Ingress 定义以及Ingress控制器

编辑/etc/sysconfig/kubelet   使用 KUBE_PROXY_NODE=ipvs 指定service的模式  那么ipvs使用的算法包括 : ip_vs ip_vs_rr ip_vs_sh

如果一个主机没有Cluster IP 那么我们就称为 Headless -->  将serveicename  解析到后端的pod上

k8s 的三个核心资源:   pod    控制器    service

那么service是四层的负载均衡 ,不是七层的,只能是基于 iptables 或者是 ipvs ,如果用户访问的是https 的请求 ,那么对四层来说无法惊醒负载,  如果pod中的应用是HTTP的想要增强成HTTPS的,那么我们可以想一下其中的证书呀,私钥配置在什么地方,如果我们的调度器是lvs ,那么我们想提供HTTP 的服务 ,那么这个HTTP应该配置在那里? 注: 应该配置在后端主机上,不能配置在lvs上,所以我们必须在后端的每个服务器上配置 HTTPS ,配置证书,私钥 ,,等等  ,

无论是ipvs 还是 iptables ,都无法调度七层的应用,因此我们要使用http 或者 https 我们就必须使用七层的调度 ,将客户 -> 调度器 (使用七层) -> 后端  ,  那么现在我们就只能换调度器 , k8s 采用(可以理解为加一层),后端配置的是不加https ,就是明文的htp, 那么我们使用一个独特的调度器,当用户试图访问的时候,我们不让他们到达后端的服务器,而是先到达调度器 (可以定义一个pod资源) , 然后在访问后端的服务器 ,这样原来的明文就可以被https访问到了 。

那么在K8s中我们有特定的方法来解决这个七层的负载的方法:

我们使用一个新的控制器称为 Ingress Controller ,这个和之前说的 DaemonSet ReplicaSet 都不太一样,----> 他们是作为manager来存在的 ,是master上的核心组件之一,而Ingress 是自己独立存在的一组组件pod资源,通常就是一组应用程序,这个应用程序就是拥有七层调度功能的一组应用程序,k8s上的选择有四种: 最不受待见的是HAproxy 默认的是 Nginx  现在服务网格当中Envoy  当前还有其他的,Traefik 所以我们在配置应用的是有三种选择 : Nginx Envoy traefik(为微服务设计而生) ,

但是它们最为调度器而言不止要调度一个后端服务,那么在后端的web服务有多种时(电商、api、..),使用调度器调度的时候我们怎么可以判断调度的究竟是我们想要的服务?      : 1.我们可以考虑在Nginx上怎么调度,首先我们有四组upstream ,然后对客户端而言我们可以做四个虚拟主机 来进行以域名的形式访问。

 

在k8s 上有一类特殊的资源,Ingress资源,Ingress 和 Ingress Controller是两个概念 ,我们定义Ingres  的意义就是说定义我们期望Ingress Controller 如何给我们建一个前端(可能是虚拟主机也可能是url映射)而又给我们定义一个后端(有几个主机 Ingress 是通过srevice得到的),首先我们由一个service对后端的pod进行分类,而后Ingress基于这个分类识别出这几个pod的ip地址 ,然后生成配置信息注入到(以Nginx为例,那就是upstream 中)

 

那么在Igress实现的七层负载的过程是:   最外面的对节点的均衡 Externalname  --->  具体的某一节点上 NodePort ---->  节点上的 Ingresss Controller  --->  调度到具体的Ingress 上 ,因为Ingress 分别管理着一组pod资源 ---->   通过service 对这些pod进行分组传给Ingress 引用

那么下来我们要使用Ingress这个功能,我们要去创建一个Ingress Controller Pod  而后我们要定义后端的service 在将他们之间建立联系。我们下来看一个Ingress怎么定义 ?  Ingress 也是标准的K8s资源 。我们一样使用explain的文档去查看类似的参数的定义,同样在包含的资源的清单中也会有: apiVersion kind metadata spec status

[[email protected] ~]# kubectl explain ingress
KIND:     Ingress
VERSION:  extensions/v1beta1

DESCRIPTION:
     Ingress is a collection of rules that allow inbound connections to reach
     the endpoints defined by a backend. An Ingress can be configured to give
     services externally-reachable urls, load balance traffic, terminate SSL,
     offer name based virtual hosting etc.

