怎么簡單入門Kubernetes Ingress

怎么簡單入門Kubernetes Ingress

1. 什么是Kubernetes Ingress？

Kubernetes Ingress 是一種用于管理外部訪問 Kubernetes 集群中服務的 API 對象。它充當了集群的入口點，允許你將外部流量路由到集群內部的服務。與傳統的 LoadBalancer 或 NodePort 服務不同，Ingress 提供了更高級的路由功能，如基于主機名或路徑的路由、TLS 終止等。

1.1 Ingress 的作用

• 路由流量：Ingress 可以根據請求的主機名或路徑將流量路由到不同的服務。
• TLS 終止：Ingress 可以處理 HTTPS 請求，并在集群內部使用 HTTP。
• 負載均衡：Ingress 可以將流量分發到多個后端服務實例，實現負載均衡。
• 簡化外部訪問：通過 Ingress，你可以使用一個統一的入口點來管理多個服務的訪問。

1.2 Ingress 與 Service 的區別

• Service：Kubernetes Service 用于在集群內部或外部暴露一組 Pod。Service 可以是 ClusterIP、NodePort 或 LoadBalancer 類型。Service 通常用于集群內部的通信或簡單的外部訪問。
• Ingress：Ingress 是一個更高級的抽象，它允許你基于 HTTP/HTTPS 請求的主機名或路徑進行路由。Ingress 通常與 Ingress Controller 一起使用，后者負責實際處理流量。

2. Ingress 的基本概念

2.1 Ingress 資源

Ingress 資源是 Kubernetes 中的一種 API 對象，用于定義如何將外部流量路由到集群內部的服務。Ingress 資源通常包含以下信息：

• 主機名：用于匹配請求的主機名。
• 路徑：用于匹配請求的路徑。
• 后端服務：指定流量應該路由到的 Kubernetes 服務。
• TLS 配置：用于配置 HTTPS 的證書和密鑰。

2.2 Ingress Controller

Ingress Controller 是實際處理 Ingress 資源的組件。它負責監聽 Ingress 資源的變化，并根據配置的路由規則將流量轉發到相應的后端服務。常見的 Ingress Controller 包括：

• NGINX Ingress Controller：基于 NGINX 的 Ingress Controller，支持豐富的路由功能。
• Traefik：一個現代的 HTTP 反向代理和負載均衡器，支持自動發現和動態配置。
• HAProxy Ingress Controller：基于 HAProxy 的 Ingress Controller，適用于高并發場景。
• Istio Gateway：Istio 服務網格的一部分，提供了更高級的流量管理功能。

2.3 Ingress Class

Ingress Class 是 Kubernetes 1.18 引入的一個新概念，用于區分不同的 Ingress Controller。通過 Ingress Class，你可以在同一個集群中運行多個 Ingress Controller，并將不同的 Ingress 資源分配給不同的 Ingress Controller。

3. 如何部署 Ingress Controller

在開始使用 Ingress 之前，你需要先部署一個 Ingress Controller。以下以 NGINX Ingress Controller 為例，介紹如何部署 Ingress Controller。

3.1 部署 NGINX Ingress Controller

1. 安裝 Helm：Helm 是 Kubernetes 的包管理工具，可以簡化 Ingress Controller 的安裝過程。

   curl https://raw.githubusercontent.com/helm/helm/main/scripts/get-helm-3 | bash

1. 添加 Helm 倉庫：

   helm repo add ingress-nginx https://kubernetes.github.io/ingress-nginx
   helm repo update

1. 安裝 NGINX Ingress Controller：

   helm install ingress-nginx ingress-nginx/ingress-nginx

1. 驗證安裝：

   kubectl get pods -n default -l app.kubernetes.io/name=ingress-nginx

如果看到類似以下的輸出，說明 NGINX Ingress Controller 已經成功部署：

   NAME                                        READY   STATUS    RESTARTS   AGE
   ingress-nginx-controller-7c6d8f5b5c-9q8q9   1/1     Running   0          1m

3.2 配置 Ingress Class

如果你在集群中運行了多個 Ingress Controller，可以通過 Ingress Class 來區分它們。以下是一個簡單的 Ingress Class 配置示例：

apiVersion: networking.k8s.io/v1
kind: IngressClass
metadata:
  name: nginx
spec:
  controller: k8s.io/ingress-nginx

在 Ingress 資源中，你可以通過 ingressClassName 字段指定使用哪個 Ingress Class：

apiVersion: networking.k8s.io/v1
kind: Ingress
metadata:
  name: example-ingress
spec:
  ingressClassName: nginx
  rules:
  - host: example.com
    http:
      paths:
      - path: /
        pathType: Prefix
        backend:
          service:
            name: example-service
            port:
              number: 80

4. 創建 Ingress 資源

在部署了 Ingress Controller 之后，你可以通過創建 Ingress 資源來定義路由規則。以下是一個簡單的 Ingress 資源示例：

apiVersion: networking.k8s.io/v1
kind: Ingress
metadata:
  name: example-ingress
  annotations:
    nginx.ingress.kubernetes.io/rewrite-target: /
spec:
  rules:
  - host: example.com
    http:
      paths:
      - path: /
        pathType: Prefix
        backend:
          service:
            name: example-service
            port:
              number: 80

