2. 程式人生 > 實用技巧 >K8S(05)核心外掛-ingress(服務暴露)控制器-traefik

K8S(05)核心外掛-ingress(服務暴露)控制器-traefik

阿新 發佈:2020-07-20

K8S核心外掛-ingress(服務暴露)控制器-traefik

1 K8S兩種服務暴露方法

前面通過coredns在k8s叢集內部做了serviceNAME和serviceIP之間的自動對映,使得不需要記錄service的IP地址,只需要通過serviceNAME就能訪問POD
但是在K8S叢集外部,顯然是不能通過serviceNAME或serviceIP來解析服務的
要在K8S叢集外部來訪問叢集內部的資源,需要用到服務暴露功能

1.1 K8S常用的兩種服務暴露方法

  1. 使用NodePort型的Service
    nodeport型的service原理相當於埠對映,將容器內的埠對映到宿主機上的某個埠。
    K8S叢集不能使用ipvs的方式排程,必須使用iptables,且只支援rr模式

  2. 使用Ingress資源
    Ingress是K8S API標準資源之一,也是核心資源
    是一組基於域名和URL路徑的規則,把使用者的請求轉發至指定的service資源
    可以將叢集外部的請求流量,轉發至叢集內部,從而實現'服務暴露'

1.2 Ingress控制器是什麼

可以理解為一個簡化版本的nginx
Ingress控制器是能夠為Ingress資源健康某套接字,然後根據ingress規則匹配機制路由排程流量的一個元件
只能工作在七層網路下,建議暴露http, https可以使用前端nginx來做證書方面的解除安裝

我們使用的ingress控制器為Traefik

traefik:GITHUB官方地址

2 部署traefik

同樣的,現在7.200完成docker映象拉取和配置清單建立,然後再到任意master節點執行配置清單

2.1 準備docker映象

docker pull traefik:v1.7.2-alpine
docker tag  traefik:v1.7.2-alpine harbor.zq.com/public/traefik:v1.7.2
docker push harbor.zq.com/public/traefik:v1.7.2

2.2 建立資源清單

mkdir -p /data/k8s-yaml/traefik

2.2.1 rbac授權清單

cat >/data/k8s-yaml/traefik/rbac.yaml <<EOF
apiVersion: v1
kind: ServiceAccount
metadata:
  name: traefik-ingress-controller
  namespace: kube-system
---
apiVersion: rbac.authorization.k8s.io/v1beta1
kind: ClusterRole
metadata:
  name: traefik-ingress-controller
rules:
  - apiGroups:
      - ""
    resources:
      - services
      - endpoints
      - secrets
    verbs:
      - get
      - list
      - watch
  - apiGroups:
      - extensions
    resources:
      - ingresses
    verbs:
      - get
      - list
      - watch
---
kind: ClusterRoleBinding
apiVersion: rbac.authorization.k8s.io/v1beta1
metadata:
  name: traefik-ingress-controller
roleRef:
  apiGroup: rbac.authorization.k8s.io
  kind: ClusterRole
  name: traefik-ingress-controller
subjects:
- kind: ServiceAccount
  name: traefik-ingress-controller
  namespace: kube-system
EOF

2.2.2 delepoly資源清單

cat >/data/k8s-yaml/traefik/ds.yaml <<EOF
apiVersion: extensions/v1beta1
kind: DaemonSet
metadata:
  name: traefik-ingress
  namespace: kube-system
  labels:
    k8s-app: traefik-ingress
spec:
  template:
    metadata:
      labels:
        k8s-app: traefik-ingress
        name: traefik-ingress
    spec:
      serviceAccountName: traefik-ingress-controller
      terminationGracePeriodSeconds: 60
      containers:
      - image: harbor.zq.com/public/traefik:v1.7.2
        name: traefik-ingress
        ports:
        - name: controller
          containerPort: 80
          hostPort: 81
        - name: admin-web
          containerPort: 8080
        securityContext:
          capabilities:
            drop:
            - ALL
            add:
            - NET_BIND_SERVICE
        args:
        - --api
        - --kubernetes
        - --logLevel=INFO
        - --insecureskipverify=true
        - --kubernetes.endpoint=https://10.4.7.10:7443
        - --accesslog
        - --accesslog.filepath=/var/log/traefik_access.log
        - --traefiklog
        - --traefiklog.filepath=/var/log/traefik.log
        - --metrics.prometheus
EOF

