2. 程式人生 > >Kubernetes的負載均衡問題(Nginx Ingress)

Kubernetes的負載均衡問題(Nginx Ingress)

阿新 發佈:2017-06-09
targe yaml gen vim bsp 曾經 pla val icc

Kubernetes關於服務的暴露主要是通過NodePort方式,通過綁定minion主機的某個端口,然後進行pod的請求轉發和負載均衡,但這種方式下缺陷是

  • Service可能有很多個,如果每個都綁定一個node主機端口的話,主機需要開放外圍一堆的端口進行服務調用,管理混亂
  • 無法應用很多公司要求的防火墻規則

理想的方式是通過一個外部的負載均衡器,綁定固定的端口,比如80,然後根據域名或者服務名向後面的Service ip轉發,Nginx很好的解決了這個需求,但問題是如果有新的服務加入,如何去修改Nginx的配置,並且加載這些配置? Kubernetes給出的方案就是Ingress,Ingress包含了兩大主件Ingress Controller和Ingress.

  • Ingress解決的是新的服務加入後,域名和服務的對應問題,基本上是一個ingress的對象,通過yaml進行創建和更新進行加載。
  • Ingress Controller是將Ingress這種變化生成一段Nginx的配置,然後將這個配置通過Kubernetes API寫到Nginx的Pod中,然後reload.

具體實現如下:

1.生成一個默認的後端,如果遇到解析不到的URL就轉發到默認後端頁面

[[email protected] ingress]# cat default-backend.yaml 
apiVersion: extensions/v1beta1
kind: Deployment
metadata:
  name: 
 
default-http-backend
  labels:
    k8s-app: default-http-backend
  namespace: kube-system
spec:
  replicas: 1
  template:
    metadata:
      labels:
        k8s-app: default-http-backend
    spec:
      terminationGracePeriodSeconds: 60
      containers:
      - name: default-http-backend
        # Any image 
 
is permissable as long as:
        # 1. It serves a 404 page at /
        # 2. It serves 200 on a /healthz endpoint
        image: gcr.io/google_containers/defaultbackend:1.0
        livenessProbe:
          httpGet:
            path: /healthz
            port: 8080
            scheme: HTTP
          initialDelaySeconds: 30
          timeoutSeconds: 5
        ports:
        - containerPort: 8080
        resources:
          limits:
            cpu: 10m
            memory: 20Mi
          requests:
            cpu: 10m
            memory: 20Mi
---
apiVersion: v1
kind: Service
metadata:
  name: default-http-backend
  namespace: kube-system
  labels:
    k8s-app: default-http-backend
spec:
  ports:
  - port: 80
    targetPort: 8080
  selector:
    k8s-app: default-http-backend

2.部署Ingress Controller

具體文件可以參考官方的

https://github.com/kubernetes/ingress/blob/master/examples/daemonset/nginx/nginx-ingress-daemonset.yaml

這裏貼一個我的

[[email protected] ingress]# cat nginx-ingress-controller.yaml 
apiVersion: v1
kind: ReplicationController
metadata:
  name: nginx-ingress-lb
  labels:
    name: nginx-ingress-lb
  namespace: kube-system
spec:
  replicas: 1
  template:
    metadata:
      labels:
        name: nginx-ingress-lb
      annotations:
        prometheus.io/port: 10254
        prometheus.io/scrape: true
    spec:
      terminationGracePeriodSeconds: 60
      hostNetwork: true
      containers:
      - image: gcr.io/google_containers/nginx-ingress-controller:0.9.0-beta.7
        name: nginx-ingress-lb
        readinessProbe:
          httpGet:
            path: /healthz
            port: 10254
            scheme: HTTP
        livenessProbe:
          httpGet:
            path: /healthz
            port: 10254
            scheme: HTTP
          initialDelaySeconds: 10
          timeoutSeconds: 1
        ports:
        - containerPort: 80
          hostPort: 80
        - containerPort: 443
          hostPort: 443
        env:
          - name: POD_NAME
            valueFrom:
              fieldRef:
                fieldPath: metadata.name
          - name: POD_NAMESPACE
            valueFrom:
              fieldRef:
                fieldPath: metadata.namespace
          - name: KUBERNETES_MASTER
            value: http://192.168.0.105:8080
        args:
        - /nginx-ingress-controller
        - --default-backend-service=$(POD_NAMESPACE)/default-http-backend
        - --apiserver-host=http://192.168.0.105:8080

曾經出現的問題是,啟動後pod總是在CrashLoopBack的狀態,通過logs一看發現nginx-ingress-controller的啟動總是去連接apiserver內部集群ip的443端口,導致因為安全問題不讓啟動,後來在args裏面加入

- --apiserver-host=http://192.168.0.105:8080

後成功啟動.

