Ingress概念介绍

service只能做四层代理 无法做七层代理(如https服务)
      lvs只能根据第四层的数据进行转发 无法对七层协议数据进行调度

Ingress Controller
            拥有七层代理的Pod程序

Ingress资源
         1.首先通过无头service动态关联符合标签选择器选择的后端Pod
         2.Ingress动态的把service关联的pod地址注入到前端配置upstream中    同时触发主程序重新加载最新的配置文件

pod变化 > service变化 > Ingress变化 > Ingress Control注入配置

Ingress反代到后端的web服务器

1.部署后端pod

apiVersion: v1

kind: Service

metadata:

  name: myapp

  namespace: default

spec:

  selector:

    app: myapp

    release: canary

  ports:

  - name: http

    targetPort:

    port:

---

apiVersion: apps/v1

kind: Deployment

metadata:

  name: myapp-deploy

  namespace:  default

apiVersion: v1

kind: Service

metadata:

  name: myapp

  namespace: default

spec:

  selector:

    app: myapp

    release: canary

  ports:

  - name: http

    targetPort:

    port:

---

apiVersion: apps/v1

kind: Deployment

metadata:

  name: myapp-deploy

  namespace:  default

spec:

  replicas:

  selector:

    matchLabels:

      app: myapp

      release: canary

  template:

    metadata:

      labels:

        app: myapp

        release: canary

    spec:

      containers:

      -  name: myapp

         image: ikubernetes/myapp:v2

         ports:

         - name: http

           containerPort:

ngx-deploy.yaml

2.创建ingress资源

apiVersion: extensions/v1beta1

kind: Ingress

metadata:

  name: ingress-myapp

  namespace: default

  annotations:

    kubernetes.io/ingress.class: "nginx"

spec:

  rules:

  - host: myapp.yxh.com

    http:

      paths:

      - path:

        backend:

          serviceName: myapp

          servicePort:

ingress-myapp.yaml

3.创建ingress controller的pod

[root@k8s-master ingress]# kubectl get pod -n ingress-nginx

NAME                                        READY     STATUS             RESTARTS   AGE         3d

nginx-ingress-controller-7d4c999994-pn6wt   /       Running                      3d

service_nodeport是用来给ingress-controller接入集群外部流量的

ingress-controller就是一个运行nginx的pod

service_nodeport就是nginx pod的service

ingress-controller 的pod是由在git上下载的nginx-ingress中的yaml文件创建的

4.创建service_nodeport配置

apiVersion: v1

kind: Service

metadata:

  name: ingress-nginx

  namespace: ingress-nginx

spec:

  type: NodePort

  ports:

  - name: http

    port:

    targetPort:

    protocol: TCP

    nodePort:

  - name: https

    port:

    targetPort:

    nodePort:

    protocol: TCP

  selector:

    app: ingress-nginx

service_nodeport.yaml

5.修改hosts文件

# localhost name resolution is handled within DNS itself.

#    127.0.0.1       localhost

#    ::             localhost

192.168.11.141      myapp.yxh.com

192.168.11.141      tomcat.yxh.com

6.浏览器访问

Ingress实现tomcat的https反代

1.部署tomcat pod

apiVersion: v1

kind: Service

metadata:

  name: tomcat

  namespace: default

spec:

  selector:

    app: tomcat

    release: canary

  ports:

  - name: http

    targetPort:

    port:

  - name: ajp

    targetPort:

    port:

---

apiVersion: apps/v1

kind: Deployment

metadata:

  name: tomcat-deploy

  namespace:  default

spec:

  replicas:

  selector:

    matchLabels:

      app: tomcat

      release: canary

  template:

    metadata:

      labels:

        app: tomcat

        release: canary

    spec:

      containers:

      -  name:  tomcat

         image: tomcat:8.5.-jre8-alpine

         ports:

         - name: http

           containerPort:

         - name: ajp

           containerPort:

tomcat-deploy.yaml

2.创建ssl证书

生成自签名证书

 [root@k8s-master ingress]# openssl genrsa -out tls.key

Generating RSA private key,  bit long modulus

.................................................................+++

...........................................................................................................+++

e is  (0x10001)

[root@k8s-master ingress]# openssl req -new -x509 -key tls.key -out tls.out -subj /C=CN/ST=Beijing/L=Beijing/O=DevOps/CN=tomcat.yxh.com

CN的设置必须和访问的域名设置为一样的

[root@k8s-master ingress]# ls

ingress-myapp.yaml          ngx-deploy.yaml        tls.key  tomcat

ingress-nginx-nginx-0.13.  service_nodeport.yaml  tls.out

把生成的证书转换成secret资源对象

[root@k8s-master ingress]# kubectl create tls tomcat-ingress-cert --cert=tls.crt  --key=tls.key

[root@k8s-master ingress]# kubectl get secret

NAME                    TYPE                                  DATA      AGE

default-token-n87jl     kubernetes.io/service-account-token            244d

tomcat-ingress-secret   kubernetes.io/tls                              1h

创建证书

3.创建tomact ssl  ingress资源

apiVersion: extensions/v1beta1

kind: Ingress

metadata:

  name: ingress-tomcat-tls

  namespace: default

  annotations:

    kubernetes.io/ingress.class: "nginx"

spec:

  tls:

  - hosts:

    - tomcat.yxh.com

    secretName: tomcat-ingress-secret

  rules:

  - host: tomcat.yxh.com

    http:

      paths:

      - path:

        backend:

          serviceName: tomcat

          servicePort:

ingress-tomcat-tls.yaml

4.创建tomcat http ingress资源

apiVersion: extensions/v1beta1

kind: Ingress

metadata:

  name: ingress-tomcat

  namespace: default

  annotations:

    kubernetes.io/ingress.class: "nginx"

spec:

  rules:

  - host: tomcat.yxh.com

    http:

      paths:

      - path:

        backend:

          serviceName: tomcat

          servicePort:

ingress-tomcat.yaml

5.实现原理

执行kubectl apply|delete -f  ingress-tomcat-tls.yaml的时候 都会把设置自动更新到ingress-controller的nginx的主配置文件中 并且能够立即生效

ingress-controller相当于一个ssl会话卸载器  客户端发送请求给controller必须时https协议 但是由controller把请求转发到集群内部的tomcat pod

的时候 使用的却是http协议

ingress_nginx_controller的配置          # find /etc -name nginx.conf       /etc/nginx/nginx.conf

kubectl exec -n ingress-nginx -ti nginx-ingress-controller-7d4c999994-pn6wt -- /bin/sh

kubectl logs -n ingress-nginx nginx-ingress-controller-7d4c999994-pn6wt |grep error

    ## start server tomcat.yxh.com

    server {

        server_name tomcat.yxh.com ;

        listen ;

        listen [::]:;

        set $proxy_upstream_name "-";

        listen   ssl http2;

        listen [::]:  ssl http2;

        # PEM sha: 8d7a91d9f8445a2e44ca5cef9dcea2c9bf8e7141

        ssl_certificate                         /ingress-controller/ssl/default-tomcat-ingress-secret.pem;

        ssl_certificate_key                     /ingress-controller/ssl/default-tomcat-ingress-secret.pem;

        ssl_trusted_certificate                 /ingress-controller/ssl/default-tomcat-ingress-secret-full-chain.pem;

        ssl_stapling

nginx.conf

6.最终效果

Ingress使用示例的更多相关文章

  1. Kubernetes K8S之Ingress详解与示例

    K8S之Ingress概述与说明,并详解Ingress常用示例 主机配置规划 服务器名称(hostname) 系统版本 配置 内网IP 外网IP(模拟) k8s-master CentOS7.7 2C ...

