k8s 如何使用域名访问服务

K8s（Kubernetes）可以通过Ingress、Service、DNS等方式来使用域名访问服务。Ingress是最常用的方法，因为它提供了负载均衡、SSL终端以及基于名称的虚拟主机功能。通过设置Ingress资源，可以将外部请求按域名转发到集群内部的服务。例如，可以设置一个域名“example.com”指向集群中的某个服务。配置Ingress对象时需要指定规则，根据请求的域名、路径等信息，将流量路由到相应的Service。详细描述：Ingress作为K8s中的一个API对象，它允许我们定义如何将外部HTTP和HTTPS流量路由到集群内部的服务。通过配置Ingress资源，可以实现基于域名的路由，例如将请求“example.com”路由到backend-service。Ingress控制器负责实现这些规则，并且可以与外部负载均衡器和DNS服务集成，从而实现高效的流量管理和SSL终端。

一、什么是Kubernetes中的Ingress

Ingress是Kubernetes中的一个重要API对象，它定义了如何将HTTP和HTTPS流量从外部路由到集群内部的服务。Ingress提供了丰富的功能，包括基于名称的虚拟主机、负载均衡和SSL终端。与Service对象不同，Ingress不仅仅是一个简单的负载均衡器，它还可以根据域名和路径进行复杂的路由规则配置。具体来说，Ingress资源包含一组规则，这些规则定义了如何将外部请求映射到内部服务。例如，可以设置一个规则，将访问“example.com”的请求路由到名为“backend-service”的服务。Ingress控制器负责实现这些规则，并将流量按需路由到相应的服务。由于其强大的功能和灵活性，Ingress成为了Kubernetes集群中实现域名访问的首选方法。

二、Kubernetes Ingress的基本配置

Ingress的配置通常涉及创建一个Ingress资源并配置相应的规则。首先需要确保集群中已经安装了一个Ingress控制器，例如Nginx Ingress控制器或Traefik。安装控制器后，可以开始创建Ingress资源。一个典型的Ingress配置文件如下：

apiVersion: networking.k8s.io/v1

kind: Ingress
metadata:
  name: example-ingress
  annotations:
    nginx.ingress.kubernetes.io/rewrite-target: /
spec:
  rules:
  - host: example.com
    http:
      paths:
      - path: /
        pathType: Prefix
        backend:
          service:
            name: backend-service
            port:
              number: 80

在这个配置中，host字段指定了域名“example.com”，paths字段定义了将根路径（“/”）的请求路由到名为“backend-service”的服务，并且服务的端口为80。通过这种方式，可以实现基于域名的流量路由。Annotations字段可以用来配置特定的控制器行为，例如在Nginx Ingress中，可以使用annotations来设置重写规则或启用SSL。

三、Ingress控制器的类型和选择

Kubernetes支持多种Ingress控制器，常见的包括Nginx、Traefik、HAProxy和Contour等。不同的控制器有不同的特性和优势，因此选择适合自己的控制器非常重要。Nginx是最常用的控制器，具有高性能和丰富的配置选项，适用于大多数应用场景。Traefik则以易于配置和自动发现服务著称，适合快速部署和动态环境。HAProxy和Contour则在高可用性和性能优化方面有独特的优势。在选择控制器时，需要根据具体需求和环境进行评估。例如，如果需要复杂的流量管理和高性能，可以选择Nginx；如果需要快速部署和自动配置，可以选择Traefik。安装控制器后，需要根据实际需求进行配置，并确保其与Ingress资源兼容。

四、配置TLS证书以启用HTTPS

在现代Web应用中，启用HTTPS以保证数据传输的安全性是非常重要的。Kubernetes中的Ingress支持配置TLS证书来实现HTTPS。通常，可以通过创建一个Secret来存储TLS证书，并在Ingress资源中引用该Secret。一个典型的TLS配置如下：

apiVersion: v1

kind: Secret
metadata:
  name: tls-secret
  namespace: default
data:
  tls.crt: <base64-encoded-cert>
  tls.key: <base64-encoded-key>
type: kubernetes.io/tls

