咱们须要使用daemonset部署到特定node,须要修改部分配置:先给要部署nginx-ingress的node打上特定标签,这里测试部署在"node-1"这个节点。
$ kubectl label node node-1 isIngress="true"
而后修改上面mandatory.yaml的deployment部分配置为:
# 修改api版本及kind
# apiVersion: apps/v1
# kind: Deployment
apiVersion: extensions/v1beta1
kind: DaemonSet
metadata:
name: nginx-ingress-controller
namespace: ingress-nginx
labels:
app.kubernetes.io/name: ingress-nginx
app.kubernetes.io/part-of: ingress-nginx
spec:
# 删除Replicas
# replicas: 1
selector:
matchLabels:
app.kubernetes.io/name: ingress-nginx
app.kubernetes.io/part-of: ingress-nginx
template:
metadata:
labels:
app.kubernetes.io/name: ingress-nginx
app.kubernetes.io/part-of: ingress-nginx
annotations:
prometheus.io/port: "10254"
prometheus.io/scrape: "true"
spec:
serviceAccountName: nginx-ingress-serviceaccount
# 选择对应标签的node
nodeSelector:
isIngress: "true"
# 使用hostNetwork暴露服务
hostNetwork: true
containers:
- name: nginx-ingress-controller
image: quay.io/kubernetes-ingress-controller/nginx-ingress-controller:0.25.0
args:
- /nginx-ingress-controller
- --configmap=$(POD_NAMESPACE)/nginx-configuration
- --tcp-services-configmap=$(POD_NAMESPACE)/tcp-services
- --udp-services-configmap=$(POD_NAMESPACE)/udp-services
- --publish-service=$(POD_NAMESPACE)/ingress-nginx
- --annotations-prefix=nginx.ingress.kubernetes.io
securityContext:
allowPrivilegeEscalation: true
capabilities:
drop:
- ALL
add:
- NET_BIND_SERVICE
# www-data -> 33
runAsUser: 33
env:
- name: POD_NAME
valueFrom:
fieldRef:
fieldPath: metadata.name
- name: POD_NAMESPACE
valueFrom:
fieldRef:
fieldPath: metadata.namespace
ports:
- name: http
containerPort: 80
- name: https
containerPort: 443
livenessProbe:
failureThreshold: 3
httpGet:
path: /healthz
port: 10254
scheme: HTTP
initialDelaySeconds: 10
periodSeconds: 10
successThreshold: 1
timeoutSeconds: 10
readinessProbe:
failureThreshold: 3
httpGet:
path: /healthz
port: 10254
scheme: HTTP
periodSeconds: 10
successThreshold: 1
timeoutSeconds: 10
修改完后执行apply,并检查服务
$ kubectl apply -f mandatory.yaml namespace/ingress-nginx created configmap/nginx-configuration created configmap/tcp-services created configmap/udp-services created serviceaccount/nginx-ingress-serviceaccount created clusterrole.rbac.authorization.k8s.io/nginx-ingress-clusterrole created role.rbac.authorization.k8s.io/nginx-ingress-role created rolebinding.rbac.authorization.k8s.io/nginx-ingress-role-nisa-binding created clusterrolebinding.rbac.authorization.k8s.io/nginx-ingress-clusterrole-nisa-binding created daemonset.extensions/nginx-ingress-controller created # 检查部署状况 $ kubectl get daemonset -n ingress-nginx NAME DESIRED CURRENT READY UP-TO-DATE AVAILABLE NODE SELECTOR AGE nginx-ingress-controller 1 1 1 1 1 isIngress=true 101s $ kubectl get po -n ingress-nginx -o wide NAME READY STATUS RESTARTS AGE IP NODE NOMINATED NODE READINESS GATES nginx-ingress-controller-fxx68 1/1 Running 0 117s 172.16.201.108 node-1 <none> <none>
