通过Kubectl命令行创建Ingress
操作场景
本节以nginx为例,说明kubectl命令实现ingress访问的方法。
创建Ingress-对接已有ELB
- 请参见通过kubectl连接集群,使用kubectl连接集群。
- 创建ingress-test-deployment.yaml、ingress-test-svc.yaml、ingress-test-ingress.yaml以及ingress-test-secret.yaml文件。
ingress-test-deployment.yaml、ingress-test-svc.yaml、ingress-test-ingress.yaml、ingress-test-secret.yaml为自定义名称,您可以随意命名。
vi ingress-test-deployment.yaml
apiVersion: apps/v1 kind: Deployment metadata: name: ingress-test-deployment spec: replicas: 1 selector: matchLabels: app: ingress-test-deployment strategy: type: RollingUpdate template: metadata: labels: app: ingress-test-deployment spec: containers: #第三方公开镜像,可以参见描述获取地址,也可以使用自己的镜像 - image: nginx imagePullPolicy: Always name: nginx imagePullSecrets: - name: default-secretvi ingress-test-svc.yaml
apiVersion: v1 kind: Service metadata: labels: app: ingress-test-svc name: ingress-test-svc spec: ports: - name: service0 port: 8888 protocol: TCP targetPort: 8888 #若需要设置多个端口,可依次填写,如下展示 - name: service1 port: 8081 protocol: TCP targetPort: 8081 selector: app: ingress-test-deployment type: NodePort表1 关键参数说明 参数
是否必填
参数类型
描述
port
是
Integer
集群虚拟IP的访问端口,取值范围为1 ~ 65535。
protocol
是
String
该端口的IP协议,支持“TCP”和“UDP”。
targetPort
是
String
对应界面上的容器端口,应用程序实际监听的端口,取值范围为1 ~ 65535。
type
是
String
采用Nodeport的访问类型连接负载均衡,NodePort表示“节点私有IP”。
vi ingress-test-ingress.yaml
- 1.15及以上集群版本中的apiVersion为: networking.k8s.io/v1beta1
- 1.13及以下集群版本中的apiVersion为: extensions/v1beta1
apiVersion: networking.k8s.io/v1beta1 kind: Ingress metadata: annotations: kubernetes.io/elb.id: f7891f9a-49f2-4ee2-b1ae-f019cd84eb4f kubernetes.io/elb.ip: 192.168.0.39 kubernetes.io/elb.subnet-id: 29a0567e-96f1-4227-91cc-64f54d0b064d kubernetes.io/elb.port: "80" kubernetes.io/ingress.class: cce kubernetes.io/elb.tls-ciphers-policy: tls-1-2 name: ingress-test-ingress spec: tls: - secretName: ingress-test-secret rules: - http: paths: - backend: serviceName: ingress-test-svc servicePort: 8888 property: ingress.beta.kubernetes.io/url-match-mode: EQUAL_TO path: "/healthz" host: ingress.com
安全策略选择(kubernetes.io/elb.tls-ciphers-policy)仅在1.17.11及以上版本的集群中支持。
表2 关键参数说明 参数
是否必填
参数类型
描述
kubernetes.io/elb.id
是
String
为共享型负载均衡实例的ID,取值范围:1-100字符。
获取方法:
在控制台的“服务列表”中,单击“网络 > 弹性负载均衡 ELB”,单击ELB的名称,在ELB详情页的“基本信息”页签下找到“ID”字段复制即可。
kubernetes.io/elb.ip
是
String
为共享型负载均衡实例的服务地址,公网ELB配置为公网IP,私网ELB配置为私网IP。
kubernetes.io/elb.subnet-id
-
String
为集群所在子网的ID,取值范围:1-100字符。
- Kubernetes v1.11.7-r0及以下版本的集群自动创建时:必填,
- Kubernetes v1.11.7-r0以上版本的集群:可不填。
kubernetes.io/elb.eip-id
是
String
为弹性公网的ID,取值范围:1-100字符。
获取方法:
在控制台的“服务列表”中,单击“网络 > 弹性公网IP EIP”,单击EIP的名称,在EIP详情页的“基本信息”中找到“ID”字段复制即可。
kubernetes.io/elb.enterpriseID
否
String
v1.15及以上版本的集群支持此字段,v1.15以下版本默认创建到default项目下。
ELB企业项目ID,选择后可以直接创建在具体的ELB企业项目下。
取值范围:1-100字符。
获取方法:
登录华为云控制台后,单击顶部菜单右侧的“企业 > 项目管理”,在打开的企业项目列表中单击要加入的企业项目名称,进入企业项目详情页,找到“ID”字段复制即可。
kubernetes.io/elb.tls-ciphers-policy
否
String
默认值:“tls-1-2”,为监听器使用的安全策略,仅在HTTPS协议下生效。
取值范围:
- tls-1-0
- tls-1-1
- tls-1-2
- tls-1-2-strict
各安全策略使用的加密套件列表详细参见表3。
kubernetes.io/elb.port
是
Integer
界面上的对外端口,为注册到负载均衡服务地址上的端口。
