[单master节点k8s部署]34.ingress 反向代理（一）

ingress是k8s中的标准API资源，作用是定义外部流量如何进入集群，并根据核心路由规则将流量转发到集群内的服务。

ingress和Istio工作栈中的virtual service都是基于service之上，更细致准确的一种流量规则。每一个pod对应的service是四层代理，也就是说处于通信网络结构的第四层（物理层、数据链路层、网络层、传输层、会话层、表示层、应用层）。service只根据tcp或udp协议，确定主机的位置，而不能确定到底传送到哪一个服务，这是http\https等七层的协议来处理的，这就是ingress 和 virtual service工作的场景。总的来说，ingress 是工作在service aip资源之上的。

Kubernetes 具有强大的副本控制能力，能保证在任意副本（Pod）挂掉时自动从其他机器启动一个新的，还可以动态扩容等，通俗地说，这个 Pod 可能在任何时刻出现在任何节点上，也可能在任何时刻死在任何节点上；那么自然随着 Pod 的创建和销毁，Pod IP 肯定会动态变化；那么如何把这个动态的 Pod IP 暴露出去？这里借助于 Kubernetes 的 Service 机制，Service 可以以标签的形式选定一组带有指定标签的 Pod，并监控和自动负载他们的 Pod IP，那么我们向外暴露只暴露 Service IP 就行了；这就是NodePort 模式：即在每个节点上开起一个端口，然后转发到内部 Pod IP 上。

但是只通过service来管理pod会存在端口难以维护的问题。服务一旦多起来，NodePort 在每个节点上开启的端口会及其庞大。这个时候可以通过nginx进行反向代理，也就是说所有服务进来以后都转发到nginx（nginx是一个反向代理服务器，可以看作是ingress的一种实现），这样由nginx pod进行流量转发就可以了。

从上面的方法，采用 Nginx-Pod 似乎已经解决了问题，但是其实这里面有一个很大缺陷：当每次有新服务加入又该如何修改 Nginx 配置呢？我们知道使用 Nginx 可以通过虚拟主机域名进行区分不同的服务，而每个服务通过 upstream 进行定义不同的负载均衡池，再加上 location 进行负载均衡的反向代理，在日常使用中只需要修改 nginx.conf 即可实现，但是k8s集群需要进行自动管理，不能一直手动修改nginx-pod资源。这时就需要抽象出来ingress 资源，从而更好地让nginx工作。

ingress

Ingress 简单的理解就是你原来需要改 Nginx 配置，然后配置各种域名对应哪个 Service，现在把这个动作抽象出来，变成一个 Ingress 对象，你可以用 yaml 创建，每次不要去改 Nginx 了，直接改 yaml 然后创建/更新就行了。

但是ingress本身是一组基于 DNS 名称（host）或URL 路径把请求转发到指定的 Service 资源的规则。而没有完成将配置挂载到nginx的操作，这个操作是通过ingress controller实现的。

ingress controller

Ingress Controller 是一个七层负载均衡调度器，客户端的请求先到达这个七层负载均衡调度器，由七层负载均衡器在反向代理到后端 pod，常见的七层负载均衡器有 nginx、traefik，以我们熟悉的 nginx 为例，假如请求到达 nginx，会通过 upstream 反向代理到后端 pod 应用，但是后端 pod 的 ip 地址是一直在变化的，因此在后端 pod 前需要加一个 service，这个 service 只是起到分组的作用，那么我们 upstream 只需要填写 service 地址即可。

总结来讲，ingress controller是控制器，通过不断的和Kubernetes API交互，实时获取后端service、pod的变化，比如新增、删除等，结合ingress定义的规则生成配置，然后更新nginx或traefik的负载均衡器。

使用ingress controller代理k8s内部应用的流程

部署ingress controller

通过部署ingress-controller的pod和default-backend的pod，成功部署了ingress服务。其中default-backend作为一个默认的ingress controller的后端。

默认后端 是一个提供基础响应的服务，当没有任何 Ingress 规则与传入的请求匹配时，Ingress Controller 会将请求路由到这个默认后端。它通常用于处理以下情况：

404 响应：当用户请求的路径或主机名没有被任何定义的 Ingress 规则匹配时，默认后端会返回一个标准的 404 - Not Found 响应。
健康检查：默认后端通常也会提供一个健康检查接口（如 /healthz），供 Ingress Controller 或其他服务检查其健康状态。