技術分享

3.配置ingress

配置如下

[[email protected] ingress]# cat dashboard-weblogic.yaml 
apiVersion: extensions/v1beta1
kind: Ingress
metadata:
  name: dashboard-weblogic-ingress
  namespace: kube-system
spec:
  rules:
  - host: helloworld.eric
    http:
      paths:
      - path: /console
        backend:
          serviceName: helloworldsvc 
          servicePort: 7001
      - path: /
        backend:
          serviceName: kubernetes-dashboard
          servicePort: 80

理解如下:

  • host指虛擬出來的域名,具體地址(我理解應該是Ingress-controller那臺Pod所在的主機的地址)應該加入/etc/hosts中,這樣所有去helloworld.eric的請求都會發到nginx
  • path:/console匹配後面的應用路徑
  • servicePort主要是定義服務的時候的端口,不是NodePort.
  • path:/ 匹配後面dashboard應用的路徑,以前通過訪問master節點8080/ui進入dashboard的,但dashboard其實是部署在minion節點中,實際是通過某個路由語句轉發過去而已,dashboard真實路徑如下:

技術分享

而yaml文件是

[[email protected] ~]# cat kubernetes-dashboard.yaml 
apiVersion: extensions/v1beta1
kind: Deployment
metadata:
# Keep the name in sync with image version and
# gce/coreos/kube-manifests/addons/dashboard counterparts
  name: kubernetes-dashboard-latest
  namespace: kube-system
spec:
  replicas: 1
  template:
    metadata:
      labels:
        k8s-app: kubernetes-dashboard
        version: latest
        kubernetes.io/cluster-service: "true"
    spec:
      containers:
      - name: kubernetes-dashboard
        image: gcr.io/google_containers/kubernetes-dashboard-amd64:v1.5.1
        resources:
          # keep request = limit to keep this container in guaranteed class
          limits:
            cpu: 100m
            memory: 50Mi
          requests:
            cpu: 100m
            memory: 50Mi
        ports:
        - containerPort: 9090
        args:
         -  --apiserver-host=http://192.168.0.105:8080
        livenessProbe:
          httpGet:
            path: /
            port: 9090
          initialDelaySeconds: 30
          timeoutSeconds: 30
---
kind: Service
metadata:
  name: kubernetes-dashboard
  namespace: kube-system
  labels:
    k8s-app: kubernetes-dashboard
    kubernetes.io/cluster-service: "true"
spec:
  selector:
    k8s-app: kubernetes-dashboard
  ports:
  - port: 80
    targetPort: 9090

所以訪問192.168.51.5:9090端口就會出現dashboard

技術分享

4.測試

Ok,一切就緒,裝逼開始

訪問http://helloworld.eric/console

技術分享

訪問http://helloword.eric/ 出現dashboard

5.配置TLS SSL訪問

TLS的配置相當於WebLogic中證書的配置,配置過程如下

  • 證書生成
# 生成 CA 自簽證書
mkdir cert && cd cert
openssl genrsa -out ca-key.pem 2048
openssl req -x509 -new -nodes -key ca-key.pem -days 10000 -out ca.pem -subj "/CN=kube-ca"

# 編輯 openssl 配置
cp /etc/pki/tls/openssl.cnf .
vim openssl.cnf

# 主要修改如下
[req]
req_extensions = v3_req # 這行默認註釋關著的 把註釋刪掉
# 下面配置是新增的
[ v3_req ]
basicConstraints = CA:FALSE
keyUsage = nonRepudiation, digitalSignature, keyEncipherment
subjectAltName = @alt_names
[alt_names]
DNS.1 = helloworld.eric
#DNS.2 = kibana.mritd.me

