kubernetesTraefikingress配置详解
理解Ingress
简单的说,ingress就是从kubernetes集外访问集的⼊⼝,将⽤户的URL请求转发到不同的service上。Ingress相当于nginx、apache等负载均衡⽅向代理服务器,其中还包括规则定义,即URL的路由信息,路由信息得的刷新由来提供。
理解Ingress Controller
Ingress Controller 实质上可以理解为是个监视器,Ingress Controller 通过不断地跟 kubernetes API 打交道,实时的感知后端 service、pod 等变化,⽐如新增和减少 pod,service 增加与减少等;当得到这些变化信息后,Ingress Controller 再结合下⽂的 Ingress ⽣成配置,然后更新反向代理负载均衡器,并刷新其配置,达到服务发现的作⽤。
部署Traefik
是⼀款开源的反向代理与负载均衡⼯具。它最⼤的优点是能够与常见的微服务系统直接整合,可以实现⾃动化动态配置。⽬前⽀持Docker, Swarm, Mesos/Marathon, Mesos, Kubernetes, Consul, Etcd, Zookeeper, BoltDB, Rest API等等后端模型。
配置⽂件
ingress-rbac.yaml
apiVersion: v1
kind: ServiceAccount
metadata:
name: ingress
namespace: kube-system
---
kind: ClusterRoleBinding
apiVersion: rbac.authorization.k8s.io/v1beta1
metadata:
name: ingress
subjects:
- kind: ServiceAccount
name: ingress
namespace: kube-system
roleRef:
kind: ClusterRole
name: cluster-admin
apiGroup: rbac.authorization.k8s.io
创建名为traefik-ingress的ingress,⽂件名ingress.yaml
apiVersion: extensions/v1beta1
kind: Ingress
metadata:
name: traefik-ingress
namespace: default
spec:
rules:
- host: traefik.locust.io
http:
paths:
- path: /
backend:
serviceName: locust-master #确保此service-name在上⾯指定的namespace中
servicePort: 8089
这其中的backend中要配置default namespace中启动的service名字,如果你没有配置namespace名字,默认使⽤default namespace,如果你在其他namespace中创建服务想要暴露到kubernetes集外部,可以创建新的ingress.yaml⽂件,同时在⽂件中指定该namespace,其他配置与上⾯的⽂件格式相同。。path就是URL地址后的路径,如traefik.frontend.io/path,service将会接受path这个路径,host最好使⽤service-name.filed1.filed2.domain-name这种类似主机名称的命名⽅式,⽅便区分服务。
根据你⾃⼰环境中部署的service的名字和端⼝⾃⾏修改,有新service增加时,修改该⽂件后可以使⽤kubectl replace -f ingress.yaml来更新。
使⽤DaemonSet类型来部署Traefik,⽂件名 l apiVersion: extensions/v1beta1
kind: DaemonSet
metadata:
name: traefik-ingress-lb
namespace: kube-system
labels:
k8s-app: traefik-ingress-lb
spec:
template:
metadata:
labels:
k8s-app: traefik-ingress-lb
name: traefik-ingress-lb
spec:
terminationGracePeriodSeconds: 60
hostNetwork: true
restartPolicy: Always
serviceAccountName: ingress
containers:
- image: traefik
name: traefik-ingress-lb
resources:
limits:
cpu: 200m
memory: 30Mi
requests:
cpu: 100m
memory: 20Mi
ports: #暴露端⼝
- name: http
containerPort: 80
hostPort: 80
- name: admin
containerPort: 8580
hostPort: 8580
args:
- --web
-
--web.address=:8580
- --kubernetes
#nodeSelector:
#edgenode: "true"
查看pod信息并访问ui(需要配置)
10.10.10.12:8580/dashboard/
如下所⽰
默认情况下是没任何东西的
使⽤下⾯的yaml配置来创建Traefik的ingress,⽂件名 ui.yml apiVersion: v1
kind: Service
metadata:
name: traefik-web-ui
namespace: kube-system
spec:
selector:
k8s-app: traefik-ingress-lb
ports:
- name: web
port: 80
targetPort: 8580
---
apiVersion: extensions/v1beta1
kind: Ingress
metadata:
name: traefik-web-ui
namespace: kube-system
spec:
rules:
- host: aefik-ingress.io
http:
paths:
- path: /
backend:
serviceName: traefik-web-ui
servicePort: web
创建
kubectl create -f .
