理解Ingress
简单的说,ingress就是从kubernetes集群外访问集群的入口,将用户的URL请求转发到不同的service上。Ingress相当于nginx、apache等负载均衡方向代理服务器,其中还包括规则定义,即URL的路由信息,路由信息得的刷新由Ingress controller来提供。
理解Ingress Controller
Ingress Controller 实质上可以理解为是个监视器,Ingress Controller 通过不断地跟 kubernetes API 打交道,实时的感知后端 service、pod 等变化,比如新增和减少 pod,service 增加与减少等;当得到这些变化信息后,Ingress Controller 再结合下文的 Ingress 生成配置,然后更新反向代理负载均衡器,并刷新其配置,达到服务发现的作用。
介绍traefik Ingress
Traefik是一款开源的反向代理与负载均衡工具。它最大的优点是能够与常见的微服务系统直接整合,可以实现自动化动态配置。目前支持Docker, Swarm, Mesos/Marathon, Mesos, Kubernetes, Consul, Etcd, Zookeeper, BoltDB, Rest API等等后端模型
部署Traefik的配置文件可以在如下github仓库中找到:
https://github.com/rootsongjc/kubernetes-handbook/tree/master/manifests/traefik-ingress
部署Traefik Ingress
在开始部署ingress之前,需要先了解一下什么是RBAC。RBAC(基于角色的访问控制)使用 rbac.authorization.k8s.io API 组来实现权限控制,RBAC 允许管理员通过 Kubernetes API 动态的配置权限策略。如果想要开启 RBAC 授权模式需要在 apiserver 组件中指定 --authorization-mode=RBAC 选项即可.
在 RBAC API 的四个重要概念:
Role:是一系列的权限的集合,例如一个角色可以包含读取 Pod 的权限和列出 Pod 的权限
ClusterRole: 跟 Role 类似,但是可以在集群中到处使用( Role 是 namespace 一级的)
RoloBinding:把角色映射到用户,从而让这些用户继承角色在 namespace 中的权限。
ClusterRoleBinding: 让用户继承 ClusterRole 在整个集群中的权限
.....................................,如需要了解更多,请自行谷歌.
本文将采用daemonset方式部署Traefik Ingress来进行服务发布
1.创建ingress-rbac.yaml,将用于service account验证.
[root@k8s-master Traefik]# vim ingress-rbac.yaml
apiVersion: v1
kind: ServiceAccount
metadata:
name: ingress
namespace: kube-system
---
kind: ClusterRoleBinding
apiVersion: rbac.authorization.k8s.io/v1beta1
metadata:
name: ingress
subjects:
- kind: ServiceAccount
name: ingress
namespace: kube-system
roleRef:
kind: ClusterRole
name: cluster-admin
apiGroup: rbac.authorization.k8s.io
[root@k8s-master Traefik]#
2.创建名为traefik-ingress的ingress,文件名ingress.yaml
[root@k8s-master Traefik]# vim ingress.yaml
apiVersion: extensions/v1beta1
kind: Ingress
metadata:
name: traefik-ingress
namespace: default
spec:
rules:
- host: traefik.nginx.io
http:
paths:
- path: /
backend:
serviceName: nginx-service
servicePort: 80
#- host: traefik.zipkin.io
# http:
# paths:
# - path: /
# backend:
# serviceName: zipkin-service
# servicePort: 80
~
这其中的backend中要配置default namespace中启动的service名字,如果你没有配置namespace名字,默认使用default namespace,如果你在其他namespace中创建服务想要暴露到kubernetes集群外部,可以创建新的ingress.yaml文件,同时在文件中指定该namespace,其他配置与上面的文件格式相同。。path就是URL地址后的路径,如traefik.nginx.io/path,service将会接受path这个路径,host最好使用
service-name.filed1.filed2.domain-name这种类似主机名称的命名方式,方便区分服务。
根据你自己环境中部署的service的名字和端口自行修改,有新service增加时,修改该文件后可以使用kubectl replace -f ingress.yaml来更新.
我现在集群中已经有一个service了,服务名是nginx-service,对应backend: 中serviceName:字段的值.
[root@k8s-master Traefik]# kubectl get svc
NAME TYPE CLUSTER-IP EXTERNAL-IP PORT(S) AGE
kubernetes ClusterIP 10.1.0.1 443/TCP 7d
nginx-service NodePort 10.1.189.16 80:30088/TCP 28d
3.创建DaemonSet
我们使用DaemonSet类型来部署Traefik,并使用nodeSelector来限定Traefik所部署的主机.
