Kubernetes的Ingress是L7的控制节点。可以实现对请求的L7负载均衡（包括host和URL）、证书的统一部署等等。是Kubernetes中一个重要的组成部分。

其前端接受用户的请求，后端连接cluster中的Service，本身管理Ingress的resource。其具体的部署模式如下：

在Google的GKE中，有多种Ingress的部署方式，包括：

GCP上的Global Load Balancer
GCP上的L7 ILB
传统的Nginx Ingress

我们讲介绍这三种Ingress的具体创建方式。

一 HTTP(S) LB Ingress

在GKE上创建Ingress，会自动创建HTTP(S)的负载均衡。
创建基于HTTP(S)的负载均衡，在创建了Service后，创建Ingress。

1 创建GKE cluster

在创建GKE cluster时，注意enable http load balancing：

具体的Gcloud命令如下：

gcloud beta container --project "central-xxxx" clusters create "ingress" --zone "us-central1-a" --no-enable-basic-auth --cluster-version "1.12.8-gke.10" --machine-type "n1-standard-1" --image-type "UBUNTU" --disk-type "pd-standard" --disk-size "20" --metadata disable-legacy-endpoints=true --scopes "https://www.googleapis.com/auth/cloud-platform" --num-nodes "2" --enable-stackdriver-kubernetes --enable-ip-alias --network "projects/central-xxxx/global/networks/default" --subnetwork "projects/central-xxxx/regions/us-central1/subnetworks/default" --default-max-pods-per-node "110" --enable-autoscaling --min-nodes "2" --max-nodes "5" --addons HorizontalPodAutoscaling,HttpLoadBalancing --enable-autoupgrade --enable-autorepair

其中具体的参数可以根据实际情况调整。

在Gcloud命令中连接创建好的GKE cluster：

gcloud container clusters get-credentials ingress --zone us-central1-a --project central-segment-217003

2 部署hell-app应用

创建deployment的yaml文件：

apiVersion: extensions/v1beta1
kind: Deployment
metadata:
  labels:
    run: hello-app
  name: hello-app
spec:
  replicas: 2
  selector:
    matchLabels:
      run: hello-app
  template:
    metadata:
      labels:
        run: hello-app
    spec:
      containers:
      - image: gcr.io/google-samples/hello-app:1.0
        imagePullPolicy: IfNotPresent
        name: hello-app
        ports:
        - containerPort: 8080
          protocol: TCP
        resources: {}

3 部署hello-app的service

创建下面的yaml文件：

apiVersion: v1
kind: Service
metadata:
  labels:
    run: hello-app
  name: hello-app
spec:
  ports:
  - port: 8080
    protocol: TCP
    targetPort: 8080
  selector:
    run: hello-app
  sessionAffinity: None
  type: NodePort
status:
  loadBalancer: {}

4 创建基于GLB HTTP的Ingress

apiVersion: extensions/v1beta1
kind: Ingress
metadata:
  name: glb-ingress-resource
  annotations:
    kubernetes.io/ingress.class: gce
spec:
  rules:
  - http:
      paths:
      - path: /hello
        backend:
          serviceName: hello-app
          servicePort: 8080

5 创建基于GLB HTTPs的Ingress

A 创建证书
请参考:https://www.cnblogs.com/hengwei/p/11411505.html

B 通过证书生成Secret
有了私钥nginx.key和证书nginx.crt后，由此私钥和证书生成Kubernetes的Secret：

kubectl create secret tls nginx --key nginx.key --cert nginx.crt

C 通过Yaml文件创建Secret

cat <<EOF > secret.yaml
> apiVersion: v1
> kind: Secret
> data:
>   tls.crt: $(cat nginx.crt | base64)
>   tls.key: $(cat nginx.key | base64)
> metadata:
>   name: test-tls
>   namespace: default
> type: kubernetes.io/tls
> EOF



kubectl get secret
NAME                TYPE                                  DATA   AGE
default-token-htxvf kubernetes.io/service-account-token   3      24h
nginx               kubernetes.io/tls                     2      24h
test-tls            kubernetes.io/tls                     2      15s

D 创建Ingress

apiVersion: extensions/v1beta1
kind: Ingress
metadata:
  name: my-nginx-ingress
spec:
  rules:
  - http:
      paths:
      - path: /hello
        backend:
          serviceName: hello-app
          servicePort: 8080
  tls:
  - secretName: nginx

6 验证
Ingress会自动创建HTTP(S)的负载均衡：

测试：

二 L7 ILB Ingress

通过Layer7的Internal Load Balancer创建Ingress，实现内网地址的Ingress。

目前L7 ILB的Ingress还在Alpha阶段，本文只介绍其实现的方式。具体beta和GA的详细情况请查询相关文档。

具体创建的过程如下。

1 创建Service的Yaml文件：

apiVersion: v1
kind: Service
metadata:
  labels:
    run: neg-hello-app
  name: neg-hello-app
  annotations:
    cloud.google.com/neg: '{"ingress": true}'
spec:
  ports:
  - port: 8080
    protocol: TCP
    targetPort: 8080
  selector:
    run: neg-hello-app
  sessionAffinity: None
  type: NodePort
status:
  loadBalancer: {}

2 创建Igress的Yaml文件：

apiVersion: extensions/v1beta1
kind: Ingress
metadata:
  name: l7-ilb-ingress-resource
  annotations:
    kubernetes.io/ingress.class: "l7-internal-lb"
spec:
  rules:
  - http:
      paths:
      - path: /hello
        backend:
          serviceName: neg-hello-app
          servicePort: 8080

三 Nginx Ingress On GKE

安装Helm

为简化安装，在cluster中安装Helm。

curl -o get_helm.sh \
https://raw.githubusercontent.com/kubernetes/helm/master/scripts/get

chmod +x get_helm.sh
./get_helm.sh

kubectl create serviceaccount --namespace kube-system tiller
kubectl create clusterrolebinding tiller-cluster-rule --clusterrole=cluster-admin --serviceaccount=kube-system:tiller
helm init --service-account tiller

helm init

通过下面命令查看

kubectl get deployments -n kube-system

安装Nginx ingress

采用Nginx的Ingress的架构如下：

采用Helm安装Nginx Ingress相关组件：

helm install --name nginx-ingress stable/nginx-ingress \
  --set rbac.create=true \
  --set controller.publishService.enabled=true

查看：

创建了Nginx-ingress-controller和Nginx-ingress-default-backend两个组件。

此时这个nginx-ingess已经可以对外提供http服务：

这个SVC创建了一个NLB：

5 创建Ingress
创建Ingress的Yaml文件：

apiVersion: extensions/v1beta1
kind: Ingress
metadata:
  name: ingress-resource
  annotations:
    kubernetes.io/ingress.class: nginx
    nginx.ingress.kubernetes.io/ssl-redirect: "false"
spec:
  rules:
  - http:
      paths:
      - path: /hello
        backend:
          serviceName: hello-app
          servicePort: 8080

检查：

访问http://$LB_IP/hello

四总结
GKE支持多种Ingress，包括通过Nginx-Ingress实现的Ingress，同时GCP支持通过L7 Load Balancer实现的Ingress，这包括GLB和L7 ILB两种模式。
文章版权归作者所有，未经许可不得转载。

创作场景

GKE 多种 Ingress 的实现