/tags/ingress/ ingress Source Themes Academic (https://sourcethemes.com/academic/)zhSun, 05 Apr 2020 17:41:31 +0800 /img/logo-wide.png /tags/ingress/ /post/ingress-in-1.18/ Sun, 05 Apr 2020 17:41:31 +0800 /post/ingress-in-1.18/ <p>作者：<a href="https://www.linkedin.com/in/robertjscott1" target="_blank">Rob Scott (Google)</a> <a href="https://www.linkedin.com/in/cmluciano" target="_blank">Christopher M Luciano (IBM)</a></p> <p>原文：<a href="https://kubernetes.io/blog/2020/04/02/improvements-to-the-ingress-api-in-kubernetes-1.18/" target="_blank">Improvements to the Ingress API in Kubernetes 1.18</a></p> <p>Kubernetes 的 Ingress API 是大量 Ingress 控制器的基础，它们通过这一 API，用方便强大的方式为 Kubernetes 提供入站流量的支持。在 Kubernetes 1.18 中，这个 API 有了三个显著的变化：</p> <ul> <li>新的 <code>pathType</code> 字段可以用来匹配 Ingress 路径。</li> <li><code>IngressClass</code> 资源能够指定控制器实现 Ingress 的方法。</li> <li>主机名中可以使用通配符。</li> </ul> <h2 id="使用-path-type-改进路径匹配">使用 Path Type 改进路径匹配</h2> <p>Path Type 的新概念让用户可以指定路径的匹配方式，目前有三种：</p> <ul> <li><code>ImplementationSpecific</code>（缺省）：这种匹配方式的行为取决于 <code>IngressClass</code> 控制器的实现。</li> <li><code>Extract</code>：以区分大小写的方式精确匹配整个 URL 路径。</li> <li><code>Prefix</code>：区分大消息，根据以 <code>/</code> 分割的 URL 元素进行前缀匹配。</li> </ul> <h2 id="使用-ingress-class-扩展配置">使用 Ingress Class 扩展配置</h2> <p>Ingress 资源的设计初衷就是易用性，尝试使用简单的字段为所有应用提供支持。随着应用场景的不断增加，为了适应更广泛的需求，越来越多的 Ingress 控制器要靠大量的自定义注解来完成更复杂的配置。<code>IngressClass</code> 资源提供了一种替换部分注解的思路。</p> <p>每个 <code>IngressClass</code> 中都指明了用于实现 Ingress 的控制器类型，并且可以引用自定义资源来使用更多参数。</p> <pre><code class="language-yaml">apiVersion: networking.k8s.io/v1beta1 kind: IngressClass metadata: name: external-lb spec: controller: example.com/ingress-controller parameters: apiGroup: k8s.example.com/v1alpha kind: IngressParameters name: external-lb </code></pre> <h3 id="指定-ingess-的-class">指定 Ingess 的 Class</h3> <p>Ingress 规范中加入了 <code>ingressClassName</code> 字段，用来指定实现这个 Ingress 资源的的 <code>IngressClass</code>。</p> <h3 id="淘汰-ingress-注解">淘汰 Ingress 注解</h3> <p>在 1.18 加入 <code>IngressClass</code> 之前，需要在 Ingess 资源中使用 <code>kubernetes.io/ingress.class</code> 注解来指定 Ingress 控制器。在没有官方定义的情况下，这个注解被大量的 Ingress 控制器所支持。现在是时候淘汰他了。</p> <h3 id="设置缺省的-ingressclass">设置缺省的 IngressClass</h3> <p>可以使用 <code>ingressclass.kubernetes.io/is-default-class</code> 注解，将其设置为 <code>True</code>，就代表所在的 <code>IngressClass</code> 为缺省控制器。没有显示指定 <code>IngressClassName</code> 的新的 Ingress 资源都会使用该控制器。</p> <h2 id="主机名通配符">主机名通配符</h2> <p>很多 Ingress 控制器都支持通配符，例如 <code>*.foo.com</code> 可以匹配 <code>app1.foo.com</code>，但是直到目前为止，规范还是假设使用完全匹配的 FQDN。主机名现在也可以使用通配符了。</p> <table> <thead> <tr> <th>Host</th> <th>Host Header</th> <th>匹配?