这里的ingress controller通过args变量里的--default-backend-serivce参数，在没有ingress的情况下将流量转发给backend服务。

ingress controller代码

可以看到ingress controller使用了两个探针，分别是就绪探针和存活探针。

apiVersion: apps/v1
kind: Deployment
metadata:name: nginx-ingress-controllerlabels:k8s-app: nginx-ingress-controllernamespace: kube-system
spec:replicas: 1selector:matchLabels:k8s-app: nginx-ingress-controllertemplate:metadata:labels:k8s-app: nginx-ingress-controllerspec:# hostNetwork makes it possible to use ipv6 and to preserve the source IP correctly regardless of docker configuration# however, it is not a hard dependency of the nginx-ingress-controller itself and it may cause issues if port 10254 already is taken on the host# that said, since hostPort is broken on CNI (https://github.com/kubernetes/kubernetes/issues/31307) we have to use hostNetwork where CNI is used# like with kubeadm# hostNetwork: true #注释表示不使用宿主机的80口，terminationGracePeriodSeconds: 60hostNetwork: true  #表示容器使用和宿主机一样的网络serviceAccountName: nginx-ingress-serviceaccount #引用前面创建的serviceacountcontainers:   - image: registry.cn-hangzhou.aliyuncs.com/peter1009/nginx-ingress-controller:0.20.0      #容器使用的镜像name: nginx-ingress-controller  #容器名readinessProbe:   #启动这个服务时要验证/healthz 端口10254会在运行的node上监听。 httpGet:path: /healthzport: 10254scheme: HTTPinitialDelaySeconds: 30timeoutSeconds: 5periodSeconds: 10successThreshold: 1failureThreshold: 3livenessProbe:httpGet:path: /healthzport: 10254scheme: HTTPinitialDelaySeconds: 10  #每隔10做健康检查 timeoutSeconds: 1ports:- containerPort: 80  hostPort: 80    #80映射到80
#        - containerPort: 443
#          hostPort: 443env:- name: POD_NAMEvalueFrom:fieldRef:fieldPath: metadata.name- name: POD_NAMESPACEvalueFrom:fieldRef:fieldPath: metadata.namespaceargs:- /nginx-ingress-controller- --default-backend-service=$(POD_NAMESPACE)/default-http-backend- --configmap=$(POD_NAMESPACE)/nginx-configurationnodeName: node1

这里的环境变量抓取了ingress controller运行的pod的名称和namespace的值。并且写明了是一个针对nginx的ingress controller，并且挂载了一个configMap。

这里写明了该pod是调度到node1上。下面的default backend 也会调度到node1。

default backend代码

这里定义了一个deployment和一个service。这里和上面ingress controller都将pod部署在node1

节点，这两个pod需要被部署在相同的节点。

apiVersion: apps/v1
kind: Deployment
metadata:name: default-http-backendlabels:k8s-app: default-http-backendnamespace: kube-system
spec:replicas: 1selector:matchLabels:k8s-app: default-http-backendtemplate:metadata:labels:k8s-app: default-http-backendspec:terminationGracePeriodSeconds: 60containers:- name: default-http-backend# Any image is permissable as long as:# 1. It serves a 404 page at /# 2. It serves 200 on a /healthz endpointimage: registry.cn-hangzhou.aliyuncs.com/hachikou/defaultbackend:1.0livenessProbe:httpGet:path: /healthz   #这个URI是 nginx-ingress-controller中nginx里配置好的localtion port: 8080scheme: HTTPinitialDelaySeconds: 30   #30s检测一次/healthztimeoutSeconds: 5ports:- containerPort: 8080
#        resources:
#          limits:
#            cpu: 10m
#            memory: 20Mi
#          requests:
#            cpu: 10m
#            memory: 20MinodeName: node1
---
apiVersion: v1
kind: Service     #为default backend 创建一个service
metadata:name: default-http-backendnamespace: kube-systemlabels:k8s-app: default-http-backend
spec:ports:- port: 80targetPort: 8080selector:k8s-app: default-http-backend

还需要配合rbac代码，这里不再列举。

configMap代码

apiVersion: v1
kind: ConfigMap
metadata:name: nginx-configurationnamespace: kube-system  # 确保这个与 Ingress Controller 所在的命名空间一致
data:proxy-read-timeout: "120"proxy-send-timeout: "120"client-max-body-size: "50m"use-proxy-protocol: "false"

不同的ingress controller

一个 Ingress Controller 实例通常对应一种特定的反向代理。例如，nginx-ingress-controller 仅支持 NGINX 作为反向代理，而 traefik-ingress-controller 只支持 Traefik。但你可以在同一个 Kubernetes 集群中运行多个不同类型的 Ingress Controller，每个控制器处理不同的 Ingress 资源或不同的域名。

nginx ingress controller 是k8s中最常使用的ingress controller。

traefik ingress controller是专门针对http/https的反向代理和负载均衡器，更适合微服务。

HAProxy Ingress Controller是基于 HAProxy 的ingress controller，Envoy Ingress Controller使用 Envoy 作为反向代理，通常在基于服务网格的架构中使用。