Kubernetes Ingress 与 AWS ALB Ingress 控制器的配合使用

Kubernetes Ingress 是一种 API 对象，借助它可以管理对集群中运行的 Kubernetes 服务的外部（或）内部 HTTP[s] 访问。Amazon Elastic Load Balancing Application Load Balancer (ALB) 是一个非常受欢迎的 AWS 服务，它可在应用程序层（第 7 层）跨一个区域的多个目标（例如 Amazon EC2 实例）调整传入流量的负载平衡。ALB 支持多种功能，包括基于主机或路径的路由、TLS（传输层安全性）终止、WebSocket、HTTP/2、AWS WAF（Web 应用程序防火墙）集成、综合访问日志以及运行状况检查等。

AWS ALB Ingress 控制器将在 Kubernetes 用户声明集群上的 Ingress 资源时触发创建 ALB 以及必要的 AWS 支持资源。Ingress 资源通过 ALB 将 HTTP[s] 流量路由至集群内的不同终端节点。AWS ALB Ingress 控制器支持任何 Kubernetes 集群，包括 Amazon Elastic Container Service for Kubernetes (EKS)。

术语

我们将使用下列首字母缩写词来详细介绍 Kubernetes Ingress 概念：

• ALB：AWS Application Load Balancer

• ENI：弹性网络接口

• NodePort：用户为 NodePort 设置 type 字段时，Kubernetes 主服务器会从范围内分配一个静态端口，每个节点都将该端口作为进入您的服务的代理（每个节点的端口号均相同）。

• Kubernetes Ingress 如何与 aws-alb-ingress-controller 配合使用

• 下图详细描述了用户定义了 Ingress 资源时 aws-alb-ingress-controller 将会创建的 AWS 组件。Ingress 资源将进站流量从 ALB 路由到 Kubernetes 集群。

Kubernetes Ingress 如何与 aws-alb-ingress-controller 配合使用

下图详细描述了用户定义了 Ingress 资源时 aws-alb-ingress-controller 将会创建的 AWS 组件。Ingress 资源将进站流量从 ALB 路由到 Kubernetes 集群。

Ingress 的创建

依次执行上图中用蓝色圈数字表示的步骤：

1.控制器观察来自 API 服务器的进站事件。如果发现 Ingress 资源满足要求，则将开始创建 AWS 资源。

2.为 Ingress 资源创建 ALB。3.为 Ingress 资源中指定的每个后端创建目标组。

4.为 Ingress 资源注释中指定的每个端口创建侦听器。如果未指定端口，则将使用合理的默认值（80 或 443）。

5.为 Ingress 资源中指定的每个路径创建规则。这将确保指向特定路径的流量将被路由至所创建的正确目标组。

进站流量

AWS ALB Ingress 控制器支持两种流量模式：实例模式和 ip 模式。

用户可以通过在 Ingress 和 Service 定义中声明 alb.ingress.kubernetes.io/target-type 注释来指定流量模式。

• 实例模式：Ingress 流量从 ALB 出发并到达为您的服务开放的 NodePort。然后将流量路由至集群内的容器 Pod。在此模式中，数据包始终会跳跃两次后才会到达目的地。

• ip 模式：Ingress 流量从 ALB 出发，然后直接到达集群内的容器 Pod。如要使用此模式，Kubernetes 集群的联网插件（也就是 适用于 Kubernetes 的 AWS CNI 插件）必须将 ENI 上的第二个 IP 地址作为 Pod IP。在此模式中，数据包始终会跳跃一次就到达目的地。

使用 eksctl 部署 Amazon EKS

首先使用 eksctl cli 工具来部署 Amazon EKS 集群。

macOS 用户需要使用 Homebrew 来安装 eksctl：

brew install weaveworks/tap/eksctl

使用集群名称“attractive-gopher”创建 EKS 集群

eksctl create cluster --name=attractive-gopher

前往 VPC 控制台的“子网”部分。找到您的 EKS 集群的所有公有子网。

例如：

eksctl-attractive-gopher-cluster/SubnetPubliceksctl-attractive-gopher-cluster/SubnetPubliceksctl-attractive-gopher-cluster/SubnetPublic

根据此指南的定义在控制台中配置公有子网。（AWS 上的大多数 Kubernetes

分配已经为您完成了此步骤，例如 kops）

部署 AWS ALB Ingress 控制器

然后将 AWS ALB Ingress 控制器部署到 Kubernetes 集群中。

创建 IAM 策略以向 Ingress 控制器赋予正确的权限：

1.前往 IAM 控制台并选择 策略。

2.选择 创建策略 。

3.在 JSON 部分潜入模板 iam-policy.json 的内容。

4.查看策略 并另存为 “ingressController-iam-policy”