</th> </tr> </thead> <tbody> <tr> <td><code>*.foo.com</code></td> <td><code>*.foo.com</code></td> <td>根据后缀匹配</td> </tr> <tr> <td><code>*.foo.com</code></td> <td><code>*.foo.com</code></td> <td>不匹配，通配符只能对应一个 DNS 项</td> </tr> <tr> <td><code>*.foo.com</code></td> <td><code>foo.com</code></td> <td>不匹配，通配符只能对应一个 DNS 项</td> </tr> </tbody> </table> <h2 id="总结一下">总结一下</h2> <p>新的 Ingress 功能扩展了配置能力，下面是一个例子，其中用到了上面提到的三个新特性：</p> <pre><code class="language-yaml">apiVersion: networking.k8s.io/v1beta1 kind: Ingress metadata: name: example-ingress spec: ingressClassName: external-lb rules: - host: *.example.com http: paths: - path: /example pathType: Prefix backend: serviceName: example-service servicePort: 80 </code></pre> <h3 id="ingress-控制器支持">Ingress 控制器支持</h3> <p>这个功能是 Kubernetes 1.18 中新增的，因此各种控制器都需要一段时间才能提供支持。请关注相关产品的官方文档。</p> <h2 id="ingress-的未来">Ingress 的未来</h2> <p>Ingress API 将在 1.19 进入稳定阶段。它会持续使用简单的方式为 Kubernetes 入站流量提供支持。这个 API 的设计重心就在于轻量和简单，但是更好的配置能力和更广泛的案例支持也是一个持续的努力方向。</p> <p>目前还在开发一组高配置能力的 API。被称为 <code>Service API</code> 的新 API 会提供一种 Ingress 的替代方案。它的存在目的不是替代 Ingress，而是提供一种更具配置能力的新方案。请查看 Github 上的 <a href="http://github.com/kubernetes-sigs/service-apis" target="_blank">Service API</a> 项目。</p> /post/istio-helm-deep-dive-ingress/ Tue, 09 Oct 2018 14:25:42 +0800 /post/istio-helm-deep-dive-ingress/ <blockquote> <p>这是《Istio Helm Chart 详解》系列的第三篇。开始逐个 Chart 进行阅读。</p> </blockquote> <h2 id="前言">前言</h2> <p>全局变量之后，接下来就是 Ingress 一节了，这个 Chart 只是个兼容选项，为 Istio 提供了传统 Kubernetes Ingress 的功能。<code>ingress.enabled</code> 变量用于在 <code>requirements.yaml</code> 中控制该 Chart 是否启用。</p> <h2 id="chart-yaml">Chart.yaml</h2> <p>元数据文件，无需赘述。</p> <h2 id="autoscale-yaml">autoscale.yaml</h2> <p>该文件用于处理该模块的 <a href="https://kubernetes.io/docs/tasks/run-application/horizontal-pod-autoscale/" target="_blank">HPA 对象</a>。引用变量如下：</p> <ul> <li><strong>ingress.autoscaleMin</strong>：水平伸缩的 Pod 数量下限，另外该变量被赋值的情况下才会渲染 HPA 对象。</li> <li><strong>ingress.autoscaleMax</strong>：水平伸缩的 Pod 数量上限。</li> <li><strong>Release.Namespace</strong>：HPA 对象所在的命名空间，使用 Istio 同一值。Release 是 Helm 的保留字，用于标识该 Release 所在的命名空间。</li> </ul> <p>代码中我们看到，<code>targetAverageUtilization</code> 设置为固定值 <code>80</code>。</p> <h2 id="serviceaccount-yaml">serviceaccount.yaml</h2> <p>这个模板用于为 Pod 生成 Service Account——<code>istio-ingress-service-account</code>。</p> <p>其中引用变量：</p> <ul> <li><strong>global.imagePullSecrets</strong>：全局变量定义的数组，提供给 Service Account，在拉取镜像时使用。</li> <li><strong>Chart</strong> 和 <strong>Release</strong> 都是 Helm 的内置对象。</li> </ul> <h2 id="clusterrole-yaml-和-clusterrolebinding-yaml">clusterrole.yaml 和 clusterrolebinding.yaml</h2> <p>Kubernetes <a href="https://kubernetes.io/docs/reference/access-authn-authz/rbac/" target="_blank">RBAC</a> 系统使用，这是一个集群范围内生效的 ClusterRole，声明了 Ingress 中需要的两组权限，并最终和 Service Account 进行绑定：</p> <ul> <li>对于 extensions.thirdpartyresources 和 extensions.ingresses 对象的读写权限。</li> <li>对 configmaps、pods、endpoints 和 services 对象的读取权限。