k8s学习-Ingress
4.5、Ingress
Ingress-Nginx github 地址:https://github.com/kubernetes/ingress-nginxIngress-Nginx
官方网站:https://kubernetes.github.io/ingress-nginx/
通常情况下,Service 和 Pod 的 IP 仅可在集群内部访问。集群外部的请求需要通过负载均衡转发到 Service 在 Node 上暴露的 NodePort 上,然后再由 kube-proxy 通过边缘路由器 (edge router) 将其转发给相关的 Pod 或者丢弃。而 Ingress 就是为进入集群的请求提供路由规则的集合。
Ingress 可以给 Service 提供集群外部访问的 URL、负载均衡、SSL 终止、HTTP 路由等。为了配置这些 Ingress 规则,集群管理员需要部署一个 Ingress Controller,它监听 Ingress 和 Service 的变化,并根据规则配置负载均衡并提供访问入口。
4.5.1、安装ingress-nginx
mkdir -p /usr/local/docker/kubernetes/plugins/test/ingress
cd /usr/local/docker/kubernetes/plugins/test/ingress
wget https://raw.githubusercontent.com/kubernetes/ingress-nginx/nginx-0.30.0/deploy/static/mandatory.yaml
# 创建 deployment
kubectl apply -f mandatory.yaml
kubectl get deploy -n ingress-nginx
kubectl get pod -n ingress-nginx
# 查看描述pod修改为你自己的pod名字
kubectl describe pod nginx-ingress-controller-7fcf8df75d-5fbc6 -n ingress-nginx
# 创建 service
wget https://raw.githubusercontent.com/kubernetes/ingress-nginx/nginx-0.30.0/deploy/static/provider/baremetal/service-nodeport.yaml
kubectl apply -f service-nodeport.yaml
# 查看 svc
[root@k8s-master ingress]# kubectl get svc -n ingress-nginx
NAME TYPE CLUSTER-IP EXTERNAL-IP PORT(S) AGE
ingress-nginx NodePort 10.100.49.226 <none> 80:30197/TCP,443:31898/TCP 28s
例子
官方文档: https://kubernetes.github.io/ingress-nginx/examples
http代理
有nginx-svc-http代理两个nginx 的 pod,通过ingress-nginx代理使得www.nginx-svc-http.com代理到nginx-svc-http
vim svc-http.yml
apiVersion: extensions/v1beta1
kind: Deployment
metadata:
name: nginx-deploy
spec:
replicas: 2
template:
metadata:
labels:
app: nginx-http
spec:
containers:
- name: nginx
image: habor-repo.com/library/nginx:v1
imagePullPolicy: IfNotPresent
ports:
- name: http
containerPort: 80
---
apiVersion: v1
kind: Service
metadata:
name: nginx-svc-http
spec:
selector: # 这里的labels匹配上面的 matchLabels 用来发现deployment
app: nginx-http
ports:
- port: 8090 # 暴露的svc外部端口
targetPort: 80 # 容器内部端口
protocol: TCP
---
apiVersion: extensions/v1beta1
kind: Ingress # 注意类型
metadata:
name: nginx-ingress-http
spec:
rules:
- host: www.nginx-svc-http.com # 主机域名
http:
paths:
- path: /
backend:
serviceName: nginx-svc-http # 上面的 service 的 metadata.name
servicePort: 8090 # 上面service 的端口
配置访问端域名解析:
kubectl apply -f svc-http.yml
kubectl get ingress
# 查看ingress
[root@k8s-master ingress]# kubectl get ingress
NAME HOSTS ADDRESS PORTS AGE
nginx-ingress-http www.nginx-svc-http.com 80 6s
# 查看 ingress 的暴露端口
[root@k8s-master ingress]# kubectl get svc -n ingress-nginx
NAME TYPE CLUSTER-IP EXTERNAL-IP PORT(S) AGE
ingress-nginx NodePort 10.100.49.226 <none> 80:30197/TCP,443:31898/TCP 28s
# 浏览器访问 使用 http 端口 30197
http://www.nginx-svc-http.com:30197/
https代理
# 先创建 https 证书
openssl req -x509 -sha256 -nodes -days 365 -newkey rsa:2048 -keyout tls.key -out tls.crt -subj "/CN=nginxsvc/O=nginxsvc"
kubectl create secret tls tls-secret --key tls.key --cert tls.crt
vim svc-https.yaml
apiVersion: extensions/v1beta1
kind: Ingress # 注意类型
metadata:
name: nginx-ingress-https
spec:
tls:
- hosts:
- www.nginx-svc-https.com
secretName: tls-secret # 和上面生成证书 中的 tls-secret 保持一致
rules:
- host: www.nginx-svc-https.com # 主机域名
http:
paths:
- path: /
backend:
serviceName: nginx-svc-http # 上面的 service 的 metadata.name
servicePort: 8090 # 上面service 的端口
kubectl apply -f svc-https.yml
# 查看ingress
[root@k8s-master https]# kubectl get ingress
NAME HOSTS ADDRESS PORTS AGE
