扬州建设银行网站,中国纳溪门户网站建设项目环境影响,国际营销信息系统,重庆网建目录 ingress的证书访问
traefik
traefik的部署方式#xff1a;
deamonset
deployment
nginx-ingress与traefix-ingress相比较
nginx-ingress-controller
ui访问
deployment部署 ingress的证书访问
ingress实现https代理访问:
需要证书和密钥
创建证书 密钥
secre…目录 ingress的证书访问
traefik
traefik的部署方式
deamonset
deployment
nginx-ingress与traefix-ingress相比较
nginx-ingress-controller
ui访问
deployment部署 ingress的证书访问
ingress实现https代理访问:
需要证书和密钥
创建证书 密钥
secrets 保存密钥信息部署pod时把secrets挂载到pod
创建密钥和证书 #创建密钥和证书
openssl req -x509 -sha256 -nodes -days 356 -newkey rsa:2048 -keyout tls.key -out tls.crt -subj /CNnginxsvc/Onginxsvc
req: 生成证书文件的
x509: 生成x.509自签名的证书
-sha256:表示使用sha-256的散列算法
-nodes:表示生成的密钥不加密
-days 365: 证书有效期是365天
-newkey rsa:2048: RSA的密钥对长度2048位
-keyout tls.key -out tls.crt: 密钥文件 key 证书文件 crt
-subj/CNnginxsvc/Onginxsvc”: 主题CN common name O : organization#用secret保存密钥和证书
kubectl create secret tls tls-secret --key tls.key --cert tls.crtapiVersion: apps/v1
kind: Deployment
metadata:name: nginx-httpslabels:app: https
spec:replicas: 3selector:matchLabels:app: httpstemplate:metadata:labels:app: httpsspec:containers:- name: nginximage: nginx:1.22
---
apiVersion: v1
kind: Service
metadata:name: nginx-svc
spec:ports:- port: 80targetPort: 80protocol: TCPselector:app: https
---
apiVersion: networking.k8s.io/v1
kind: Ingress
metadata:name: nginx-ingress-https
spec:tls:- hosts:- www.123ccc.comsecretName: tls-secret
#加密的配置保存在ingress请求---ingress-controller--ingress---转发到service
#在代理进行时就要先验证密钥对然后再把请求转发service到相应的podrules:- host: www.123ccc.comhttp:paths:- path: /pathType: Prefixbackend:service:name: nginx-svcport:number: 80访问
https://www.123ccc.com:31505/
或
curl -k https://www.123ccc.com:31505 nginx的登录账户认证
yum -y install httpd
#借用httpd的htpasswd
htpasswd -c auth zyg
New password: 123456
Re-type new password: 123456#生成加密
kubectl create secret generic basic-auth --from-fileauth
basic-auth.yaml
apiVersion: networking.k8s.io/v1
kind: Ingress
metadata:name: ingress-authannotations:
#开启认证模块的配置nginx.ingress.kubernetes.io/auth-type: basic
#设置认证类型为basic,这是k8s自带的认证加密的模块nginx.ingress.kubernetes.io/auth-secret: basic-auth
#把认证的加密模块导入到ingress当中nginx.ingress.kubernetes.io/auth-realm: Authentication Required -lyw
#设置认证窗口的提示信息。
spec:rules:- host: www.zyg1.comhttp:paths:- path: /pathType: Prefixbackend:service:name: nginx-svcport:number: 80访问
https://www.zyg1.com:31505 重定向
apiVersion: networking.k8s.io/v1
kind: Ingress
metadata:name: nginx-rewriteannotations:nginx.ingress.kubernetes.io/rewrite-target: https://www.zyg1.com:31505
#访问页面会跳转到指定的页面。
spec:rules:- host: www.liukgc.comhttp:paths:- path: /pathType: Prefixbackend:service:name: nginx-svcport:number: 80kubectl apply -f ingress-rewirte.yaml 访问
https://www.liukgc.com:31505 traefik
traefik ingress-controller--deployment
traefik是一个为了让部署微服务更加快捷而诞生的一个http方向代理负载均衡
traefix设计时就能够实时的和k8s api交互感知后端口service以及pod的变化可以自动更新配置和重载。
可以自带感知后端变化
traefik的部署方式
deamonset
优点-特点每个节点都会部署一个traefik节点感知可以自动发现更新容器的配置。不需要手动重载
缺点占用资源大大型集群中deamonset可能会运行多个traefik实例尤其是节点上不需要大量容器运行的情况下无法扩缩容
部署对外集群对外的业务会经常变更deamonset可以更好的发现服务配置变更
deployment
优点集中办公控制可以使用少量的实例来运行处理整个集群的流量。更容易升级和维护。
缺点deployment的负载均衡不会均分到每个节点。需要手动更新。他无法感知容器内部配置的变化。
部署对内集群对内的相对稳定更新和变化也比较少适合deployment.
