ingress是什么？

是kubernetes的一个资源对象，用于将不同URL的访问请求转发到后端不同的Service，以实现HTTP层的业务路由机制。kubernetes使用了一个ingress策略定义和一个具体的Ingress Controller，两者相互配合才能实现一个完整的ingress负载均衡器。

ingress-controller又是什么？ingress和ingress-controller如何做CP?

ingress-controller是ingress资源对象正在做实际动作的执行者，而ingress只是一段配置，是负责告诉ingress-controller如何做负载调度；具体的说就是使用ingress进行负载分发时，ingress controller基于ingress规则将客户端请求直接转发到service对应的后端Endpoint（Pod）上，这样就可以直接跳过kube-proxy的转发功能，kube-proxy不再起作用

ingress和service的区别？

ingress可以实现七层，针对HTTP服务，不同的URL地址经常对应到不同的后端服务或者虚拟服务器

service只能实现四层，也就是IP:Port，即TCP/IP层

注：在下面的配置测试中，所使用的kubernetes版本是V1.17.1

配置ingress

创建ingress目录并进入

# mkdir ingress && cd ingress

下载官方ingress-controller服务

# wget https://raw.githubusercontent.com/kubernetes/ingress-nginx/master/deploy/static/mandatory.yaml

#  wget https://github.com/kubernetes/ingress-nginx/blob/master/deploy/static/provider/baremetal/service-nodeport.yaml

启动ingress-controller服务，在启动前可根据自己需求修改service-nodeport配置文件内的对外暴露的端口

# kubectl apply -f ./

查看启动情况

# kubectl get pod -n ingress-nginx

编写需要被调度的后端服务，这里使用Tomcat，Nginx做测试

tomcat的Deployment和Service

# vim tomcat.yaml

apiVersion: apps/v1

kind: Deployment

metadata:

  name: tomcat-deploy

  namespace: ingress-nginx

spec:

  replicas: 2

  selector:

    matchLabels:

      app: tomcat

  template:

    metadata:

        labels:

          app: tomcat

    spec:

      containers:

      - name: tomcat

        image: tomcat

        ports:

        - containerPort: 8080

          name: httpport

        - containerPort: 8009

          name: ajpport

---

apiVersion: v1

kind: Service

metadata:

  name: tomcat-svc

  namespace: ingress-nginx

  labels:

    app: tomcat-svc

spec:

  selector:

    app: tomcat

  ports:

  - name: http

    port: 80

    targetPort: 8080

    protocol: TCP

nginx的Deployment和Service

# vim nginx.yaml

apiVersion: apps/v1

kind: Deployment

metadata:

  name: nginx-deploy

  namespace: ingress-nginx

spec:

  replicas: 2

  selector:

    matchLabels:

      app: nginx

  template:

    metadata:

      labels:

          app: nginx

    spec:

      containers:

      - name: nginx

        image: nginx

        ports:

        - name: httpport

          containerPort: 80

---

apiVersion: v1

kind: Service

metadata:

  name: nginx-svc

  namespace: ingress-nginx

  labels:

    app: nginx-svc

spec:

  selector:

    app: nginx

  ports:

  - name: http

    port: 80

    targetPort: 80

    protocol: TCP

以上基础工作已经做好了，下面就要配置Tomcat和Nginx的ingress了

ingress配置负载分发策略的主要转发策略有：

1、转发到单个后端服务上，是指当请求到达 ingress controller时都会被转发到后端的唯一service上，在这种配置中无需定义rule

  例如：

    #  vim tomcat-ingress.yaml

    apiVersion: extensions/v1beta1

    kind: Ingress

    metadata:

      name: test-ingress

      namespace: ingress-nginx

    spec:

          backend:

              serviceName: tomcat-svc

              servicePort: 80

2、同一域名下，不同的URL路径被转发到不同的服务上；是指用于一个网站通过不同的路径提供不同的服务场景，例如/tomcat表示请求Tomcat后端程序，/nginx表示请求Nginx后端服务；但是该方法经过测试发现当请求配置的目录时，后端也必须要有相同的目录不然会出现404的情况，简单说就是当请求/nginx时，后端的Nginx的根目录内也必须有nginx目录