nginx-ingress-http www.nginx-svc-http.com 10.100.49.226 80 37m
nginx-ingress-https www.nginx-svc-https.com 80, 443 12s
# 查看 ingress 的暴露端口
[root@k8s-master ingress]# kubectl get svc -n ingress-nginx
NAME TYPE CLUSTER-IP EXTERNAL-IP PORT(S) AGE
ingress-nginx NodePort 10.100.49.226 <none> 80:30197/TCP,443:31898/TCP 28s
# 浏览器访问 使用 https 端口 31898
https://www.nginx-svc-https.com:31898/
basic auth
yum install -y httpd
htpasswd -c auth foo # 用户名 foo ,输入两次密码: 123456
kubectl create secret generic basic-auth --from-file=auth
vim basic-auth.yml
apiVersion: extensions/v1beta1
kind: Ingress # 注意类型
metadata:
name: nginx-basic-auth
annotations:
# type of authentication
nginx.ingress.kubernetes.io/auth-type: basic
# name of the secret that contains the user/password definitions
nginx.ingress.kubernetes.io/auth-secret: basic-auth
# message to display with an appropriate context why the authentication is required
nginx.ingress.kubernetes.io/auth-realm: 'Authentication Required - foo'
spec:
rules:
- host: www.nginx-basic-auth.com # 主机域名
http:
paths:
- path: /
backend:
serviceName: nginx-svc-http # 上面的 service 的 metadata.name
servicePort: 8090 # 上面service 的端口
kubectl apply -f basic-auth.yml
# 查看ingress
[root@k8s-master https]# kubectl get ingress
NAME HOSTS ADDRESS PORTS AGE
nginx-basic-auth www.nginx-basic-auth.com 80 7s
nginx-ingress-http www.nginx-svc-http.com 10.100.49.226 80 54m
nginx-ingress-https www.nginx-svc-https.com 10.100.49.226 80, 443 17m
# 查看 ingress 的暴露端口
[root@k8s-master ingress]# kubectl get svc -n ingress-nginx
NAME TYPE CLUSTER-IP EXTERNAL-IP PORT(S) AGE
ingress-nginx NodePort 10.100.49.226 <none> 80:30197/TCP,443:31898/TCP 28s
# 浏览器访问 使用 http 端口 30197
http://www.nginx-basic-auth.com:30197/
# 使用 https 端口 31898
https://www.nginx-basic-auth.com:31898/
# 输入用户名/密码 : foo/123456
转发
| 名称 | 描述 | 值 |
|---|---|---|
| nginx.ingress.kubernetes.io/rewrite-target | 必须重定向流量的目标URI | 串 |
| nginx.ingress.kubernetes.io/ssl-redirect | 指示位置部分是否仅可访问SSL(当Ingress包含证书时默认为True) | 布尔 |
| nginx.ingress.kubernetes.io/force-ssl-redirect | 即使Ingress未启用TLS,也强制重定向到HTTPS | 布尔 |
| nginx.ingress.kubernetes.io/app-root | 定义Controller必须重定向的应用程序根,如果它在'/'上下文中 | 串 |
| nginx.ingress.kubernetes.io/use-regex | 指示Ingress上定义的路径是否使用正则表达式 | 布尔 |
vim rewrite.yml
apiVersion: extensions/v1beta1
kind: Ingress # 注意类型
metadata:
name: nginx-rewrite
annotations:
# 跳转的目标域名
nginx.ingress.kubernetes.io/rewrite-target: www.nginx-basic-auth.com:30197
spec:
rules:
- host: www.jump.com # 拦截的域名
http:
paths:
- path: /
backend:
serviceName: nginx-svc-http # 上面的 service 的 metadata.name
servicePort: 8090 # 上面service 的端口
kubectl apply -f rewrite.yml
# 查看ingress
[root@k8s-master https]# kubectl get ingress
NAME HOSTS ADDRESS PORTS AGE
nginx-basic-auth www.nginx-basic-auth.com 10.100.49.226 80 23m
nginx-ingress-http www.nginx-svc-http.com 10.100.49.226 80 77m
nginx-ingress-https www.nginx-svc-https.com 10.100.49.226 80, 443 40m
nginx-rewrite www.nginx-basic-auth.com 80 5s
# 查看 ingress 的暴露端口
[root@k8s-master ingress]# kubectl get svc -n ingress-nginx
NAME TYPE CLUSTER-IP EXTERNAL-IP PORT(S) AGE
ingress-nginx NodePort 10.100.49.226 <none> 80:30197/TCP,443:31898/TCP 28s
# 浏览器访问 使用 http 端口 会自动跳转到 basic-auth 页面
http://www.jump.com:30197
k8s学习-Ingress的更多相关文章
- ASP.NET Core on K8S学习之旅(12)Ingress
本篇已加入<.NET Core on K8S学习实践系列文章索引>,可以点击查看更多容器化技术相关系列文章. 一.关于Ingress Kubernetes对外暴露Service主要有三种方 ...