</li> </ul> <p>其中引用变量：</p> <ul> <li><strong>istio.name</strong>：定义在 istio 的 <code>_helpers.tpl</code> 中，如果没有使用 <code>nameOverride</code> 进行覆盖的话，会使用 Chart 名称。</li> <li><strong>Chart</strong> 和 <strong>Release</strong> 都是 Helm 的内置对象。</li> </ul> <h2 id="deployment-yaml">deployment.yaml</h2> <p>这一模板用于生成 Deployment，主体部分和 Ingress Gateway 类似，使用的都是 <code>istio/proxyv2</code> 镜像，<a href="https://istio.io/docs/reference/commands/pilot-agent/#pilot-agent-proxy" target="_blank">参数稍有区别</a>：</p> <ul> <li><strong>istio-proxy</strong>：<code>proxy sidecar</code></li> <li><strong>ingress</strong>：<code>proxy ingress</code></li> <li><strong>gateways</strong>：<code>proxy router</code></li> </ul> <p>其中引用变量：</p> <ul> <li><strong>istio.name</strong>：定义在 istio 的 <code>_helpers.tpl</code> 中，如果没有使用 <code>nameOverride</code> 进行覆盖的话，会使用 Chart 名称。</li> <li>使用 Chart 和 Release 数据生成标签。这里可以看到，固定使用 <code>istio: ingress</code> 提供给 Gateway Selector 进行选择。</li> <li><strong>global.hub</strong> 和 <strong>global.tag</strong>：生成镜像地址。</li> <li><strong>replicaCount</strong>：控制 Pod 数量。</li> <li><strong>global.imagePullPolicy</strong>：拉取策略。</li> <li><strong>global.priorityClassName</strong>：<a href="https://kubernetes.io/docs/concepts/configuration/pod-priority-preemption/#priorityclass" target="_blank"><code>PriorityClass</code></a></li> <li><strong>global.proxy.envoyStatsd.enabled</strong>：如果启用，则加入 <code>--statsdUdpAddress</code> 参数。</li> <li><p><strong>global.controlPlaneSecurityEnabled</strong>：根据这一设置确定 <code>controlPlaneAuthPolicy</code> 设置：</p> <pre><code class="language-yaml"># 如果启用 - --controlPlaneAuthPolicy - MUTUAL_TLS - --discoveryAddress - istio-pilot:15005 # 如果没启用 - --controlPlaneAuthPolicy - NONE - --discoveryAddress - istio-pilot:8080 </code></pre></li> <li><p><strong>resources</strong> 和 <strong>globale.defaultResources</strong>：优先使用 Chart 自身的资源定义，如果没有则使用缺省定义。</p></li> <li><p><strong>nodeaffinity</strong>：包含节点亲和性定义模板。</p></li> </ul> <p>另外这里还包含了对两个 secret 的可选加载：</p> <ul> <li><strong>istio.istio-ingress-service-account</strong>：用于 RBAC 的 Service Account 证书。</li> <li><strong>istio-ingress-certs</strong>：提供 https 服务时使用这一组证书。</li> </ul> <h2 id="service-yaml">service.yaml</h2> <p>这个模板用来为 Ingress 生成服务。</p> <p>引用变量包括：</p> <ul> <li><strong>istio.name</strong>：定义在 istio 的 <code>_helpers.tpl</code> 中，如果没有使用 <code>nameOverride</code> 进行覆盖的话，会使用 Chart 名称。</li> <li>使用 Chart 和 Release 数据生成标签。</li> <li><strong>service.loadBalancerIP</strong>：如果指定了 IP，则使用指定 IP。</li> <li><strong>service.type</strong>：如果没有负载均衡支持，可以考虑采用 NodePort 方式。</li> <li><strong>service.annotations</strong>：可以设置一系列的键值对，通过遍历的形式为 Service 对象生成注解。