4.1 解釋 Ingress 資源

• metadata.name：Ingress 資源的名稱。
• metadata.annotations：用于配置 Ingress Controller 的特定行為。例如，nginx.ingress.kubernetes.io/rewrite-target 用于重寫請求路徑。
• spec.rules：定義路由規則。每個規則可以包含一個主機名和多個路徑。
• spec.rules.host：匹配請求的主機名。
• spec.rules.http.paths：定義路徑和后端服務的映射。
• spec.rules.http.paths.path：匹配請求的路徑。
• spec.rules.http.paths.backend.service.name：指定流量應該路由到的 Kubernetes 服務。
• spec.rules.http.paths.backend.service.port.number：指定服務的端口號。

4.2 應用 Ingress 資源

將上述 YAML 文件保存為 example-ingress.yaml，然后使用 kubectl 命令應用該資源：

kubectl apply -f example-ingress.yaml

4.3 驗證 Ingress 資源

你可以使用以下命令查看 Ingress 資源的狀態：

kubectl get ingress

如果看到類似以下的輸出，說明 Ingress 資源已經成功創建：

NAME             CLASS   HOSTS         ADDRESS   PORTS   AGE
example-ingress  nginx   example.com             80      1m

5. 配置 TLS 終止

Ingress 還支持配置 TLS 終止，以便處理 HTTPS 請求。以下是一個配置 TLS 的 Ingress 資源示例：

apiVersion: networking.k8s.io/v1
kind: Ingress
metadata:
  name: example-tls-ingress
spec:
  tls:
  - hosts:
    - example.com
    secretName: example-tls-secret
  rules:
  - host: example.com
    http:
      paths:
      - path: /
        pathType: Prefix
        backend:
          service:
            name: example-service
            port:
              number: 80

5.1 創建 TLS 證書

在配置 TLS 之前，你需要創建一個包含 TLS 證書和密鑰的 Kubernetes Secret。以下是一個創建 TLS Secret 的示例：

kubectl create secret tls example-tls-secret --cert=path/to/tls.crt --key=path/to/tls.key

5.2 應用 TLS Ingress 資源

將上述 YAML 文件保存為 example-tls-ingress.yaml，然后使用 kubectl 命令應用該資源：

kubectl apply -f example-tls-ingress.yaml

5.3 驗證 TLS 配置

你可以使用以下命令查看 Ingress 資源的狀態：

kubectl get ingress

如果看到類似以下的輸出，說明 TLS 配置已經成功應用：

NAME                 CLASS   HOSTS         ADDRESS   PORTS     AGE
example-tls-ingress  nginx   example.com             80, 443   1m

6. 高級路由配置

Ingress 還支持更高級的路由配置，如基于路徑的重寫、請求頭修改等。以下是一些常見的配置示例。

6.1 路徑重寫

路徑重寫允許你將請求路徑重寫為不同的路徑。以下是一個路徑重寫的示例：

apiVersion: networking.k8s.io/v1
kind: Ingress
metadata:
  name: example-rewrite-ingress
  annotations:
    nginx.ingress.kubernetes.io/rewrite-target: /new-path
spec:
  rules:
  - host: example.com
    http:
      paths:
      - path: /old-path
        pathType: Prefix
        backend:
          service:
            name: example-service
            port:
              number: 80

在這個示例中，所有訪問 /old-path 的請求都會被重寫為 /new-path。

6.2 請求頭修改

你可以通過 Ingress 修改請求頭，以便在后端服務中使用。以下是一個請求頭修改的示例：

apiVersion: networking.k8s.io/v1
kind: Ingress
metadata:
  name: example-header-ingress
  annotations:
    nginx.ingress.kubernetes.io/configuration-snippet: |
      proxy_set_header X-Custom-Header "custom-value";
spec:
  rules:
  - host: example.com
    http:
      paths:
      - path: /
        pathType: Prefix
        backend:
          service:
            name: example-service
            port:
              number: 80

在這個示例中，所有請求都會添加一個 X-Custom-Header 請求頭，值為 custom-value。

7. 常見問題與解決方案

7.1 Ingress 資源未生效

如果 Ingress 資源未生效，可能是以下原因：

• Ingress Controller 未正確部署：檢查 Ingress Controller 的 Pod 是否正常運行。
• Ingress Class 配置錯誤：確保 Ingress 資源中指定的 Ingress Class 與 Ingress Controller 匹配。
• DNS 配置錯誤：確保 DNS 記錄正確指向 Ingress Controller 的外部 IP 或域名。

7.2 TLS 證書無效

如果 TLS 證書無效，可能是以下原因：

• 證書格式錯誤：確保證書和密鑰的格式正確。
• 證書與域名不匹配：確保證書的 Common Name (CN) 或 Subject Alternative Name (SAN) 與 Ingress 資源中的主機名匹配。
• 證書未正確加載：檢查 Kubernetes Secret 是否正確創建，并確保 Ingress 資源中引用了正確的 Secret 名稱。

7.3 路徑重寫未生效

如果路徑重寫未生效，可能是以下原因：

• 注解配置錯誤：確保 nginx.ingress.kubernetes.io/rewrite-target 注解配置正確。
• 路徑匹配錯誤：確保 Ingress 資源中的路徑與請求路徑匹配。

8. 總結

Kubernetes Ingress 是一個強大的工具，可以幫助你管理外部訪問集群內部服務的流量。通過 Ingress，你可以實現基于主機名或路徑的路由、TLS 終止、負載均衡等功能。本文介紹了如何部署 Ingress Controller、創建 Ingress 資源、配置 TLS 終止以及一些高級路由配置。希望這些內容能幫助你快速入門 Kubernetes Ingress，并在實際項目中應用這些知識。