FIELDS:
   apiVersion    <string>
     APIVersion defines the versioned schema of this representation of an
     object. Servers should convert recognized schemas to the latest internal
     value, and may reject unrecognized values. More info:
     https://git.k8s.io/community/contributors/devel/api-conventions.md#resources

   kind    <string>
     Kind is a string value representing the REST resource this object
     represents. Servers may infer this from the endpoint the client submits
     requests to. Cannot be updated. In CamelCase. More info:
     https://git.k8s.io/community/contributors/devel/api-conventions.md#types-kinds

   metadata    <Object>
     Standard object's metadata. More info:
     https://git.k8s.io/community/contributors/devel/api-conventions.md#metadata

   spec    <Object>
     Spec is the desired state of the Ingress. More info:
     https://git.k8s.io/community/contributors/devel/api-conventions.md#spec-and-status

   status    <Object>
     Status is the current state of the Ingress. More info:
     https://git.k8s.io/community/contributors/devel/api-conventions.md#spec-and-status


spec字段的定义:

[[email protected] ~]# kubectl explain ingress.spec  
KIND:     Ingress
VERSION:  extensions/v1beta1

RESOURCE: spec <Object>

DESCRIPTION:
     Spec is the desired state of the Ingress. More info:
     https://git.k8s.io/community/contributors/devel/api-conventions.md#spec-and-status

     IngressSpec describes the Ingress the user wishes to exist.

FIELDS:
   backend    <Object>        定义调度的后端的主机 ,正是靠service的定义,找到相关的一组pod资源
     A default backend capable of servicing requests that don't match any rule.
     At least one of 'backend' or 'rules' must be specified. This field is
     optional to allow the loadbalancer controller or defaulting logic to
     specify a global default.

   rules    <[]Object>              定义http的规则
     A list of host rules used to configure the Ingress. If unspecified, or no
     rule matches, all traffic is sent to the default backend.

   tls    <[]Object>
     TLS configuration. Currently the Ingress only supports a single TLS port,
     443. If multiple members of this list specify different hosts, they will be
     multiplexed on the same port according to the hostname specified through
     the SNI TLS extension, if the ingress controller fulfilling the ingress
     supports SNI.

Ingress 有很多种类型,要么是映射的,要么是虚拟主机的,那么下来我们要看一下怎么部署一个Ingress Controller ,对k8s而言Ingress是作为附件存在的 ,整个K8s集群由: master node + 附件组成的。 附件: coredns +  .. + Dashborad + Ingress

那么Ingress是一个集群的核心附件之一,下来我们实际的部署一个Ingress + nginx

第一步:  创建名称空间 

示例:  使用命令创建名称空间:

[[email protected] ~]# kubectl create namespace dev
namespace/dev created

[[email protected] ~]# kubectl get ns
NAME          STATUS    AGE
default       Active    17d
dev           Active    18s
kube-public   Active    17d
kube-system   Active    17d

删除一个名称空间 :   名称空间/名称空间的名字

[[email protected] ~]# kubectl delete ns/dev
namespace "dev" deleted

第二步:  创建一个configmap      作用: 为Nginx 从外部注入配置

第三步:  rbac  我们集群用到了 rbac    作用: 它是用来定义一些 cluster 角色、 授权 (必要的授予一个pod到达不了它本来访问的名称空间的权限)

第四步:  rbac 启用以后,要创建 with-rbac 包括: 使用的镜像

第五步:  我们有可能要为其配置一个tcp-service-configmap 的资源

 

那么git 到本地可能会很慢,我们直接将其配置文件复制到本地 :

1. 创建名称空间 :               方法一:

[[email protected] ~]# kubectl create namespace ingress-nginx
namespace/ingress-nginx created

                                           方法二:

注意: 在git 上将文件托下来的时候,一定要使用 raw 格式的数据,这样下载下来的才是一个原始的代码数据,要不然只能是一个html的页面。

那么我们复制连接的地址:https://raw.githubusercontent.com/kubernetes/ingress-nginx/master/deploy/namespace.yaml

[[email protected] ~]# mkdir ingress-nginx
[[email protected] ~]# cd ingress-nginx/
[[email protected] ingress-nginx]# ls

[[email protected] ingress-nginx]# for file in namespace.yaml configmap.yaml  rbac.yaml with-rbac.yaml ; do wget https://raw.githubusercontent.com/kubernetes/ingress-nginx/master/deploy/$file; done

[[email protected] ingress-nginx]# ls
configmap.yaml  namespace.yaml  rbac.yaml  with-rbac.yaml

