Ingress概念介绍

service只能做四层代理 无法做七层代理(如https服务)
      lvs只能根据第四层的数据进行转发 无法对七层协议数据进行调度

Ingress Controller
            拥有七层代理的Pod程序

Ingress资源
         1.首先通过无头service动态关联符合标签选择器选择的后端Pod
         2.Ingress动态的把service关联的pod地址注入到前端配置upstream中    同时触发主程序重新加载最新的配置文件

pod变化 > service变化 > Ingress变化 > Ingress Control注入配置

Ingress反代到后端的web服务器

1.部署后端pod

apiVersion: v1

kind: Service

metadata:

  name: myapp

  namespace: default

spec:

  selector:

    app: myapp

    release: canary

  ports:

  - name: http

    targetPort:

    port:

---

apiVersion: apps/v1

kind: Deployment

metadata:

  name: myapp-deploy

  namespace:  default

apiVersion: v1

kind: Service

metadata:

  name: myapp

  namespace: default

spec:

  selector:

    app: myapp

    release: canary

  ports:

  - name: http

    targetPort:

    port:

---

apiVersion: apps/v1

kind: Deployment

metadata:

  name: myapp-deploy

  namespace:  default

spec:

  replicas:

  selector:

    matchLabels:

      app: myapp

      release: canary

  template:

    metadata:

      labels:

        app: myapp

        release: canary

    spec:

      containers:

      -  name: myapp

         image: ikubernetes/myapp:v2

         ports:

         - name: http

           containerPort:

ngx-deploy.yaml

2.创建ingress资源

apiVersion: extensions/v1beta1

kind: Ingress

metadata:

  name: ingress-myapp

  namespace: default

  annotations:

    kubernetes.io/ingress.class: "nginx"

spec:

  rules:

  - host: myapp.yxh.com

    http:

      paths:

      - path:

        backend:

          serviceName: myapp

          servicePort:

ingress-myapp.yaml

3.创建ingress controller的pod

[root@k8s-master ingress]# kubectl get pod -n ingress-nginx

NAME                                        READY     STATUS             RESTARTS   AGE         3d

nginx-ingress-controller-7d4c999994-pn6wt   /       Running                      3d

service_nodeport是用来给ingress-controller接入集群外部流量的

ingress-controller就是一个运行nginx的pod

service_nodeport就是nginx pod的service

ingress-controller 的pod是由在git上下载的nginx-ingress中的yaml文件创建的

4.创建service_nodeport配置

apiVersion: v1

kind: Service

metadata:

  name: ingress-nginx

  namespace: ingress-nginx

spec:

  type: NodePort

  ports:

  - name: http

    port:

    targetPort:

    protocol: TCP

    nodePort:

  - name: https

    port:

    targetPort:

    nodePort:

    protocol: TCP

  selector:

    app: ingress-nginx

service_nodeport.yaml

5.修改hosts文件

# localhost name resolution is handled within DNS itself.

#    127.0.0.1       localhost

#    ::             localhost

192.168.11.141      myapp.yxh.com

192.168.11.141      tomcat.yxh.com

6.浏览器访问

Ingress实现tomcat的https反代

1.部署tomcat pod

apiVersion: v1

kind: Service

metadata:

  name: tomcat

  namespace: default

spec:

  selector:

    app: tomcat

    release: canary

  ports:

  - name: http

    targetPort:

    port:

  - name: ajp

    targetPort:

    port:

---

apiVersion: apps/v1

kind: Deployment

metadata:

  name: tomcat-deploy

  namespace:  default

spec:

  replicas:

  selector:

    matchLabels:

      app: tomcat

      release: canary

  template:

    metadata:

      labels:

        app: tomcat

        release: canary

    spec:

      containers:

      -  name:  tomcat

         image: tomcat:8.5.-jre8-alpine

         ports:

         - name: http

           containerPort:

         - name: ajp

           containerPort:

tomcat-deploy.yaml

2.创建ssl证书

生成自签名证书

 [root@k8s-master ingress]# openssl genrsa -out tls.key

Generating RSA private key,  bit long modulus

.................................................................+++

...........................................................................................................+++

e is  (0x10001)

