[干货]kubenertes ingress负载grpc

目录

• 概述
• 搭建
  • 生成公私钥
  • 创建secret
  • 创建ingress
• 访问

概述

一般情况下，我们的系统对外暴露HTTP/HTTPS的接口，内部使用rpc(GRPC)通讯，这时GRPC在服务之间通过service访问，本地调试时通过service nodePort方式调用。

但随着业务壮大，需要跨集群的GRPC通讯，或者pod数量太多、nodePort端口管理混乱时，就可以考虑用ingress来统一管理和暴露GRPC服务了。

本文详细介绍如何在kubernetes用ingress负载grpc服务。

• 首先需要特别留意：ingress-nginx不支持负载明文的grpc（这个官方居然没明说，巨坑，详情请自行搜索github上的issues），所以只能在443端口上用TLS来负载。

搭建

生成公私钥

前面说了ingress只支持在443端口上负载加密的grpc，所以在正式搭建前需要准备一组公私钥。

这里我们可以自行生成一组普通的公私钥，下面的命令将在当前目录生成一组公私钥文件：

$ openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout grpcs.key -out grpcs.crt -subj "/CN=*.grpcs.aurayou/O=grpcs.aurayou"
$ ls
grpcs.crt  grpcs.key

参数说明：

• grpcs.key: 私钥文件名
• grpcs.crt: 公钥文件名
• .grpcs.aurayou: 域名后缀，后续所有使用此公私钥对的域名必须以.grpcs.aurayou为后缀

创建secret

将刚才生成的公私钥对导入k8s secret，创建名为grpcs-secret的secret：

$ kubectl create secret tls grpcs-secret --key grpcs.key --cert grpcs.crt
$ kube get secret
NAME                  TYPE                                  DATA      AGE
default-token-bhp5l   kubernetes.io/service-account-token   3         88d
grpcs-secret          kubernetes.io/tls                     2         6h

创建ingress

apiVersion: extensions/v1beta1
kind: Ingress
metadata:
  annotations:
    kubernetes.io/ingress.class: "nginx"
    nginx.ingress.kubernetes.io/ssl-redirect: "true"
    nginx.ingress.kubernetes.io/backend-protocol: "GRPC"
  name: data-product
  namespace: aurayou
spec:
  rules:
  - host: data-product.grpcs.aurayou
    http:
      paths:
      - backend:
          serviceName: data-product
          servicePort: 50051
  tls:
  - secretName: grpcs-secret
    hosts:
      - data-product.grpcs.aurayou

参数说明：

• 启用nginx：kubernetes.io/ingress.class: "nginx"
• 启用TLS，下面两项2选1：
• 由nginx负责tls，服务内部还是用明文传输：nginx.ingress.kubernetes.io/ssl-redirect: "true"、nginx.ingress.kubernetes.io/backend-protocol: "GRPC"
• 由服务自行实现TLS，nginx只负责路由：nginx.ingress.kubernetes.io/backend-protocol: "GRPCS"
• 域名：rules.host、tls.hosts这两个是该grpc服务的ingress域名，可以自定义，但必须以前面生成公私钥对时使用的后缀结尾
• 服务: grpc服务的服务名和端口由rules.http.backend配置
• 公私钥: tls.secretName指向前面创建的grpcs-secret

注意：ingress-nginx的搭建，最好使用官方的yaml文件，自定义的配置可能会有冲突之处。

访问

前面已经搭建好了grpc服务的ingress，外部服务访问该ingress时，需要加载刚才生成的公钥文件，golang代码关键点：

• 访问明文的服务时，选项使用grpc.WithInsecure()
• 访问加密的ingress时，选项使用grpc.WithTransportCredentials，并用credentials.NewClientTLSFromFile加载前面生成的公钥并指定需要访问的域名

	tcp_port := viper.GetString("server.tcp.port")
	tcp_host := viper.GetString("server.tcp.host")

	tcp_address := tcp_host + tcp_port

	var dailOpts []grpc.DialOption
	if tcp_port == ":443" {
		// 走ingress 443端口，加密传输
		// NewClientTLSFromFile()函数的参数1是前面生成的公钥文件，参数2是待访问的域名
		creds, err := credentials.NewClientTLSFromFile("./grpcs.crt", "data-product.grpcs.aurayou")
		if err != nil {
			log.Fatalf("Failed to create TLS credentials %v", err)
		}
		dailOpts = append(dailOpts, grpc.WithTransportCredentials(creds))
	} else {
		// 访问明文的集群内部服务
		dailOpts = append(dailOpts, grpc.WithInsecure())
	}

	// Set up a connection to the server.
	conn, err := grpc.Dial(tcp_address, dailOpts...)
	if err != nil {
		log.Fatalf("did not connect: %v", err)
	}