</li> <li><p><strong>service.ports</strong>：可以定义其它的非标准端口，以数组形式供 Helm 进行遍历，例如：</p> <pre><code class="language-yaml">- port: 80 name: http nodePort: 32000 - port: 443 name: https </code></pre></li> </ul> <h2 id="常用链接">常用链接</h2> <ol> <li>Helm 内置对象：<a href="https://docs.helm.sh/chart_template_guide/#built-in-objects" target="_blank">https://docs.helm.sh/chart_template_guide/#built-in-objects</a></li> </ol> /post/istio-ingress-dive/ Sat, 11 Aug 2018 14:44:26 +0800 /post/istio-ingress-dive/ <blockquote> <p>本文涉及细节较多，需读者对 Docker、Kubernetes 以及 Istio 有一定了解和实践经验，否则可能难于操作。</p> </blockquote> <p>Istio 从 v1alpha3 开始，用 Ingress Gateway 组件替代了符合 Kubernetes 规范的 Ingress Controller，因此对入站流量具有了更大的控制能力，但是用法也有了较大不同。</p> <p>安装：在使用 Helm 进行 Istio 部署的时候，需要使用下面的设置来启用 Ingress Gateway：</p> <pre><code class="language-yaml">gateways: enabled: true istio-ingressgateway: enabled: true </code></pre> <h2 id="基本概念">基本概念</h2> <p><code>VirtualService</code> 是流量控制的核心组件，起着承上（<code>Gateway</code>）启下（<code>DestinationRule</code>）的作用。这三种对象在本文中涉及的主要职责：</p> <ul> <li><code>Gateway</code> 对象： <ul> <li>选择 Gateway Ingress Controller。</li> <li>设置端点开放方式：域名、端口、入站协议等。</li> </ul></li> <li><code>DestinationRule</code>： <ul> <li>定义负载均衡行为。</li> <li>定义服务版本子集。</li> </ul></li> <li><code>VirtualService</code>： <ul> <li>根据 Gateway 选择服务版本。</li> </ul></li> </ul> <p>根据 <a href="https://istio.io/docs/reference/config/istio.networking.v1alpha3/#VirtualService" target="_blank">VirtualService 对象文档</a>中的说明，<code>VirtaulService</code> 对象中的 <code>gateways</code> 字段的类型为 <code>string[]</code>，包括一或多个字符串值。如果省略该字段内容，会隐式的赋值为 <code>[&quot;mesh&quot;]</code>，<code>mesh</code> 网关指代所有的网格内通信。如果要对外提供服务，就需要定义 <code>Gateway</code> 对象，并在 <code>gateways</code> 字段中进行赋值。</p> <blockquote> <p>注意，一旦在 <code>gateways</code> 中填写了非缺省的对象名称，要继续对内部通信进行流量控制，必须显式的将内置的 <code>mesh</code> 对象名称也加入到列表之中。</p> </blockquote> <h2 id="准备工作">准备工作</h2> <h3 id="环境准备">环境准备</h3> <ol> <li>安装和部署 Kubernetes 以及 Istio，并启用 Ingress Gateway 支持。</li> <li>将备用的两个域名（假设为 <code>flask.example2.com</code> 以及 <code>flask.example1.com</code>）指向 <code>istio-ingressgateway</code> 服务的外部 IP。</li> <li>为测试域名生成 HTTPS 证书。</li> </ol> <h3 id="域名准备">域名准备</h3> <h3 id="工作负载">工作负载</h3> <ol> <li>首先编写一个基于 Flask 的 Python 脚本，并打入镜像，脚本功能很简单，显示环境变量中的 &ldquo;VERSION&rdquo;。</li> <li>接下来编写 Dockerfile，安装 Python3、Flask，并进行构建和推送。</li> <li>编写 Kubernetes 工作负载文件，常见的 Deployment + Service 模式。</li> <li>在 Kubernetes 上运行工作负载。</li> </ol> <p>以上涉及代码可以在页面尾部获取。</p> <h3 id="目标规则定义">目标规则定义</h3> <pre><code class="language-yaml">apiVersion: networking.istio.io/v1alpha3 kind: DestinationRule metadata: name: flask spec: host: flask trafficPolicy: loadBalancer: simple: RANDOM subsets: - name: v1 labels: version: v1 - name: v2 labels: version: v2 </code></pre> <p>这里根据工作负载中的标签，将 <code>flask</code> 服务拆分为 <code>v1</code> 和 <code>v2</code> 两个版本。</p> <h2 id="在外网开放服务">在外网开放服务</h2> <p>这里我们设计，将所有外网请求经过 <code>flask.example1.com</code> 路由到 <code>v2</code> 版本上。