(八)Kubernetes Ingress资源
(八)Kubernetes Ingress资源
前言
Kubernetes提供了两种内建的云端负载均衡机制(cloud load balancing)用于发布公共应用,一种是工作于传输层的Service资源,它实现的是“TCP负载均衡器”,另一种是Ingress资源,它实现的是“HTTP(S)负载均衡器”。TCP负载均衡器无论是iptables还是ipvs模型的Service资源都配置于Linux内核中的Netfilter之上进行四层调度,是一种类型更为通用的调度器,支持调度HTTP、MySQL等应用层服务。不过,也正是由于工作于传输层从而使得它无法做到类似卸载HTTPS中的SSL会话等一类操作,也不支持基于URL的请求调度机制,而且,Kubernetes也不支持为此类负载均衡器配置任何类型的健康状态检查机制。HTTP(S)负载均衡器HTTP(S)负载均衡器是应用层负载均衡机制的一种,支持根据环境做出更好的调度决策。与传输层调度器相比,它提供了诸如可自定义URL映射和TLS卸载等功能,并支持多种类型的后端服务器健康状态检查机制。
Ingress概述
什么是Ingress?
通常情况下,service和pod仅可在集群内部网络中通过IP地址访问。所有到达边界路由器的流量或被丢弃或被转发到其他地方。从概念上讲,可能像下面这样:internet |------------[ Services ]Ingress是授权入站连接到达集群服务的规则集合。internet |[ Ingress ]--|-----|--[ Services ]你可以给Ingress配置提供外部可访问的URL、负载均衡、SSL、基于名称的虚拟主机等。用户通过POST Ingress资源到API Server的方式来请求Ingress。Ingress controller负责实现Ingress,通常使用负载平衡器,它还可以配置边界路由和其他前端,这有助于以HA方式处理流量。
Ingress和Ingress Controller
Ingress是Kubernetes API的标准资源类型之一,它其实就是一组基于DNS名称(host)或URL路径把请求转发至指定的Service资源的规则,用于将集群外部的请求流量转发至集群内部完成服务发布。然而,Ingress资源自身并不能进行“流量穿透”,它仅是一组路由规则的集合,这些规则要想真正发挥作用还需要其他功能的辅助,如监听某套接字,然后根据这些规则的匹配机制路由请求流量。这种能够为Ingress资源监听套接字并转发流量的组件称为Ingress控制器(Ingress Controller)。Ingress控制器并不直接运行为kube-controller-manager的一部分,它是Kubernetes集群的一个重要组件,类似CoreDNS,需要在集群上单独部署。
Ingress工作流程
如下图所示,流量到达外部负载均衡器(externalLB)后,首先转发至Service资源Ingres-nginx上,然后通过Ingress控制器基于Ingress资源定义的规则将客户端请求流量直接转发至与Service对应的后端Pod资源之上。这种转发机制会绕过Service资源(app Service;api Service),从而省去了由kube-proxy实现的端口代理开销。Ingress规则需要由一个Service资源对象辅助识别相关的所有Pod资源。如下Ingress通过app service资源去匹配后端的pod1和pod2;这个app service只是起到一个辅助识别功能。
先决条件
在使用Ingress resource之前,必须先了解下面几件事情。Ingress是beta版本的resource,在kubernetes1.1之前还没有。你需要一个Ingress Controller来实现Ingress,单纯的创建一个Ingress没有任何意义。GCE/GKE会在master节点上部署一个Ingress Controller。你可以在一个Pod中部署任意个自定义的Ingress Controller。你必须正确的annotate每个Ingress,比如运行多个Ingress Controller和关闭glbc。
Ingress清单文件几个字段说明
Ingress资源是基于HTTP虚拟主机或URL的转发规则,spec字段中嵌套了rules、backend、tls等字段进行定义。下面这个示例中,它包含了一个转发规则,把发往ilinux.io的请求代理给名为myapp-svc的Service资源。
apiVersion: extensions/v1beta1kind: Ingressmetadata: name: ingress-demo namespace: default annotations: kubernetes.io/ingress.class: "nginx"spec: rules: - host: ilinux.io paths: - backend: serviceName: myapp-svc servicePort: 80#说明:上面资源清单文件中的annotations用于识别其所属的Ingress控制器的类别,这一点在集群上部署多个Ingress控制器时尤为重要。
