谈谈Service与Ingress

　　你好，我是张磊。今天我和你分享的主题是：谈谈Service与Ingress。
　　在上一篇文章中，我为你详细讲解了将Service暴露给外界的三种方法。其中有一个叫作LoadBalancer类型的Service，它会为你在CloudProvider（比如：GoogleCloud或者OpenStack）里创建一个与该Service对应的负载均衡服务。
　　但是，相信你也应该能感受到，由于每个Service都要有一个负载均衡服务，所以这个做法实际上既浪费成本又高。作为用户，我其实更希望看到Kubernetes为我内置一个全局的负载均衡器。然后，通过我访问的URL，把请求转发给不同的后端Service。
　　这种全局的、为了代理不同后端Service而设置的负载均衡服务，就是Kubernetes里的Ingress服务。
　　所以，Ingress的功能其实很容易理解：所谓Ingress，就是Service的Service。
　　举个例子，假如我现在有这样一个站点：https：cafe。example。com。其中，https：cafe。example。comcoffee，对应的是咖啡点餐系统。而，https：cafe。example。comtea，对应的则是茶水点餐系统。这两个系统，分别由名叫coffee和tea这样两个Deployment来提供服务。
　　那么现在，〔strongbegin〕我如何能使用Kubernetes的Ingress来创建一个统一的负载均衡器，从而实现当用户访问不同的域名时，能够访问到不同的Deployment呢？〔strongend〕
　　上述功能，在Kubernetes里就需要通过Ingress对象来描述，如下所示：
　　apiVersion：extensionsv1beta1kind：Ingressmetadata：name：cafeingressspec：tls：hosts：cafe。example。comsecretName：cafesecretrules：host：cafe。example。comhttp：paths：path：teabackend：serviceName：teasvcservicePort：80path：coffeebackend：serviceName：coffeesvcservicePort：80
　　在上面这个名叫cafeingress。yaml文件中，最值得我们关注的，是rules字段。在Kubernetes里，这个字段叫作：IngressRule。
　　IngressRule的Key，就叫做：host。它必须是一个标准的域名格式（FullyQualifiedDomainName）的字符串，而不能是IP地址。
　　备注：FullyQualifiedDomainName的具体格式，可以参考RFC3986标准。
　　而host字段定义的值，就是这个Ingress的入口。这也就意味着，当用户访问cafe。example。com的时候，实际上访问到的是这个Ingress对象。这样，Kubernetes就能使用IngressRule来对你的请求进行下一步转发。
　　而接下来IngressRule规则的定义，则依赖于path字段。你可以简单地理解为，这里的每一个path都对应一个后端Service。所以在我们的例子里，我定义了两个path，它们分别对应coffee和tea这两个Deployment的Service（即：coffeesvc和teasvc）。
　　通过上面的讲解，不难看到，所谓Ingress对象，其实就是Kubernetes项目对反向代理的一种抽象。
　　一个Ingress对象的主要内容，实际上就是一个反向代理服务（比如：Nginx）的配置文件的描述。而这个代理服务对应的转发规则，就是IngressRule。
　　这就是为什么在每条IngressRule里，需要有一个host字段来作为这条IngressRule的入口，然后还需要有一系列path字段来声明具体的转发策略。这其实跟Nginx、HAproxy等项目的配置文件的写法是一致的。
　　而有了Ingress这样一个统一的抽象，Kubernetes的用户就无需关心Ingress的具体细节了。
　　在实际的使用中，你只需要从社区里选择一个具体的IngressController，把它部署在Kubernetes集群里即可。
　　然后，这个IngressController会根据你定义的Ingress对象，提供对应的代理能力。目前，业界常用的各种反向代理项目，比如Nginx、HAProxy、Envoy、Traefik等，都已经为Kubernetes专门维护了对应的IngressController。
　　接下来，〔strongbegin〕我就以最常用的NginxIngressController为例，在我们前面用kubeadm部署的Baremetal环境中，和你实践一下Ingress机制的使用过程。〔strongend〕
　　部署NginxIngressController的方法非常简单，如下所示：
　　kubectlapplyfhttps：raw。githubusercontent。comkubernetesingressnginxmasterdeploymandatory。yaml
　　其中，在mandatory。yaml这个文件里，正是Nginx官方为你维护的IngressController的定义。我们来看一下它的内容：