</p> <p>首先要编写一个 <code>Gateway</code> 定义：</p> <pre><code class="language-yaml">apiVersion: networking.istio.io/v1alpha3 kind: Gateway metadata: name: flask-gateway spec: selector: istio: ingressgateway servers: - port: number: 80 name: http protocol: HTTP hosts: - flask.example1.com - flask.example2.com </code></pre> <p>这里定义了一个 <code>Gateway</code>，其中要求 80 端口响应两个域名的请求。接下来定义一个 <code>VirtualService</code>：</p> <pre><code class="language-yaml">apiVersion: networking.istio.io/v1alpha3 kind: VirtualService metadata: name: flask spec: hosts: - &quot;flask.example1.com&quot; gateways: - flask-gateway http: - route: - destination: host: flask subset: v2 </code></pre> <p>然后使用 curl 进行访问：<code>curl http://flask.example1.com</code> 会发现返回了字符串 &ldquo;v2&rdquo;，证明我们的定义生效了，该域名指向了 <code>v2</code> 服务。</p> <p>再用 curl 访问第二个域名 <code>curl http://flask.example2.com</code>，会看到返回了 404，这是因为我们的 <code>Gateway</code> 虽然接收了请求，但是并没有服务路由完成这一请求。那么可以再定义一个 <code>VirtualService</code>，让 <code>flask.example2.com</code> 域名指向 <code>v1</code>：</p> <pre><code class="language-yaml">apiVersion: networking.istio.io/v1alpha3 kind: VirtualService metadata: name: flask1 spec: hosts: - &quot;flask.example2.com&quot; gateways: - flask-gateway http: - route: - destination: host: flask subset: v1 </code></pre> <p>再次使用 <code>curl http://flask.example2.com</code>，访问，会看到返回结果变成了 <code>v1</code>，证明我们的服务定义生效了。</p> <h2 id="将一个域名服务升级为-tls">将一个域名服务升级为 tls</h2> <p>随意修改一个需求，要求开放 <code>flask.example2.com</code> 为 http，而 <code>flask.example1.com</code> 升级为 https，既然涉及 https，就要用到证书，<a href="https://istio.io/zh/docs/tasks/traffic-management/secure-ingress/" target="_blank">官方文档（中文版哦）</a>陈述如下：</p> <blockquote> <p>具体说来就是使用 kubectl 命令在命名空间 istio-system 中创建一个 secret 对象，命名为 istio-ingressgateway-certs。Istio 网关会自动载入这个 secret。 这里的 secret 必须 在 istio-system 命名空间中，并且命名为 istio-ingressgateway-certs，否则就不会被正确载入，也就无法 Istio gateway 中使用了。</p> </blockquote> <p>接着是使用命令为 <code>flask.example1.com</code> 的证书创建 <code>Secret</code>：</p> <pre><code class="language-shell">$ kubectl create -n istio-system secret tls \ istio-ingressgateway-certs \ --key key.pem --cert cert.pem </code></pre> <p>最后修改我们的 <code>Gateway</code> 定义：</p> <pre><code class="language-yaml">apiVersion: networking.istio.io/v1alpha3 kind: Gateway metadata: name: flask-gateway spec: selector: istio: ingressgateway servers: - port: number: 80 name: http protocol: HTTP hosts: - flask.example2.com - port: number: 443 name: https-rocks protocol: HTTPS tls: mode: SIMPLE serverCertificate: /etc/istio/ingressgateway-certs/tls.crt privateKey: /etc/istio/ingressgateway-certs/tls.key hosts: - flask.example1.com </code></pre> <p>然后再次使用 curl 分别访问 <code>https://flask.example1.com/version</code> 以及 <code>http://flask.example2.com/version</code>，会发现返回了预期结果，而一旦错用 <code>http</code> 和 <code>https</code>，就会出现异常，这是因为我们的 <code>Gateway</code> 限制了端口。