k8s的对外服务ingress

1、service的作用体现在两个方面

（1）集群内部：不断跟踪pod的变化，更新deployment中的pod对象，基于pod的ip地址不断变化的一种服务发现机制

（2）集群外部：类似于负载均衡器，把流量ip+端口，不涉及转发url（http/https），把请求转发到pod当中

2、service

nodeport	容器端口——service端口——nodeport 设定了nodeport，每个节点都会有一个端口被打开（30000-32767） ip+端口：节点ip+30000-32767，实现负载均衡
loadbalancer	云平台上的一种service服务，云平台提供负载均衡ip地址
extrenal	域名映射

3、ingress：基于域名进行映射，把url（http/https）请求转发到service，再由service把请求转发到每个pod

①ingress：只要一个或者少量的公网ip/LB，可以把多个http请求暴露到外网，七层反向代理

②ingress：是service的service，是一组基于域名和url路径，把一个或者多个请求转发到service的规则

④先是七层代理（ingress）——再是四层代理（server）——pod（nginx）

4、ingress的组成

（1）ingress是一个api对象，通过yaml文件来进行配置 （2）ingress的作用：定义请求如何转发到service的规则，配置模版 （3）ingress通过http和https暴露集群内部的service，给service提供一个外部的url、负载均衡、ssl/tls（https）的能力，实现基于域名的负载均衡

ingress-controller ①具体的实现反向代理和负载均衡的程序，对ingress定义的规则进行解析，根据ingress的配置规则进行请求的转发 ②ingress-controller不是k8s自带的组件功能，ingress-controller是一个统称 ③ingress-controller：nginx ingress controller、traefik（开源） ④ingress-controller的运行方式：pod形式运行在节点上

5、ingress资源的定义项

（1）定义外部流量的路由规则

（2）定义服务的暴露方式：主机名、访问的路径（url）和其他的选项

（3）负载均衡（ingress-controller实现）

6、下载nginx ingress controller

wget https://gitee.com/mirrors/ingress-nginx/raw/nginx-0.30.0/deploy/static/mandatory.yaml

7、ingress暴露服务的方式

（1）deployment+LoadBalance模式，ingress部署在公有云

①ingress的配置文件里面会有一个type，type键值对形式type:LoadBalance

②公有云平台会为LoadBalance的service创建一个负载均衡器，绑定一个公网地址，通过域名指向这个公网地址，就可以实现集群对外暴露

（2）daemonSet+hostnetwork+nodeselector（七层代理upstream）

①daemonset：在每个节点都会创建一个pod

②hostnetwork：pod共享节点主机的网络命名空间，pod中的容器直接使用节点主机的ip+端口，pod中的容器可以直接访问主机上的网络资源

③nodeselector：根据标签选择部署的节点，nginx-ingress-controller部署的节点

缺点：直接利用节点主机的网络和端口，一个node只能部署一个ingress-controller的pod，适合大并发的生产环境 优点：性能最好

（3）deployment+NodePort（七层+四层）

8、部署daemonSet+hostnetwork+nodeselector

（1）修改配置文件mandatory.yaml

（2）每个节点上传控制器的镜像

tar -xf ingree.contro-0.30.0.tar.gz

docker load -i ingree.contro-0.30.0.tar

（3）节点设置标签

kubectl label nodes node2 ingress=true

netstat -antp | grep nginx

8181端口：nginx-controller默认配置的一个bachend，反向代理的端口 所有的请求当中，只要是不符合ingress配置的请求会转发到8181，相当于一个error的页面

（4）创建PVC、pod、service、ingress规则

（5）配置映射

（6）测试访问

8、deployment+NodePort（七层+四层）

（1）修改配置文件vim mandatory.yaml

（2）下载nodeport模版文件：

wget https://gitee.com/mirrors/ingress-nginx/raw/nginx-0.30.0/deploy/static/provider/baremetal/service-nodeport.yaml

①nodeport在每一节点上都暴露32110和32336的端口

（3）创建PVC、pod、service、ingress规则

（4）配置映射

（5）访问测试

（6）deployment+NodePort总结

①nodeport由ingress的service创建的，不是deployment的service创建的

②nodeport适用于小集群

③ingress根据标签匹配ingress-nodeport，ingress-nodeport再根据标签匹配service，service再匹配deployment

④每个节点都有一个controller，controller接收到解析后的请求ip和端口

（7）ingress暴露服务的方式：核心的控制组件nginx-ingress-controller

①host——ingress的配置找到pod——controller转发请求到pod

②nodeport——controller——ingress——service转发请求到pod

③nodeport暴露端口的方式是最简单的方法，但是nodeport多了一层nat地址转换

并发量大的对性能会有一定的影响，内部都会用nodeport

9、通过虚拟主机的方式实现http代理

（1）通过ingress方式实现：一个ingress可以访问不同的主机

（2）创建pod和service

（3）创建ingress

（4）配置映射

10、总结：

（1）ingress的核心组件：nginx-ingress-controller、traefik，都是开源的ingress-controller

（2）ingress的三种工作方式（重点）

deployment+loadbalancer： 需要云平台提供一个负载均衡的公网地址，公有云上配置

daemonset+hostnetwork+nodeselector：指定节点部署controller ①缺点：和宿主机共享网络，只能是一个controller的pod，多个端口会造成冲突 ②hostnetwork会和宿主机共享网络

deployment+nodeport：最常见、最常用、最简单的方式 ①集中一个nodeport端口，所有的ingress的请求都会转发到nodeport，再由service把流量转发到pod