创建Secret后，可以在Ingress资源中引用该Secret：

apiVersion: networking.k8s.io/v1

kind: Ingress
metadata:
  name: example-ingress
spec:
  tls:
  - hosts:
    - example.com
    secretName: tls-secret
  rules:
  - host: example.com
    http:
      paths:
      - path: /
        pathType: Prefix
        backend:
          service:
            name: backend-service
            port:
              number: 80

在这个配置中，tls字段指定了TLS证书的Secret名称，并且关联了域名“example.com”。这样，Ingress控制器就会使用该TLS证书来处理HTTPS请求，从而实现安全的通信。

五、配置域名解析

为了使外部用户能够通过域名访问Kubernetes服务，需要配置DNS解析。可以通过公共DNS服务（如Route 53、Cloud DNS等）或企业内部DNS服务器来实现。首先需要获取Ingress控制器的外部IP地址或负载均衡器的DNS名称。然后在DNS服务中创建一个A记录或CNAME记录，将域名指向该IP地址或DNS名称。例如，假设Ingress控制器的外部IP地址为“1.2.3.4”，可以在DNS服务中创建一个A记录，将域名“example.com”指向“1.2.3.4”。通过这种方式，可以将外部请求通过域名解析到Ingress控制器，从而实现对Kubernetes服务的访问。

六、使用Annotations进行高级配置

Annotations是Kubernetes中一个强大的功能，允许在Ingress资源中定义特定控制器的行为。例如，在Nginx Ingress中，可以使用Annotations来配置重写规则、启用SSL、设置连接超时等。以下是一些常见的Annotations配置：

metadata:

  annotations:
    nginx.ingress.kubernetes.io/rewrite-target: /
    nginx.ingress.kubernetes.io/ssl-redirect: "true"
    nginx.ingress.kubernetes.io/proxy-connect-timeout: "30s"
    nginx.ingress.kubernetes.io/proxy-send-timeout: "30s"
    nginx.ingress.kubernetes.io/proxy-read-timeout: "30s"

在这个例子中，rewrite-target用于将请求路径重写为根路径，ssl-redirect用于启用SSL重定向，proxy-connect-timeout、proxy-send-timeout和proxy-read-timeout用于设置代理连接、发送和读取超时时间。通过配置适当的Annotations，可以实现对Ingress行为的细粒度控制，从而满足特定的应用需求。

七、使用ExternalDNS自动管理DNS记录

ExternalDNS是一个Kubernetes外部DNS管理器，它可以根据Kubernetes资源的变化自动创建和更新DNS记录。通过使用ExternalDNS，可以简化域名解析的管理过程。安装ExternalDNS后，需要配置适当的权限和参数，使其能够访问DNS服务并管理DNS记录。例如，对于AWS Route 53，可以使用以下配置：

apiVersion: v1

kind: ServiceAccount
metadata:
  name: external-dns
  namespace: default
---
apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRole
metadata:
  name: external-dns
rules:
- apiGroups: [""]
  resources: ["services", "endpoints", "pods"]
  verbs: ["get", "watch", "list"]
- apiGroups: ["extensions", "networking.k8s.io"]
  resources: ["ingresses"]
  verbs: ["get", "watch", "list"]
---
apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRoleBinding
metadata:
  name: external-dns
roleRef:
  apiGroup: rbac.authorization.k8s.io
  kind: ClusterRole
  name: external-dns
subjects:
- kind: ServiceAccount
  name: external-dns
  namespace: default
---
apiVersion: apps/v1
kind: Deployment
metadata:
  name: external-dns
  namespace: default
spec:
  replicas: 1
  selector:
    matchLabels:
      app: external-dns
  template:
    metadata:
      labels:
        app: external-dns
    spec:
      serviceAccountName: external-dns
      containers:
      - name: external-dns
        image: k8s.gcr.io/external-dns/external-dns:v0.7.3
        args:
        - --source=service
        - --source=ingress
        - --domain-filter=example.com
        - --provider=aws
        - --policy=upsert-only
        - --registry=txt
        - --txt-owner-id=my-cluster

