什么是Ingress

Ingress是Kubernetes中一种对集群中服务的外部访问进行管理的API对象，它典型的访问方式是HTTP和HTTPS。Ingress可以提供负载均衡、SSL和基于名称的虚拟托管等功能。不过，要实现Ingress的功能，必须部署一个Ingress控制器（如ingress-nginx）来满足Ingress资源的要求，仅创建Ingress资源本身是无效的。

Ingress公开了从集群外部到集群内部服务的HTTP和HTTPS路由，这些路由由Ingress资源上定义的规则来控制。可以将Ingress配置为提供服务外部可访问的URL、负载均衡流量、SSL/TLS，以及基于名称的虚拟主机等功能。

以下是Ingress的详细说明及示例：

Ingress详细说明

1. 工作原理：
   Ingress控制器通常负责通过负载均衡器来实现Ingress，它也可以配置边缘路由器或其他前端来帮助处理流量。Ingress不会公开任意端口或协议，如果需要将HTTP和HTTPS以外的服务公开到Internet，通常使用Service.Type=NodePort或Service.Type=LoadBalancer类型的服务。

2. 功能特点：

   • 负载均衡：Ingress可以根据定义的规则将外部流量分发到集群内部的不同服务上。
   • SSL/TLS：Ingress可以配置SSL/TLS证书，为外部访问提供加密的HTTPS连接。
   • 基于名称的虚拟托管：Ingress支持将不同的域名或URL路径映射到集群内部的不同服务上，实现基于名称的虚拟托管。

3. Ingress规则：
   Ingress规则定义了如何将外部流量路由到集群内部的服务。规则可以基于域名、URL路径、请求头等信息进行匹配，并将匹配的流量转发到指定的后端服务。

Ingress示例

以下是一个使用Nginx Ingress控制器的Ingress资源示例：

apiVersion: networking.k8s.io/v1
kind: Ingress
metadata:
  name: my-ingress
  annotations:
    nginx.ingress.kubernetes.io/rewrite-target: /$2
spec:
  rules:
  - host: www.example.com
    http:
      paths:
      - path: /service1(/|$)(.*)
        pathType: Prefix
        backend:
          service:
            name: service1
            port:
              number: 80
      - path: /service2(/|$)(.*)
        pathType: Prefix
        backend:
          service:
            name: service2
            port:
              number: 80

在这个示例中，定义了一个名为my-ingress的Ingress资源，它有两个规则：

1. 当访问www.example.com/service1时，流量将被转发到名为service1的后端服务上。
2. 当访问www.example.com/service2时，流量将被转发到名为service2的后端服务上。

注意：nginx.ingress.kubernetes.io/rewrite-target注解用于重写目标URL，/$2表示将匹配到的第二个捕获组作为重写后的目标URL。在这个示例中，由于路径中使用了正则表达式捕获组，因此需要进行重写以确保请求能够正确转发到后端服务。

另外，pathType字段指定了路径的匹配类型，这里使用了Prefix类型，表示基于路径前缀进行匹配。

这个示例展示了如何使用Ingress资源来定义外部流量到集群内部服务的路由规则，并实现了基于域名的虚拟托管。

Ingress控制器

Ingress控制器是Kubernetes集群中的一个组件，它负责实现Ingress资源定义的路由规则。Ingress资源本身只是定义了一系列规则，指明了外部流量如何被转发到集群内的服务上，但实际的流量转发工作是由Ingress控制器来完成的。

Ingress控制器的工作原理

1. 监听Ingress资源变化：Ingress控制器通过Kubernetes的API服务器监听集群中Ingress资源的变化。当Ingress资源被创建、更新或删除时，Ingress控制器会感知到这些变化。

2. 解析Ingress规则：Ingress控制器读取Ingress资源中定义的规则，这些规则通常包括域名、路径和后端服务等信息。Ingress控制器会根据这些规则生成相应的配置。