</p> <p>这里如此操作的原因可以在他的部署中找到：</p> <pre><code class="language-shell">$ kubectl get deployment istio-ingressgateway \ -o yaml -n istio-system </code></pre> <p>返回的 YAML 中会有这么一段</p> <pre><code class="language-yaml">... - mountPath: /etc/istio/ingressgateway-ca-certs name: ingressgateway-ca-certs readOnly: true ... volumes: - name: ingressgateway-certs secret: defaultMode: 420 optional: true secretName: istio-ingressgateway-certs ... </code></pre> <p>上方代码可以看到，Ingress Gateway 中用可选方式加载了一个名称为 <code>istio-ingressgateway-certs</code> 的 <code>Secret</code>，并 Mount 到了 <code>/etc/istio/ingressgateway-ca-certs</code> 目录之中，这就是上文中要求我们固定 Secret 名称和命名空间的原因。众所周知，<code>tls</code> 类型的 <code>Secret</code> 加载后会成为 <code>tls.key</code> 和 <code>tls.crt</code> 两个文件，因此在我们的 <code>Gateway</code> 定义中就使用了 <code>/etc/istio/ingressgateway-certs/tls.crt</code> 这样的文件名。</p> <h2 id="所有域名都升级为-tls">所有域名都升级为 tls</h2> <p>根据上一节的描写，不难发现按照官方文档，一个 <code>Gateway</code> 是无法处理两个域名的 https 的：</p> <ol> <li>tls secret 只能包含一个证书对。</li> <li>泛域名证书可以完成这一任务，但因为 Envoy 的限制，这里无法同时使用两个泛域名。</li> </ol> <p>讨论到这里就很明显了，关键在于如何加载多个证书对，可以修改前面所说的加载指令为加载多个 <code>Secret</code>，或者干脆换成 <code>Configmap</code>，当然这样会引起服务中断，<code>Configmap</code> 用于存放证书也略显粗糙——好在我们还可以换用 <code>Generic</code> 类型的证书，这里我们可以删除原有 Secret 重新创建 ：</p> <pre><code class="language-shell">kubectl delete secret istio-ingressgateway-certs \ -n istio-system kubectl create secret generic \ istio-ingressgateway-certs \ -n istio-system \ --from-file=rocks-crt.pem \ --from-file=rocks-key.pem \ --from-file=xyz-crt.pem \ --from-file=xyz-key.pem </code></pre> <p>接下来改造我们的 <code>Gateway</code> 定义：</p> <pre><code class="language-yaml">apiVersion: networking.istio.io/v1alpha3 kind: Gateway metadata: name: flask-gateway spec: selector: istio: ingressgateway servers: - port: number: 443 name: https-rocks protocol: HTTPS tls: mode: SIMPLE serverCertificate: /etc/istio/ingressgateway-certs/rocks-crt.pem privateKey: /etc/istio/ingressgateway-certs/rocks-key.pem hosts: - &quot;flask.example1.com&quot; - port: number: 443 name: https-xyz protocol: HTTPS tls: mode: SIMPLE serverCertificate: /etc/istio/ingressgateway-certs/xyz-crt.pem privateKey: /etc/istio/ingressgateway-certs/xyz-key.pem hosts: - &quot;flask.example2.com&quot; </code></pre> <p>这样一来，我们开放了两个 HTTPS 端口，各自使用不同的证书，分别都可以通过 <code>curl</code> 命令获得正确结果了。</p> <h2 id="补充">补充</h2> <p><code>tls.mode</code> 实际还支持双向和透传两种方式，都可以在流量控制参考中找到相关内容。</p> <h2 id="涉及链接">涉及链接</h2> <ol> <li>Istio 流量控制参考：<code>https://istio.io/docs/reference/config/istio.networking.v1alpha3/</code></li> <li>用 HTTPS 加密 Gateway：<code>https://istio.io/zh/docs/tasks/traffic-management/secure-ingress/</code></li> </ol> <h2 id="代码">代码</h2> <h3 id="python-脚本">Python 脚本</h3> <pre><code class="language-python">#!