取值范围:1-65535。
kubernetes.io/ingress.class
是
String
是否开启nginx-ingress插件。
- cce:表示不开启nginx-ingress插件,将默认使用共享型负载均衡实例。
- nginx:表示开启nginx-ingress插件。
通过API接口创建Ingress时必须增加该参数。
tls
否
Array of strings
HTTPS协议时,需添加此参数。
secretName
否
String
HTTPS协议时添加,配置为创建的密钥证书名称。
serviceName
是
String
为ingress-test-svc.yaml的服务名称。
servicePort
是
Integer
为ingress-test-svc.yaml的Port。
ingress.beta.kubernetes.io/url-match-mode
否
String
路由匹配策略。
默认值:STARTS_WITH(前缀匹配)。
取值范围:
- EQUAL_TO:精确匹配
- STARTS_WITH:前缀匹配
- REGEX:正则匹配
path
是
String
为路由路径,用户自定义设置。
host
否
String
为域名配置,默认为空,域名全匹配。
表3 tls_ciphers_policy取值说明 安全策略
支持的TLS版本类型
使用的加密套件列表
tls-1-0
TLSv1.2 TLSv1.1 TLSv1
ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:AES128-GCM-SHA256:AES256-GCM-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256:AES128-SHA256:AES256-SHA256:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES128-SHA:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:AES128-SHA:AES256-SHA
tls-1-1
TLSv1.2 TLSv1.1
tls-1-2
TLSv1.2
tls-1-2-strict
TLSv1.2
ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:AES128-GCM-SHA256:AES256-GCM-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256:AES128-SHA256:AES256-SHA256:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384
vi ingress-test-secret.yamlapiVersion: v1 data: tls.crt: LS0******tLS0tCg== tls.key: LS0tL******0tLS0K kind: Secret metadata: annotations: description: test for ingressTLS secrets name: ingress-test-secret namespace: default type: IngressTLS 此处tls.crt和tls.key为示例,请获取真实密钥进行替换。tls.crt和tls.key的值为Base64加密后的内容。
- 创建工作负载。
kubectl create -f ingress-test-deployment.yaml
回显如下,表明工作负载已创建。
deployment/ingress-test-deployment created
kubectl get po
回显如下,表明工作负载创建成功。
NAME READY STATUS RESTARTS AGE ingress-test-1627801589-r64pk 1/1 Running 0 6s
- 创建密钥。
kubectl create -f ingress-test-secret.yaml
回显如下,表明密钥已创建。
secret/ingress-test-secret created
kubectl get secrets
回显如下,表明密钥创建成功。
NAME TYPE DATA AGE dash-dashboard Opaque 0 7d dash-dashboard-token-f2nbk kubernetes.io/service-account-token 3 7d default-secret kubernetes.io/dockerconfigjson 1 8d default-token-wfn4l kubernetes.io/service-account-token 3 8d paas.elb cfe/secure-opaque 2 8d ingress-test-secret IngressTLS 2 13s
- 创建服务。
kubectl create -f ingress-test-svc.yaml
回显如下,表示服务已创建。
service/ingress-test-svc created
kubectl get svc
回显如下,表示服务创建成功。
NAME TYPE CLUSTER-IP EXTERNAL-IP PORT(S) AGE ingress-test NodePort 10.247.189.207 <none> 8080:30532/TCP 5s kubernetes ClusterIP 10.247.0.1 <none> 443/TCP 3d
kubectl create -f ingress-test-ingress.yaml
回显如下,表示ingress服务已创建。
ingress/ingress-test-ingress created
kubectl get ingress
回显如下,表示ingress服务创建成功,工作负载可访问。
NAME HOSTS ADDRESS PORTS AGE ingress-test * 10.154.76.63 80 10s
- 在浏览器中输入访问地址http://10.154.76.63/healthz。
其中,10.154.76.63为统一负载均衡实例的IP地址。
图1 访问healthz
创建Ingress-自动创建ELB
- 请参见通过kubectl连接集群,使用kubectl连接集群。
- 创建ingress-test-deployment.yaml、ingress-test-svc.yaml、ingress-test-ingress.yaml以及ingress-test-secret.yaml文件。
ingress-test-deployment.yaml、ingress-test-svc.yaml、ingress-test-ingress.yaml、ingress-test-secret.yaml为自定义名称,您可以随意命名。