下载完成以后我们要先执行namespace

[[email protected] ingress-nginx]# kubectl apply -f namespace.yaml
namespace/ingress-nginx created

后面的文件的先后关系没有那么重要   我们期望去按照某种顺序的时候,可以使用for循环

apply是针对目录的,它会自动的引用目录下的所有文件

[[email protected] ingress-nginx]# kubectl apply -f ./
configmap/nginx-configuration created
configmap/tcp-services created
configmap/udp-services created
namespace/ingress-nginx configured
serviceaccount/nginx-ingress-serviceaccount created
clusterrole.rbac.authorization.k8s.io/nginx-ingress-clusterrole created
role.rbac.authorization.k8s.io/nginx-ingress-role created
rolebinding.rbac.authorization.k8s.io/nginx-ingress-role-nisa-binding created
clusterrolebinding.rbac.authorization.k8s.io/nginx-ingress-clusterrole-nisa-binding created
deployment.apps/nginx-ingress-controller created

在查看的时候这个镜像正在下载,那么我们不用直接等待,因为我最初在搭建的时候没有使用代理,所以可能k8s.io上的镜像会托不下来,我们等会来检查一下

[[email protected] ingress-nginx]# kubectl get pods -n ingress-nginx
NAME                                        READY     STATUS              RESTARTS   AGE
nginx-ingress-controller-769d8b56b7-scqh6   0/1       ContainerCreating   0          1m

经过后期的检查发现这个镜像位于github上,完全可以托下来,是严重不用担心

[[email protected] ingress-nginx]# kubectl get pods -n ingress-nginx
NAME                                        READY     STATUS    RESTARTS   AGE
nginx-ingress-controller-769d8b56b7-scqh6   1/1       Running   0          7m

那么我们试着去创建 Ingress ,  为了 ingress 可以显示出来效果,那么我们可以部署一下后端的服务 ,自定义一个配置清单的Ingress Controller的控制器

那么因为资源清单会随着需求创建得越来越多,因此我们在创建资源得清单得时候,我们要做好把我们得配置文件归类得准备

[[email protected] ingress]# pwd
/root/mainfests/ingress

在部署控制器之前,我们得部署一个后端得service 或者pod  为ingress控制器做准备 ,那么在使用Pod控制器创建pod得使用我们要在控制器之上创建一个service ,那么Service得定义我们在官方的文档中查看发现必须是Headlist ,否则无法解析到pod的节点的ip地址。

apiVersion: v1
kind: Service
metadata:
  name: myapp
  namespace: default
spec:
  selector:
    app: myapp
    release: canary
  ports:
  - name: http
    targetPort: 80

    port: 80

---
apiVersion: apps/v1
kind: Deployment
metadata:
  name: myapp-deploy
  namespace: default
spec:
  replicas: 3
  selector:
    matchLabels:
      app: myapp

        release: canary
    spec:
      containers:
      - name: myapp
        image: ikubernetes/myapp:v2
        ports:
        - name: http
          containerPort: 80

[[email protected] ingress]# kubectl apply  -f deploy-demo.yaml
service/myapp created
deployment.apps/myapp-deploy unchanged

[[email protected] ingress]# kubectl get svc             查看 svc的ClusterIP的类型,那么在现在的我们看到的是并不是无头的,那么使用这个我们来测试一下(我记得之前没有指定就是ClusterIP )
NAME         TYPE        CLUSTER-IP       EXTERNAL-IP   PORT(S)    AGE
kubernetes   ClusterIP   10.96.0.1        <none>        443/TCP    17d
myapp        ClusterIP   10.105.120.214   <none>        80/TCP     29s
myapp-svc    ClusterIP   None             <none>        80/TCP     10d
redis        ClusterIP   10.97.97.97      <none>        6379/TCP   10d
[[email protected] ingress]#

 

那么我们来回顾一下刚才的github上面的文件,里面有一个叫作: mandatory.yaml  这个文件是将所有的文件拼在一mandatory.yaml个文件当中,使用这一个文件我们就可以创建ingress的全部的事情。比手动的拼凑要更简单一些

 

下来我们要为我们的Ingress Controller创建一个 service NodePort ,否则 Ingress Controller是无法被集群外部的客户访问的 :

