目录
ingress简介
ingress地址重写
加密
认证
ingress简介
单独用service暴露服务的方式,在实际生产环境中不太合适
ClusterIP的方式只能在集群内部访问。
NodePort方式的话,测试环境使用还行,当有几十上百的服务在集群中运行时,NodePort的端口管理是灾难。
LoadBalance方式受限于云平台,且通常在云平台部署ELB还需要额外的费用。
ingress可以简单理解为service的service,他通过独立的ingress对象来制定请求转发的规则,把请求路由到一个或多个service中。这样就把服务与请求规则解耦了,可以从业务维度统一考虑业务的暴露,而不用为每个service单独考虑。
Kubernetes 里的Ingress 服务是一种全局的、为了代理不同后端Service 而设置的负载均衡服务。
Ingress由两部分组成:Ingress controller和Ingress服务。
Ingress Controller 会根据你定义的Ingress 对象,提供对应的代理能力。业界常用的各种反向代理项目,比如 Nginx、HAProxy、Envoy、Traefik 等,都已经为Kubernetes 专门维护了对应的Ingress Controller。
部署ingress服务
cd ..
mkdir ingress
cd ingress/
ls
【需要deploy-v1.1.0.yaml文件,】
vim deploy-v1.1.0.yaml
修改并查看镜像,拉取上传至私有仓库
网页:新建项目:ingress-nginx
server1:
docker load -i ingress-nginx-v1.1.0.tar
docker push reg.westos.org/ingress-nginx/kube-webhook-certgen:v1.1.1
docker push reg.westos.org/ingress-nginx/controller:v1.1.0
server2:
kubectl apply -f deploy-v1.1.0.yaml
kubectl get ns
kubectl -n ingress-nginx get all
有一个pod
kubectl -n ingress-nginx get pod
kubectl -n ingress-nginx get svc
kubectl -n ingress-nginx describe svc ingress-nginx-controller
有一个Endpoints
kubectl -n ingress-nginx edit svc ingress-nginx-controller
编辑【type: LoadBalancer】
kubectl -n ingress-nginx get svc
可以看到刚改的类型已经生效了
真机中:
curl 172.25.70.100
因为没有定义资源所以是404
server2:
kubectl -n ingress-nginx get pod
刚真机中其实就是访问到这个pod
kubectl -n ingress-nginx logs ingress-nginx-controller-77f65b6696-vr78f
查看pod日志
ingress地址重写
vim ingress.yml
ls
kubectl get svc
kubectl -n ingress-nginx get ingressclasses
kubectl get svc
cd ..
ls
vim svc.yml
kubectl apply -f svc.yml #创建svc
kubectl get svc
curl 10.111.110.66
访问刚创建的svc地址可以实现负载均衡
cd ingress/
ls
vim ingress.yml
kubectl get pod
是我们要访问的后端资源,现在创建的ingress要跟这个创建在同一namespeces地下
kubectl apply -f ingress.yml
kubectl get ingress
#class要是空的就不生效【访问逻辑其实是nginx的反向代理】
真机中:
vim /etc/hosts 添加解析
172.25.70.100 mfsmaster www1.westos.org www2.westos.org
ping www1.westos.org
外部能访问【访问域名会解析到70.100】
server2:
kubectl -n ingress-nginx get svc
#70.100是控制器的svc
kubectl -n ingress-nginx get pod
kubectl get ingress
kubectl get svc
kubectl describe svc web1
kubectl get ingress
kubectl describe ingress ingress-myservicea
cd
cd pod/
ls
vim deploy.yml 【标签改为nginx】
cp deploy.yml ../service/ingress/deployment.yml
cd
cd service/
ls
cd ingress/
vim deployment.yml 【定义web2】
kubectl apply -f deployment.yml
kubectl get pod
kubectl get ingress
kubectl describe ingress ingress-myservicea
可以看到有两个虚拟主机
真机中:
ping www2.westos.org
也解析到了70.100
curl www2.westos.org
curl www1.westos.org
加密
server2:
openssl req -x509 -sha256 -nodes -days 365 -newkey rsa:2048 -keyout tls.key -out tls.crt -subj "/CN=nginxsvc/O=nginxsvc"
ll
kubectl create secret tls tls-secret --key tls.key --cert tls.crt
创建secret
kubectl get secrets
vim ingress.yml
kubectl apply -f ingress.yml
kubectl describe ingress ingress-myservicea
网页:访问www1.westos.org
强制重定向到443
认证
yum install -y httpd-utils
htpasswd -c auth dmq
创建auth文件用户名为dmq
cat auth
可以看到生成的文件
kubectl create secret generic basic-auth --from-file=auth
给文件创建密码
kubectl get secrets
vim ingress.yml
kubectl apply -f ingress.yml
kubectl describe ingress ingress-myservicea
网页:可以看到访问域名需要输入用户名和密码,访问域名也可以帮我们重定向到hostname.html这个页面
真机中:
curl -I www1.westos.org#302重定向