能够看到,nginx-controller的pod已经部署在在node-1上了。
暴露nginx-controller
到node-1上看下本地端口:
[root@node-1 ~]# netstat -lntup | grep nginx tcp 0 0 0.0.0.0:80 0.0.0.0:* LISTEN 2654/nginx: master tcp 0 0 0.0.0.0:8181 0.0.0.0:* LISTEN 2654/nginx: master tcp 0 0 0.0.0.0:443 0.0.0.0:* LISTEN 2654/nginx: master tcp6 0 0 :::10254 :::* LISTEN 2632/nginx-ingress- tcp6 0 0 :::80 :::* LISTEN 2654/nginx: master tcp6 0 0 :::8181 :::* LISTEN 2654/nginx: master tcp6 0 0 :::443 :::* LISTEN 2654/nginx: master
因为配置了hostnetwork,nginx已经在node主机本地监听80/443/8181端口。其中8181是nginx-controller默认配置的一个default backend。这样,只要访问node主机有公网IP,就能够直接映射域名来对外网暴露服务了。若是要nginx高可用的话,能够在多个node
上部署,并在前面再搭建一套LVS+keepalive作负载均衡。用hostnetwork的另外一个好处是,若是lvs用DR模式的话,是不支持端口映射的,这时候若是用nodeport,暴露非标准的端口,管理起来会很麻烦。
配置ingress资源
部署完ingress-controller,接下来就按照测试的需求来建立ingress资源。
# ingresstest.yaml
apiVersion: extensions/v1beta1
kind: Ingress
metadata:
name: ingress-test
annotations:
kubernetes.io/ingress.class: "nginx"
# 开启use-regex,启用path的正则匹配
nginx.ingress.kubernetes.io/use-regex: "true"
spec:
rules:
# 定义域名
- host: test.ingress.com
http:
paths:
# 不一样path转发到不一样端口
- path: /ip
backend:
serviceName: gowebip-svc
servicePort: 80
- path: /host
backend:
serviceName: gowebhost-svc
servicePort: 80
部署资源
$ kubectl apply -f ingresstest.yaml
测试访问
部署好之后,作一条本地host来模拟解析test.ingress.com到node的ip地址。测试访问
能够看到,请求不一样的path已经按照需求请求到不一样服务了。
因为没有配置默认后端,因此访问其余path会提示404:
关于ingress-nginx
关于ingress-nginx多说几句,上面测试的例子是很是简单的,实际ingress-nginx的有很是多的配置,均可以单独开几篇文章来讨论了。但本文主要想说明ingress,因此不过多涉及。具体能够参考ingress-nginx的官方文档。同时,在生产环境使用ingress-nginx还有不少要考虑的地方,这篇文章写得很好,总结了很多最佳实践,值得参考。
最后
- ingress是k8s集群的请求入口,能够理解为对多个service的再次抽象
- 一般说的ingress通常包括ingress资源对象及ingress-controller两部分组成
- ingress-controller有多种实现,社区原生的是ingress-nginx,根据具体需求选择
- ingress自身的暴露有多种方式,须要根据基础环境及业务类型选择合适的方式
参考
Kubernetes Document
NGINX Ingress Controller Document
Kubernetes Ingress Controller的使用介绍及高可用落地
通俗理解Kubernetes中Service、Ingress与Ingress Controller的做用与关系
- 1. k8s ingress部署
- 2. k8s-ingress部署测试以及深刻理解
- 3. k8s之Ingress-nginx基本原理及部署实战
- 4. Istio部署测试及经过Ingress实现外部访问
- 5. k8s部署ingress及http、https-实战篇
- 6. k8s部署高可用Ingress
- 7. ingress部署
- 8. K8s——Ingress-nginx原理及配置
- 9. K8s之Ingress-nginx原理及配置
- 10. k8s之ingress及ingress controller
- 更多相关文章...
- • Maven 自动化部署 - Maven教程
- • Maven 构建 & 项目测试 - Maven教程
- • 使用阿里云OSS+CDN部署前端页面与加速静态资源
- • ☆技术问答集锦(13)Java Instrument原理
-
每一个你不满意的现在,都有一个你没有努力的曾经。
- 1. Appium入门
- 2. Spring WebFlux 源码分析(2)-Netty 服务器启动服务流程 --TBD
- 3. wxpython入门第六步(高级组件)
- 4. CentOS7.5安装SVN和可视化管理工具iF.SVNAdmin
- 5. jedis 3.0.1中JedisPoolConfig对象缺少setMaxIdle、setMaxWaitMillis等方法,问题记录
- 6. 一步一图一代码,一定要让你真正彻底明白红黑树
- 7. 2018-04-12—(重点)源码角度分析Handler运行原理
- 8. Spring AOP源码详细解析
- 9. Spring Cloud(1)
- 10. python简单爬去油价信息发送到公众号