这个配置创建了一个ExternalDNS部署，并配置了适当的权限和参数，使其能够管理AWS Route 53中的DNS记录。通过这种方式，可以实现自动化的DNS记录管理，从而简化域名解析的配置和维护。

八、监控和调试Ingress

为了确保Ingress资源和控制器正常工作，需要进行监控和调试。可以使用多种工具和方法来监控Ingress的状态和性能。例如，使用Prometheus和Grafana监控Ingress控制器的指标，使用日志分析工具（如Elastic Stack）分析Ingress控制器的日志。此外，可以使用Kubernetes原生工具（如kubectl）来查看Ingress资源的状态和事件。例如，使用以下命令查看Ingress资源的详细信息：

kubectl describe ingress example-ingress

这个命令会显示Ingress资源的详细信息，包括规则、TLS配置和事件等。通过监控和调试，可以及时发现和解决问题，从而确保Ingress资源的稳定性和性能。

九、使用Helm简化Ingress的部署和管理

Helm是Kubernetes的包管理工具，可以简化应用和资源的部署和管理。通过使用Helm Chart，可以方便地部署和管理Ingress资源和控制器。例如，可以使用以下Helm Chart来部署Nginx Ingress控制器：

helm repo add ingress-nginx https://kubernetes.github.io/ingress-nginx

helm repo update
helm install my-ingress ingress-nginx/ingress-nginx

这个命令会从官方仓库中安装Nginx Ingress控制器，并创建相应的资源。通过Helm，可以轻松地管理Ingress控制器的版本和配置，从而简化部署和维护过程。

十、最佳实践和安全建议

在使用Ingress时，需要遵循一些最佳实践和安全建议，以确保系统的稳定性和安全性。首先，应定期更新Ingress控制器和相关组件，以获取最新的功能和安全修复。其次，应配置适当的安全策略，例如启用TLS、配置防火墙规则和限制访问权限。此外，应监控和分析Ingress控制器的日志和指标，以及时发现和解决问题。最后，应进行定期的安全审计和评估，以确保系统的安全性和合规性。通过遵循这些最佳实践和安全建议，可以确保Kubernetes集群中Ingress的稳定性和安全性。

相关问答FAQs：

如何在 Kubernetes 中使用域名访问服务？

在 Kubernetes（K8s）集群中使用域名访问服务是一个常见的需求，特别是在微服务架构中。通过使用域名，可以更方便地管理和访问不同的服务。下面将详细介绍如何在 K8s 中实现这一目标。

1. 配置 Kubernetes 服务

Kubernetes 提供了多种服务类型，其中 ClusterIP、NodePort 和 LoadBalancer 是最常用的。使用域名访问服务时，通常需要将服务暴露到集群外部。

• ClusterIP：该服务类型仅在集群内部可访问，不能通过域名从外部访问。
• NodePort：此类型的服务会在每个节点的一个特定端口上开放，可以通过节点的 IP 和端口访问。
• LoadBalancer：在云环境中，使用 LoadBalancer 类型可以自动创建一个外部负载均衡器，并为服务分配一个公网 IP。

要创建一个服务，可以使用以下命令：

apiVersion: v1
kind: Service
metadata:
  name: my-service
spec:
  type: LoadBalancer
  ports:
  - port: 80
    targetPort: 8080
  selector:
    app: my-app

此配置创建了一个名为 my-service 的服务，将外部的 80 端口映射到内部应用的 8080 端口。

2. 使用 Ingress 控制器

为了使用域名访问服务，Ingress 控制器是一个非常有用的工具。Ingress 允许您定义外部访问服务的规则，并通过域名路由请求。

首先，您需要安装一个 Ingress 控制器，如 NGINX 或 Traefik。以 NGINX 为例，可以使用以下命令进行安装：

kubectl apply -f https://raw.githubusercontent.com/kubernetes/ingress-nginx/main/deploy/static/provider/cloud/deploy.yaml

安装完成后，您可以创建一个 Ingress 资源来定义域名和服务之间的映射。以下是一个示例配置：

apiVersion: networking.k8s.io/v1
kind: Ingress
metadata:
  name: my-ingress
spec:
  rules:
  - host: myapp.example.com
    http:
      paths:
      - path: /
        pathType: Prefix
        backend:
          service:
            name: my-service
            port:
              number: 80

