K8S之Ingress-Nginx
K8S之Ingress-Nginx
Ingress诞生背景
我们都知道Service的表现形式为IP:Port,工作在TCP/IP层。对于基于HTTP的服务来说,不同的URL地址经常对应到不同的后端服务或者虚拟服务器,这些应用层的转发机制仅通过kubernetes的Service机制是无法实现的。
因此就有了Ingress将不同URL的访问请求转发到后端不同的Service,以实现HTTP层的业务路由机制。
Ingress 是对集群中服务的外部访问进行管理的 API 对象,典型的访问方式是 HTTP和HTTPS。可以提供负载均衡、SSL 和基于名称的虚拟托管
Pod和ingress的关系
- 通过Service关联Pod
- 基于域名访问
- 通过Ingress controller实现Pod的负载
- 支持TCP/UDP四层和HTTP七层
Ingress-Nginx工作原理
- ingress controller,它是一个nginx控制器,通过和kubernetes api交互,动态的去感知集群中ingress规则变化,
- 然后读取它,按照自定义的规则,规则就是写明了哪个域名对应哪个service,生成一段nginx配置,
- 再写到nginx-ingress-controller的pod里,这个Ingress controller的pod里运行着一个Nginx服务,控制器会把生成的nginx配置写入/etc/nginx.conf文件中,
- 然后reload一下使配置生效。以此达到域名分别配置和动态更新的问题。
- 访问的端口是不会发生改变,访问域名+端口的形式进行负载,不识别IP+port的形式访问
- 默认对外暴露的端口是80和443
ingress-nginx会创建一个NodePort类型的service,暴露端口提供给外部访问。
通过ingress策略的改变(比如:增加一个域名解析,解析不同的集群内部的service),ingress controller会监听APIserver的变化,发生变化以后会在ingress controller(本质是一个在ingress-nginx空间下的pod)动态更新nginx的配置文件,增加nginx的域名解析条数。到达动态更新配置的目的。(一个ingress规则实例化对象就是一个域名)
Ingress-nginx的构成
Ingress-nginx由两部分组成:Ingress Controller 和 **Ingress **
- Ingress 这个玩意,简单的理解就是 你原来要改 Nginx 配置,然后配置各种域名对应哪个 Service,现在把这个动作抽象出来,变成一个 Ingress 对象,你可以用 yml 创建,每次不要去改 Nginx 了,直接改 yml 然后创建/更新就行了;那么问题来了:”Nginx 咋搞?”
- Ingress Controller 这东西就是解决 “Nginx 咋搞” 的;Ingress Controoler 通过与 Kubernetes API 交互,动态的去感知集群中 Ingress 规则变化,然后读取他,按照他自己模板生成一段 Nginx 配置,再写到 Nginx Pod 里,最后 reload 一下,工作流程如下图
在实际应用中,最新版本 Kubernetes 已经将 Nginx 与 Ingress Controller 合并为一个组件,所以 Nginx 无需单独部署,只需要部署 Ingress Controller 即可
Ingress-nginx作用
- 动态配置服务
如果按照传统方式, 当新增加一个服务时, 我们可能需要在流量入口加一个反向代理指向我们新的k8s服务. 而如果用了Ingress-nginx, 只需要配置好这个服务, 当服务启动时, 会自动注册到Ingress的中, 不需要而外的操作。 - 减少不必要的端口映射
配置过k8s的都清楚, 第一步是要关闭防火墙的, 主要原因是k8s的很多服务会以NodePort方式映射出去, 这样就相当于给宿主机打了很多孔, 既不安全也不优雅. 而Ingress可以避免这个问题, 除了Ingress自身服务可能需要映射出去, 其他服务都不要用NodePort方式
部署 Ingress-Nginx
1.下载Ingress-nginx
wget https://raw.githubusercontent.com/kubernetes/ingress-nginx/nginx-0.18.0/deploy/mandatory.yaml
2.创建 Ingress - Nginx
kubectl apply -f mandatory.yaml # 生成ingress-nginx的pod
kubectl get pods -n ingress-nginx
NAME READY STATUS RESTARTS AGE
nginx-ingress-controller-7995bd9c47-7vvfd 1/1 Running 0 5h5m
kubectl apply -f service-nodeport.yaml # 生成一个nodeport类型的service,提供给外部用户方式
kubectl get service -n ingress-nginx
NAME TYPE CLUSTER-IP EXTERNAL-IP PORT(S) AGE
ingress-nginx NodePort 10.106.240.167 <none> 80:31839/TCP,443:30704/TCP 5h5m
3.测试
curl http://10.106.240.167 # ip来自上一步
# 如果返回404则表示安装成功
Ingress-nginx的代理方式
Ingress HTTP 代理访问
1.生成yaml文件
deployment、Service、Ingress Yaml 文件
vim ingress.yaml
apiVersion: extensions/v1beta1
kind: Deployment
metadata:
name: nginx-deployment
spec:
replicas: 2
template:
metadata:
labels:
name: nginx-pod
spec:
containers:
- name: nginx
image: 10.0.0.136:9090/library/nginx:v1
imagePullPolicy: IfNotPresent
ports:
- containerPort: 80
---
apiVersion: v1
kind: Service
metadata:
name: nginx-service
spec:
ports:
- port: 80
targetPort: 80
protocol: TCP
selector:
name: nginx-pod
---
apiVersion: extensions/v1beta1
kind: Ingress
metadata:
name: nginx-ingress
spec:
rules:
- host: www.js.com # ingress-nginx解析的域名