Ingress Spec(# kubectl explain ingress.spec)中的字段是定义Ingress资源的核心组成部分,主要嵌套如下三个字段:rules <[]Object>:用于定义当前Ingress资源的转发规则列表;未由rules定义规则,或者没有匹配到任何规则时,所有流量都会转发到由backend定义的默认后端。backend
描述
Ingress 控制器自身是运行于Pod中的容器应用,一般是Nginx或Envoy一类的具有代理及负载均衡功能的守护进程,它监视着来自API Server的Ingress对象状态,并根据规则生成相应的应用程序专有格式的配置文件并通过重载或重启守护进程而使新配置生效。Ingress控制器其实就是托管于Kubernetes系统之上的用于实现在应用层发布服务的Pod资源,跟踪Ingress资源并实时生成配置规则。
运行为Pod资源的Ingress控制器进程通过下面两种方式接入外部请求流量:
1、以Deployment控制器管理Ingress控制器的Pod资源,通过NodePort或LoadBalancer类型的Service对象为其接入集群外部的请求流量,这就意味着,定义一个Ingress控制器时,必须在其前端定义一个专用的Service资源。
2、借助于DaemonSet控制器,将Ingress控制器的Pod资源各自以单一实例的方式运行于集群的所有或部分工作节点之上,并配置这类Pod对象以HostPort(如下图中的a)或HostNetwork(如下图中的b)的方式在当前节点接入外部流量。
部署
Ingress-nginx官网
Ingress-nginx GitHub仓库地址
Ingress安装文档
1)在github上下载配置清单yaml文件,并创建部署
[root@k8s-master ~]# mkdir ingress-nginx #这里创建一个目录专门用于ingress-nginx(可省略)[root@k8s-master ~]# cd ingress-nginx/[root@k8s-master ingress-nginx]# wget #下载配置清单yaml文件[root@k8s-master ingress-nginx]# ls #查看下载的文件mandatory.yaml[root@k8s-master ingress-nginx]# kubectl apply -f mandatory.yaml #创建Ingressnamespace/ingress-nginx createdconfigmap/nginx-configuration createdconfigmap/tcp-services createdconfigmap/udp-services createdserviceaccount/nginx-ingress-serviceaccount createdclusterrole.rbac.authorization.k8s.io/nginx-ingress-clusterrole createdrole.rbac.authorization.k8s.io/nginx-ingress-role createdrolebinding.rbac.authorization.k8s.io/nginx-ingress-role-nisa-binding createdclusterrolebinding.rbac.authorization.k8s.io/nginx-ingress-clusterrole-nisa-binding createddeployment.apps/nginx-ingress-controller created
2)验证
[root@k8s-master ingress-nginx]# kubectl get pods -n ingress-nginx #查看生成的pod,注意这里在ingress-nginx名称空间NAME READY STATUS RESTARTS AGEnginx-ingress-controller-79f6884cf6-5fb6v 1/1 Running 0 18m[root@k8s-master ingress-nginx]# kubectl describe pod nginx-ingress-controller-79f6884cf6-5fb6v -n ingress-nginx 查看该pod的详细信息Name: nginx-ingress-controller-79f6884cf6-5fb6vNamespace: ingress-nginxPriority: 0Node: k8s-node2/192.168.1.33Start Time: Fri, 27 Sep 2019 17:53:07 +0800Labels: app.kubernetes.io/name=ingress-nginx app.kubernetes.io/part-of=ingress-nginx pod-template-hash=79f6884cf6Annotations: prometheus.io/port: 10254 prometheus.io/scrape: trueStatus: RunningIP: 10.244.2.73......