将 IAM 挂载到 EKS 工作线程节点：

1.返回 IAM 控制台。

2.选择角色 部分，然后搜索您的 EKS 工作线程节点的 NodeInstanceRole。例如：eksctl-attractive-gopher-NodeInstanceRole-xxxxxx

3.挂载策略“ingressController-iam-policy”。

部署 AWS ALB Ingress 控制器需要的 RBAC Roles 和 RoleBindings：

kubectl apply -f https://raw.githubusercontent.com/kubernetes-sigs/aws-alb-ingress-controller/v1.0.0/docs/examples/rbac-role.yaml

将 AWS ALB Ingress 控制器 YAML 下载到本地文件：

curl -sS "https://raw.githubusercontent.com/kubernetes-sigs/aws-alb-ingress-controller/v1.0.0/docs/examples/alb-ingress-controller.yaml" > alb-ingress-controller.yaml

编辑 AWS ALB Ingress 控制器 YAML t 以包含 Kubernetes（或）Amazon EKS 集群的 clusterName。

将 –cluster-name 标记编辑为我们的 Kubernetes（或）Amazon EKS 集群的真实名称。

部署 AWS ALB Ingress 控制器 YAML：

kubectl apply -f alb-ingress-controller.yaml

验证部署成功，并且控制器已经启动：

kubectl logs -n kube-system $(kubectl get po -n kube-system | egrep -o alb-ingress[a-zA-Z0-9-]+)

您应能看到如下输出：

-------------------------------------------------------------------------------AWS ALB Ingress controller  Release: v1.0.0  Build: git-6ee1276  Repository: https://github.com/kubernetes-sigs/aws-alb-ingress-controller-------------------------------------------------------------------------------

部署示例应用程序

然后我们将实例 2048 游戏部署到 Kubernetes 集群并使用 Ingress 资源使其对流量开放：

部署 2048 游戏资源：

kubectl apply -f https://raw.githubusercontent.com/kubernetes-sigs/aws-alb-ingress-controller/v1.0.0/docs/examples/2048/2048-namespace.yamlkubectl apply -f https://raw.githubusercontent.com/kubernetes-sigs/aws-alb-ingress-controller/v1.0.0/docs/examples/2048/2048-deployment.yamlkubectl apply -f https://raw.githubusercontent.com/kubernetes-sigs/aws-alb-ingress-controller/v1.0.0/docs/examples/2048/2048-service.yaml

部署 2048 游戏的 Ingress 资源：

kubectl apply -f https://raw.githubusercontent.com/kubernetes-sigs/aws-alb-ingress-controller/v1.0.0/docs/examples/2048/2048-ingress.yaml

等待几秒后，验证 Ingress 资源已启用：

kubectl get ingress/2048-ingress -n 2048-game

您应能看到如下输出：

NAME         HOSTS         ADDRESS         PORTS   AGE2048-ingress   *    DNS-Name-Of-Your-ALB    80     3m

打开浏览器。复制并粘贴您的“DNS-Name-Of-Your-ALB”。这时您应该可以访问新部署的 2048 游戏 — 尽情玩吧！

欢迎参与

AWS ALB Ingress 控制器是 Kubernetes SIG（特殊兴趣组）AWS 的一个子项目。后者是由 Yang Yang (@M00nf1sh) 和 Kraig Amador (@bigkraig) 维护的一个全开源项目。Kubernetes SIG-AWS 的技术路线图目前由 3 位 SIG 主席主持：@d-nishi (Nishi Davidson)、@justinsb (Justin Santa Barbara) 和 @krisnova (Kris Nova)。

AWS ALB Ingress 控制器已经确定为 Kubernetes 1.13 的一个阿尔法版功能，将于 2018 年 12 月初发布。AWS 团队已经使用 Amazon EKS 对 Ingress 控制器进行了测试，它目前支持 Kubernetes 版本 1.10。

更多资源：

• AWS ALB Ingress 控制器文档

• aws-alb-ingress-controller Github 存储库

• 为 aws-alb-ingress-controller 做贡献

作者介绍：

Yang Yang

Yang Yang

Yang 是 Amazon Web Services 的一名软件工程师。他是一名 Kubernetes 拥趸，已在 Amazon 作为全堆栈工程师工作了四年。

Kraig Amador

Kraig Amador

Kraig 是 Ticketmaster 的一名高级总监，他领导的团队率先推动 AWS 的采用和迁移。他也是最早在 AWS 上运行 Kubernetes 来处理企业工作负载的采用者之一，促进了 AWS ALB Ingress 控制器的发展。

本文转载自 AWS 技术博客。

原文链接：

https://amazonaws-china.com/cn/blogs/china/kubernetes-ingress-aws-alb-ingress-controller/