traffic-typeinternal 对内服务
traffic-typeexternal 对外服务 nginx-ingress与traefix-ingress相比较
nginx-ingress 相对较慢
traefix-ingress 自带更新的的重载快更方便
工作原理都一样都是7层代理都可以动态的更新配置都可以自动发现服务
traefik的并发能力只有nginx-ingress的6成 60%
nginx-ingress-controller
ui访问
#权限
wget https://gitee.com/mirrors/traefik/raw/v1.7/examples/k8s/traefik-rbac.yaml#deamonset的
wget https://gitee.com/mirrors/traefik/raw/v1.7/examples/k8s/traefik-ds.yaml#deployment的
wget https://gitee.com/mirrors/traefik/raw/v1.7/examples/k8s/traefik-deployment.yaml#ui的
wget https://gitee.com/mirrors/traefik/raw/v1.7/examples/k8s/ui.yaml kubectl apply -f traefik-rbac.yaml
kubectl apply -f traefik-deployment.yaml
kubectl apply -f ui.yaml 访问ui
http://192.168.10.10:30488/dashboard/ deployment部署
123.yaml
apiVersion: apps/v1
kind: Deployment
metadata:name: nginx-traefixlabels:nginx: traefik
spec:replicas: 3selector:matchLabels:nginx: traefiktemplate:metadata:labels:nginx: traefikspec:containers:- name: nginximage: nginx:1.22
---
apiVersion: v1
kind: Service
metadata:name: nginx-traefix-svc1
spec:ports:- port: 80targetPort: 80protocol: TCPselector:nginx: traefik
---
apiVersion: networking.k8s.io/v1
kind: Ingress
metadata:name: nginx-traefix-test1
spec:rules:- host: www.yyw.comhttp:paths:- path: /pathType: Prefixbackend:service:name: nginx-traefix-svc1port:number: 80做映射 访问
http://www.yyw.com:30227/ 总结
nginx-ingress-controller
deploymentloadbalancer要公有云提供的负载均衡的公网地址
daemonsethostbnetworknodeselector: 和节点服务共享网络一个节点只能部署一个controller pod使用宿主机的端口性能最好适合大并发
deploymentNodePort最常见、最常用最简单的方法。但行呢个不太好多了一层nat地址转发
适用于大并发 traefik-ingress-controller
daemonset 对外 可以自动更新容器的配置 host节点网络 deployment 对内 无法自动自动更新配置 Nodeport
适用于小的集群并发是ingress的
https: 1.生成证书密钥 2.创建secret,保存证书和密钥
3.创建ingress把secret导入
加密认证: 1、htpasswd -c auth 认证文件只能是auth 2、 创建ingress:
nginx.ingress.kubernets.io/auth-type: basic
#声明认证类型
nginx.ingress.kubernets.io/auth-secret: basic-auth
#导入认证的密钥文件sercet的方式存储集群当中
重定向
nginx.ingress.kubernetes.io/rewrite-target: https://123ccc.com:31505
在ingress文件当中声明的URI都会跳转到这个地址