vi ingress-test-deployment.yaml
apiVersion: apps/v1 kind: Deployment metadata: name: ingress-test-deployment spec: replicas: 1 selector: matchLabels: app: ingress-test-deployment strategy: type: RollingUpdate template: metadata: labels: app: ingress-test-deployment spec: containers: #第三方公开镜像,可以参见描述获取地址,也可以使用自己的镜像 - image: nginx imagePullPolicy: Always name: nginx imagePullSecrets: - name: default-secretvi ingress-test-svc.yaml
apiVersion: v1 kind: Service metadata: labels: app: ingress-test-svc name: ingress-test-svc spec: ports: - name: service0 port: 8888 protocol: TCP targetPort: 8888 #若需要设置多个端口,可依次填写,如下展示 - name: service1 port: 8081 protocol: TCP targetPort: 8081 selector: app: ingress-test-deployment type: NodePort表4 关键参数说明 参数
是否必填
参数类型
描述
port
是
Integer
集群虚拟IP的访问端口,取值范围为1 ~ 65535。
protocol
是
String
该端口的IP协议,支持“TCP”和“UDP”。
targetPort
是
String
对应界面上的容器端口,应用程序实际监听的端口,取值范围为1 ~ 65535。
type
是
String
采用Nodeport的访问类型连接负载均衡,NodePort表示“节点私有IP”。
vi ingress-test-ingress.yaml
- 1.15及以上集群版本中的apiVersion为: networking.k8s.io/v1beta1
- 1.13及以下集群版本中的apiVersion为: apps/v1
共享型负载均衡(公网访问)实例:
apiVersion: networking.k8s.io/v1beta1 kind: Ingress metadata: annotations: kubernetes.io/elb.subnet-id: 29a0567e-96f1-4227-91cc-64f54d0b064d kubernetes.io/elb.enterpriseID: f6b9fffc-a9b7-4a50-a25e-364f587abe44 kubernetes.io/elb.autocreate: '{"type":"public","bandwidth_name":"cce-bandwidth-1551163379627","bandwidth_chargemode":"bandwidth","bandwidth_size":5,"bandwidth_sharetype":"PER","eip_type":"5_bgp","name":"james"}' kubernetes.io/elb.tls-ciphers-policy: tls-1-2 kubernetes.io/elb.port: "80" kubernetes.io/ingress.class: cce kubernetes.io/elb.class: union name: ingress-test-ingress spec: tls: - secretName: ingress-test-secret rules: - http: paths: - backend: serviceName: ingress-test-svc servicePort: 8888 property: ingress.beta.kubernetes.io/url-match-mode: EQUAL_TO path: "/healthz" host: ingress.com独享型负载均衡(公网访问)实例:
apiVersion: networking.k8s.io/v1beta1 kind: Ingress metadata: labels: zone: data isExternal: 'true' name: test2 namespace: default annotations: kubernetes.io/ingress.class: cce kubernetes.io/elb.port: '80' kubernetes.io/elb.subnet-id: '' kubernetes.io/elb.autocreate: ' { "type": "public", "bandwidth_name": "cce-bandwidth-1626751177680", "bandwidth_chargemode": "bandwidth", "bandwidth_size": 1, "bandwidth_sharetype": "PER", "eip_type": "5_gray", "available_zone": [ "cn-south-2b" ], "l7_flavor_name": "L7_flavor.elb.s1.small", "elb_virsubnet_ids": [ "14567f27-8ae4-42b8-ae47-9f847a4690dd" ] } ' kubernetes.io/elb.enterpriseID: '0' kubernetes.io/elb.class: performance spec: rules: - host: '' http: paths: - backend: serviceName: test servicePort: 80 path: "/" property: ingress.beta.kubernetes.io/url-match-mode: STARTS_WITH表5 关键参数说明 参数
是否必填
参数类型
描述
kubernetes.io/elb.class
是
String
请根据不同的应用场景和功能需求选择合适的负载均衡器类型。
取值如下:
- union:共享型负载均衡。
- performance:独享型负载均衡,详情请参见共享型弹性负载均衡与独享型负载均衡的功能区别。
默认值:union
kubernetes.io/ingress.class
是
String
是否开启nginx-ingress插件。
- cce:表示不开启nginx-ingress插件,将默认使用共享型负载均衡实例。