　　kind：ConfigMapapiVersion：v1metadata：name：nginxconfigurationnamespace：ingressnginxlabels：app。kubernetes。ioname：ingressnginxapp。kubernetes。iopartof：ingressnginxapiVersion：extensionsv1beta1kind：Deploymentmetadata：name：nginxingresscontrollernamespace：ingressnginxlabels：app。kubernetes。ioname：ingressnginxapp。kubernetes。iopartof：ingressnginxspec：replicas：1selector：matchLabels：app。kubernetes。ioname：ingressnginxapp。kubernetes。iopartof：ingressnginxtemplate：metadata：labels：app。kubernetes。ioname：ingressnginxapp。kubernetes。iopartof：ingressnginxannotations：。。。spec：serviceAccountName：nginxingressserviceaccountcontainers：name：nginxingresscontrollerimage：quay。iokubernetesingresscontrollernginxingresscontroller：0。20。0args：nginxingresscontrollerconfigmap（PODNAMESPACE）nginxconfigurationpublishservice（PODNAMESPACE）ingressnginxannotationsprefixnginx。ingress。kubernetes。iosecurityContext：capabilities：drop：ALLadd：NETBINDSERVICEwwwdata33runAsUser：33env：name：PODNAMEvalueFrom：fieldRef：fieldPath：metadata。namename：PODNAMESPACEname：httpvalueFrom：fieldRef：fieldPath：metadata。namespaceports：name：httpcontainerPort：80name：httpscontainerPort：443
　　可以看到，在上述YAML文件中，我们定义了一个使用nginxingresscontroller镜像的Pod。需要注意的是，这个Pod的启动命令需要使用该Pod所在的Namespace作为参数。而这个信息，当然是通过DownwardAPI拿到的，即：Pod的env字段里的定义（env。valueFrom。fieldRef。fieldPath）。
　　而这个Pod本身，就是一个监听Ingress对象以及它所代理的后端Service变化的控制器。
　　当一个新的Ingress对象由用户创建后，nginxingresscontroller就会根据Ingress对象里定义的内容，生成一份对应的Nginx配置文件（etcnginxnginx。conf），并使用这个配置文件启动一个Nginx服务。
　　而一旦Ingress对象被更新，nginxingresscontroller就会更新这个配置文件。需要注意的是，如果这里只是被代理的Service对象被更新，nginxingresscontroller所管理的Nginx服务是不需要重新加载（reload）的。这当然是因为nginxingresscontroller通过NginxLua方案实现了NginxUpstream的动态配置。
　　此外，nginxingresscontroller还允许你通过Kubernetes的ConfigMap对象来对上述Nginx配置文件进行定制。这个ConfigMap的名字，需要以参数的方式传递给nginxingresscontroller。而你在这个ConfigMap里添加的字段，将会被合并到最后生成的Nginx配置文件当中。
　　可以看到，一个NginxIngressController为你提供的服务，其实是一个可以根据Ingress对象和被代理后端Service的变化，来自动进行更新的Nginx负载均衡器。
　　当然，为了让用户能够用到这个Nginx，我们就需要创建一个Service来把NginxIngressController管理的Nginx服务暴露出去，如下所示：
　　kubectlapplyfhttps：raw。githubusercontent。comkubernetesingressnginxmasterdeployproviderbaremetalservicenodeport。yaml
　　由于我们使用的是Baremetal环境，所以servicenodeport。yaml文件里的内容，就是一个NodePort类型的Service，如下所示：
　　apiVersion：v1kind：Servicemetadata：name：ingressnginxnamespace：ingressnginxlabels：app。kubernetes。ioname：ingressnginxapp。kubernetes。iopartof：ingressnginxspec：type：NodePortports：name：httpport：80targetPort：80protocol：TCPname：httpsport：443targetPort：443protocol：TCPselector：app。kubernetes。ioname：ingressnginxapp。kubernetes。iopartof：ingressnginx
　　可以看到，这个Service的唯一工作，就是将所有携带ingressnginx标签的Pod的80和433端口暴露出去。
　　而如果你是公有云上的环境，你需要创建的就是LoadBalancer类型的Service了。
　　上述操作完成后，你一定要记录下这个Service的访问入口，即：宿主机的地址和NodePort的端口，如下所示：
　　kubectlgetsvcningressnginxNAMETYPECLUSTERIPEXTERNALIPPORT（S）AGEingressnginxNodePort10。105。72。9680：30044TCP，443：31453TCP3h
　　为了后面方便使用，我会把上述访问入口设置为环境变量：
　　ICIP10。168。0。2任意一台宿主机的地址ICHTTPSPORT31453NodePort端口
　　在IngressController和它所需要的Service部署完成后，我们就可以使用它了。
　　备注：这个咖啡厅Ingress的所有示例文件，都在这里。
　　首先，我们要在集群里部署我们的应用Pod和它们对应的Service，如下所示：
　　kubectlcreatefcafe。yaml
　　然后，我们需要创建Ingress所需的SSL证书（tls。crt）和密钥（tls。key），这些信息都是通过Secret对象定义好的，如下所示：
