1、Ingress

在Kubernetes中，服務和Pod的IP地址僅可以在叢集網路內部使用，對於叢集外的應用是不可見的。為了使外部的應用能夠訪問叢集內的服務，在Kubernetes中可以通過NodePort和LoadBalancer這兩種型別的服務，或者使用Ingress。

插曲--------------------------------------------------------------------start----------------------------------------------------------------------------------------------------------------------------

　　一、Kubernetes 服務暴露介紹

　　從 kubernetes 1.2 版本開始，kubernetes提供了 Ingress 物件來實現對外暴露服務；到目前為止 kubernetes 總共有三種暴露服務的方式:

• LoadBlancer Service
• NodePort Service
• Ingress

　　1.1、LoadBlancer Service

　　LoadBlancer Service 是 kubernetes 深度結合雲平臺的一個元件；當使用 LoadBlancer Service 暴露服務時，實際上是通過向底層雲平臺申請建立一個負載均衡器來向外暴露服務；目前 LoadBlancer Service 支援的雲平臺已經相對完善，比如國外的 GCE、DigitalOcean，國內的 阿里雲，私有云 Openstack 等

　　等，由於 LoadBlancer Service 深度結合了雲平臺，所以只能在一些雲平臺上來使用

　　1.2、NodePort Service

　　NodePort Service 顧名思義，實質上就是通過在叢集的每個 node 上暴露一個埠，然後將這個埠對映到某個具體的 service 來實現的，雖然每個 node 的埠有很多(0~65535)，但是由於安全性和易用性(服務多了就亂了，還有埠衝突問題)實際使用可能並不多

　　1.3、Ingress

　　Ingress 這個東西是 1.2 後才出現的，通過 Ingress 使用者可以實現使用 nginx 等開源的反向代理負載均衡器實現對外暴露服務

插曲---------------------------------------------------------------------------------------------end-----------------------------------------------------------------------------------------------

Ingress本質是通過http代理伺服器將外部的http請求轉發到叢集內部的後端服務。Kubernetes目前支援GCE和nginx控制器；另外，F5網路為Kubernetes提供了F5 Big-IP控制器。通過Ingress，外部應用訪問群集內容服務的過程如下所示。

Ingress控制器通常會使用負載均衡器來負責實現Ingress，儘管它也可以通過配置邊緣路由器或其它前端以HA方式處理流量。

2、Ingress配置檔案

下面是Ingress YAML配置檔案的示例：

apiVersion: extensions/v1beta1 
kind: Ingress 
metadata: 
  name: test-ingress 
  annotations: nginx.ingress.kubernetes.io/rewrite-target: / 
spec: 
  rules: 
  - http: 
    paths: 
    - path: /testpath 
      backend: 
        serviceName: test 
        servicePort: 80

• 1-6行：Ingress YAML檔案中的1-6行與其它的Kubernetes配置檔案一樣，需要apiVersion, kind和metadata欄位。此示例定義了名稱為test-ingress的Ingress。
• 7-9行：Ingress規格具有配置負載均衡器或代理伺服器所需的所有資訊。最重要的是，它包含與所有傳入請求相匹配的規則列表。目前，Ingress資源僅支援http規則。
• 10-11行：每個http規則都包含以下資訊：一個主機（例如：foo.ba.com，在這個例子中為*），一個路徑列表（例如：/testpath），每個路徑都有一個相關的後端（test：80）。在負載均衡器將業務引導到後端之前，主機和路徑都必須匹配傳入請求的內容。
• 12-14行：後端是服務:埠（test：80）的組合。Ingress流量通常被直接傳送到與後端相匹配的端點。

3、Ingress型別

3.1 代理單一服務

Kubernetes可以使用LoadBalancer和NodePort型別的服務暴露服務，也可以通過一個Ingress來實現。下面是名稱為test-ingress的Ingress YAML檔案，它將對外代理名稱為testsvc的服務。

apiVersion: extensions/v1beta1 
kind: Ingress 
metadata: 
  name: single-ingress 
  annotations: nginx.ingress.kubernetes.io/rewrite-target: / 
spec: 
  rules: 
  - host: foo.bar.com 
    http: 
      paths: 
      - path: /foo 
        backend: 
          serviceName: s1 
          servicePort: 80

通過kubectl create -f建立上述的Ingress，在建立後可以通過kubectl get ing的命令獲取Ingress的列表資訊：

$ kubectl get ing 

NAME RULE BACKEND ADDRESS

single-ingress –s1:80 107.178.254.228

3.2 代理多個服務

如前所述，在kubernetes 中Pod的IP地址只能對群集內的其它的應用可見。因此，如果需要接受叢集外部的流量，並將其代理到叢集中後端服務。在此示例中，通過foo.bar.com(IP地址為：178.91.123.132)主機作為代理伺服器。當路徑為http://foo.bar.cm:80/foo時，將會訪問後端的s1服務；當路徑為http://foo.bar.cm:80/bar時，將會訪問後端的s2服務。

foo.bar.com -> 178.91.123.132 -> / foo s1:80 / bar s2:80

針對上述場景，Ingress的YAML配置檔案如下所示：

apiVersion: extensions/v1beta1 
kind: Ingress 
metadata: 
  name: mult-ingress 
  annotations: nginx.ingress.kubernetes.io/rewrite-target: / 
spec: 
  rules: 
  - host: foo.bar.com 
    http: 
      paths: 
      - path: /foo 
        backend: 
          serviceName: s1 
          servicePort: 80 
      - path: /bar 
        backend: 
          serviceName: s2 
          servicePort: 80

通過kubctl create -f命令建立上述的Ingress：

$ kubectl get ing 

NAME RULE BACKEND ADDRESS

mult-ingress – foo.bar.com /foo s1:80 /bar s2:80

預設後端：沒有規則的入口，就像前一節中所示的那樣，會將所有的流量傳送到一個預設的後端。通過指定一組規則和預設後端，可以使用相同的技術來告訴負載均衡器，可以在哪裡能夠找到網站的404頁。如果在Ingress中沒有與請求頭中主機相匹配的主機，並且/或者沒有與請求的URL相匹配的路徑，那麼路由將被路由到預設的後端。

參考資料

https://mritd.me/2016/12/06/try-traefik-on-kubernetes/#%E4%B8%80kubernetes-%E6%9C%8D%E5%8A%A1%E6%9A%B4%E9%9C%B2%E4%BB%8B%E7%BB%8D

作者簡介：
季向遠，北京神舟航天軟體技術有限公司產品經理。本文版權歸原作者所有。