部署Locust的Controller和Service
locust是啥。。⾃⾏百度
$ git clone github/rootsongjc/distributed-load-testing-using-kubernetes.gitnodeselector
$ cd distributed-load-testing-using-kubernetes/kubernetes-config
修改locust-master-cotnroller中v字段中的value为你sample-webapp service的名字(要进⾏压⼒测试的服务的地址)。例:
- name: TARGET_HOST
value: jenkins.kube-system.svc.cluster.local:8080
部署locust-master
$ kubectl create -f locust-master-controller.yaml
$ kubectl create -f locust-master-service.yaml
部署locust-worker
$ kubectl create -f locust-worker-controller.yaml
#worker扩容
$ kubectl scale --replicas=20 replicationcontrollers locust-worker
配置Traefik
ingress.yaml中加⼊如下配置(上⾯已经配置):
- host: traefik.locust.io
http:
paths:
- path: /
backend:
serviceName: locust-master #namespace要写对
servicePort: 8089
然后执⾏kubectl replace -f ingress.yaml即可更新traefik。
本地配置host,然后访问traefik.locust.io
start swarming就会开始测试
设置边缘节点
⾸先解释下什么叫边缘节点(Edge Node),所谓的边缘节点即集内部⽤来向集外暴露服务能⼒的节点,集外部的服务通过该节点来调⽤集内部的服务,边缘节点是集内外交流的⼀个Endpoint。
边缘节点要考虑两个问题
边缘节点的⾼可⽤,不能有单点故障,否则整个kubernetes集将不可⽤
对外的⼀致暴露端⼝,即只能有⼀个外⽹访问IP和端⼝
在Kubernetes中添加了service的同时,在DNS中增加⼀个记录,这条记录需要跟ingress中的host字段相同,IP地址即VIP的地址,本⽰例中
是10.10.10.166,这样集外部就可以通过service的DNS名称来访问服务了。
选择Kubernetes的两个个node作为边缘节点,并安装keepalived,下图展⽰了边缘节点的配置,同时展⽰了向Kubernetes中添加服务的过程。
配置说明
需要对原先的traefik ingress进⾏改造,从以Deployment⽅式启动改成DeamonSet。还需要指定⼀个与node在同⼀⽹段的IP地址作为VIP,这⾥指定成10.10.10.166,配置keepalived前需要先保证这个IP没有被分配。。
Traefik以DaemonSet的⽅式启动
通过hostPort暴露端⼝
当前VIP漂移到10.10.10.166上
Traefik根据访问的host和path配置,将流量转发到相应的service上
安装keepalived并配置
yum install keepalived ipvsadm
配置
! Configuration File for keepalived
global_defs {
notification_email {
root@localhost
}
notification_email_from kaadmin@localhost
smtp_server 127.0.0.1
smtp_connect_timeout 30
router_id LVS_DEVEL
}
vrrp_instance VI_1 {
state MASTER
interface eth0
virtual_router_id 51
priority 100
advert_int 1
authentication {
auth_type PASS
auth_pass 1111
}
virtual_ipaddress {
10.10.10.166
}
}
virtual_server 10.10.10.166 80{
delay_loop 6
lb_algo loadbalance
lb_kind DR
nat_mask 255.255.255.0
persistence_timeout 0
protocol TCP
real_server 10.10.10.12 80{
weight 1
TCP_CHECK {
connect_timeout 3
}
}
real_server 10.10.10.162 80{
weight 1
TCP_CHECK {
connect_timeout 3
}
}
}
Realserver的IP和端⼝即traefik供外⽹访问的IP和端⼝。将以上配置分别拷贝到另外⼀台node的/etc/keepalived⽬录下。
使⽤转发效率最⾼的lb_kind DR直接路由⽅式转发,使⽤TCP_CHECK来检测real_server的health。
设置keepalived为开机⾃启动:
chkconfig keepalived on
启动keepalived
systemctl start keepalived
node都启动了keepalived后,观察eth0的IP,会在两台node的某⼀台上发现⼀个VIP是10.10.10.166。
从新配置traefik ingress
由于上⾯配置了keepalived,此时,本地hosts ⽂件的解析地址可以写成10.10.10.166,使⽤基于域名的traefik ingress 以上⾯的locust为例,配置traefik ingress如下
apiVersion: extensions/v1beta1
kind: Ingress
metadata:
name: traefik-ingress
namespace: default
annotations: #必须指定
kubernetes.io/ingress.class: traefik
traefik.pe: PathPrefixStrip
spec:
rules:
#- host: traefik.locust.io
- host: aefik-ingress.io
http:
paths:
- path: /locust #此处配置了url,上⾯必须指定annotations指定的配置
backend:
serviceName: locust-master
servicePort: 8089
创建好以后,访问 aefik-ingress.io/locust
其他服务同理,host可写aefik-ingress.io,只配置path⽤于区分不同的服务,访问的时候访问host/path即可
Traefik在Kubernetes中Annotate的配置
通⽤配置
kubernetes.io/ingress.class: traefik #Ingress声明,这⾥声明了ingress后端采⽤traefik实现,⽽不是nginx的controller
ingress.kubernetes.io/whitelist-source-range: "1.2.3.0/24, fe80::/16" #配置访问⽩名单,⽀持ipv4和ipv6
ingress.kubernetes.io/auth-type: basic #http认证模式,此处为basic模式
ingress.kubernetes.io/auth-secret: mysecret #basic认证的对应的username和password,这⾥对应的traefik所在kubernetes命名空间⾥的secrets 前端配置
traefik.pe: PathPrefixStrip
traefik.frontend.priority: "3" #配置前端的权重,值越⾼则优先匹配
traefik.frontend.passHostHeader: "false" #关闭传⼊Hearder
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。
发表评论