新聞中心

這里有您想知道的互聯(lián)網(wǎng)營(yíng)銷解決方案

理解Kubernetes中的NginxIngress

理解Kubernetes中的nginx Ingress

作者：徐福工程師 2022-03-15 08:36:34

云計(jì)算

云原生文章對(duì)Nginx Ingress做了介紹，Kubernetes中可以選擇的Ingress有很多，讀者可以根據(jù)需要選擇。

讓客戶滿意是我們工作的目標(biāo)，不斷超越客戶的期望值來自于我們對(duì)這個(gè)行業(yè)的熱愛。我們立志把好的技術(shù)通過有效、簡(jiǎn)單的方式提供給客戶，將通過不懈努力成為客戶在信息化領(lǐng)域值得信任、有價(jià)值的長(zhǎng)期合作伙伴，公司提供的服務(wù)項(xiàng)目有：申請(qǐng)域名、虛擬空間、營(yíng)銷軟件、網(wǎng)站建設(shè)、睢寧縣網(wǎng)站維護(hù)、網(wǎng)站推廣。

Ingress有什么作用?管理集群外部對(duì)集群內(nèi)服務(wù)的訪問，典型如HTTP請(qǐng)求。它可以提供負(fù)載均衡、SSL終結(jié)和基于域名的虛擬主機(jī)訪問。我們發(fā)現(xiàn)這些功能都比較容易實(shí)現(xiàn)，將集群內(nèi)的服務(wù)暴露到集群外部，可以使用“NodePort”類型的Service，負(fù)載均衡可以使用HAProxy來實(shí)現(xiàn)，SSL終結(jié)功能部署七層反向代理就可以，基于域名的虛擬主機(jī)訪問也同樣比較容易實(shí)現(xiàn)，那為什么Kubernetes要引入Ingress API對(duì)象呢?

Ingress的潛力

Ingress的功能如開篇所述，可以使用其他技術(shù)實(shí)現(xiàn)，但是實(shí)際在操作過程中發(fā)現(xiàn)并沒那么簡(jiǎn)單。在沒有Ingress參與的情況下，將集群內(nèi)服務(wù)暴露到集群外使用“NodePort”類型的Service，那需要給每個(gè)微服務(wù)都創(chuàng)建此類Service，當(dāng)服務(wù)較多時(shí)，排障將非常復(fù)雜，協(xié)調(diào)主機(jī)端口使用也會(huì)讓人抓狂。在集群外部署Nginx或Apache，SSL終結(jié)和基于域名的虛擬主機(jī)訪問可以實(shí)現(xiàn)，但是服務(wù)發(fā)現(xiàn)和配置管理又是個(gè)挑戰(zhàn)，集群外的Nginx和Apache感知不到集群中服務(wù)的增加和減少，需要人為配置，這對(duì)集群管理員來說，簡(jiǎn)直是個(gè)噩夢(mèng)。幸好，Ingress來了。

安裝

安裝服務(wù)到Kubernetes一般都比較容易，使用“kubectl apply”后面跟上yaml文件即可。當(dāng)然也可以使用Kubernetes的包管理工具-Helm?！皀ginx ingress”根據(jù)環(huán)境，可選有三種安裝方法：

使用helm。
kubectl apply + yamlfiles。
在minikube或MicroK8s中，插件方式安裝。

筆者使用這篇文章介紹的方法安裝Kubernetes集群，這里選用第二種方式安裝“nginx ingress ”，執(zhí)行下面命令(因版本更新較快，實(shí)際部署請(qǐng)參考官網(wǎng))：

kubectl apply -f https://raw.githubusercontent.com/kubernetes/ingress-nginx/controller-v1.1.1/deploy/static/provider/baremetal/deploy.yaml

安裝會(huì)從“k8s.gcr.io”鏡像倉(cāng)拉取鏡像，如果拉取失敗可選擇阿里云或其他。

查看增加的集群資源。

[root@master ~]# kubectl get all -n ingress-nginx
NAME                                            READY   STATUS      RESTARTS      AGE
pod/ingress-nginx-admission-create-7k9kt        0/1     Completed   0             14d
pod/ingress-nginx-admission-patch-5bcmq         0/1     Completed   1             14d
pod/ingress-nginx-controller-687578654b-f92bq   1/1     Running     3 (42d ago)   14d
NAME                                         TYPE        CLUSTER-IP    EXTERNAL-IP   PORT(S)                      AGE
service/ingress-nginx-controller             NodePort    10.1.70.249           80:30305/TCP,443:31330/TCP   14d
service/ingress-nginx-controller-admission   ClusterIP   10.1.124.31           443/TCP                      14d
NAME                                       READY   UP-TO-DATE   AVAILABLE   AGE
deployment.apps/ingress-nginx-controller   1/1     1            1           14d
NAME                                                  DESIRED   CURRENT   READY   AGE
replicaset.apps/ingress-nginx-controller-687578654b   1         1         1       14d
NAME                                       COMPLETIONS   DURATION   AGE
job.batch/ingress-nginx-admission-create   1/1           5s         14d
job.batch/ingress-nginx-admission-patch    1/1           7s         14d