2.2.3 service清單

cat >/data/k8s-yaml/traefik/svc.yaml <<EOF
kind: Service
apiVersion: v1
metadata:
  name: traefik-ingress-service
  namespace: kube-system
spec:
  selector:
    k8s-app: traefik-ingress
  ports:
    - protocol: TCP
      port: 80
      name: controller
    - protocol: TCP
      port: 8080
      name: admin-web
EOF

2.2.4 ingress清單

cat >/data/k8s-yaml/traefik/ingress.yaml <<EOF
apiVersion: extensions/v1beta1
kind: Ingress
metadata:
  name: traefik-web-ui
  namespace: kube-system
  annotations:
    kubernetes.io/ingress.class: traefik
spec:
  rules:
  - host: traefik.zq.com
    http:
      paths:
      - path: /
        backend:
          serviceName: traefik-ingress-service
          servicePort: 8080
EOF

2.3 建立資源

2.3.1 任意節點上建立資源

kubectl create -f http://k8s-yaml.zq.com/traefik/rbac.yaml
kubectl create -f http://k8s-yaml.zq.com/traefik/ds.yaml
kubectl create -f http://k8s-yaml.zq.com/traefik/svc.yaml
kubectl create -f http://k8s-yaml.zq.com/traefik/ingress.yaml

2.3.2 在前端nginx上做反向代理

7.117.12上,都做反向代理,將泛域名的解析都轉發到traefik上去

cat >/etc/nginx/conf.d/zq.com.conf <<'EOF'
upstream default_backend_traefik {
    server 10.4.7.21:81    max_fails=3 fail_timeout=10s;
    server 10.4.7.22:81    max_fails=3 fail_timeout=10s;
}
server {
    server_name *.zq.com;
  
    location / {
        proxy_pass http://default_backend_traefik;
        proxy_set_header Host       $http_host;
        proxy_set_header x-forwarded-for $proxy_add_x_forwarded_for;
    }
}
EOF

# 重啟nginx服務
nginx -t
nginx -s reload

2.3.3 在bind9中新增域名解析

需要將traefik 服務的解析記錄新增的DNS解析中,注意是繫結到VIP上

vi /var/named/zq.com.zone
........
traefik            A    10.4.7.10

注意前滾serial編號

重啟named服務

systemctl restart named

#dig驗證解析結果
[root@hdss7-11 ~]# dig -t A traefik.zq.com +short
10.4.7.10

2.3.4 在叢集外訪問驗證

在叢集外,訪問http://traefik.zq.com,如果能正常顯示web頁面.說明我們已經暴露服務成功

相關推薦

K8S(05)核心外掛-ingress(服務暴露)控制器-traefik

K8S核心外掛-ingress(服務暴露)控制器-traefik 1 K8S兩種服務暴露方法 前面通過coredns在k8s叢集內部做了serviceNAME和serviceIP之間的自動對映,使得不需要記錄service的IP地址,只需要通過serviceNAME就能訪問POD

K8S(04)核心外掛-coredns服務

K8S核心外掛-coredns服務 目錄K8S核心外掛-coredns服務1 coredns用途1.1 為什麼需要服務發現2 coredns的部署2.1 獲取coredns的docker映象2.2 建立coredns的資源配置清單2.2.1 rbac叢集許可權清單2.2.2 configmap配置

k8s服務暴露

k8s服務暴露 k8s的dns實現了服務在叢集“內”被自動發現,那如何是的服務在k8s叢集”外“被使用和訪問呢?