　　kubectlcreatefcafesecret。yaml
　　这一步完成后，我们就可以创建在本篇文章一开始定义的Ingress对象了，如下所示：
　　kubectlcreatefcafeingress。yaml
　　这时候，我们就可以查看一下这个Ingress对象的信息，如下所示：
　　kubectlgetingressNAMEHOSTSADDRESSPORTSAGEcafeingresscafe。example。com80，4432hkubectldescribeingresscafeingressName：cafeingressNamespace：defaultAddress：Defaultbackend：defaulthttpbackend：80（）TLS：cafesecretterminatescafe。example。comRules：HostPathBackendscafe。example。comteateasvc：80（）coffeecoffeesvc：80（）Annotations：Events：TypeReasonAgeFromMessageNormalCREATE4mnginxingresscontrollerIngressdefaultcafeingress
　　可以看到，这个Ingress对象最核心的部分，正是Rules字段。其中，我们定义的Host是cafe。example。com，它有两条转发规则（Path），分别转发给teasvc和coffeesvc。
　　当然，在Ingress的YAML文件里，你还可以定义多个Host，比如restaurant。example。com、movie。example。com等等，来为更多的域名提供负载均衡服务。
　　接下来，我们就可以通过访问这个Ingress的地址和端口，访问到我们前面部署的应用了，比如，当我们访问https：cafe。example。com：443coffee时，应该是coffee这个Deployment负责响应我的请求。我们可以来尝试一下：
　　curlresolvecafe。example。com：ICHTTPSPORT：ICIPhttps：cafe。example。com：ICHTTPSPORTcoffeeinsecureServeraddress：10。244。1。56：80Servername：coffee7dbb5795f6vglbvDate：03Nov2018：03：55：320000URI：coffeeRequestID：e487e672673195c573147134167cf898
　　我们可以看到，访问这个URL得到的返回信息是：Servername：coffee7dbb5795f6vglbv。这正是coffee这个Deployment的名字。
　　而当我访问https：cafe。example。com：433tea的时候，则应该是tea这个Deployment负责响应我的请求（Servername：tea7d57856c44lwbnp），如下所示：
　　curlresolvecafe。example。com：ICHTTPSPORT：ICIPhttps：cafe。example。com：ICHTTPSPORTteainsecureServeraddress：10。244。1。58：80Servername：tea7d57856c44lwbnpDate：03Nov2018：03：55：520000URI：teaRequestID：32191f7ea07cb6bb44a1f43b8299415c
　　可以看到，NginxIngressController为我们创建的Nginx负载均衡器，已经成功地将请求转发给了对应的后端Service。
　　以上，就是Kubernetes里Ingress的设计思想和使用方法了。
　　不过，你可能会有一个疑问，如果我的请求没有匹配到任何一条IngressRule，那么会发生什么呢？
　　首先，既然NginxIngressController是用Nginx实现的，那么它当然会为你返回一个Nginx的404页面。
　　不过，IngressController也允许你通过Pod启动命令里的defaultbackendservice参数，设置一条默认规则，比如：defaultbackendservicenginxdefaultbackend。
　　这样，任何匹配失败的请求，就都会被转发到这个名叫nginxdefaultbackend的Service。所以，你就可以通过部署一个专门的Pod，来为用户返回自定义的404页面了。
　　总结
　　在这篇文章里，我为你详细讲解了Ingress这个概念在Kubernetes里到底是怎么一回事儿。正如我在文章里所描述的，Ingress实际上就是Kubernetes对反向代理的抽象。
　　目前，Ingress只能工作在七层，而Service只能工作在四层。所以当你想要在Kubernetes里为应用进行TLS配置等HTTP相关的操作时，都必须通过Ingress来进行。
　　当然，正如同很多负载均衡项目可以同时提供七层和四层代理一样，将来Ingress的进化中，也会加入四层代理的能力。这样，一个比较完善的反向代理机制就比较成熟了。
　　而Kubernetes提出Ingress概念的原因其实也非常容易理解，有了Ingress这个抽象，用户就可以根据自己的需求来自由选择IngressController。比如，如果你的应用对代理服务的中断非常敏感，那么你就应该考虑选择类似于Traefik这样支持热加载的IngressController实现。
　　更重要的是，一旦你对社区里现有的Ingress方案感到不满意，或者你已经有了自己的负载均衡方案时，你只需要做很少的编程工作，就可以实现一个自己的IngressController。
　　在实际的生产环境中，Ingress带来的灵活度和自由度，对于使用容器的用户来说，其实是非常有意义的。要知道，当年在CloudFoundry项目里，不知道有多少人为了给Gorouter组件配置一个TLS而伤透了脑筋。
　　思考题
　　如果我的需求是，当访问www。mysite。com和forums。mysite。com时，分别访问到不同的Service（比如：sitesvc和forumssvc）。那么，这个Ingress该如何定义呢？请你描述出YAML文件中的rules字段。