（3）一个ingress的nodeport可以实现访问多个虚拟主机（和nginx一样）

11、基于ingress实现https代理访问（证书、密钥）

（1）生成密钥、证书

openssl req -x509 -sha256 -nodes -days 365 -newkey rsa:2048 -keyout tls.key -out tls.crt -subj "/CN=nginxsvc/0=nginxsvc"

req	生成证书文件的请求
-x509	生成x.509自签名的证书
-sha256	表示使用sha-256的散列算法
-nodes	表示生成的密钥不加密
-day 365	证书有效期是265天
-newkey rsa:2048	RSA的密钥对，长度2048位
-keyout tls.key -out tls.crt	密钥文件key、证书文件crt
-subj"/CN=nginxsvc/O=nginxsvc"	主题CN（common name）O：表示organization组织

（2）创建secret，保存证书和密钥

kubectl create secret tls tls-secret --key tls.key --cert tls.crt

（3）创建pod、service、ingress

（4）设置映射

（5）测试访问

①虚拟机测试访问

②负载均衡

内部实现ingress访问https：DNS域名解析

外部实现ingress访问https：购买域名

12、ngixn的登录账户认证

（1）htpasswd生成一个认证文件，认证文件只能是auth

yum -y install httpd

htpasswd -c auth hyde

（2）创建secret保存auth认证文件

ubectl create secret generic basic-auth --from-file=auth

（3）创建ingress

（4）配置映射

（5）测试访问

13、nginx的重写rewrite（nginx的重定向）

（1）创建ingress

（2）设置映射

（3）测试访问

nginx-ingress-controller全部完成

14、traefik ingress controller（和nginx ingress controller的原理一样）

（1）traefik是一个为了让部署微服务更加快捷而诞生的一个http反向代理、负载均衡

①traefik设计时就能够实时的和k8s的api进行交互，可以感知后端service以及pod的变化，可以自动更新配置和重载

（2）traefik的部署方式

①daemonset

②deployment

（3）daemonset部署的特点

①每个节点都会部署一个traefik

②节点感知，可以自动发现、更新容器的配置，不需要手动重载

③缺点：资源占用，在大型集群中，daemonset可能会运行多个traefik的实例，尤其是在不需要大量容器运行的情况下（资源利用率不是很好，没有办法扩缩容）

④应用于部署对外集群（对外的业务会经常变更，使用daemonset可以更好的、自动的发现服务配置变更）

⑤设定标签：traffic-type:internal（对内服务）

（4）deployment部署的特点

①优点：集中办公控制，可以使用少量的实例来运行处理整个集群的流量，更容易升级和维护

②缺点：deployment的负载均衡不会均分到每个节点；无法感知容器内部的配置变化，需要手动更新

③应用于部署对内集群（内部的业务相对稳定，更新和变化也比较少，更适合deployment）

④设定标签：traffic-type:iexternal（对外服务）

（5）traefix-ingress和nginx-ingress的区别

①工作原理都一样，都是七层代理，都可以动态的更新配置，都可以自动发现服务

②traefix自动更新的重载速度更快，更方便

③traefix适用于小集群，traefix处理并发的能力只有nginx-ingress的60%

（6）traefik的实例之deployment+nodeport模式

①生成模版文件

wget  https://gitee.com/mirrors/traefik/raw/v1.7/examples/k8s/traefik-deployment.yaml

wget  https://gitee.com/mirrors/traefik/raw/v1.7/examples/k8s/traefik-rbac.yaml

wget  https://gitee.com/mirrors/traefik/raw/v1.7/examples/k8s/traefik-ds.yaml

wget  https://gitee.com/mirrors/traefik/raw/v1.7/examples/k8s/ui.yaml

②运行配置文件

③访问：20.0.0.71:31800

* 删除ingress

④创建pod、service、ingress

⑤测试访问

⑥设置映射

⑦配置自动发现

* 缩容

* 扩容

15、总结

（1）ingress的组件（开源）：nginx-ingresscontroller、traefik-ingress-controller

（2） nginx-ingress的部署方式

①deployment+loadbalancer：公有云提供负载均衡的公网地址

②daemonset+hostnetwork+nodeselector：和节点服务器共享网络，一个节点只能部署一个controller pod，使用宿主机的端口，性能最好，适合大并发

③deployment+nodeport：最常见、最常用、最简单的方法，但是性能不太好，多了一层nat的地址转发，不太适合大并发

（3）traefik-ingress的部署方式

①对外：daemonset，可以自动更新容器的配置（host，使用节点的网络）

②对内：deployment，无法自动更新容器的配置（nodeport）

（4）基于ingress实现https代理访问（证书、密钥）

①先生成密钥、证书

②创建secret，保存证书和密钥

③创建ingress的时候把secret导入进去

（5）nginx登录加密认证

①htpasswd生成一个认证文件，认证文件只能是auth

②创建ingress的两个代码

第一条：声明认证类型

第二条：导入认证的密钥文件（以secret的方式存储在集群中）

（6）nginx的rewrite重定向

①在指定的ingress文件当中声明的url都会跳转到指定的页面