HA ingress-nginx: DaemonSet hostNetwork keepavlied

好处很多：
流量直接访问到node 上面的 ingress-nginx，再直接转发到目标 pod。
pod可以获取客户端访问的ip
ingress-nginx 相当于是一种类似于 istio 服务网格的部署方式，每个node可以分担流量压力。

限制/不足：
每个 node 节点需要部署 ingess-nginx，多占用一点资源。
每个 node 节点的端口会被 ingress-nginx 占用 80 和 443，以及将来可能会被占用的 tcp或是 udp 端口。
安全：需要评估安全影响。

软件环境：

kubernetes 1.15.3 1.17.0
nginx-ingress-controller:0.25.0 0.30.0

部署步骤：

wget -N https://raw.githubusercontent.com/kubernetes/ingress-nginx/master/deploy/static/mandatory.yaml -O ingress-nginx-mandatory.yaml
wget -N https://raw.githubusercontent.com/kubernetes/ingress-nginx/master/deploy/static/provider/baremetal/service-nodeport.yaml -O ingress-nginx-service-clusterip.yaml

sed  -i 's/kind: Deployment/kind: DaemonSet/g' ingress-nginx-mandatory.yaml
sed  -i 's/replicas:/#replicas:/g' ingress-nginx-mandatory.yaml
sed -i -e 's?quay.io?quay.azk8s.cn?g' -e 's?k8s.gcr.io?gcr.azk8s.cn/google-containers?g'  ingress-nginx-mandatory.yaml

# spec.template.spec 下面
# serviceAccountName: nginx-ingress-serviceaccount 的前后,平级加上 hostNetwork: true 和 dnsPolicy: "ClusterFirstWithHostNet"

sed -i '/serviceAccountName: nginx-ingress-serviceaccount/a\      hostNetwork: true' ingress-nginx-mandatory.yaml
sed -i '/serviceAccountName: nginx-ingress-serviceaccount/a\      dnsPolicy: "ClusterFirstWithHostNet"' ingress-nginx-mandatory.yaml

sed  -i 's/type: NodePort/type: ClusterIP/g' ingress-nginx-service-clusterip.yaml

sed -i '/serviceAccountName: nginx-ingress-serviceaccount/a\      nodeSelector:\n        node-ingress: "true"' ingress-nginx-mandatory.yaml

kubectl apply -f ingress-nginx-mandatory.yaml
kubectl apply -f ingress-nginx-service-clusterip.yaml

## end

在线修改启动参数
在 args: - /nginx-ingress-controller 后面加上 --enable-ssl-passthrough (argocd 需要这个配置)


kubectl edit DaemonSet/nginx-ingress-controller -n ingress-nginx

--enable-ssl-passthrough

增加这个参数，保存退出。

##############
# 一些维护的命令
kubectl label node <node-name> node-ingress="true"

# change svc type
kubectl patch svc ingress-nginx -n ingress-nginx -p '{"spec": {"type": "ClusterIP"}}'

# node selector
append to  serviceAccountName
      nodeSelector:
        node-ingress: "true"

负载 4 层服务

生成 configmap 配置文件
修改 ingress 服务文件，把需要暴露的端口加进来

---
kind: ConfigMap
apiVersion: v1
metadata:
  name: tcp-services
  namespace: ingress-nginx
data:
  53: "kube-system/kube-dns:53"
---
apiVersion: v1
kind: ConfigMap
metadata:
  name: udp-services
  namespace: ingress-nginx
data:
  53: "kube-system/kube-dns:53"
---
apiVersion: v1
kind: Service
metadata:
  name: ingress-nginx
  namespace: ingress-nginx
  labels:
    app.kubernetes.io/name: ingress-nginx
    app.kubernetes.io/part-of: ingress-nginx
spec:
#type: LoadBalancer
  type: ClusterIP
  externalIPs:
  - 1.2.3.4
  ports:
    - name: http
      port: 80
      targetPort: 80
      protocol: TCP
    - name: https
      port: 443
      targetPort: 443
      protocol: TCP
    - name: dnstcp
      port: 53
      targetPort: 53
      protocol: TCP
    - name: dnsudp
      port: 53
      targetPort: 53
      protocol: UDP

  selector:
    app.kubernetes.io/name: ingress-nginx
    app.kubernetes.io/part-of: ingress-nginx

---
---

kubectl apply -f ingress-nginx-kube-dns.yaml

高可用
1.把 node 节点作为已有负载均衡器(nginx、haproxy)的后端使用。
这种情况下，ingress 部署的 Type 可以设置为 ClusterIP 或 LoadBalancer。
externalIPs 也可以不配置。

2.在上文选定的node节点上运行keepalived，配置虚地址。
3.在集群外部署keepalived，配置LVS和虚地址。
方法2和方法3，建议 ingress 部署的 Type 可以设置为 ClusterIP 或 LoadBalancer。需要配置 externalIPs （IPVS的DR模式或Stunel模式必须要将虚地址配置到本地的虚拟网卡上）