因?yàn)榧菏亲越ǖ?，“ingress-nginx-controller”服務(wù)類型為“NodePort”，后面訪問服務(wù)需要使用這樣的方式：NodeIP+30305/31330+Path。

使用

上步操作成功執(zhí)行后，便可以創(chuàng)建Ingress類型的API對(duì)象了，筆者集群中提前部署一Web服務(wù)，Service信息如下：

[root@master ~]# kubectl get svc
NAME    TYPE        CLUSTER-IP     EXTERNAL-IP   PORT(S)   AGE
nginx   ClusterIP   10.1.133.186           80/TCP    14h

創(chuàng)建Ingress API對(duì)象。

1> ---
2> apiVersion: networking.k8s.io/v1
3> kind: Ingress
4> metadata:
5>   name: self-nginx
6>   namespace: test
7>   annotations:
8>     nginx.ingress.kubernetes.io/rewrite-target: /
9> spec:
10>   ingressClassName: nginx
11>   rules:
12>   - host: mynginx.example.com
13>     http:
14>       paths:
15>       - path: /testpath
16>         pathType: Prefix
17>         backend:
18>           service:
19>             name: nginx
20>             port:
21>               number: 80

如果沒有將前面安裝的nginx ingress配置為默認(rèn)的Ingress，需要加入第10行。否則即使ingress資源提交到API Server，“nginx ingress controller”也沒有反應(yīng)。獲取“ingressClassName”的值。

[root@master ~]# kubectl get ingressclass
NAME    CONTROLLER             PARAMETERS   AGE
nginx   k8s.io/ingress-nginx          14d

查看創(chuàng)建的Ingress。

[root@master ~]# kubectl get ingress
NAME         CLASS   HOSTS                 ADDRESS          PORTS   AGE
self-nginx   nginx   mynginx.example.com   192.168.52.132   80      125m

通過Ingress訪問Web服務(wù)(如果域名沒有解析，修改/etc/hosts文件)。

[root@master nginx]# curl mynginx.example.com:30305/testpath
hello kubernetes!

原理

Nginx Ingress的部署和使用不難，最重要是熟悉它的工作原理，這樣在遇到問題時(shí)才能迅速定位?！癷ngress-nginx-controller” Pod里面僅運(yùn)行一個(gè)容器，但是這個(gè)容器里面卻有多個(gè)守護(hù)進(jìn)程，重要的有兩個(gè)：controller和nginx。進(jìn)入Pod執(zhí)行ps命令查看：

[root@master ~]# kubectl exec -it ingress-nginx-controller-687578654b-f92bq -n ingress-nginx  -- /bin/bash
bash-5.1$ ps 
PID   USER     TIME  COMMAND
    1 www-data  0:00 /usr/bin/dumb-init -- /nginx-ingress-controller --election-id=ingress-controller-leader --controller-class=k8s.io/ingress-nginx --config
    7 www-data 11:28 /nginx-ingress-controller --election-id=ingress-controller-leader --controller-class=k8s.io/ingress-nginx --configmap=ingress-nginx/ingr
   25 www-data  0:00 nginx: master process /usr/local/nginx/sbin/nginx -c /etc/nginx/nginx.conf
  247 www-data  0:01 nginx: worker process
  248 www-data  0:00 nginx: cache manager process

Controller是管理者，實(shí)現(xiàn)服務(wù)發(fā)現(xiàn)和自動(dòng)配置功能，見下圖(下載自官網(wǎng))。

nginx ingress工作原理

這幅圖看起來很復(fù)雜，其實(shí)用一句話就可以概括：“Ingress Controller”(即圖中的IC)相當(dāng)于系統(tǒng)管理員，需求者提交Ingress資源到API Server，IC從API Server獲取Ingress資源，因?yàn)镮C既了解Ingress資源又了解Nginx，它完成Ingress的“翻譯”，隨即更新Nginx的配置文件，并執(zhí)行reload操作，核心邏輯就是這樣。

上面我們給“nginx” Service創(chuàng)建了Ingress資源，訪問路徑配置為“/testpath”，現(xiàn)在進(jìn)入“ingress-nginx-controller”Pod看下Nginx的配置文件：/etc/nginx/nginx.conf。