3. 生成配置并应用：Ingress控制器根据解析后的规则生成配置，这些配置可能是Nginx、HAProxy或其他反向代理软件的配置文件。然后，Ingress控制器将这些配置应用到其管理的反向代理实例上。

4. 流量转发：当外部流量到达Ingress控制器时，它会根据生成的配置将流量转发到相应的后端服务上。这通常涉及HTTP或HTTPS协议的解析、路由决策和负载均衡等过程。

Ingress控制器的特点

• 可扩展性：Ingress控制器可以支持多种反向代理软件，如Nginx、HAProxy等，从而提供了灵活的配置选项和性能优化空间。

• 动态更新：由于Ingress控制器通过Kubernetes的API服务器监听Ingress资源的变化，因此它可以动态地更新配置而无需重启服务。

• 安全性：Ingress控制器可以配置SSL/TLS证书，为外部流量提供加密传输。此外，它还可以实现身份认证和授权等功能，增强集群的安全性。

• 高可用性：Ingress控制器通常部署为多个副本，以确保在单个节点故障时仍能继续提供服务。

常见的Ingress控制器

• Nginx Ingress Controller：这是最常用的Ingress控制器之一，它基于Nginx反向代理软件构建，提供了高性能和丰富的配置选项。

• Traefik Ingress Controller：Traefik是一个易于使用的Ingress控制器，它支持多种反向代理后端，并提供了丰富的监控和日志功能。

• HAProxy Ingress Controller：基于HAProxy构建的Ingress控制器，提供了高性能和可靠性。

• Istio Ingress Gateway：Istio是一个服务网格解决方案，它提供了自己的Ingress Gateway组件，用于处理外部流量并将其转发到集群内的服务上。

总的来说，Ingress控制器是Kubernetes集群中处理外部流量访问的关键组件之一。通过配置Ingress资源和Ingress控制器，可以轻松地实现复杂的路由规则和流量管理策略。

Ingress关联Ingress控制器

在Kubernetes集群中，Ingress与Ingress控制器的关联是通过Ingress资源对象与Ingress控制器之间的协作实现的。以下详细解释Ingress如何关联Ingress控制器：

一、Ingress资源对象

Ingress资源对象是Kubernetes中的一个API对象，它定义了外部用户如何访问集群内部运行的服务。Ingress资源对象通常包含以下关键信息：

• 规则（Rules）：指定了哪些域名和路径应该被转发到哪些后端服务上。
• 后端服务（Backend Services）：定义了Ingress规则所指向的具体服务，通常包括服务名称和端口号。

二、Ingress控制器

Ingress控制器是一个运行在Kubernetes集群中的组件，它负责监听Ingress资源对象的变化，并根据这些变化动态地更新其内部的配置，以实现流量的路由和转发。Ingress控制器通常具备以下功能：

• 监听Ingress资源变化：通过Kubernetes的API服务器实时感知Ingress资源对象的变化。
• 解析Ingress规则：读取Ingress资源对象中定义的规则，并解析为可执行的配置。
• 流量转发：根据解析后的规则，将外部流量转发到相应的后端服务上。

三、Ingress与Ingress控制器的关联方式

1. 定义Ingress资源对象：
   • 在Kubernetes集群中，首先需要定义一个Ingress资源对象，该对象包含了外部访问集群内部服务的规则。
   • 可以通过YAML文件或其他方式定义Ingress资源对象，并使用kubectl apply命令将其应用到集群中。
2. 部署Ingress控制器：
   • 在Kubernetes集群中部署Ingress控制器，这通常是通过部署一个Pod或DaemonSet来实现的。
   • Ingress控制器会监听集群中Ingress资源对象的变化，并根据这些变化动态地更新其配置。
3. 自动关联：
   • 一旦Ingress资源对象和Ingress控制器都被正确部署到Kubernetes集群中，它们之间就会自动建立关联。
   • Ingress控制器会根据Ingress资源对象中定义的规则，将外部流量转发到相应的后端服务上。
4. 验证配置：
   • 为了确保Ingress和Ingress控制器之间的关联正确无误，可以通过查看Ingress控制器的日志或使用kubectl get ingress命令来验证Ingress资源对象的状态和配置。