/usr/bin/env python3 # -*- coding: UTF-8 -*- from flask import Flask import os app = Flask(__name__) @app.route(&quot;/&quot;) def hello_world(): return &quot;Hello, World!&quot; @app.route(&quot;/version&quot;) def getversion(): return os.getenv(&quot;VERSION&quot;) if __name__ == &quot;__main__&quot;: app.run(host=&quot;0.0.0.0&quot;, port=80, debug=True) </code></pre> <h3 id="dockerfile">Dockerfile</h3> <pre><code class="language-dockerfile">FROM alpine RUN apk add --update --no-cache python3 &amp;&amp; \ mkdir /web &amp;&amp; \ pip3 install Flask COPY server.py /web CMD &quot;/web/server.py&quot; </code></pre> <h3 id="kubernetes-工作负载">Kubernetes 工作负载</h3> <pre><code class="language-yaml">apiVersion: v1 kind: Service metadata: name: flask labels: app: flask spec: ports: - name: http port: 80 selector: app: flask --- apiVersion: extensions/v1beta1 kind: Deployment metadata: name: flask-v1 spec: replicas: 1 template: metadata: labels: app: flask version: v1 spec: containers: - image: 'abc:25000/python-flask-server:v2' imagePullPolicy: IfNotPresent name: flask env: - name: VERSION value: v1 ports: - containerPort: 80 --- apiVersion: extensions/v1beta1 kind: Deployment metadata: name: flask-v2 spec: replicas: 1 template: metadata: labels: app: flask version: v2 spec: containers: - image: 'abc:25000/python-flask-server:v2' imagePullPolicy: IfNotPresent name: flask env: - name: VERSION value: v2 ports: - containerPort: 80 </code></pre> /post/kubernetes-1.2-with-ingress/ Wed, 06 Apr 2016 07:50:05 +0800 /post/kubernetes-1.2-with-ingress/ <p>原文：<a href="https://kubernetes.io/blog/2016/03/kubernetes-1.2-and-simplifying-advanced-networking-with-ingress" target="_blank">Kubernetes 1.2 and simplifying advanced networking with Ingress</a></p> <p>在 Kubernetes 中，服务和 Pod 的 IP 地址缺省只能被集群网络路由。所有边缘路由器传来的流量要么被丢弃，要么被转向。在 Kubernetes 中，我们对 Ingress 对象做了改进，用于简化传入连接进入集群服务的过程。对其进行配置，能够给服务外部可达的 URL，负载均衡，Terminate SSL，提供具名虚拟主机等大量功能。</p> <h2 id="ingress-controller">Ingress Controller</h2> <p>如今，受容器或者虚拟机的影响，对 Web 服务器或者负载均衡的配置变得麻烦了。多数的 Web 服务器配置文件很像。虽说有些应用有些古怪，但是总的说来还是可以通过一些逻辑来达到目的的。在 Kuberntes 1.2 中，Ingress 实现了这些想法，Ingress 控制器就是用于处理这些特别的 Ingress “类” （可能是负载均衡的一个实例，或者复杂一些的提供 GSLB、CDN、DDoS 保护等功能的前端）中的这些个性的东西。Ingress Controller 是一个守护进程，以 Kuberntes Pod 的形式进行部署，他会监控 API 服务的 /ingress 终结点来获取对 <a href="http://kubernetes.io/docs/user-guide/ingress/" target="_blank">Ingress 资源</a> 的更新。他的任务就是实现 Ingress 请求。</p> <p>为了运行下面的例子，你的 Kubternetes 集群必须仅有一个支持 TLS 的 Ingress 控制器。如果你的集群运行在云提供商环境中，首先查找一下 “kube-system” 命名空间，查找 Ingress 控制器的 RC。