机械制造基础 课件项目8 部署Ingress服务.ppt

配置Ingress规则1.构建Web服务在yaml目录下创建文件httpd.yaml2.创建Ingress资源对象创建Ingress的目的就是使用一个域名对应到service服务，然后通过这个域名房访问集群内的service，进而访问每个Pod容器服务，在yaml目录下，创建一个文件ingress.yaml3.检查配置结果在windows中，修改C:\Windows\System32\drivers\etc下的hosts本地域名解析文件，加入一行4.为nginx-ingress控制器创建NodePortService8.1.3配置https实现安全访问在8.1.2中实现了使用ingress-nginx为后端pod提供统一的入口，但有个问题需要考虑，就是如何为pod配置CA证书来实现HTTPS访问，如果在每个pod中配置CA需要太多的重复性操作，而且po是随时可能被kubelet杀掉重新创建的，当然这些问题有很多解决方法，如直接将CA配置到镜像中，但是这样又需要很多个CA证书。解决的方法是在ingress规则，为域名配置CA证书，只要可以通过HTTPS访问到域名，至于这个域名是怎么关联到后端提供服务的pod，这就是属于k8s群集内部的通信了，即便使用http来通信，也是可以接受的。生成证书和私匙创建Secret存储证书和私匙修改Ingress配置检查配置结果*，，*教材项目8部署Ingress服务目录CONTENTSIngress的作用Ingress的组成Ingress的配置和使用任务1理解Ingress的作用8.1.1理解Ingress的作用任务实施集群外部常用访问方式为了使外部的应用能够访问集群内的服务，在Kubernetes目前提供了以下几种方案：NodePort创建NodePort类型的Service可以实现从集群外部访问内部，采用NodePort方式暴露服务面临问题是，服务一旦多起来，NodePort在每个节点上开启的端口会及其庞大，而且难以维护，而且开启端口多了以后，会面临安全隐患。LoadBalancerLoadBalance方式受限于云平台，且通常在云平台部署ELB还需要额外的费用。IngressIngress是集群外部访问服务最多的方式，也是在生产环境下经常使用的方式。Ingress的组成Ingress由Ingress资源对象和IngressController组成，两者作用如下：1.Ingress资源对象Ingress资源对象是反向代理规则，用来规定HTTP/HTTPS的外部请求应该被转发到的Service，如根据请求中不同的Host和Url路径请求到不同Service上。2.IngressControllerIngressController是一个反向代理程序，它负责解析Ingress的反向代理规则，如果Ingress有增删改的变动，所有的IngressController都会及时更新自己相应的转发规则，当IngressController收到请求后就会根据这些规则将请求转发到对应的Service。简单讲就是Ingress资源对象定义访问规则，IngressController实现访问规则。Ingress的实现原理首先由Ingress资源对象定义规则，即哪些域名访问哪些集群Service。2.Ingresscontroller通过与Kubernetesapi进行交互，动态的读取集群中Ingress资源对象定义的规则，按照这个规则，生成一段nginx配置，再写到nginx-ingress-controller的pod里，这个Ingresscontroller的pod里运行着一个Nginx服务，控制器会把生成的nginx配置写入/etc/nginx.conf文件中，然后reload一下使配置生效，实现动态更新。Ingress访问架构图1.七层访问与四层访问的区别如图8-2所示，ingresscontroller读取ingress的配置，然后实现不同的域名访问不同的集群内部Service，进而实现访问Service匹配的每个Pod资源，在internet和ingresscontroller之间配置ingress-nginxservice的作用是通过NodePort的方式暴露ingresscontroller的Pod服务，这样无论域名对应的是集群的哪个IP地址，都可以访问到后端的Pod服务了。(1)七层访问当代理服务器收到请求时，首先将报文拆开至应用层，分析用户请求的资源，然后代替用户请求后端服务器的