http:
paths:
- path: /
backend:
serviceName: nginx-service
servicePort: 80
2.生成ingress实例
kubectl apply -f ingress.yaml
3.查看
kubectl get ingress
NAME HOSTS ADDRESS PORTS AGE
nginx-ingress www.js.com 80 4h44m # 生成解析的域名
4.查看ingress生成的访问端口
kubectl get service -n ingress-nginx
NAME TYPE CLUSTER-IP EXTERNAL-IP PORT(S) AGE
ingress-nginx NodePort 10.106.240.167 80:31839/TCP,443:30704/TCP 5h44m
5.在Windows的hosts文件添加解析
10.0.0.111 www.js.com
6.访问
http:www.js.com:31839
Ingress HTTPS 代理访问
1.创建证书,以及 cert 存储方式
openssl req -x509 -sha256 -nodes -days 365 -newkey rsa:2048 -keyout tls.key -out tls.crt -subj "/CN=nginxsvc/O=nginxsvc"
kubectl create secret tls tls-secret --key tls.key --cert tls.crt
2.生成yaml文件
deployment、Service、Ingress Yaml 文件
apiVersion: extensions/v1beta1
kind: Ingress
metadata:
name: nginx-test
spec:
tls:
- hosts:
- hello.js.com
secretName: tls-secret
rules:
- host: hello.js.com
http:
paths:
- path: /
backend:
:serviceName nginx-service2 # 使用了之间创建的service实例
servicePort: 80
3.生成ingress实例
kubectl apply -f hello.yaml
4.查看是否生成对应的域名
kubectl get ingress
NAME HOSTS ADDRESS PORTS AGE
nginx-test hello.js.com 80, 443 9m17s
5.查看访问域名使用的端口
kubectl get service -n ingress-nginx
NAME TYPE CLUSTER-IP EXTERNAL-IP PORT(S) AGE
ingress-nginx NodePort 10.106.240.167 <none> 80:31839/TCP,443:30704/TCP 5h20m # 可以发现使用https访问的话使用的端口是30704,使用http访问的话是31839
6.访问测试(浏览器)
https://hello.js.com:30704 # 访问成功
Nginx 进行 BasicAuth
1.安装生成认证的命令
yum install -y httpd-tools
2.访问密码认证
htpasswd -c auth helloworld helloworld
New password: # 输入密码
3.生成k8s的secret文件
kubectl create secret generic basic-auth --from-file=helloworld
4.生成yaml文件
vim auth.yaml
apiVersion: extensions/v1beta1
kind: Ingress
metadata:
name: json
annotations:
nginx.ingress.kubernetes.io/auth-type: basic
nginx.ingress.kubernetes.io/auth-secret: basic-auth
nginx.ingress.kubernetes.io/auth-realm: 'HelloWorld'
spec:
rules:
- host: json.js.com
http:
paths:
- path: /
backend:
serviceName: nginx-service
servicePort: 80
Ingress-Nginx重定向
参数说明:
| 名称 | 描述 | 值 |
|---|---|---|
| nginx.ingress.kubernetes.io/rewrite-target | 必须重定向流量的目标URI | 串 |
| nginx.ingress.kubernetes.io/ssl-redirect | 指示位置部分是否仅可访问SSL(当Ingress包含证书时默认为True) | 布尔 |
| nginx.ingress.kubernetes.io/force-ssl-redirect | 即使Ingress未启用TLS,也强制重定向到HTTPS | 布尔 |
| nginx.ingress.kubernetes.io/app-root | 定义Controller必须重定向的应用程序根,如果它在’/'上下文中 | 串 |
| nginx.ingress.kubernetes.io/use-regex | 指示Ingress上定义的路径是否使用正则表达式 | 布尔 |
重定向应用程序根
访问不一样的url,重定向不同的中断
vim rewrite.yaml
apiVersion: networking.k8s.io/v1beta1
kind: Ingress
metadata:
annotations:
nginx.ingress.kubernetes.io/app-root:: /host/index.html # 重定向到这个文件
name: approot
namespace: default
spec:
rules:
- host: www.js.com
http:
paths:
- backend:
serviceName: nginx
servicePort: 80
path: /
流量重定向到目标URI
apiVersion: extensions/v1beta1
kind: Ingress
metadata:
name: nginx-test
annotations:
nginx.ingress.kubernetes.io/rewrite-target: http://www.jn.com
spec:
rules:
- host: www.js.com
http:
paths:
- backend:
serviceName: service-1
servicePort: 80
path: /hello
- backend:
serviceName: service-2
servicePort: 80
path: /world