目录
一、传统方式:不借助ingress实现七层代理
二、nginx-ingress
三、使用ingress实现七层代理
四、部署ingrss-nginx及功能
五、样例
1.Ingress-nginx HTTP代理访问
2.Ingress HTTPS代理访问(会话卸载层)
3.Nginx进行BasicAuth(访问认证)
4、ingress-nginx进行重写(跳转)
一、传统方式:不借助ingress实现七层代理
Deployment启动一组容器,并通过svc暴露一个ip,实现负载均衡,而ngin则只需在配置文件中将暴露出的clusterIP写在配置文件的代理区域,同时将自己的service改为nodeport(或loadBalancer)。既实现负载均衡
缺点:需要每次都进入nginx里更改配置文件,不够动态
二、nginx-ingress
官网:
ngress-Nginx github 地址:https://github.com/kubernetes/ingress-nginx
Ingress-Nginx 官方网站:https://kubernetes.github.io/ingress-nginx/
网站里有不同的部署方案(loadBalancer)AWS/GCE/等,也有基于NodePort
Nginx软件层面七层代理最强,但不可热更新
三、使用ingress实现七层代理
将配置信息对象化。使管控起来更为便利,原理无太大差异
Nginx-ingress结构:为了满足ingress可动态更新的需求,进行了结构层次的修改
协程:轻量级线程
协程会和apiservcer联立,监听变化
Lua server模块:可以以异步方案更新 以lua语言编写
2种重载及更新
1.非紧急事件(死了一个pod):会被放在更新队列中,此更新队列写满后被主程拿到另一个队列再更新(可有可无的事件),二级缓冲机制
2.紧急事件(svc变动):即时生效,判断是否需要重载生效。需要重载则重载
主要还是为了,让nginx更稳定
四、部署ingrss-nginx及功能
1)ingrss-nginx国内无法下载(quay.io),需要翻墙,此处采用老师提供的,国内有小网站代理,但不稳定,建议买个国外服务器
【】mkdir /usr/local/kubernetes/ingress
【】tar -xf ingress-nginx.tar.gz /usr/local/kubernetes/ingress
【】cd ingress-nginx
【】ls
ingress.tar(镜像) mandatory.yaml(部署文件包含控制器,包含权限) service-nodeport.yaml(service网络)
2)导入镜像,master和node都需要
【】docker load -i ingress.tar
【】scp ingress.tar 各节点
各节点【】docker load -i ingress.tar
3)启动部署文件
【】kubectl apply -f mandatory.yam
【】kubectl apply -f service-nodeport.yaml
【】kubectl get pod --all-namespaces
【】kubectl get svc -n ingress-nginx
#【】kubectl exec -it -n ingress-nginx nginx-ingress-controller-7995bd9c47-4nrph -- /bin/sh
#可以进入从pod内看看发现和nginx原理是一样的
4)删除ingress的方法
【】cd /usr/local/kubernetes/ingress/ingress-nginx/
【】kubectl delete -f service-nodeport.yaml
【】kubectl delete -f service-nodeport.yaml
五、样例
1.Ingress-nginx HTTP代理访问
1)创建资源清单,并启动
【】mkdir ingress
【】vim http-deploy.yaml
apiVersion: extensions/v1beta1
kind: Deployment
metadata:name: nginx-dm
spec:replicas: 2template:metadata:labels:name: nginxspec:containers:- name: nginximage: wangyanglinux/myapp:v1imagePullPolicy: IfNotPresent #下载策略为本地有就不下载ports:- containerPort: 80 #端口80-
---
apiVersion: v1
kind: Service
metadata:name: nginx-svc
spec:ports:- port: 80targetPort: 80protocol: TCPselector:
name: nginx #与deployment的对应
---
apiVersion: extensions/v1beta1 #ingress接口
kind: Ingress #ingress对象
metadata:name: nginx-test
spec:rules:- host: www1.zn.com #主机名http: #基于http协议paths: #可以写多个等同location- path: /backend:serviceName: nginx-svc #由名字为nginx-svc的svc提供的podservicePort: 80
【】kubectl apply -f http-deploy.yaml
【】kubectl get ingress
NAME HOSTS ADDRESS PORTS AGE
nginx-test www1.hongfu.com 80 4m11s
访问基于域名所以要写host文件
C:\Windows\System32\drivers\etc/hosts
192.168.1.71 www.zn.com
拿物理路由器做DNAT映射或者搭建四层负载均衡调度或F5
2.Ingress HTTPS代理访问(会话卸载层)
后端用什么都可以,此处实际也用了nginx
