场景说明
在前面如何配置阿里云容器服务K8S Ingress Controller使用私网SLB一文中描述了如何调整阿里云容器服务Kubernetes集群中默认的Nginx Ingress Controller配置使用私网SLB实例,文中提到的两种模式基本可以满足大部分需求场景;但对于一些特殊场景,比如集群内有部分公网服务需要通过公网Ingress方式来对外暴露提供访问,但是又有部分内网服务仅仅只希望对同VPC内非Kubernetes集群内的服务提供访问,而又不允许能被公网访问到,对此我们完全可以通过部署两套独立的Nginx Ingress Controller服务,其前端绑定不同网络类型的SLB实例来满足这类需求场景。
下面我们以此场景来说明如何在阿里云容器服务Kubernetes集群中同时部署多套独立的Nginx Ingress Controller来对外提供不同的服务访问。
新部署NginxIngressController服务
这里我们说明如何在现有的阿里云容器服务Kubernetes集群中再部署一套完全独立的Nginx Ingress Controller服务。
1、首先登录到容器服务控制台,进入到"市场"->"应用目录"下:
2、进入到"ack-ingress-nginx"应用下,编辑"参数"以配置期望的部署形态:
主要参数设置:
2.1)controller.image.repository:ingress-nginx镜像地址,对于国外region,建议更改为对应的region id;
2.2) controller.image.tag:ingress-nginx镜像tag,具体可参考Ingress-Nginx版本升级说明;
2.3)controller.ingressClass:设置该Ingress Controller可监听的目标Ingress Class标识;注意:同一个集群中不同套Ingress Controller监听的Ingress Class标识必须唯一,且不能设置为nginx关键字(其是集群默认Ingress Controller的监听标识);
2.4)controller.replicaCount:设置该Ingress Controller POD副本数;
2.5)controller.publicService.enabled:是否开启公网SLB访问,不需要开启则设置为false;
2.6)controller.privateService.enabled:是否开启私网SLB访问,需要开启则设置为true;
2.7)controller.kind:设置IngressController部署形态,可选值:Deployment或DaemonSet;
3、待配置参数、命名空间和发布名称配置完成后可点击"创建"按钮,即可开始部署新的Nginx Ingress Controller组件:
至此在您指定的命名空间下一套新的Nginx Ingress Controller已经部署完成。
访问测试
这里我们部署一个测试应用,并配置通过新部署的Nginx Ingress Controller来对外暴露提供服务访问。
1、 部署一个nginx测试应用:
apiVersion: extensions/v1beta1
kind: Deployment
metadata:
name: nginx
spec:
replicas: 1
selector:
matchLabels:
run: nginx
template:
metadata:
labels:
run: nginx
spec:
containers:
- image: nginx
imagePullPolicy: Always
name: nginx
ports:
- containerPort: 80
protocol: TCP
restartPolicy: Always
---
apiVersion: v1
kind: Service
metadata:
name: nginx
spec:
ports:
- port: 80
protocol: TCP
targetPort: 80
selector:
run: nginx
sessionAffinity: None
type: NodePort2、通过Ingress来对外暴露提供服务访问:
apiVersion: extensions/v1beta1
kind: Ingress
metadata:
name: nginx
annotations:
# 注意:这里要设置为您前面配置的`controller.ingressClass`唯一标识
kubernetes.io/ingress.class: "<YOUR_INGRESS_CLASS>"
spec:
rules:
- host: foo.bar.com
http:
paths:
- path: /
backend:
serviceName: nginx
servicePort: 80待部署完成后我们可以看到该Ingress资源对应的端点IP地址与新部署的Nginx Ingress Controller服务的一致:
# 注意:这里是同时展示了集群默认和新部署的Ingress Nginx组件服务,且新Ingress Nginx开启了公网和私网SLB访问
➜ ~ kubectl -n kube-system get svc | grep ingress
ack-ingress-nginx-biz1-controller-private LoadBalancer 172.21.6.84 192.168.2.241 80:30635/TCP,443:30278/TCP 8m2s
ack-ingress-nginx-biz1-controller-public LoadBalancer 172.21.6.92 121.196.133.241 80:31090/TCP,443:31166/TCP 8m2s
nginx-ingress-lb LoadBalancer 172.21.5.21 47.110.189.140 80:30677/TCP,443:30225/TCP 4h27m
➜ ~ kubectl get ing
NAME HOSTS ADDRESS PORTS AGE
nginx foo.bar.com 121.196.133.241 80 111s3、此时我们尝试分别通过集群默认的Nginx Ingress Controller服务和新部署的Nginx Ingress Controller服务来访问该应用:
➜ # 通过集群默认的 Nginx Ingress Controller 服务访问该应用(预期返回404)
➜ curl -H "Host: foo.bar.com" http://47.110.189.140
<html>
<head><title>404 Not Found</title></head>
<body>
<center><h1>404 Not Found</h1></center>
<hr><center>nginx</center>
</body>
</html>
➜
➜ # 通过新部署的 Nginx Ingress Controller 服务访问该应用(预期返回nginx页面)
➜ curl -H "Host: foo.bar.com" http://121.196.133.241
<!DOCTYPE html>
<html>
<head>
<title>Welcome to nginx!</title>
<style>
body {
width: 35em;
margin: 0 auto;
font-family: Tahoma, Verdana, Arial, sans-serif;
}
</style>
</head>
<body>
<h1>Welcome to nginx!</h1>
<p>If you see this page, the nginx web server is successfully installed and
working. Further configuration is required.</p>
<p>For online documentation and support please refer to
<a href="http://nginx.org/">nginx.org</a>.<br/>
Commercial support is available at
<a href="http://nginx.com/">nginx.com</a>.</p>
<p><em>Thank you for using nginx.</em></p>
</body>
</html>从上面测试访问情况可以看到,通过不同的Nginx Ingress Controller暴露的服务彼此完全是独立的,这特别适用于同一集群内部分服务需要提供公网访问能力,但又有部分服务仅仅只希望为同VPC内非Kubernetes集群的其他服务提供访问的场景。
