一、Ingress介绍

1、Ingress的简介 

K8S集群外部的客户端访问K8S集群内部的方案

基于Service实现：NodePort、LoadBalancer、externalIPs   只能支持四层代理转发，如果K8S集群规模较大运行的业务服务较多，NodePort端口/externalIPs管理成本会很高

●NodePort：将service暴露在节点网络上，NodePort背后就是Kube-Proxy，Kube-Proxy是沟通service网络、Pod网络和节点网络的桥梁。

测试环境使用还行，当有几十上百的服务在集群中运行时，NodePort的端口管理就是个灾难。因为每个端口只能是一种服务，默认端口范围只能是 30000-32767。

●LoadBalancer：使用外接负载均衡器完成到服务的负载分发，注意此模式需要外部云环境支持。借助第三方的云负载均衡器，将请求分发到所有的Node上，其底层还是NodePort。

LoadBalancer和NodePort很相似，目的都是向外部暴露一个端口，区别在于LoadBalancer会在集群的外部再来做一个负载均衡设备，而这个设备需要外部环境支持的，外部服务发送到这个设备上的请求，会被设备负载之后转发到集群中。

●externalIPs：service允许为其分配外部IP，如果外部IP路由到集群中一个或多个Node上，Service会被暴露给这些externalIPs。通过外部IP进入到集群的流量，将会被路由到Service的Endpoint上。 

基于Ingress实现：支持七层代理转发，可自定义规则根据用户请求的域名或URL路径转发给指定的Service端点实现Pod的代理访问

2、Ingress 的组成

ingress

ingress是一个API对象，通过yaml文件来配置，ingress对象的作用是定义请求如何转发到service的规则，可以理解为配置模板。

ingress通过http或https暴露集群内部service，给service提供外部URL、负载均衡、SSL/TLS能力以及基于域名的反向代理。ingress要依靠 ingress-controller 来具体实现以上功能。

ingress-controller

ingress-controller是具体实现反向代理及负载均衡的程序，对ingress定义的规则进行解析，根据配置的规则来实现请求转发。

ingress-controller并不是k8s自带的组件，实际上ingress-controller只是一个统称，用户可以选择不同的ingress-controller实现，目前，由k8s维护的ingress-controller只有google云的GCE与ingress-nginx两个，其他还有很多第三方维护的ingress-controller，具体可以参考官方文档。但是不管哪一种ingress-controller，实现的机制都大同小异，只是在具体配置上有差异。

一般来说，ingress-controller的形式都是一个pod，里面跑着daemon程序和反向代理程序。daemon负责不断监控集群的变化，根据 ingress对象生成配置并应用新配置到反向代理，比如ingress-nginx就是动态生成nginx配置，动态更新upstream，并在需要的时候reload程序应用新配置。

总结：ingress-controller才是负责具体转发的组件，通过各种方式将它暴露在集群入口，外部对集群的请求流量会先到 ingress-controller， 而ingress对象是用来告诉ingress-controller该如何转发请求，比如哪些域名、哪些URL要转发到哪些service等等。

3、Ingress-Nginx的工作原理 

（1）ingress-controller通过和 kubernetes APIServer 交互，动态的去感知集群中ingress规则变化，

（2）然后读取它，按照自定义的规则，规则就是写明了哪个域名对应哪个service，生成一段nginx配置，

（3）再写到nginx-ingress-controller的pod里，这个ingress-controller的pod里运行着一个Nginx服务，控制器会把生成的 nginx配置写入 /etc/nginx.conf文件中，

（4）然后reload一下使配置生效。以此达到域名区分配置和动态更新的作用。

4、部署ingress-controller Pod及相关资源

<code>mkdir /opt/ingress

cd /opt/ingress

官方下载地址：

wget https://raw.githubusercontent.com/kubernetes/ingress-nginx/controller-v1.3.0/deploy/static/provider/cloud/deploy.yaml

上面可能无法下载，可用国内的 gitee

wget https://gitee.com/mirrors/ingress-nginx/raw/controller-v1.3.0/deploy/static/provider/cloud/deploy.yaml

修改镜像地址为：

image: registry.cn-hangzhou.aliyuncs.com/google_containers/nginx-ingress-controller:v1.3.0@sha256:d1707ca76d3b044ab8a28277a2466a02100ee9f58a86af1535a3edf9323ea1b5

image: registry.cn-hangzhou.aliyuncs.com/google_containers/kube-webhook-certgen:v1.1.1@sha256:64d8c73dca984af206adf9d6d7e46aa550362b1d7a01f3a0a91b20cc67868660

二、Ingress的暴露方式

方式一：DaemonSet+HostNetwork+nodeSelector

用DaemonSet结合nodeselector来部署ingress-controller到特定的node上，然后使用HostNetwork直接把该pod与宿主机node的网络打通，直接使用宿主机的80/443端口就能访问服务。这时，ingress-controller所在的node机器就很类似传统架构的边缘节点，比如机房入口的nginx服务器。该方式整个请求链路最简单，性能相对NodePort模式更好。缺点是由于直接利用宿主机节点的网络和端口，一个node只能部署一个ingress-controller pod。 比较适合大并发的生产环境使用。

修改 Deployment 为 DaemonSet ，指定节点运行，并开启 hostNetwork 网络 

<code>vim deploy.yaml

...

apiVersion: apps/v1

# 修改 kind

#kind: Deployment

kind: DaemonSet

......

spec:

......

template:

......

spec:

# 使用宿主机网络

hostNetwork: true

# 修改选择节点选择器

nodeSelector:

ingress: "true"

......