在这个示例中，当用户访问 myapp.example.com 时，Ingress 控制器会将请求转发到名为 my-service 的服务上。

3. 配置 DNS 记录

在完成 Ingress 配置后，您需要将域名指向 Ingress 控制器的外部 IP 地址。可以通过以下步骤配置 DNS 记录：

1. 获取 Ingress 控制器的外部 IP 地址：

   kubectl get services -o wide -w -n ingress-nginx
   

2. 登录到您的 DNS 提供商的控制面板，创建 A 记录，将 myapp.example.com 指向上一步中获得的外部 IP 地址。

3. 等待 DNS 记录生效。这可能需要几分钟到数小时，具体取决于 DNS 提供商的设置。

4. 测试域名访问

在 DNS 记录生效后，您可以通过浏览器访问 http://myapp.example.com 来测试域名是否可以正确访问服务。如果配置正确，您应该能够看到应用程序的输出。

5. 处理 SSL/TLS

为了确保数据传输的安全性，建议为您的应用程序配置 SSL/TLS。可以使用 Let's Encrypt 来自动获取和管理 SSL 证书。使用 Cert-Manager 可以方便地集成 Let's Encrypt。

首先，安装 Cert-Manager：

kubectl apply -f https://github.com/jetstack/cert-manager/releases/latest/download/cert-manager.yaml

接下来，创建一个 Issuer，用于请求证书：

apiVersion: cert-manager.io/v1
kind: ClusterIssuer
metadata:
  name: letsencrypt-prod
spec:
  acme:
    server: https://acme-v02.api.letsencrypt.org/directory
    email: your-email@example.com
    privateKeySecretRef:
      name: letsencrypt-prod
    solvers:
    - http01:
        ingress:
          class: nginx

然后，创建一个 Certificate 资源，指定要为哪个域名申请证书：

apiVersion: cert-manager.io/v1
kind: Certificate
metadata:
  name: myapp-cert
spec:
  secretName: myapp-tls
  issuerRef:
    name: letsencrypt-prod
    kind: ClusterIssuer
  commonName: myapp.example.com
  dnsNames:
  - myapp.example.com

最后，更新 Ingress 资源以使用 TLS：

apiVersion: networking.k8s.io/v1
kind: Ingress
metadata:
  name: my-ingress
spec:
  tls:
  - hosts:
    - myapp.example.com
    secretName: myapp-tls
  rules:
  - host: myapp.example.com
    http:
      paths:
      - path: /
        pathType: Prefix
        backend:
          service:
            name: my-service
            port:
              number: 80

6. 监控和日志

在 K8s 中监控和日志记录是确保服务稳定运行的重要方面。可以使用工具如 Prometheus 和 Grafana 来监控应用程序的性能指标，同时使用 ELK（Elasticsearch, Logstash, Kibana）堆栈来收集和分析日志信息。

7. 常见问题解答

如何处理多个域名指向同一服务？

可以在 Ingress 资源中定义多个规则，每个规则对应一个域名，并将它们指向同一服务。例如：

spec:
  rules:
  - host: app1.example.com
    http:
      paths:
      - path: /
        pathType: Prefix
        backend:
          service:
            name: my-service
            port:
              number: 80
  - host: app2.example.com
    http:
      paths:
      - path: /
        pathType: Prefix
        backend:
          service:
            name: my-service
            port:
              number: 80

如何在本地测试域名访问？

可以在本地的 hosts 文件中添加域名和 IP 地址的映射。例如，在 /etc/hosts 文件中添加一行：

<INGRESS_IP> myapp.example.com

这样就可以在本地测试域名访问。

使用域名访问服务时，有哪些安全考虑？

确保使用 HTTPS 协议以保护数据传输安全。定期更新和管理 SSL/TLS 证书，避免使用过期的证书。同时，使用防火墙和安全组限制对 Ingress 控制器的访问。

关于 GitLab 的更多内容，可以查看官网文档：
官网地址： https://gitlab.cn 
文档地址： https://docs.gitlab.cn 
论坛地址： https://forum.gitlab.cn