如果没有的话，需要部署一个 <a href="https://github.com/kubernetes/contrib/tree/master/ingress/controllers/nginx" target="_blank">nginx 控制器</a> 或者 用不到 100 行代码<a href="https://github.com/kubernetes/contrib/tree/master/ingress/controllers#writing-an-ingress-controller" target="_blank">自行实现</a>。</p> <p>务必花费少许时间来了解一下现存控制器的限制（ GCE, nginx ）。</p> <h2 id="tls-termination-和-http-负载均衡">TLS termination 和 HTTP 负载均衡</h2> <p>Ingress 用于承接服务，所以很适合做负载均衡以及中心化的安全配置。如果你熟悉 Go 语言，Ingress 在集群中扮演了 <a href="https://golang.org/pkg/net/http/#Server" target="_blank"><code>net/http’s “Server”</code></a> 的角色。下面的例子示范了如何配置 TLS termination。负载均衡是 Ingress 的必选项目，所以只要创建了这一对象，就有了负载均衡能力。</p> <p>首先创建一个测试服务。我们会运行一个简单的 Echo 服务器，用来告知我们正在运行的内容（<a href="https://github.com/kubernetes/contrib/tree/master/ingress/echoheaders" target="_blank">源代码</a>）：</p> <pre><code>$ kubectl run echoheaders --image=gcr.io/google_containers/echoserver:1.3 --port=8080 $ kubectl expose deployment echoheaders --target-port=8080 --type=NodePort </code></pre> <p>如果你是在云服务提供商提供的集群上运行，确认你可以由外网通过 Nodeport 访问到这一服务。</p> <pre><code>$ NODE_IP=$(kubectl get node `kubectl get po -l run=echoheaders --template '{{range .items}}{{.spec.nodeName}}{{end}}'` --template '{{range $i, $n := .status.addresses}}{{if eq $n.type &quot;ExternalIP&quot;}}{{$n.address}}{{end}}{{end}}') $ NODE_PORT=$(kubectl get svc echoheaders --template '{{range $i, $e := .spec.ports}}{{$e.nodePort}}{{end}}') $ curl $NODE_IP:$NODE_PORT </code></pre> <p>这是一个简单的检查，如果最后一步失败了，可能需要设置一下<a href="https://github.com/kubernetes/contrib/blob/master/ingress/controllers/gce/BETA_LIMITATIONS.md#creating-the-firewall-rule-for-glbc-health-checks" target="_blank">防火墙规则</a>。</p> <p>接下来创建我们的 TLS secret：</p> <pre><code>$ openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout /tmp/tls.key -out /tmp/tls.crt -subj &quot;/CN=echoheaders/O=echoheaders&quot; $ echo &quot; apiVersion: v1 kind: Secret metadata: name: tls data: tls.crt: `base64 -w 0 /tmp/tls.crt` tls.key: `base64 -w 0 /tmp/tls.key` &quot; | kubectl create -f </code></pre> <p>配置 Ingress：</p> <pre><code>$ echo &quot; apiVersion: extensions/v1beta1 kind: Ingress metadata: name: test spec: tls: - secretName: tls backend: serviceName: echoheaders servicePort: 8080 &quot; | kubectl create -f - </code></pre> <p>这样就得到了一个负载均衡 IP：</p> <pre><code>$ kubectl get ing NAME RULE BACKEND ADDRESS AGE test - echoheaders:8080 130.X.X.X 4m </code></pre> <p>如果等到 Ingress 控制器把你的后端设置为健康，会看到访问该 IP 80 端口的请求会被重定向到 443 端口，并会使用指定的 TLS 进行验证。</p> <h2 id="未来">未来</h2> <p>可以在 <a href="http://kubernetes.io/docs/user-guide/ingress/" target="_blank">Ingress API</a> 获得更多的信息。Ingress 还在 Beta 阶段，我们期待你的反馈。你也可以贡献控制器或者 API 代码。所有跟 <a href="https://www.google.com/webhp?sourceid=chrome-instant&amp;ion=1&amp;espv=2&amp;ie=UTF-8#q=ingress%20meaning" target="_blank">&ldquo;Ingress&rdquo;</a> 的内容都可以，包含 DNS、不同的 TLS 模式、SNI、4 层负载均衡、内容缓存、更多的算法和健康检查等。</p>