四、注意事项

• Ingress控制器的实现和功能可能会因所使用的具体控制器（如Nginx Ingress Controller、Traefik Ingress Controller等）而有所不同。因此，在部署和使用Ingress时，需要参考相应控制器的文档和配置指南。
• Ingress控制器通常需要配置为使用NodePort、LoadBalancer或IngressClass等类型的服务来暴露外部访问的入口点。这取决于集群的部署环境和网络配置。

综上所述，Ingress与Ingress控制器的关联是通过在Kubernetes集群中定义Ingress资源对象并部署Ingress控制器来实现的。它们之间的协作使得外部用户可以通过定义的规则和路径访问集群内部的服务。

多实例部署

在Kubernetes（K8s）集群中配置Ingress多实例，通常是为了实现更复杂的路由规则、负载均衡或提供不同的服务访问入口。以下是在K8s中配置Ingress多实例的详细步骤：

一、Ingress多实例配置概述

Ingress是K8s中用于管理外部访问集群内部服务的资源对象。通过Ingress，可以配置基于主机名和路径的路由规则，将外部请求定向到集群内部的服务。为了实现Ingress多实例，需要为每个实例配置唯一的标识，并确保它们不会相互干扰。

二、配置关键启动参数

1. 不同命名空间下的多实例：

   • 如果要在不同的命名空间下部署多个Ingress实例，可以通过设置controller-class和ingress-class参数来区分它们。这些参数在Ingress控制器的启动参数中指定，并确保它们的唯一性。
   • 示例配置（YAML格式）：

   args:
     - /nginx-ingress-controller
     - --controller-class=k8s.io/prod-internal # 控制器类，必须唯一
     - --ingress-class=prod-internal # ingress类，必须唯一
   

2. 相同命名空间下的多实例：

   • 如果需要在同一个命名空间下部署多个Ingress实例，除了设置controller-class和ingress-class参数外，还需要设置election-id参数来确保选举的唯一性。
   • 示例配置（YAML格式）：

   args:
     - /nginx-ingress-controller
     - --election-id=ingress-controller-leader-prod-internal # 选举ID，必须唯一
     - --controller-class=k8s.io/prod-internal # 控制器类，必须唯一
     - --ingress-class=prod-internal # ingress类，必须唯一
   

三、创建IngressClass资源

为每个Ingress实例创建一个唯一的IngressClass资源。IngressClass资源定义了Ingress控制器的相关信息，包括控制器名称和参数等。

示例配置（YAML格式）：

apiVersion: networking.k8s.io/v1
kind: IngressClass
metadata:
  name: prod-internal
spec:
  controller: k8s.io/prod-internal

四、创建Ingress资源并指定IngressClass

在创建Ingress资源时，通过ingressClassName字段指定要使用的IngressClass。这样，Ingress资源就会由对应的Ingress控制器管理。

示例配置（YAML格式）：

apiVersion: networking.k8s.io/v1
kind: Ingress
metadata:
  name: test
  namespace: prod
spec:
  ingressClassName: prod-internal
  rules:
  - host: "foo.bar.com"
    http:
      paths:
      - path: /test
        pathType: Prefix
        backend:
          service:
            name: xwd-social
            port:
              number: 80

五、验证配置

1. 检查Ingress和IngressClass：

   • 使用kubectl get ingress和kubectl get ingressclass命令检查Ingress和IngressClass资源是否已正确创建。

2. 访问测试：

   • 根据配置的域名和路径访问Ingress服务，验证请求是否正确路由到后端服务。

六、注意事项

1. 唯一性：确保每个Ingress实例的controller-class、ingress-class和（在相同命名空间下）election-id参数是唯一的，以避免冲突。
2. 资源隔离：如果可能的话，将不同的Ingress实例部署在不同的命名空间中，以减少配置上的复杂性。
3. 监控和日志：为Ingress控制器配置监控和日志记录，以便及时发现和解决问题。

