28，Ingress

在前面课程中已经提到，Service对集群之外暴露服务的主要方式有两种：NotePort和LoadBalancer，但是这两种方式，都有一定的缺点：

• NodePort方式的缺点是会占用很多集群机器的端口，那么当集群服务变多的时候，这个缺点就愈发明显
• LB方式的缺点是每个service需要一个LB，浪费、麻烦，并且需要kubernetes之外设备的支持

基于这种现状，kubernetes提供了Ingress资源对象，Ingress只需要一个NodePort或者一个LB就可以满足暴露多个Service的需求。
实际上，Ingress相当于一个7层的负载均衡器，是kubernetes对反向代理的一个抽象，它的工作原理类似于Nginx，可以理解成在Ingress里建立诸多映射规则，Ingress Controller通过监听这些配置规则并转化成Nginx的反向代理配置 , 然后对外部提供服务。在这里有两个核心概念：

• ingress：kubernetes中的一个对象，作用是定义请求如何转发到service的规则
• ingress controller：具体实现反向代理及负载均衡的程序，对ingress定义的规则进行解析，根据配置的规则来实现请求转发，实现方式有很多，比如Nginx, Contour, Haproxy等等

Ingress（以Nginx为例）的工作原理如下：

1. 用户编写Ingress规则，说明哪个域名对应kubernetes集群中的哪个Service
2. Ingress控制器动态感知Ingress服务规则的变化，然后生成一段对应的Nginx反向代理配置
3. Ingress控制器会将生成的Nginx配置写入到一个运行着的Nginx服务中，并动态更新
4. 到此为止，其实真正在工作的就是一个Nginx了，内部配置了用户定义的请求转发规则

7.5.1 环境准备 搭建ingress环境

# 创建文件夹
mkdir ingress-controller && cd ingress-controller/

'''获取ingress-nginx，本次案例使用的是0.30版本。文件无法下载，可百度一个'''
wget https://raw.githubusercontent.com/kubernetes/ingress-nginx/nginx-0.30.0/deploy/static/mandatory.yaml
wget https://raw.githubusercontent.com/kubernetes/ingress-nginx/nginx-0.30.0/deploy/static/provider/baremetal/service-nodeport.yaml

'''修改mandatory.yaml文件中的仓库（不要改，新地址已经失效，原地址还能用）
修改quay.io/kubernetes-ingress-controller/nginx-ingress-controller:0.30.0
为quay-mirror.qiniu.com/kubernetes-ingress-controller/nginx-ingress-controller:0.30.0
创建ingress-nginx'''
kubectl apply -f ./

kubectl get pod,svc,deploy -n ingress-nginx
'''NAME                                            READY   STATUS    RESTARTS   AGE
pod/nginx-ingress-controller-7f74f657bd-dq4lj   1/1     Running   0          6m18s

NAME                    TYPE       CLUSTER-IP      EXTERNAL-IP   PORT(S)                      AGE
service/ingress-nginx   NodePort   10.108.12.184           80:32524/TCP,443:31554/TCP   21m

NAME                                       READY   UP-TO-DATE   AVAILABLE   AGE
deployment.apps/nginx-ingress-controller   1/1     1            1           21m'''

cat >test.yaml < 
创建ingress，Http代理 
cat >test.yaml < 
kubectl get ing -n dev
'''NAME           HOSTS                                  ADDRESS         PORTS   AGE
ingress-http   nginx.itheima.com,tomcat.itheima.com   10.108.12.184   80      34m
'''

# 查看详情
kubectl describe ing ingress-http  -n dev
'''Rules:
  Host                Path  Backends
  ----                ----  --------
  nginx.itheima.com   
                      /   nginx-service:80 (10.244.1.96:80,10.244.3.252:80,10.244.3.253:80)
  tomcat.itheima.com  
                      /   tomcat-service:8080 (10.244.1.97:8080,10.244.1.98:8080,10.244.3.254:8080)
接下来,在本地电脑上配置host文件,解析上面的两个域名到192.168.109.100(master)上
然后,就可以分别访问tomcat.itheima.com:32524 和  nginx.itheima.com:32524 查看效果了'''
 
Https代理 
创建证书参考Linux下openssl req 命令详解
 
# 生成证书
openssl req -x509 -sha256 -nodes -days 365 -newkey rsa:2048 -keyout tls.key -out tls.crt -subj "/C=CN/ST=BJ/L=BJ/O=nginx/CN=itheima.com"

# 创建密钥
kubectl create secret tls tls-secret --key tls.key --cert tls.crt

#https代理配置文件
cat >test.yaml <