  配置实例：

# vim test-ingress.yaml

apiVersion: extensions/v1beta1

kind: Ingress

metadata:

  name: test1-ingress

  namespace: ingress-nginx

  annotations:

    kubernetes.io/ingress.class: "nginx"

spec:

  rules:

  - host: test1.meisfuture.com

    http:

      paths:

      - path: /tomcat

        backend:

          serviceName: tomcat-svc

          servicePort: 80

      - path: /nginx

        backend:

          serviceName: nginx-svc

          servicePort: 80

      - path:

        backend:

          serviceName: nginx2-svc

          servicePort: 80

3、不同域名被转发到不同的服务上；是指用于一个网站通过不同的域名或虚拟主机名提供不同的服务，简单说就是test1.meisfuture.com提供tomcat服务，test2.meisfuture.com提供Nginx服务

  配置实例：

#  vim test-ingress.yaml

apiVersion: extensions/v1beta1

kind: Ingress

metadata:

  name: test1-ingress

  namespace: ingress-nginx

  annotations:

    kubernetes.io/ingress.class: "nginx"

spec:

  rules:

  - host: test1.meisfuture.com

    http:

      paths:

      - path: /tomcat

        backend:

          serviceName: tomcat-svc

          servicePort: 80

      - path: /nginx

        backend:

          serviceName: nginx-svc

          servicePort: 80

      - path:

        backend:

          serviceName: nginx2-svc

          servicePort: 80

  - host: test2.meisfuture.com

    http:

      paths:

      - backend:

          serviceName: nginx2-svc

          servicePort: 80

Ingress使用https的使用方法：

让Ingress提供HTTPS的方式访问，需要在Ingress域名内开启TLS安全证书配置，配置方式如下：

1、创建证书的密钥和SSL证书文件（我认为购买的已经认证好的证书和自己做测试自己生成的证书是一样可以放在第二步使用的）

2、给证书创建一个secret资源对象

3、将该证书的secret配置到ingress内

1、创建证书

# openssl genrsa -out test1meis.key 2048

# openssl req -new -x509 -key test1meis.key -out test1meis.crt -subj /C=CN/ST=Beijing/L=Beijing/O=DevOps/CN=test1.meisfuture.com -days 3650

2、创建secret资源对象

# kubectl create secret tls test1meis-ingress-secret --cert=test1meis.crt --key=test1meis.key -n ingress-nginx

3、将证书的secret配置放到ingress内

# vim test-ingress-tls.yaml

apiVersion: extensions/v1beta1

kind: Ingress

metadata:

  name: test1-ingress

  namespace: ingress-nginx

  annotations:

    kubernetes.io/ingress.class: "nginx"

spec:

tls:

  - hosts:

    - test1.meisfuture.com

    secretName: test1meis-ingress-secret

  rules:

  - host: test1.meisfuture.com

    http:

      paths:

      - path: /tomcat

        backend:

          serviceName: tomcat-svc

          servicePort: 80

      - path: /nginx

        backend:

          serviceName: nginx-svc

          servicePort: 80

      - path:

        backend:

          serviceName: nginx2-svc

          servicePort: 80

以上配置都是经过测试可返回正确的页面和返回值，测试结果就不再贴图；

测试过程就是将本地机器绑定hosts，使用http://test1.meisfuture.com:30080;https://test1.meisfuture.com:30443方式测试即可

（我在service-nodeport配置文件中修改了暴露端口为http:30080,https:30443）

  在ingress配置中，我认为在Ingress.metadata,annotations中的配置非常重要，且在深入使用ingress时肯定要经常增加相关配置，具体相关配置请见官网链接：

https://kubernetes.github.io/ingress-nginx/user-guide/nginx-configuration/annotations/

文章链接：http://blog.meisfuture.com/?p=433