  2. (八)Kubernetes Ingress资源

    前言 Kubernetes提供了两种内建的云端负载均衡机制(cloud load balancing)用于发布公共应用,一种是工作于传输层的Service资源,它实现的是“TCP负载均衡器”,另一种是 ...

  3. Kubernetes Ingress简单入门

    作者:Nick Ramirez 原文链接:https://thenewstack.io/kubernetes-ingress-for-beginners/ 本文转载自Rancher Labs 不知道你 ...

  4. Kubernetes-7.Ingress

    docker version:20.10.2 kubernetes version:1.20.1 本文概述Kubernetes Ingress基本原理和官方维护的Nginx-Ingress的基本安装使 ...

  5. Kubernetes之Ingress

    在Service篇里面介绍了像集群外部的客户端公开服务的两种方法,还有另一种方法---创建Ingress资源. 定义Ingress (名词)-进入或进入的行为;进入的权利;进入的手段或地点;入口. 接 ...

  6. 几张图解释明白 Kubernetes Ingress

    来源:K8s技术圈 作者:阳明 Kubernetes Ingress 只是 Kubernetes 中的一个普通资源对象,需要一个对应的 Ingress 控制器来解析 Ingress 的规则,暴露服务到 ...

  7. kubernetes入门(04)kubernetes的核心概念(1)

    一.ReplicationController/ReplicaSet 在Kubernetes集群中,ReplicationController能够确保在任意时刻,指定数量的Pod副本正在运行.如果Po ...

  8. Traefik HTTPS 配置

    参考 add-a-tls-certificate-to-the-ingress Entry Points Definition 使用traefik作为ingress controller透出集群中的h ...

  9. 示例:Ingress通过互联网访问应用

    Ingress Ingress 是 Kubernetes 的一种 API 对象,将集群内部的 Service 通过 HTTP/HTTPS 方式暴露到集群外部,并通过规则定义 HTTP/HTTPS 的路 ...

随机推荐

  1. 7.Go退出向Consuk反注册服务,优雅关闭服务

    注册和反注册代码 package utils import ( consulapi "github.com/hashicorp/consul/api" "log" ...

  2. scrapy-模块

    爬虫模块:beautifulsoup4 scrapy_splash: pip install scrapy_splash scrapy_splash模块,与selenium类似,用来获取js渲染后的h ...

  3. js中的自动包装机制

    有一行语句: 1.toString() //error 那么问题来了,为什么报错? 我的第一想法就是1是一个基本类型,所以它没有toString方法 嗯,理直气壮 接下来有大佬show me code ...

  4. Intellij 热部署插件 JRebel [转载]

    原文:https://blog.csdn.net/weixin_42831477/article/details/82229436 Intellij热部署插件JRebel IDEA本身没有集成热部署工 ...

  5. jiagu-工具使用

    比较好的一套处理工具吧,感谢作者,原文地址:https://github.com/ownthink/Jiagu 练习一下使用 """ Funciton: jiagu测试 ...

  6. Oracle--存储过程中之循环语句

    一般循环语句有两种: 1)使用for循环实现 declare  cursor cur is    select * from tablename;   aw_row  tablename%rowtyp ...

  7. 关于JavaSE程序的小总结(不分先后顺序 后续继续补充)

    统计字符串中某个字符串出现的次数 package com.jiang.demo01; public class Demo01 { public static void main(String[] ar ...

  8. Alpha冲刺——测试篇

    课程信息 课程 软件工程1916|W(福州大学) 团队名称 修!咻咻! 作业要求 项目Alpha冲刺 团队目标 切实可行的计算机协会维修预约平台 团队信息 队员学号 队员姓名 个人博客地址 备注 22 ...

  9. Python 3.X 练习集100题 04

    输入某年某月某日,判断这一天是这一年的第几天? 方法1: import time test_time = input("请输入日期(年-月-日):") time_struct = ...

  10. Spring BeanFactory继承结构图

    结构图 高清大图:https://img2018.cnblogs.com/blog/813478/201910/813478-20191030114422275-1092084932.jpg 源文件( ...