注意:我们使用了 nodeSelector选择边缘节点来调度traefik-ingress-lb运行在它上面,所以要给集群的节点打上label,选择nodeSelector指定traefik=proxy,副本数和集群节点数一致的时候,所有的节点上都会运行一个pod.
首先给k8s的所有node节点打上label,然后通过标签选择器指定标签。
[root@k8s-master ~]# kubectl get nodes --show-labels
[root@k8s-master ~]# kubectl label node 10.200.3.106 traefik=proxy
node "10.200.3.106" labeled
[root@k8s-master ~]# kubectl label node 10.200.3.107 traefik=proxy
node "10.200.3.107" labeled
[root@k8s-master ~]# kubectl get nodes --show-labels
通过DaemonSet方式部署Traefik服务.
[root@k8s-master Traefik]# vim Traefik-DaemonSet.yaml
apiVersion: extensions/v1beta1
kind: DaemonSet
metadata:
name: traefik-ingress-lb
namespace: kube-system
labels:
k8s-app: traefik-ingress-lb
spec:
template:
metadata:
labels:
k8s-app: traefik-ingress-lb
name: traefik-ingress-lb
spec:
terminationGracePeriodSeconds: 60
hostNetwork: true
restartPolicy: Always
serviceAccountName: ingress
containers:
- image: traefik
name: traefik-ingress-lb
resources:
limits:
cpu: 200m
memory: 30Mi
requests:
cpu: 100m
memory: 20Mi
ports:
- name: http
containerPort: 80
hostPort: 80
- name: admin
containerPort: 8580
hostPort: 8580
args:
- --web
- --web.address=:8580
- --kubernetes
nodeSelector:
traefik: "proxy"
4.Traefik UI部署
[root@k8s-master Traefik]# vim Traefik-UI.yaml
apiVersion: v1
kind: Service
metadata:
name: traefik-web-ui
namespace: kube-system
spec:
selector:
k8s-app: traefik-ingress-lb
ports:
- name: web
port: 80
targetPort: 8580
---
apiVersion: extensions/v1beta1
kind: Ingress
metadata:
name: traefik-web-ui
namespace: kube-system
spec:
rules:
- host: traefik-ui.local
http:
paths:
- path: /
backend:
serviceName: traefik-web-ui
servicePort: web
~
配置完成后就可以创建treafik ingress服务了。
[root@k8s-master Traefik]# kubectl crete -f /opt/Traefik/
等待一会,两个node节点都会启动一个traefik-ingress 的pod服务,如下图.
查看Traefik-UI服务,并访问UI的web页面.其中访问端口为我们Traefik-UI.yaml文件中指定的 targetPort: 8580
[root@k8s-master Traefik]# kubectl get svc -n kube-system -o wide
NAME TYPE CLUSTER-IP EXTERNAL-IP PORT(S) AGE SELECTOR
traefik-web-ui ClusterIP 10.1.155.181 80/TCP 28d k8s-app=traefik-ingress-lb
nodeip + targetPort: 8580访问:
访问该地址
http://10.200.3.106:8580/dashboard/ 将可以看到dashboard.
左侧部分部分列出的是所有的rule,右侧部分是所有的backend中service的ip和端口和pod的ip地址.
测试:
在集群的任意一个节点上执行。假如现在我要访问nginx的"/"路径。
[root@k8s-master Traefik]# curl -I -H Host:traefik.nginx.io http://10.200.3.106
HTTP/1.1 200 OK
Accept-Ranges: bytes
Content-Length: 612
Content-Type: text/html
Date: Tue, 07 Aug 2018 08:36:15 GMT
Etag: "56a78fbf-264"
Last-Modified: Tue, 26 Jan 2016 15:24:47 GMT
Server: nginx/1.8.1
[root@k8s-master Traefik]#
[root@k8s-master Traefik]# curl -I -H Host:traefik.nginx.io http://10.200.3.107
HTTP/1.1 200 OK
Accept-Ranges: bytes
Content-Length: 612
Content-Type: text/html
Date: Tue, 07 Aug 2018 08:36:15 GMT
Etag: "56a78fbf-264"
Last-Modified: Tue, 26 Jan 2016 15:24:47 GMT
Server: nginx/1.8.1
[root@k8s-master Traefik]#
如果你需要在kubernetes集群以外访问就需要设置DNS,或者修改本机的hosts文件。
在其中加入:
10.200.3.106 traefik.nginx.io
或者
10.200.3.107 traefik.nginx.io
浏览器访问如下: