今天我們來聊一下云原生生態(tài)核心技術(shù)之流量管理—— Kubernetes Ingress Controller。

什么是 Ingress Controller ?

在云原生生態(tài)中，通常來講，入口控制器( Ingress Controller )是 Kubernetes 中的一個關(guān)鍵組件，用于管理入口資源對象。

Ingress 資源對象用于定義來自外網(wǎng)的 HTTP 和 HTTPS 規(guī)則，以控制進(jìn)入集群內(nèi)服務(wù)的流量。而 Ingress Controller 則是真正實現(xiàn) Ingress 規(guī)則的組件。

從更為準(zhǔn)確的角度而言，入口控制器( Ingress Controller )管理 L4 和 L7 層請求的南北向流量，也就是我們所說的從集群外部進(jìn)入或離開集群的流程。它通過解析 Ingress資源對象，配置負(fù)載調(diào)度規(guī)則，將外部請求按照域名、路徑等規(guī)則轉(zhuǎn)發(fā)到集群內(nèi)后端服務(wù) Pod 上。

而集群內(nèi)服務(wù)之間的東西向流量，則由服務(wù)發(fā)現(xiàn)機(jī)制進(jìn)行管理。例如 Pod 根據(jù)服務(wù)名稱查詢對方 Pod IP 進(jìn)行通信。

我們可以從更廣泛的視角來理解這兩種流量:

• 南北向流量指集群與外部網(wǎng)絡(luò)交互的流量。入口控制器( Ingress Controller )負(fù)責(zé)將外部請求路由到集群，同時支持外部訪問集群內(nèi)服務(wù)。
• 東西向流量指集群內(nèi)各個微服務(wù)之間的調(diào)用流量。這里不需要顧慮網(wǎng)絡(luò)安全隔離問題，負(fù)載由服務(wù)發(fā)現(xiàn)機(jī)制直接調(diào)度實現(xiàn)。

在整個網(wǎng)絡(luò)拓?fù)浼軜?gòu)中，兩者各司其職，形成了完整流量治理體系。入口控制器( Ingress Controller )統(tǒng)一入口，服務(wù)發(fā)現(xiàn)則實現(xiàn)內(nèi)部流量的松耦合通訊。這樣既保證了外部訪問安全，也實現(xiàn)了集群內(nèi)各服務(wù)的高可用調(diào)用。這對于 Kubernetes 原生應(yīng)用架構(gòu)調(diào)優(yōu)和流量管控都大有利處。

從更為專業(yè)的角度進(jìn)行補(bǔ)充：Ingress 本身只是一個 API 對象，定義了集群外部流量如何進(jìn)入集群內(nèi)各個服務(wù)的路由規(guī)則，但是它本身無法直接實現(xiàn)這些路由。

這里需要一個控制平面組件-入口控制器( Ingress Controller )，它監(jiān)聽 Ingress 資源對象的變更，并根據(jù) Ingress 規(guī)則進(jìn)行配置。一般來說，入口控制器實現(xiàn)了反向代理功能，例如 Nginx Ingress 或 Traefik 等。

入口控制器( Ingress Controller )通過監(jiān)聽節(jié)點(diǎn)的某個端口，接收集群外部流量。它將根據(jù) Ingress 定義的規(guī)則,如域名、URL路徑、主機(jī)名等進(jìn)行匹配，然后利用負(fù)載均衡技術(shù)將流量轉(zhuǎn)發(fā)至后端對應(yīng)的 Pod 服務(wù)實例上。

同時，入口控制器( Ingress Controller )也可以提供更豐富的流量管理能力，諸如基于IP或用戶名密碼的訪問控制;超時重試與隔離;跨區(qū)域流量管理等。它通過對外提供統(tǒng)一入口，為內(nèi)部服務(wù)提供安全可靠的對外訪問表現(xiàn)層。

一定需要入口控制器 (Ingress Controller)嗎 ?

通常，在容器云平臺，尤其是私有云環(huán)境下，Kubernetes Cluster 內(nèi)各個 Pod 僅能互相訪問，但外部網(wǎng)絡(luò)無法直接訪問到集群內(nèi)的 Pod，這樣保證了集群的安全性。

當(dāng)需要對外提供服務(wù)時，我們可以創(chuàng)建 Ingress 資源對象來定義路由規(guī)則，比如基于域名或 URL 路徑將流量轉(zhuǎn)發(fā)到后端不同服務(wù)上。

但是 Ingress 資源本身只是一個聲明，無法直接實現(xiàn)流量轉(zhuǎn)發(fā)這一功能。此時需要部署一個控制平面組件 入口控制器( Ingress Controller ) Pod(如 Nginx 或者 Traefik )，它會檢測 Ingress 對象的變更，并根據(jù) Ingress 規(guī)則配置負(fù)載均衡設(shè)備或自身作反向代理。

入口控制器( Ingress Controller )以 Pod 形式運(yùn)行在集群內(nèi)，從集群外部流入的請求通過 入口控制器( Ingress Controller ) 入口被轉(zhuǎn)發(fā)到后端服務(wù)上。

同時，入口控制器( Ingress Controller ) 不僅可以實現(xiàn)單純的循環(huán)請求分配，也支持根據(jù)目標(biāo) URL 或域名提供虛擬主機(jī)、HTTPS、認(rèn)證等附加能力，充分利用其作為入口的功能。

因此，只有通過入口控制器( Ingress Controller )，才能真正意義上實現(xiàn) Ingress 定義的復(fù)雜流量管理規(guī)則，同時也通過統(tǒng)一入口對外提供安全可靠的服務(wù)訪問能力，這就是 Ingress 實現(xiàn)外部訪問的標(biāo)準(zhǔn)解決方案。

入口控制器 (Ingress Controller)工作原理 ?