1)创建证书,以及cert存储方式
【】openssl req -x509 -sha256 -nodes -days 365 -newkey rsa:2048 -keyout tls.key -out tls.crt -subj "/CN=nginxsvc/O=nginxsvc"
#新版openssl支持的一条命令注入方式,国家或组织等可通过-的方案添加
【】kubectl create secret tls tls-secret --key tls.key --cert tls.crt
#secret 存储安全类型的文件
tls类型 名字tls-secret --key指定私钥 --cert 指定证书
【】kubecctl get secret
【】kubectl describe secret tls-secret
Name: tls-secret
Namespace: default
Labels: <none>
Annotations: <none>
Type: kubernetes.io/tls
Data
====
tls.crt: 1143 bytes
tls.key: 1704 bytes
2)创建ingress的资源清单
【】vim 2.https.yaml
apiVersion: extensions/v1beta1
kind: Ingress
metadata:name: https
spec:tls: #tls类型- hosts:- ssl.zn.com #https的域名secretName: tls-secret #用的是哪个证书即哪个csecret对象rules: #https主机的入口设置- host: ssl.hongfu.com #入口主机的域名(80的域名)http: #http协议paths: #路径lacation区域- path: /backend:serviceName: nginx-svc #找此clusterip调度的真实服务器servicePort: 80 # 端口
【】kubectl apply -f 2.https.yaml
3.Nginx进行BasicAuth(访问认证)
1)生成密码文件
【】yum -y install httpd(或httpd-tools)
【】htpasswd -c auth 用户名
#生成密码文件,会车输入密码
【】kubectl create secret generic basic-auth --from-file=auth
#generic类型
【】vim basicauth.yaml
apiVersion: extensions/v1beta1
kind: Ingress
metadata:name: ingress-with-authannotations: #标记,lables主要用于K8S内部匹配,但此标记会被ingress-nginx应用程序所识别(需在应用程序里写相关配置)nginx.ingress.kubernetes.io/auth-type: basicnginx.ingress.kubernetes.io/auth-secret: basic-authnginx.ingress.kubernetes.io/auth-realm: 'Authentication Required - foo' #此3条代表要进行basicAuth
spec:rules:- host: auth.hongfu.comhttp:paths:- path: /backend:serviceName: nginx-svcservicePort: 80
【】kubectl apply -f basicauth.yaml
主机修改host文件添加对应解析,访问呢即可
4、ingress-nginx进行重写(跳转)
| 名称 | 描述 | 值 |
| nginx.ingress.kubernetes.io/rewrite-target | 必须重定向流量的目标URI | 串 |
| nginx.ingress.kubernetes.io/ssl-redirect | 指示位置部分是否仅可访问SSL(当Ingress包含证书时默认为True),即必须https | 布尔 |
| nginx.ingress.kubernetes.io/force-ssl-redirect | 即使Ingress未启用TLS,也强制重定向到HTTPS,即访问任何都会调转到https | 布尔 |
| nginx.ingress.kubernetes.io/app-root | 定义Controller必须重定向的应用程序根,如果它在'/'上下文中 | 串 |
| nginx.ingress.kubernetes.io/use-regex | 指示Ingress上定义的路径是否使用正则表达式 | 布尔 |
apiVersion: extensions/v1beta1
kind: Ingress
metadata:name: rewannotations:nginx.ingress.kubernetes.io/rewrite-target: http://ssl.fongfu.com:31795/hostname.html #也可以写https
spec:rules:- host: rew.hongfu.com #主机名,即访问foo10,跳转到ssl,hongfu。com:31795http:paths:- path: /backend:serviceName: nginx-svcservicePort: 80
做完清空以下,以免影响后续
【】kubectl delete ingress --all
【】kubectl delete svc nginx-svc
【】kubectl delete deployment --all
【】kubectl delete secret basic-auth tls-secret #注意默认的不要删除(default-token-brcmv)
总结:和svc对比优点和缺点即四七层的优缺点
![[AIGC] Kafka解析:分区、消费者组与消费者的关系](https://img-blog.csdnimg.cn/direct/9579ec75d04e4690ae63b42a8f70842a.png)