[root@k8s-master ingress]# openssl req -new -x509 -key tls.key -out tls.out -subj /C=CN/ST=Beijing/L=Beijing/O=DevOps/CN=tomcat.yxh.com

CN的设置必须和访问的域名设置为一样的

[root@k8s-master ingress]# ls

ingress-myapp.yaml          ngx-deploy.yaml        tls.key  tomcat

ingress-nginx-nginx-0.13.  service_nodeport.yaml  tls.out

把生成的证书转换成secret资源对象

[root@k8s-master ingress]# kubectl create tls tomcat-ingress-cert --cert=tls.crt  --key=tls.key

[root@k8s-master ingress]# kubectl get secret

NAME                    TYPE                                  DATA      AGE

default-token-n87jl     kubernetes.io/service-account-token            244d

tomcat-ingress-secret   kubernetes.io/tls                              1h

创建证书

3.创建tomact ssl  ingress资源

apiVersion: extensions/v1beta1

kind: Ingress

metadata:

  name: ingress-tomcat-tls

  namespace: default

  annotations:

    kubernetes.io/ingress.class: "nginx"

spec:

  tls:

  - hosts:

    - tomcat.yxh.com

    secretName: tomcat-ingress-secret

  rules:

  - host: tomcat.yxh.com

    http:

      paths:

      - path:

        backend:

          serviceName: tomcat

          servicePort:

ingress-tomcat-tls.yaml

4.创建tomcat http ingress资源

apiVersion: extensions/v1beta1

kind: Ingress

metadata:

  name: ingress-tomcat

  namespace: default

  annotations:

    kubernetes.io/ingress.class: "nginx"

spec:

  rules:

  - host: tomcat.yxh.com

    http:

      paths:

      - path:

        backend:

          serviceName: tomcat

          servicePort:

ingress-tomcat.yaml

5.实现原理

执行kubectl apply|delete -f  ingress-tomcat-tls.yaml的时候 都会把设置自动更新到ingress-controller的nginx的主配置文件中 并且能够立即生效

ingress-controller相当于一个ssl会话卸载器  客户端发送请求给controller必须时https协议 但是由controller把请求转发到集群内部的tomcat pod

的时候 使用的却是http协议

ingress_nginx_controller的配置          # find /etc -name nginx.conf       /etc/nginx/nginx.conf

kubectl exec -n ingress-nginx -ti nginx-ingress-controller-7d4c999994-pn6wt -- /bin/sh

kubectl logs -n ingress-nginx nginx-ingress-controller-7d4c999994-pn6wt |grep error

    ## start server tomcat.yxh.com

    server {

        server_name tomcat.yxh.com ;

        listen ;

        listen [::]:;

        set $proxy_upstream_name "-";

        listen   ssl http2;

        listen [::]:  ssl http2;

        # PEM sha: 8d7a91d9f8445a2e44ca5cef9dcea2c9bf8e7141

        ssl_certificate                         /ingress-controller/ssl/default-tomcat-ingress-secret.pem;

        ssl_certificate_key                     /ingress-controller/ssl/default-tomcat-ingress-secret.pem;

        ssl_trusted_certificate                 /ingress-controller/ssl/default-tomcat-ingress-secret-full-chain.pem;

        ssl_stapling

nginx.conf

6.最终效果

Ingress使用示例的更多相关文章

  1. Kubernetes K8S之Ingress详解与示例

    K8S之Ingress概述与说明,并详解Ingress常用示例 主机配置规划 服务器名称(hostname) 系统版本 配置 内网IP 外网IP(模拟) k8s-master CentOS7.7 2C ...

  2. (八)Kubernetes Ingress资源

    前言 Kubernetes提供了两种内建的云端负载均衡机制(cloud load balancing)用于发布公共应用,一种是工作于传输层的Service资源,它实现的是“TCP负载均衡器”,另一种是 ...

  3. Kubernetes Ingress简单入门

    作者:Nick Ramirez 原文链接:https://thenewstack.io/kubernetes-ingress-for-beginners/ 本文转载自Rancher Labs 不知道你 ...

