如何使用443/80

时间:2019-04-29 16:38:04

标签: kubernetes kubernetes-ingress

是否可以使用本地443/80端口公开Kubernetes服务?

我知道在Kubernetes中公开服务的一些方法:

1. NodePort-默认端口范围是30000-32767,因此我们无法使用443/80访问该服务。由于端口冲突,更改端口范围存在风险,因此不是一个好主意。

2.主机网络-强制Pod使用主机的网络,而不是专用的网络名称空间。这不是一个好主意,因为我们丢失了kube-dns等。

3. Ingress-AFAIK使用NodePort(因此我们再次面对第一个问题)或云提供商LoadBalancer。由于我们在内部使用Kubernetes,因此我们无法使用此选项。 MetalLB尚不足以使您在尚未在云提供商上运行的集群中创建LoadBalancer类型的Kubernetes服务。

您是否知道其他使用本地443/80端口在Kubernetes中公开服务的方法? 我正在寻找“ Kubernetes解决方案”;不使用外部群集反向代理。

谢谢。

4 个答案:

答案 0 :(得分:1)

使用入口控制器作为kubernetes集群中服务的入口点。在端口80或443上运行入口控制器。 您需要为要从外部访问的每个后端服务定义入口规则。入口控制器应能够允许客户端根据入口规则中定义的路径访问服务。

如果您需要允许通过https访问,则需要获取dns证书,将其加载到机密中并将其绑定到入口规则中

最流行的一种是nginx入口控制器。 Traefik和ha代理入口控制器也是其他替代解决方案

答案 1 :(得分:0)

具有hostNetwork代理的想法实际上还不错,例如,Openshift Router使用它。您定义两个或三个节点来运行代理,并在它们前面使用DNS负载平衡。

您仍然可以将kube-dns与hostNetwork一起使用,请参见https://kubernetes.io/docs/concepts/services-networking/dns-pod-service/#pod-s-dns-policy

答案 2 :(得分:0)

IMHO入口是在Prem上执行此操作的最佳方法。

我们将nginx-ingress-controller作为守护程序运行,每个控制器都绑定到主机网络上的端口80和443。进入集群的流量几乎有100%来自80或443,并通过入口规则路由到正确的服务。

每个应用程序只需要一个DNS记录,即可将您的主机名映射到群集的节点,并有一个对应的ingress

以下是守护程序清单清单的示例:

kind: DaemonSet
apiVersion: apps/v1
metadata:
  name: nginx-ingress-controller
spec:
  selector:
    matchLabels:
      component: ingress-controller
  template:
    metadata:
      labels:
        component: ingress-controller
    spec:
      restartPolicy: Always
      hostNetwork: true
      containers:
        - name: nginx-ingress-lb
          image: quay.io/kubernetes-ingress-controller/nginx-ingress-controller:0.21.0
          ports:
            - name: http
              hostPort: 80
              containerPort: 80
              protocol: TCP
            - name: https
              hostPort: 443
              containerPort: 443
              protocol: TCP
          env:
            - name: POD_NAMESPACE
              valueFrom:
                fieldRef:
                  apiVersion: v1
                  fieldPath: metadata.namespace
          args:
            - /nginx-ingress-controller
            - '--default-backend-service=$(POD_NAMESPACE)/default-http-backend'

答案 3 :(得分:0)

您可能正在unix / linux主机上运行带有nginx入口控制器的 kubeadm 本地Kubernetes设置,并且无法安全地暴露受限系统端口范围(0-1023)中的端口。

您需要设置自己的专用负载均衡器对(例如,运行HA-Proxy的Linux盒),或者如果您幸运地处于已经提供负载均衡的企业环境中,则可以使用现有的负载均衡器(例如, F5 LB)。

然后,您将能够设置负载平衡器,以将443/80请求转发到由群集的入口控制器处理的群集节点的30443/30080端口。