通过以上步骤，您可以在K8s集群中成功配置多个Ingress实例，实现更复杂的路由规则和负载均衡策略。

集群外部访问Ingress

在Kubernetes集群中，Ingress提供了一种管理外部访问流量的方式，允许将外部HTTP和HTTPS流量路由到集群内部的服务。要使集群外部能够访问Ingress，通常需要按照以下步骤进行配置：

一、部署Ingress控制器

Ingress控制器是实际实现Ingress资源定义的组件，它负责监听Ingress资源的变化，并根据定义更新负载均衡器或反向代理服务器的配置。常见的Ingress控制器包括Nginx Ingress Controller、Traefik等。

1. 选择Ingress控制器：根据集群环境和需求选择合适的Ingress控制器。
2. 安装Ingress控制器：按照Ingress控制器的官方文档进行安装。通常，这包括下载相应的YAML文件并应用到Kubernetes集群中。

二、创建Ingress资源

Ingress资源定义了从集群外部到内部服务的路由规则。

1. 定义Ingress规则：在Ingress资源中指定想要暴露的服务、路由规则、TLS配置等。
2. 应用Ingress资源：将定义好的Ingress资源应用到Kubernetes集群中。

三、配置域名解析

为了使外部用户能够通过域名访问Ingress，需要在域名解析服务商处配置解析记录，将域名指向集群的Ingress IP地址。这通常涉及以下步骤：

1. 获取Ingress IP地址：在Kubernetes集群中，Ingress控制器通常会创建一个负载均衡器，并分配一个IP地址。需要获取这个IP地址。
2. 配置域名解析：在域名解析服务商的网站上，为域名添加一条A记录或CNAME记录，将域名指向Ingress IP地址。

四、验证访问

完成以上步骤后，可以通过访问配置的域名来验证Ingress是否按预期工作。如果一切正常，应该能够访问到集群内部的服务。

示例

以下是一个使用Nginx Ingress控制器和Ingress资源的示例：

1. 部署Nginx Ingress控制器：

   kubectl apply -f https://raw.githubusercontent.com/kubernetes/ingress-nginx/controller-x.y.z/deploy/static/provider/cloud/deploy.yaml
   

   其中x.y.z是Nginx Ingress控制器的版本号，需要根据实际情况进行替换。

2. 创建Ingress资源：

   apiVersion: networking.k8s.io/v1
   kind: Ingress
   metadata:
     name: my-ingress
   spec:
     rules:
     - host: myapp.example.com
       http:
         paths:
         - path: /
           pathType: Prefix
           backend:
             service:
               name: my-service
               port:
                 number: 80
   

   在这个示例中，定义了一个名为my-ingress的Ingress资源，它将myapp.example.com域名的流量路由到名为my-service的后端服务上。

3. 配置域名解析：在域名解析服务商处，为myapp.example.com添加一条A记录，将域名指向Ingress控制器的IP地址。

4. 验证访问：在浏览器中访问myapp.example.com，应该能够访问到my-service服务提供的内容。
   通过以上步骤，集群外部的用户就可以通过域名访问到Kubernetes集群内部的服务了。

Ingress访问service

Ingress访问Service的流程
当外部用户通过域名访问Ingress时，Ingress控制器的工作流程如下：

• 接收请求：Ingress控制器监听在指定的端口（通常是80和443）上，接收来自外部的HTTP和HTTPS请求。
• 匹配规则：Ingress控制器根据Ingress资源中定义的规则，匹配请求的域名和路径。
• 转发请求：一旦匹配到规则，Ingress控制器会将请求转发到对应的后端Service上。这通常涉及将请求转发到Service的ClusterIP，然后由Service将请求进一步分发到其背后的Pod上。
• 处理响应：Pod处理请求并生成响应，响应通过Service、Ingress控制器返回给外部用户。