通常而言，入口控制器( Ingress Controller )的一般工作原理，注涉及如下，具體：

• 定義 Ingress 規(guī)則：管理員通過 Kubernetes 的 Ingress 資源對象定義流量的路由規(guī)則。Ingress 規(guī)則通常包括主機(jī)名、路徑、服務(wù)端口等信息，用于描述流量應(yīng)該如何被路由。
• Ingress Controller 監(jiān)聽 Ingress 資源：入口控制器( Ingress Controller )會監(jiān)聽 Kubernetes Cluster 中的 Ingress 資源對象的變化。它通過與 Kubernetes API 服務(wù)器進(jìn)行交互，獲取 Ingress 規(guī)則的更新和創(chuàng)建。
• 配置負(fù)載均衡器：入口控制器( Ingress Controller )根據(jù) Ingress 規(guī)則中定義的信息配置負(fù)載均衡器，以便將流量分發(fā)到后端服務(wù)。這通常涉及到負(fù)載均衡器的配置和更新，以反映 Ingress 規(guī)則的變化。
• 路由流量到后端服務(wù)：一旦負(fù)載均衡器配置完畢，入口控制器( Ingress Controller )會根據(jù) Ingress 規(guī)則將流量路由到相應(yīng)的后端服務(wù)。它可能使用反向代理、 DNS 解析等技術(shù)來實現(xiàn)流量的轉(zhuǎn)發(fā)。

入口控制器 (Ingress Controller)能夠解決哪些問題?

通常而言，入口控制器(Ingress Controller)是一個在 Kubernetes Cluster 中運(yùn)行的組件，用于管理和控制流入集群的網(wǎng)絡(luò)流量。其主要解決了以下幾個關(guān)鍵問題：

• 負(fù)載均衡和流量路由：入口控制器(Ingress Controller)作為反向代理，通過負(fù)載均衡和流量路由機(jī)制將流量分發(fā)到后端服務(wù)。它可以根據(jù)請求的主機(jī)名、路徑、標(biāo)頭等條件將流量導(dǎo)向不同的服務(wù)，實現(xiàn)靈活的流量管理。通過負(fù)載均衡和路由，入口控制器確保服務(wù)的可用性、可靠性和性能優(yōu)化。
• SSL/TLS 終止和證書管理：入口控制器(Ingress Controller)可以處理入站請求的 SSL/TLS 終止，即將加密的流量解密并轉(zhuǎn)發(fā)到后端服務(wù)。它支持在集群內(nèi)部生成、管理和更新 SSL/TLS 證書，或與外部證書頒發(fā)機(jī)構(gòu)(如 Let's Encrypt)集成，實現(xiàn)自動化的證書管理。通過 SSL/TLS 終止和證書管理，入口控制器提供了安全的通信渠道，保護(hù)用戶數(shù)據(jù)的機(jī)密性和完整性。
• 訪問控制和安全策略：入口控制器(Ingress Controller)提供了訪問控制機(jī)制，允許管理員定義和強(qiáng)制執(zhí)行網(wǎng)絡(luò)流量的安全策略。它可以基于 IP 地址、網(wǎng)絡(luò)段、標(biāo)頭、請求方法等條件來限制對后端服務(wù)的訪問。通過訪問控制和安全策略，入口控制器可以防止未經(jīng)授權(quán)的訪問和惡意請求，提高系統(tǒng)的安全性。
• 域名管理和多租戶支持：入口控制器(Ingress Controller)允許管理員輕松管理多個域名，并將其映射到不同的服務(wù)和路徑上。這對于支持多租戶環(huán)境非常有用，可以為每個租戶分配獨(dú)立的域名和訪問路徑，實現(xiàn)隔離和定制化。通過域名管理和多租戶支持，入口控制器使得在同一個集群中托管多個應(yīng)用程序或服務(wù)更加靈活和可管理。
• 觀測及可見性：入口控制器(Ingress Controller)通常提供豐富的監(jiān)控和日志記錄功能，用于跟蹤和分析流入集群的網(wǎng)絡(luò)流量。它可以記錄請求和響應(yīng)的詳細(xì)信息，包括響應(yīng)時間、狀態(tài)碼、請求量等指標(biāo)。通過監(jiān)控和日志記錄，入口控制器幫助管理員了解流量模式、識別潛在問題，并進(jìn)行系統(tǒng)性能優(yōu)化。