- ASP.NET Core on K8S学习之旅(14)Ingress灰度发布
本篇已加入<.NET Core on K8S学习实践系列文章索引>,可以点击查看更多容器化技术相关系列文章. 之前一篇介绍了Ingress的基本概念和Nginx Ingress的基本配置和 ...
- ASP.NET Core on K8S学习初探(2)K8S基本概念快速一览
在上一篇<单节点环境搭建>中,通过Docker for Windows在Windows开发机中搭建了一个单节点的K8S环境,接下来就是动人心弦的部署ASP.NET Core API到K8S ...
- ASP.NET Core on K8S学习之旅(13)Ocelot API网关接入
本篇已加入<.NET Core on K8S学习实践系列文章索引>,可以点击查看更多容器化技术相关系列文章. 上一篇介绍了Ingress的基本概念和Nginx Ingress的基本配置和使 ...
- Kubernetes K8S之Ingress详解与示例
K8S之Ingress概述与说明,并详解Ingress常用示例 主机配置规划 服务器名称(hostname) 系统版本 配置 内网IP 外网IP(模拟) k8s-master CentOS7.7 2C ...
- ASP.NET Core on K8S学习初探(1)K8S单节点环境搭建
当近期的一个App上线后,发现目前的docker实例(应用服务BFF+中台服务+工具服务)已经很多了,而我司目前没有专业的运维人员,发现运维的成本逐渐开始上来,所以容器编排也就需要提上议程.因此我决定 ...
- ASP.NET Core on K8S学习初探(3)部署API到K8S
在上一篇<基本概念快速一览>中,我们把基本的一些概念快速地简单地不求甚解地过了一下,本篇开始我们会将ASP.NET Core WebAPI部署到K8S,从而结束初探的旅程. Section ...
- k8s学习 - API
k8s学习 - API 之前对k8s并没有很深入的了解,最近想把手头一个项目全部放到k8s上,以方便部署,需要研究.这里记录一下自己研究过程中头脑中的理解. k8s 和 docker 首先,需要先理解 ...
- k8s学习 - 概念 - master/node
k8s学习 - 概念 - master/node 在k8s中,有各种各样的概念和术语.这些概念是必须要学习和掌握的.我们先罗列下所有概念,然后再一个个看具体实例. 大概说一下这些概念: Master: ...
随机推荐
- clickhouse入门到实战及面试
第一章. clickhouse入门 一.ClickHouse介绍 ClickHouse(开源)是一个面向列的数据库管理系统(DBMS),用于在线分析处理查询(OLAP). 关键词:开源.面向列.联机分 ...
- 【Python代码】TSNE高维数据降维可视化工具 + python实现
目录 1.概述 1.1 什么是TSNE 1.2 TSNE原理 1.2.1入门的原理介绍 1.2.2进阶的原理介绍 1.2.2.1 高维距离表示 1.2.2.2 低维相似度表示 1.2.2.3 惩罚函数 ...
- 蓝桥杯 试题 历届试题 对局匹配 DP解决
问题描述 小明喜欢在一个围棋网站上找别人在线对弈.这个网站上所有注册用户都有一个积分,代表他的围棋水平. 小明发现网站的自动对局系统在匹配对手时,只会将积分差恰好是K的两名用户匹配在一起.如果两人分差 ...
- dede列表页限制标题长度
{dede:list pagesize ='10' titlelen="45"} <li><a href="[field:arcurl/]"& ...
- android自动化
1.环境安装 JDK 1.8 Appium Android_SDK python https://www.cnblogs.com/xiaohanzi/p/10676720.html https://b ...
- volatile关键字与内存可见性&原子变量与CAS算法
1 .volatile 关键字:当多个线程进行操作共享数据时, 可以保证内存中的数据可见 2 .原子变量:jdk1.5后java.util.concurrent.atomic 包下提供常用的原子变量 ...
- idea 开发 webpack项目时,只要已加入SVN 版本控制 一直 updating 问题解决
场景描述,这是一个困扰我很久的一个问题,一直百度,都解决不了,今天自己通过设置终于解决了,慢慢的都是辛酸泪,赶快写个笔记记录一下. 对于idea 开发 vue-cli+webpack 项目,idea ...
- 利用metasploit复现永恒之蓝
环境 目标机器:windows 7 ,172.16.136.169 攻击机:安装了Metasploit 的 ubuntu16.04 ,172.16.136.130 (安装Metasploit:在 Ub ...
- js异步原理
javascript引擎 javascript引擎执行时单线程的,如果有一个任务被阻塞,整个浏览器就会处于假死状态 那么遇到这种情况,又在单线程的情况下,不能像java之类的语言创建多几个线程来处理, ...
- Rocket - diplomacy - resolveStar
https://mp.weixin.qq.com/s/W1cS9sgwLFjOOm86d05NIA 介绍各类型节点如何确定星型绑定所包含的连接数. 1. 定义 resoveSta ...