# 生成證書
openssl genrsa -out ingress-key.pem 2048
openssl req -new -key ingress-key.pem -out ingress.csr -subj "/CN=helloworld.eric" -config openssl.cnf
openssl x509 -req -in ingress.csr -CA ca.pem -CAkey ca-key.pem -CAcreateserial -out ingress.pem -days 365 -extensions v3_req -extfile openssl.cnf

需要註意的是DNS需要修改成自己的host名,然後在配置csr證書請求的時候需要將域名或者訪問名帶入subj,比如

-subj "/CN=helloworld.eric"
  • 創建secret
kubectl create secret tls ingress-secret --namespace=kube-system --key cert/ingress-key.pem --cert cert/ingress.pem
  • 修改Ingress文件啟用證書
[[email protected] ingress]# cat tls-weblogic.yaml 
apiVersion: extensions/v1beta1
kind: Ingress
metadata:
  name: dashboard-weblogic-ingress
  namespace: kube-system
spec:
  tls:
  - hosts:
    - helloworld.eric
    secretName: ingress-secret
  rules:
  - host: helloworld.eric
    http:
      paths:
      - path: /console
        backend:
          serviceName: helloworldsvc 
          servicePort: 7001
      - path: /
        backend:
          serviceName: kubernetes-dashboard
          servicePort: 80
  • 測試

然後訪問helloworld.eric/console,會自動轉到https頁面,同時查看證書並加入授信列表,可見

技術分享

訪問helloworld.eric

技術分享

Kubernetes的負載均衡問題(Nginx Ingress)

相關推薦

七層負載均衡 nginx

type 存儲 最大 usr 故障 tro 一個 啟動 安全 七層負載均衡 簡單解說: ============================================================== 一、集群的分類:(cluster)1、高可用集群

四層和七層負載均衡的特點及常用負載均衡Nginx、Haproxy、LVS對比

web服務器 keepaliv 保持 obi 負載均衡 ted 根據 方案 面向 一、四層與七層負載均衡在原理上的區別 圖示: 四層負載均衡與七層負載均衡在工作原理上的簡單區別如下圖: 概述: 1.四層負載均衡工作在OSI模型中的四層,即傳輸層。四層負載均衡只能根據報文中

Linux下Nginx實現負載均衡 Nginx學習系列之搭建環境

關於在本地虛擬機器(VMware 14)下安裝Linux同時安裝Nginx,請參考Nginx學習系列之搭建環境 1、啟動Nginx 在Nginx安裝成功的前提下,啟動Nginx 已root模式登陸(許可權需要),接著找到Nginx的安裝目錄,啟動Nginx,並且指定Nginx啟動所需的配置檔案,該檔

負載均衡nginx的配置

nginx 是一個輕量級,高可用的web伺服器,經常做正向代理及反向代理,web應用負載均衡,web靜態資源分離。下面記錄下最近公司在專案中用nginx做負載均衡解決伺服器壓力及宕機處理配置。 下面是線上nginx配置檔案詳情 #user nobody; worker_processes 4

Nginx如何實現負載均衡,Nginx負載均衡的幾種方式。

大家好,我是IT修真院武漢分院第15期學員,一枚正直善良的JAVA程式設計師。今天給大家分享一下,修真院官網JAVA任務6中需要使用的Nginx負載均衡1.背景介紹在網站創立初期,我們一般都使用單臺機器對臺提供集中式服務,但是隨著業務量越來越大,無論是效能上還是穩定性上都有了

nginx配置tomcat負載均衡+nginx伺服器+apache後端伺服器

nginx配置tomcat負載均衡 nginx可以作為Web前置機,將客戶請求按照一定演算法合理分配給後置的tomcat應用伺服器,從而達到均衡目的。當然如果應用使用了session會話,後 置的tomcat應用還要保證session共享才能達到應用叢集效果。本文不討論tomcat的叢集問題,重點討論n

Kubernetes負載均衡問題(Nginx Ingress)

targe yaml gen vim bsp 曾經 pla val icc Kubernetes關於服務的暴露主要是通過NodePort方式,通過綁定minion主機的某個端口,然後進行pod的請求轉發和負載均衡,但這種方式下缺陷是 Service可能有很多個,如果每個都