  4. Kubernetes-7.Ingress

    docker version:20.10.2 kubernetes version:1.20.1 本文概述Kubernetes Ingress基本原理和官方维护的Nginx-Ingress的基本安装使 ...

  5. Kubernetes之Ingress

    在Service篇里面介绍了像集群外部的客户端公开服务的两种方法,还有另一种方法---创建Ingress资源. 定义Ingress (名词)-进入或进入的行为;进入的权利;进入的手段或地点;入口. 接 ...

  6. 几张图解释明白 Kubernetes Ingress

    来源:K8s技术圈 作者:阳明 Kubernetes Ingress 只是 Kubernetes 中的一个普通资源对象,需要一个对应的 Ingress 控制器来解析 Ingress 的规则,暴露服务到 ...

  7. kubernetes入门(04)kubernetes的核心概念(1)

    一.ReplicationController/ReplicaSet 在Kubernetes集群中,ReplicationController能够确保在任意时刻,指定数量的Pod副本正在运行.如果Po ...

  8. Traefik HTTPS 配置

    参考 add-a-tls-certificate-to-the-ingress Entry Points Definition 使用traefik作为ingress controller透出集群中的h ...

  9. 示例:Ingress通过互联网访问应用

    Ingress Ingress 是 Kubernetes 的一种 API 对象,将集群内部的 Service 通过 HTTP/HTTPS 方式暴露到集群外部,并通过规则定义 HTTP/HTTPS 的路 ...

随机推荐

  1. #51nod上topcoder练习记

    好久没刷51nod了,又听说topcoder有很多好题.那么就来51nod上刷吧.(那个客户端搞得有点烦(看不懂)) [1366 贫富差距] 当图不连通的时候,答案为无穷大. 当图连通时,两个点之间的 ...

  2. 【java】ORA-12505, TNS:listener does not currently know of SID given in connect descriptor

    如果是负载均衡,则 jdbc.url=jdbc:oracle:thin:@(description=(address_list= (address=(host=XX.XXX.X.XX) (protoc ...

  3. ORM属性/字段

    一. ORM字段   (models.py文件中创建类,继承models.Model) class Book(models.Model):  # 书籍列表 bid=models.AutoField(p ...

  4. No module named 'requests_toolbelt'

    pip install requests-toolbelt

  5. C# POST方式提交数据,接收方式,使用Request.Form[""]或Request[""]来获取

    /// <summary> /// 调用接口 /// </summary> /// <param name="url"></param&g ...

  6. 【IntelliJ IDEA学习之三】IntelliJ IDEA常用快捷键

    版本:IntelliJIDEA2018.1.4 按场景列举一.打开设置CTRL + ALT + S:打开设置(File-->Settings...)Ctrl + Shift + Alt + S: ...

  7. 【c# 学习笔记】c#委托是什么

    法庭上律师为当事人辩护,他真正执行的是当事人的陈词,律师就相当于一个委托对象,而当事人则委托律师对象为自己辩护. c#中的委托概念也就好比律师对象,它是一个类(“委托是类类型”这个事实将在“委托本质” ...

  8. 分布式系统中我们会对一些数据量大的业务进行分拆,分布式系统中唯一主键ID的生成问题

    分布式全局唯一ID生成策略​ https://www.cnblogs.com/vandusty/p/11462585.html 一.背景 分布式系统中我们会对一些数据量大的业务进行分拆,如:用户表,订 ...

  9. LeetCode 717. 1比特与2比特字符(1-bit and 2-bit Characters)

    717. 1比特与2比特字符 LeetCode717. 1-bit and 2-bit Characters 题目描述 有两种特殊字符.第一种字符可以用一比特0来表示.第二种字符可以用两比特(10 或 ...

  10. 从有序矩阵M x N中找出是否包含某一个数,要求时间复杂度为O(M+N)

    有序指的是每行从左到右依次变大,每列从上到下依次变大 思路: 从右上顶点开始依次判断当前值与给定值的大小,往左下顶点移动,结束条件是下标超过范围 public class FindNumInOrder ...