- nginx:表示开启nginx-ingress插件。
通过API接口创建Ingress时必须增加该参数。
kubernetes.io/elb.port
是
Integer
界面上的对外端口,为注册到负载均衡服务地址上的端口。
取值范围:1-65535。
kubernetes.io/elb.subnet-id
-
String
为集群所在子网的ID,取值范围:1-100字符。
- Kubernetes v1.11.7-r0及以下版本的集群自动创建时:必填,
- Kubernetes v1.11.7-r0以上版本的集群:可不填。
kubernetes.io/elb.enterpriseID
是
String
v1.15及以上版本的集群支持此字段,v1.15以下版本默认创建到default项目下。
ELB企业项目ID,选择后可以直接创建在具体的ELB企业项目下。
取值范围:1-100字符。
获取方法:
登录华为云控制台后,单击顶部菜单右侧的“企业 > 项目管理”,在打开的企业项目列表中单击要加入的企业项目名称,进入企业项目详情页,找到“ID”字段复制即可。
kubernetes.io/elb.autocreate
是
elb.autocreate object
自动创建Ingress关联的ELB
示例:
表6 elb.autocreate字段数据结构说明 参数
是否必填
参数类型
描述
name
否
String
自动创建的负载均衡的名称。
取值范围:1-64个字符,小写字母,数字,下划线,小写字母开头,小写字母或者数字结尾。
默认值:cce-lb+ingress.UID
type
否
String
负载均衡实例网络类型,公网或者私网。
- public:公网型负载均衡
- inner:私网型负载均衡
默认值:inner
bandwidth_name
是
String
带宽的名称,默认值为:cce-bandwidth-******。
取值范围:1-64个字符,小写字母,数字,下划线,小写字母开头,小写字母或者数字结尾。
bandwidth_chargemode
是
String
带宽付费模式。
- bandwidth:按带宽计费
- traffic:按流量计费
bandwidth_size
是
Integer
带宽大小,请根据Region带宽支持范围设置,具体请参见申请弹性公网IP中表4 bandwidth字段说明中size字段。
bandwidth_sharetype
是
String
带宽类型,标识是否是共享带宽。
取值范围:
- WHOLE:共享带宽
- PER:独享带宽
eip_type
是
String
弹性公网IP类型,请参考ELB支持的弹性公网IP类型,具体请参见申请弹性公网IP中表3 publicip字段说明type字段。
独享型负载均衡的类型请填“5_gray”。
available_zone
是
Array of strings
负载均衡所在可用区,必填项。
独享型负载均衡器独有字段。
l4_flavor_name
否
String
四层负载均衡实例名称。
独享型负载均衡器独有字段。
l7_flavor_name
是
String
七层负载均衡实例名称,必填项。
独享型负载均衡器独有字段。
ElbVirSubnetIDs
否
Array of strings
负载均衡后端所在子网,不填默认集群子网。不同实例规格将占用不同数量子网IP,不建议使用其他资源(如集群,节点等)的子网网段。
默认值:集群所在子网
独享型负载均衡器独有字段。
vi ingress-test-secret.yamlapiVersion: v1 data: tls.crt: LS0******tLS0tCg== tls.key: LS0tL******0tLS0K kind: Secret metadata: annotations: description: test for ingressTLS secrets name: ingress-test-secret namespace: default type: IngressTLS 此处tls.crt和tls.key为示例,请获取真实密钥进行替换。tls.crt和tls.key的值为Base64加密后的内容。
- 创建工作负载。
kubectl create -f ingress-test-deployment.yaml
回显如下,表明工作负载已创建。
deployment/ingress-test-deployment created
kubectl get po
回显如下,表明工作负载创建成功。
NAME READY STATUS RESTARTS AGE ingress-test-1627801589-r64pk 1/1 Running 0 6s
- 创建密钥。
kubectl create -f ingress-test-secret.yaml
回显如下,表明密钥已创建。
secret/ingress-test-secret created
kubectl get secrets
回显如下,表明密钥创建成功。
NAME TYPE DATA AGE dash-dashboard Opaque 0 7d dash-dashboard-token-f2nbk kubernetes.io/service-account-token 3 7d default-secret kubernetes.io/dockerconfigjson 1 8d default-token-wfn4l kubernetes.io/service-account-token 3 8d paas.elb cfe/secure-opaque 2 8d ingress-test-secret IngressTLS 2 13s
- 创建服务。
kubectl create -f ingress-test-svc.yaml
回显如下,表示服务已创建。
service/ingress-test-svc created
kubectl get svc
回显如下,表示服务创建成功。
NAME TYPE CLUSTER-IP EXTERNAL-IP PORT(S) AGE ingress-test NodePort 10.247.189.207 <none> 8080:30532/TCP 5s kubernetes ClusterIP 10.247.0.1 <none> 443/TCP 3d
kubectl create -f ingress-test-ingress.yaml
回显如下,表示ingress服务已创建。
ingress/ingress-test-ingress created
kubectl get ingress
回显如下,表示ingress服务创建成功,工作负载可访问。
NAME HOSTS ADDRESS PORTS AGE ingress-test * 10.154.76.63 80 10s
- 在浏览器中输入访问地址http://10.154.76.63/healthz。
其中,10.154.76.63为统一负载均衡实例的IP地址。
图2 访问healthz
