K8S的ingress
一。ingress的介绍
对于NodePort和LoadBalance,这两种方法,都有缺点:
1.NodePort方式缺点会占用很多集群的端口,当集群服务变多的时候,缺点更加显著
2.LB的缺点就是每一个service都需要一个LB,浪费,麻烦,并且需要K8S之外的设备
基于上面两种情况,K8S提供了ingress资源对象,ingress只需要一个nodeport或者一个LB就可以满足暴露多个service需求,实际上,ingress相当于一个7层负载均衡器,是K8S对反向代理的一个抽象,他的工作原理类似于nginx,可以理解为在ingress里建立多个映射规则,ingress controller通过监听这些配置规则并且转化为nginx反向代理,然后对外提供服务,在这李有两个给核心概念:
1.ingress:K8S的一个对象,作用是定义请求如何转发到service的规则
2.ingress controller:具体实现反向代理负载均衡的程序,对ingress定义规则进行解析,根据配置的规则来实现请求转发,事项方式很多:nginx,haproxy等
二。Ingress的工作原理:
1.用户编写ingress规则,说明哪一个域对应K8S集群的哪一个服务
2.ingress控制器动态感知ingress服务规则的变化,然后生成一段相应的nginx反向代理配置
3.ingress控制器会将生成的nginx配置写入到一个运行着nginx的服务中,并动态更新
4.到此为止,其实真正的工作就是nginx了,内部配置了用户定义的请求转发规则
三。环境的准备:
1.下载配置文件:wget -c https://gitee.com/kong-xiangyuxcz/svn/releases/download/ingress-nginx-controller-v1.13.1/deploy.yaml
445 image: ingress-nginx/controller:v1.11.2
546 image: ingress-nginx/kube-webhook-certgen:v1.4.3
599 image: ingress-nginx/kube-webhook-certgen:v1.4.3
kubectl apply -f deploy.yaml:启用yaml
kubectl get -f deploy.yaml:删除yaml
四。ingress的用法:
准备工作:
kubectl create deployment myappv1 --image nginx:1.17.1 --dry-run=client -o yaml > myappv1.yaml:创建一个控制器
kubectl create service clusterip myappv1 --tcp 80:80 --dry-run=client -o yaml >> myappv1.yaml:创建servie服务
--dry-run=client模拟执行命令(客户端 dry run),不会实际创建服务,仅生成配置
cp myappv1.yaml myappv2.yaml:创建两个yaml
运行结果:
使用ingress进行负载均衡:
1. kubectl -n ingress-nginx get ingressclasses.networking.k8s.io:查看自己所在的类
2.kubectl create ingress ingress-test --class nginx --rule="/=myappv1:80" --dry-run=client -o yaml > ingress-test.yml:生成ingress文件
3.进行检测:
4.测试:
五。ingress基于路径的访问:
1.首先删除以前的ingress,避免冲突:
2.创建基于路径的ingress文件:
3.检测结果:
六。基于域名的访问:
测试:
七。建立tls加密
1.建立私钥和证书:openssl req -newkey rsa:2048 -nodes -keyout tls.key -x509 -days 365 -subj "/CN=nginxsvc/0=nginxsvc" -out tls.crt
2.建立资源存储,假如集群:kubectl create secret tls web-tls-secret --key tls.key --cert tls.crt
3.查看secret内容: kubectl get secrets web-tls-secret -o yaml
4.查看类型:
5.进行配置:
6.测试:
七。建立auth认证:
1.下载软件:
dnf install httpd-tools
2.建立加密用户
htpasswd -cm auth admin
3.提取到集群空间,generic存储任意键值对形式的敏感数据
kubectl create secret generic auth-web --from-file auth
4.查看加密详细内容:
kubectl get secrets auth-web -o yaml
5.编写yml文件:
6.测试:
八:rewirte重定向:
