实现k8s的服务service的一种推荐方式,也是服务上云后,替代LVS的一个必选产品。
那么它有什么作用呢?
详细的配置说明见: https://help.aliyun.com/document_detail/85955.html?spm=5176.11783189.0.0.5c481eb9mB4PHg
输入你的域名,第二个填写path子路径,第三是选择虚拟服务器组,下面就看下怎么新建虚拟服务器组。
一个是指向kong集群的80端口,另外一个是指向nginx集群的80端口。
比起外网DNS的配置就简单得多,处理的是80端口,不需要解析SSL证书。
当然,该ingress也支持https协议443端口,也就是外网访问的指向了。(需要ssl证书,仅限外网访问)
这里,没有配置转发策略,而是使用的k8s容器服务的路由。
如果你监听的后端是nginx或kong,那么使用http:80和http:443是没问题的。
如果你监听的后端是socket程序,只能监听tcp协议。
总结一句话, 尽量监听http协议,除非不得已才监听tcp协议。
当配置的是http协议,支持管理ssl证书和转发策略即路由规则。请对比着看http协议和tcp协议的区别:
http协议的监听443端口,会多两个管理:“配置转发策略”和“管理证书”。
http协议的监听80端口,会多一个管理:“配置转发策略”,无需管理ssl证书。
如果你监听的后端是nginx,支持http协议的健康检查。
如果你监听的后端是kong,建议你关掉http协议的健康检查,否则会出现Kong不健康的异常情况。
如果你监听的后端是socket程序,可以开启监控检查。
http协议使用80端口,https协议使用443端口。二者配置的虚拟服务器组都指向nginx/kong的80端口。
同时支持http和https协议的好处在于,方便调用端使用。
如果你透传的是tcp协议,那么协议是不会变更的;
如果你透传的是http协议或者https协议,都需要在监听配置中勾选上以下字段。
默认勾选了X-Forwarded-For,却没有默认勾选X-Forwarded-Proto。
也就是说,slb传递给虚拟服务器组的时候,会把协议名丢弃。
而我们无论监听的是http协议还是https协议,都会转发到kong:80端口,正因为此,kong会把https请求误认为是http请求。
那么kong读取协议是哪个字段呢?scheme,或者X-Forwarded-Proto。
而slb支持透传协议到http头部字段X-Forwarded-Proto,所以kong 日志或者lua脚本读取头部字段X-Forwarded-Proto,而不能读取scheme。
下面,简要说一下,Kong怎么在access log打印出协议名。
log_format access '"$proxy_add_x_forwarded_for" "$remote_port" "$time_local" "$scheme" "$request" "$request_time" "$upstream_response_time"'
'"$status" "$body_bytes_sent" "$host" "$http_user_agent" "$bytes_sent" "$request_length" '
'"$upstream_addr" "$http_X_B3_TraceId" ';
# scheme修改为http_x_forwarded_proto:
log_format access '"$proxy_add_x_forwarded_for" "$remote_port" "$time_local" "$http_x_forwarded_proto" "$request" "$request_time" "$upstream_response_time"'
'"$status" "$body_bytes_sent" "$host" "$http_user_agent" "$bytes_sent" "$request_length" '
'"$upstream_addr" "$http_X_B3_TraceId" ';
"111.29.160.135" "1300" "12/Dec/2023:22:58:46 +0800" "https" "GET /api/v2/pub/version HTTP/1.1" "0.005" "0.002" "200" "60" "xx.xxx.net" "com.xx.xxxstu/v3.5.4.20230621S (SM-P355C; android; 6.0.1; R22M0910SRA)" "230" "1188" "10.224.167.89:7201" "00000000000907ee0000018c5e899bc8"
可以看到上面的日志中的协议,已是https了,建议slb对该协议名称做默认勾选,以减少我们这样的错误。
然后Lua在读取协议名的时候,也应该作相应修改。
对于自建IDC,可能会自己搭建LVS集群来实现负载均衡,不过还是建议你使用SLB,它还可以管理DNS/域名及证书。
当然SLB不是无偿的,它会涉及到一些费用,需要你流心。
可以看到,流量的费用不低,SLB区分内网还是外网还是很有必要的。
其次,http接口在返回数据的时候,特别是查询接口,尽量减少返回的报文。
最后,我想说,注意及时看SLB的监控数据:连接数和流量。