使用 NGINXNGINX Plus 的 Ingress Controller 進行 Kubernetes負載均衡

執行和管理跨機器叢集的大規模的容器微服務應用是一個極具挑戰的任務。Kubernetes 提供了一個強大的容器編排解決方案,從而幫助我們迎接這個挑戰。它包含了一些重要特性,比如容錯,自動伸縮,滾動升級,儲存,服務發現,以及負載均衡。 本文講解了如何使用開源 NGINX 軟體或者 NGINX Plus,以及 I

nginx負載均衡配置

war eal ade remote dock lis upstream doc 配置 http {   upstream docker {       server 192.168.88.106:10001;       server 192.168.88.1

Nginx實現七層的負載均衡(LB Nginx

lb nginx Nginx實現七層的負載均衡調度到不同組後端服務器1. 動靜分離2. 網站進行分區=================================================================================拓撲結構

【轉】淺談一個網頁打開的全過程(涉及DNS、CDN、Nginx負載均衡等)

位置 filters 產生 多種方法 tps windows cnblogs 這就是 廣東 1、概要   從用戶在瀏覽器輸入域名開始,到web頁面加載完畢,這是一個說復雜不復雜,說簡單不簡單的過程,下文暫且把這個過程稱作網頁加載過程。下面我將依靠自己的經驗,總結一下整個過程

Keepalived+Nginx實現高可用負載均衡集群

連接 靜態 adf -1 rip mail fff hostname dex 一 環境介紹 1.操作系統CentOS Linux release 7.2.1511 (Core) 2.服務keepalived+lvs雙主高可用負載均衡集群及LAMP應用keepalived-1

Nginx+Tomcat搭建高性能負載均衡集群-Windows本地測試版

other doc mime filename 連接超時 src 日誌 col process 一、安裝Tomcat和Nginx 首先安裝兩個apache-tomcat-8.0.41,下載地址:http://tomcat.apache.org 並安裝一個nginx-1.13

BasePath問題-nginx負載均衡配置

.... class ip地址 htm post 細致 rpo 均衡 css 在配置nginx+tomcat好後。將項目加入到webapps中。發現訪問主頁時,css與js訪問不到,導致主頁布局出錯。細致分析原因後發現css與js的地址是basePath得出的。而bas

tomcat+nginx負載均衡群集

負載均衡群集線上環境Nginx+Tomcat網站拓撲架構服務器軟件要求:主機 IP地址 主要軟件 Nginx服務器192.168.1.102 nginx-1.6.0.tar.gz Tomcat1 192.168.1.100 1.jdk-7u65-linux-x64.gz 2.apache-tomcat-

Nginx 反向代理、負載均衡與動靜分離

nginx1、環境:前端Nginx服務器:主機名:server1 IP:172.25.80.1 編譯安裝nginx1..12 後端tomcat: Server2--ip:172.25.80.2 主機名:server2 Server3--ip:172.25.80.3 主機名:server32、Ng

Nginx配置upstream實現負載均衡

不同 實現負載均衡 不能 多臺 bake crc 實現 所有 crc32 Nginx可以配置代理多臺服務器,當一臺服務器宕機之後,仍能保持系統可用。 具體配置過程如下: 1. 在http節點下,添加upstream節點。 upstream linuxidc {

Nginx實現集群的負載均衡配置過程詳解

post 發現 forward too strong eight glin 內容 請求 Nginx實現集群的負載均衡配置過程詳解 Nginx 的負載均衡功能,其實實際上和 nginx 的代理是同一個功能,只是把代理一臺機器改為多臺機器而已。 Nginx 的負載均衡

nginx+tomcat實現負載均衡以及session共享(linux centos7環境)

processes 解壓 smo eve cti 下載 gen cli -c 一、nginx的安裝 1.準備三份tomcat tomcat1 設置端口 8080 tomcat2 設置端口 8081 tomcat3 設置端口 8082 2. 下載nginx 3. 解壓到/ho

Nginx】配置Nginx負載均衡

如果 tail 運行 connect 其他 least label direct doc 閱讀目錄 參考的優秀文章 在本機運行2個Tomcat Nginx的負載均衡配置 參考的優秀文章 tomcat配置文件server.xml詳解 AJP協議總結與分析 Usi