K8s教程】Nginx Ingress控制器基本用法(基於主機的路由)

參考:https://kubernetes.github.io/ingress-nginx/user-guide/basic-usage/ apiVersion: networking.k8s.io/v1

K8s教程】Nginx Ingress控制器Ingress Path匹配

參考:https://kubernetes.github.io/ingress-nginx/user-guide/ingress-path-matching/ 正則表示式支援

K8s教程】Nginx Ingress 控制器 TLS/HTTPS 說明

參考:https://kubernetes.github.io/ingress-nginx/user-guide/tls/ TLS Secrets 每當我們引用 TLS Secrets時,我們指的是 PEM 編碼的 X.509、RSA (2048) Secrets。

K8s教程】Nginx Ingress 控制器通過 OpenTracing 專案進行分散式跟蹤說明

參考: https://kubernetes.github.io/ingress-nginx/user-guide/third-party-addons/opentracing/ 啟用 NGINX 服務的請求,通過 OpenTracing 專案進行分散式跟蹤。

k8s叢集通過nginx-ingress做tcp\udp 4層網路轉發

k8s叢集通過nginx-ingress做tcp\\udp 4層網路轉發 檢查nginx-ingress是否開啟tcp\\udp轉發

K8s-1-交付dubbo微服務

目錄 一、Dubbo微服務概述    1 1.1: dubbo介紹    2 1.2: 部署內容    3 二、實驗環境架構    4

第五課:部署Ingress服務

14 部署Ingress (master01) 服務反向代理 部署Traefik 2.0版本 14.1 建立traefik-crd.yaml檔案

將SAP C4C Custom BO使用ABSL編寫的邏輯通過OData服務暴露出去

My series of Cloud Application Studio Blogs How to detect EditMode in an Embedded Component Step by step to enable your custom BO with attachment upload functionality

容器服務 TKE 上服務暴露的幾種方式

預備知識 1. K8S 上 Service 型別 ClusterIP 通過叢集的內部 IP 暴露服務,選擇該值,服務只能夠在叢集內部可以訪問,這也是預設的 ServiceType。

Prometheus監控k8s中帶有metrics的服務

一、自帶Metrics介面型別服務的監控   有些應用本身具有Metrics介面,我們可以使用Prometheus Operator來建立相應的servicemonitor,匹配該服務的service,就能自動將該服務納入監控中。而有些服務本身沒有建立ser

Prometheus監控k8s中使用exporter的服務

一、監控使用exporter暴露metrics資訊的服務   對於一些應用如:kafka、redis或者mysql等,其需要使用exporter來暴露本身的metrics資訊。這些服務的監控,可以使用prometheus operator中的servicemonitor來匹配該服

ingress對外暴露應用

一.ingress是什麼 背景: NodePort存在的不足,測試環境用用還行,當有成百上千上萬個服務在叢集總執行時,埠管理將是災難:

Dubbo服務暴露原始碼解析②

目錄0.配置解析1.開始export2.組裝URL3.服務暴露疑問解析 ​ 先放一張官網的服務暴露時序圖,對我們梳理原始碼有很大的幫助。注:不論是暴露還是匯出或者是其他翻譯,都是描述export的,只是翻譯不同。

中通快遞關鍵業務和複雜架構挑戰下的 Kubernetes 叢集服務暴露實踐

本文是上海站 Meetup 講師王文虎根據其分享內容整理的文章。 KubeSphere 社群的小夥伴們,大家好。我是中通快遞容器雲平臺的研發工程師王文虎,主要負責中通快遞容器雲平臺開發、應用容器化推廣、容器平臺運維等工

Dubbo解析之服務暴露流程(上)

前面已經講到Dubbo的初始化流程,Dubbo的初始化是隨著Spring容器Bean的例項化而進行的,今天重點看這樣一個節點,它在配置檔案中是這樣的:

二進位制部署1.23.4版本k8s叢集-2-安裝DNS服務

2、安裝DNS服務 為什麼要安裝bind9? K8S中,使用Ingress進行7層流量排程,需要使用域名,進行7層排程。

[C#] IpcChannel雙向通訊,參考MAF的AddInProcess開發外掛服務斷開重新開啟及服務生存週期管理

先前專案太忙了,沒時間寫部落格,發現了一個有趣的東西,匆匆忙忙就寫完了,先描述一下需求背景:客戶端有幾張百萬級別的表需要聯合統計(如果是最大許可權的賬號),改變查詢條件又要重新統計,因此常常sql執行還沒