创建service资源

创建Ingress规则

根据ip地址规则实现访问 

根据域名规则进行访问

方式二：Deployment+LoadBalancer 模式的 Service

如果要把ingress部署在公有云，那用这种方式比较合适。用Deployment部署ingress-controller，创建一个 type为 LoadBalancer 的 service 关联这组 pod。大部分公有云，都会为 LoadBalancer 的 service 自动创建一个负载均衡器，通常还绑定了公网地址。 只要把域名解析指向该地址，就实现了集群服务的对外暴露

方式三：Deployment+NodePort模式的Service

同样用deployment模式部署ingress-controller，并创建对应的service，但是type为NodePort。这样，ingress就会暴露在集群节点ip的特定端口上。由于nodeport暴露的端口是随机端口，一般会在前面再搭建一套负载均衡器来转发请求。该方式一般用于宿主机是相对固定的环境ip地址不变的场景。

NodePort方式暴露ingress虽然简单方便，但是NodePort多了一层NAT，在请求量级很大时可能对性能会有一定影响。

1、下载 nginx-ingress-controller 配置文件

<code>mkdir /opt/ingress-nodeport

cd /opt/ingress-nodeport

官方下载地址：

wget https://raw.githubusercontent.com/kubernetes/ingress-nginx/controller-v1.3.0/deploy/static/provider/cloud/deploy.yaml

上面可能无法下载，可用国内的 gitee

wget https://gitee.com/mirrors/ingress-nginx/raw/controller-v1.3.0/deploy/static/provider/cloud/deploy.yaml

修改镜像地址为：

image: registry.cn-hangzhou.aliyuncs.com/google_containers/nginx-ingress-controller:v1.3.0@sha256:d1707ca76d3b044ab8a28277a2466a02100ee9f58a86af1535a3edf9323ea1b5

image: registry.cn-hangzhou.aliyuncs.com/google_containers/kube-webhook-certgen:v1.1.1@sha256:64d8c73dca984af206adf9d6d7e46aa550362b1d7a01f3a0a91b20cc67868660

2、修改配置文件

apiVersion: v1

kind: Service

metadata:

labels:

app.kubernetes.io/component: controller

app.kubernetes.io/instance: ingress-nginx

app.kubernetes.io/name: ingress-nginx

app.kubernetes.io/part-of: ingress-nginx

app.kubernetes.io/version: 1.3.0

name: ingress-nginx-controller

namespace: ingress-nginx

spec:

#externalTrafficPolicy: Local #注释此行，值为Cluster表示流量可以转发到其他节点上的Pod；Local表示：流量只发给本机的Pod

ports:

......

type: NodePort #Service类型设置为 NodePort 或 LoadBalancer

3、启动 nginx-ingress-controller

kubectl apply -f deploy.yaml

kubectl get pod,svc -n ingress-nginx

NAME READY STATUS RESTARTS AGE

pod/ingress-nginx-admission-create-vvxjr 0/1 Completed 0 37m

pod/ingress-nginx-admission-patch-9gmdd 0/1 Completed 0 37m

pod/ingress-nginx-controller-575585684c-9qbwp 1/1 Running 0 29m

NAME TYPE CLUSTER-IP EXTERNAL-IP PORT(S) AGE

service/ingress-nginx-controller NodePort 10.96.3.13 <none> 80:32338/TCP,443:30008/TCP 37m

service/ingress-nginx-controller-admission ClusterIP 10.96.175.162 <none> 443/TCP 37m

Ingress HTTP 代理访问

cd /opt/ingress-nodeport

#创建 deployment、Service、Ingress Yaml 资源

vim ingress-nginx.yaml

apiVersion: apps/v1

kind: Deployment

metadata:

name: nginx-app

spec:

replicas: 2

selector:

matchLabels:

name: nginx

template:

metadata:

labels:

name: nginx

spec:

containers:

- name: nginx

image: nginx

imagePullPolicy: IfNotPresent

ports:

- containerPort: 80

---

apiVersion: v1

kind: Service

metadata:

name: nginx-svc

spec:

ports:

- port: 80

targetPort: 80

protocol: TCP

selector:

name: nginx

---

apiVersion: networking.k8s.io/v1

kind: Ingress

metadata:

name: nginx-test

spec:

ingressClassName: "nginx"

rules:

- host: www.benet.com

http:

paths:

- path: /

pathType: Prefix

backend:

service:

name: nginx-svc

port:

number: 80

kubectl apply -f ingress-nginx.yaml

kubectl get svc,pods -o wide

NAME TYPE CLUSTER-IP EXTERNAL-IP PORT(S) AGE SELECTOR

service/kubernetes ClusterIP 10.96.0.1 <none> 443/TCP 8h <none>

service/nginx-svc ClusterIP 10.96.212.214 <none> 80/TCP 65s name=nginx

NAME READY STATUS RESTARTS AGE IP NODE NOMINATED NODE READINESS GATES

pod/nginx-app-65d7b99f6b-l4g65 1/1 Running 0 65s 10.244.1.8 node01 <none> <none>

pod/nginx-app-65d7b99f6b-zcqgp 1/1 Running 0 65s 10.244.2.8 node02 <none> <none>

kubectl exec -it pod/nginx-app-65d7b99f6b-l4g65 bash

# cd /usr/share/nginx/html/

# echo 'this is web1' >> index.html

kubectl exec -it pod/nginx-app-65d7b99f6b-zcqgp bash

# cd /usr/share/nginx/html/

# echo 'this is web2' >> index.html