但是网上有现成的NodePort的资源配置清单,因此我们直接下载下来就可以了

[[email protected] ingress]# wget https://raw.githubusercontent.com/kubernetes/ingress-nginx/master/deploy/provider/baremetal/service-nodeport.yaml

apiVersion: v1
kind: Service
metadata:
  name: ingress-nginx
  namespace: ingress-nginx
spec:
  type: NodePort
  ports:
    - name: http
      port: 80       
      targetPort: 80
      protocol: TCP
      nodePort: 30080                我们指定的节点暴露的端口
    - name: https
      port: 443
      targetPort: 443                后端的nginx的端口
      protocol: TCP
      nodePort: 30443               指定Nginx暴露的端口
  selector:
      app: ingress-nginx
---

[[email protected] ingress]# kubectl apply -f ./
service/myapp unchanged
deployment.apps/myapp-deploy unchanged
service/ingress-nginx created

[[email protected] ingress]# kubectl get svc -n ingress-nginx
NAME            TYPE       CLUSTER-IP       EXTERNAL-IP   PORT(S)                      AGE
ingress-nginx   NodePort   10.105.174.166   <none>        80:30080/TCP,443:30443/TCP   4m

现在我们就可以在集群的外部尝试访问一下我们的Ingress 的服务 :

但是按理来说应该出现正常的调度:  出现的应该是  default  backed - 404   但是却出现的是根本就访问不了这个30080的端口 ,提示:端口不能正常的访问,  那 继续向下  ,看看这个问题到后面能不能解决 ?

 

下来我们将我们的myapp关联到nginx上 :

[[email protected] ingress-nginx]# kubectl describe svc myapp
Name:              myapp
Namespace:         default
Labels:            <none>
Annotations:       kubectl.kubernetes.io/last-applied-configuration={"apiVersion":"v1","kind":"Service","metadata":{"annotations":{},"name":"myapp","namespace":"default"},"spec":{"ports":[{"name":"http","port":80,"targe...
Selector:          app=myapp,release=canary
Type:              ClusterIP
IP:                10.105.120.214
Port:              http  80/TCP
TargetPort:        80/TCP
Endpoints:         10.244.1.102:80,10.244.1.103:80,10.244.2.99:80
Session Affinity:  None
Events:            <none>

 

[[email protected] ingress]# vim ingress-myapp.yaml

apiVersion: extensions/v1beta1
kind: Ingress
metadata:
  name: ingress-myapp
  namespace: default
  annotations:
    kubernetes.io/ingress.class: "nginx"
spec:
  rules:
  - host: myapp.magedu.com
    http:
      paths:
      - path:
        backend:
          serviceName: myapp
          servicePort: 80

[[email protected] ingress]# kubectl apply -f ingress-myapp.yaml
ingress.extensions/ingress-myapp created

[[email protected] ingress]# kubectl get ingress
NAME            HOSTS              ADDRESS   PORTS     AGE
ingress-myapp   myapp.magedu.com             80        13s

[[email protected] ingress]# kubectl describe ingress ingress-myapp           这个ingress一旦创建了以后会自动的注入到 ingress Controller中去, 会自动的转换成nginx的配置文件
Name:             ingress-myapp
Namespace:        default
Address:          
Default backend:  default-http-backend:80 (<none>)
Rules:
  Host              Path  Backends
  ----              ----  --------
  myapp.magedu.com  
                       myapp:80 (<none>)
Annotations:
  kubectl.kubernetes.io/last-applied-configuration:  {"apiVersion":"extensions/v1beta1","kind":"Ingress","metadata":{"annotations":{"kubernetes.io/ingress.class":"nginx"},"name":"ingress-myapp","namespace":"default"},"spec":{"rules":[{"host":"myapp.magedu.com","http":{"paths":[{"backend":{"serviceName":"myapp","servicePort":80},"path":null}]}}]}}

  kubernetes.io/ingress.class:  nginx
Events:
  Type    Reason  Age   From                      Message
  ----    ------  ----  ----                      -------
  Normal  CREATE  49s   nginx-ingress-controller  Ingress default/ingress-myapp
[[email protected] ingress]#

[[email protected] ingress]# kubectl exec  -n ingress-nginx -it  nginx-ingress-controller-769d8b56b7-scqh6 -- /bin/sh
$ cat nginx.conf                   使用交互式的命令进入到pod内部去,查看nginx的配置文件中有没有我们定义的

# Configuration checksum: 3855965695233399109

    server {
        server_name myapp.magedu.com ;
        
        listen 80;
        


注意:nginx的负载是以域名进行负载的,因此我们必须要注意解析到本地的节点,

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 


更多精彩内容