3)如果是裸机部署,还需要安装service。(比如VMware虚拟机、硬件服务器等)
---同样去官网下载配置清单文件,也可以自定义创建。[root@k8s-master ingress-nginx]# wget ingress-nginx]# kubectl apply -f service-nodeport.yaml #创建service资源service/ingress-nginx created[root@k8s-master ingress-nginx]# kubectl get svc -n ingress-nginx #查看service资源NAME TYPE CLUSTER-IP EXTERNAL-IP PORT(S) AGEingress-nginx NodePort 10.107.40.182
通过上面创建的service资源对象可以看出,随机分配的~]# mkdir ingress-nginx/ingress[root@k8s-master ~]# cd ingress-nginx/ingress/
(1)、创建testing名称空间(也可以使用命令直接创建# kubectl create namespace my-namespace,不过这里使用资源清单格式创建)
[root@k8s-master ingress]# vim namespace-testing.yaml #编写namespace清单文件apiVersion: v1kind: Namespacemetadata: name: testing labels: env: testing[root@k8s-master ingress]#[root@k8s-master ingress]# kubectl apply -f namespace-testing.yaml #创建namespacenamespace/testing created[root@k8s-master ingress]#[root@k8s-master ingress]# kubectl get namespace testing #验证NAME STATUS AGEtesting Active 12s
(2)、部署nginx实例,这里使用Deployment控制器于testing中部署nginx相关的Pod对象。
[root@k8s-master ingress]# vim deployment-nginx.yamlapiVersion: apps/v1kind: Deploymentmetadata: name: deploy-nginx namespace: testingspec: replicas: 3 selector: matchLabels: app: nginx template: metadata: labels: app: nginx spec: containers: - name: nginx image: nginx:1.12 ports: - name: containerPort: 80[root@k8s-master ingress]# [root@k8s-master ingress]# kubectl apply -f deployment-nginx.yaml deployment.apps/deploy-nginx created[root@k8s-master ingress]# [root@k8s-master ingress]# kubectl get deploy -n testingNAME READY UP-TO-DATE AVAILABLE AGEdeploy-nginx 3/3 3 3 5s[root@k8s-master ingress]# [root@k8s-master ingress]# kubectl get pods -n testingNAME READY STATUS RESTARTS AGEdeploy-nginx-686bddcb56-9g7pq 1/1 Running 0 6sdeploy-nginx-686bddcb56-gqpm2 1/1 Running 0 6sdeploy-nginx-686bddcb56-vtwkq 1/1 Running 0 6s
(3)、创建Service资源,关联后端的Pod资源。这里通过service资源svc-nginx的80端口去暴露容器的80端口。
[root@k8s-master ingress]# vim service-nginx.yamlapiVersion: v1kind: Servicemetadata: name: svc-nginx namespace: testing labels: app: svc-nginxspec: selector: app: nginx ports: - name: port: 80 targetPort: 80 protocol: TCP[root@k8s-master ingress]# [root@k8s-master ingress]# kubectl apply -f service-nginx.yaml service/svc-nginx created[root@k8s-master ingress]# [root@k8s-master ingress]# kubectl get svc -n testingNAME TYPE CLUSTER-IP EXTERNAL-IP PORT(S) AGEsvc-nginx ClusterIP 10.99.233.90
(4)、创建Ingress资源,匹配Service资源svc-nginx,并将svc-nginx的80端口暴露。
[root@k8s-master ingress]# vim ingress-nginx.yamlapiVersion: extensions/v1beta1kind: Ingressmetadata: name: nginx namespace: testing annotations: kubernetes.io/ingress.class: "nginx"spec: rules: - host: nginx.ilinux.io paths: - path: backend: serviceName: svc-nginx servicePort: 80[root@k8s-master ingress]# [root@k8s-master ingress]# kubectl apply -f ingress-nginx.yaml ingress.extensions/nginx created[root@k8s-master ingress]# [root@k8s-master ingress]# kubectl get ingress -n testingNAME HOSTS ADDRESS PORTS AGEnginx nginx.ilinux.io 80 16s[root@k8s-master ingress]# [root@k8s-master ingress]# kubectl describe ingress -n testingName: nginxNamespace: testingAddress: Default backend: default-(
(5)、测试,通过Ingress控制器的前端的Service资源的NodePort来访问此服务,
#首先查看前面部署Ingress控制器的前端的Service资源的映射端口[root@k8s-master ingress-nginx]# kubectl get svc -n ingress-nginxNAME TYPE CLUSTER-IP EXTERNAL-IP PORT(S) AGEingress-nginx NodePort 10.107.40.182