關(guān)于虛擬主機(jī)“mynginx.example.com”的配置有200多行，刪掉無關(guān)的。

## start server mynginx.example.com 
server {
    server_name mynginx.example.com ;   
    listen 80  ;
    listen 443  ssl http2 ;   
    set $proxy_upstream_name "-";   
    ssl_certificate_by_lua_block {
      certificate.call()
    }   
    location ~* "^/testpath" {      
      set $namespace      "test";
      set $ingress_name   "self-nginx";
      set $service_name   "nginx";
      set $service_port   "80";
      set $location_path  "/testpath";
      set $global_rate_limit_exceeding n;     
      ......  
      set $balancer_ewma_score -1;
      set $proxy_upstream_name "test-nginx-80";
      set $proxy_host          $proxy_upstream_name;
      set $pass_access_scheme  $scheme;     
      ......    
      rewrite "(?i)/testpath" / break;
      proxy_pass http://upstream_balancer;    
      proxy_redirect                          off;    
    } 
    location ~* "^/" {      
      set $namespace      "test";
      set $ingress_name   "self-nginx";
      set $service_name   "";
      set $service_port   "";
      set $location_path  "/";
      set $global_rate_limit_exceeding n;   
      ......    
      proxy_pass http://upstream_balancer;    
      proxy_redirect                          off;      
    } 
  }
  ## end server mynginx.example.com

從配置文件中可以看到發(fā)往“/testpath”的請(qǐng)求完成一次跳轉(zhuǎn)后最終發(fā)送給“upstream_balancer”，其在Nginx配置文件中的定義如下：

upstream upstream_balancer {
    ### Attention!!!
    #
    # We no longer create "upstream" section for every backend.
    # Backends are handled dynamically using Lua. If you would like to debug
    # and see what backends ingress-nginx has in its memory you can
    # install our kubectl plugin https://kubernetes.github.io/ingress-nginx/kubectl-plugin.
    # Once you have the plugin you can use "kubectl ingress-nginx backends" command to
    # inspect current backends.
    #
    ###   
    server 0.0.0.1; # placeholder 
    balancer_by_lua_block {
      balancer.balance()
    }   
    keepalive 320;    
    keepalive_timeout  60s;
    keepalive_requests 10000;   
  }

因Nginx配置文件嚴(yán)重依賴Lua，這里看到的信息不直觀。為了看到后端服務(wù)，按照注釋，為kubectl安裝“ingress-nginx”插件。在前面Nginx配置文件有下面一行：

set $proxy_upstream_name "test-nginx-80";

指出域名“mynginx.example.com”的backend名為“test-nginx-80”。查看Ingress的backends(省略無關(guān)行)。

[root@master ~]# kubectl ingress-nginx backends -n ingress-nginx
[
  {
    "name": "test-nginx-80",
    "service": {
      "metadata": {
        "creationTimestamp": null
      },
      "spec": {
        "ports": [
          {
            "name": "http",
            "protocol": "TCP",
            "port": 80,
            "targetPort": 80
          }
        ],
        "selector": {
          "app": "nginx"
        },
        "clusterIP": "10.1.133.186",
        "clusterIPs": [
          "10.1.133.186"
        ],
        "type": "ClusterIP",
        "sessionAffinity": "None",
        "ipFamilies": [
          "IPv4"
        ],
        "ipFamilyPolicy": "SingleStack",
        "internalTrafficPolicy": "Cluster"
      },
      "status": {
        "loadBalancer": {}
      }
    },
    "port": 80,
    "sslPassthrough": false,
    "endpoints": [
      {
        "address": "10.244.1.26",
        "port": "80"
      }
    ],
    "sessionAffinityConfig": {
      "name": "",
      "mode": "",
      "cookieSessionAffinity": {
        "name": ""
      }
    },
    "upstreamHashByConfig": {
      "upstream-hash-by-subset-size": 3
    },
    "noServer": false,
    "trafficShapingPolicy": {
      "weight": 0,
      "weightTotal": 0,
      "header": "",
      "headerValue": "",
      "headerPattern": "",
      "cookie": ""
    }
  },  
......
  
]

從輸出中可以看到后端其實(shí)就是名為“nginx”的Service對(duì)應(yīng)的Endpoints，它的IP是“10.244.1.26”。

[root@master ~]# kb get endpoints
NAME    ENDPOINTS        AGE
nginx   10.244.1.26:80   19h

這里需要強(qiáng)調(diào)一點(diǎn)，Nginx Ingress并不將流量轉(zhuǎn)發(fā)給nginx service，而是直接轉(zhuǎn)發(fā)到后端的Pods，轉(zhuǎn)發(fā)策略也完全由Ingress Controller來決定。這樣不僅減少了一次DNAT，也能實(shí)現(xiàn)更豐富的負(fù)載均衡策略。Ingress資源中出現(xiàn)的Service對(duì)象只是為了選擇后端的Endpoints。

總結(jié)

文章對(duì)Nginx Ingress做了介紹，Kubernetes中可以選擇的Ingress有很多，讀者可以根據(jù)需要選擇。

網(wǎng)站標(biāo)題：理解Kubernetes中的NginxIngress
當(dāng)前網(wǎng)址：http://m.fisionsoft.com.cn/article/cohsehh.html

新聞中心

理解Kubernetes中的nginx Ingress

Ingress的潛力

安裝

使用

原理

總結(jié)

其他資訊