以下为方法2的参考配置
举例： 10.1.3.50 为虚地址， 10.1.3.41 和 10.1.3.42 为 node 节点

# /etc/keepalived/keepalived.conf
! Configuration File for keepalived
global_defs {
  router_id LVS_DEVEL
  script_user root
  enable_script_security
}
vrrp_script chk_process {           # Requires keepalived-1.1.13
        script "killall -0 nginx"     # cheaper than pidof
        interval 2                      # check every 2 seconds
        weight 2                        # add 2 points of prio if OK
}

vrrp_instance VI_1 {
 state BACKUP
 interface eth0                        # interface
 virtual_router_id 200
 priority 101                          # 101 on master, 100 on backup
 nopreempt
 advert_int 1
 authentication {
     auth_type PASS
     auth_pass ipvsadm
 }
  track_script {
    #chk_process
    #weight 20
  }
  virtual_ipaddress {
    10.1.3.50/24 dev eth0 label eth0:1     # VIP
  }
  unicast_src_ip 10.1.3.41        # My IP
  unicast_peer {
    10.1.3.42         # Peer IP
  }
#  notify_master "/app/basic/keepalived_notify_nginx.sh master"
}

virtual_server 10.1.3.50  80 {      #VIP
  delay_loop 6
#  lb_algo wrr
  lb_algo wlc
  lb_kind DR
  persistence_timeout 50
  protocol TCP
  real_server 10.1.3.41  80 {    # My IP , Check Port
    weight 2
    #notify_down "/app/basic/keepalived_notify_nginx.sh down"
    TCP_CHECK {
      connect_timeout 10
      #nb_get_retry 3
      delay_before_retry 3
      connect_port 80              # Check Port
    }
  }
  real_server 10.1.3.42  80 {    # My IP , Check Port
    weight 2
    #notify_down "/app/basic/keepalived_notify_nginx.sh down"
    TCP_CHECK {
      connect_timeout 10
      #nb_get_retry 3
      delay_before_retry 3
      connect_port 80              # Check Port
    }
  }

}

选择3台节点机器上运行keepalived，将vip作为集群外访问ingress-nginx的入口ip

  type: LoadBalancer
  externalIPs:
  - 1.2.3.4

以上配置，在 kube-proxy 的 IPVS 模式下，会在 pod 所在的节点的网卡 kube-ipvs0 上添加此 externalIPs 地址。相当于 RS 节点已经配置完毕。

再通过 keepalived （推荐）或者 ipvsadmin ，在需要的网络节点配置虚地址，将虚地址指向真实的 node 节点。可以选择 DR 或是隧道模式。

ip addr add 172.17.8.201/24 dev eth0:0 
ipvsadm -A -t 172.17.8.201:80
ipvsadm -a -t 172.17.8.201:80 -r 172.17.8.11:80 -g
ipvsadm -a -t 172.17.8.201:80 -r 172.17.8.12:80 -g
ipvsadm -L -n

测试

---
apiVersion: extensions/v1beta1
kind: Deployment
metadata:
  name: whoami-deployment
spec:
  replicas: 3
  template:
    metadata:
      labels:
        app: whoami
        group: golang
    spec:
      containers:
      - image: containous/whoami
        name: whoami
        ports:
        - containerPort: 80
---
apiVersion: v1
kind: Service
metadata:
  name: whoami
spec:
  selector:
    app: whoami
    group: golang
  ports:
    - protocol: TCP
      port: 80
      targetPort: 80
---
apiVersion: extensions/v1beta1
kind: Ingress
metadata:
  name: nginx-ingress
spec:
  rules:
  - host: whoami.domain.com
  - host: whoami
    http:
      paths:
      - backend:
          serviceName: whoami
          servicePort: 80
---

kubectl apply -f whoami.yaml

参考：
https://blog.frognew.com/2018/12/ingress-edge-node-ha-in-bare-metal-k8s-host-network.html

https://www.servicemesher.com/blog/kubernetes-ingress-controller-deployment-and-ha/

https://jishu.io/kubernetes/ipvs-loadbalancer-for-kubernetes/

最后编辑于：2020.03.26 17:08:26

人面猴
序言：七十年代末，一起剥皮案震惊了整个滨河市，随后出现的几起案子，更是在滨河造成了极大的恐慌，老刑警刘岩，带你破解...
沈念sama阅读 158,117评论 4赞 360
死咒
序言：滨河连续发生了三起死亡事件，死亡现场离奇诡异，居然都是意外死亡，警方通过查阅死者的电脑和手机，发现死者居然都...
沈念sama阅读 66,963评论 1赞 290
救了他两次的神仙让他今天三更去死
文/潘晓璐我一进店门，熙熙楼的掌柜王于贵愁眉苦脸地迎上来，“玉大人，你说我怎么就摊上这事。” “怎么了？”我有些...
开封第一讲书人阅读 107,897评论 0赞 240
道士缉凶录：失踪的卖姜人
文/不坏的土叔我叫张陵，是天一观的道长。经常有香客问我，道长，这世上最难降的妖魔是什么？我笑而不...
开封第一讲书人阅读 43,805评论 0赞 203
港岛之恋（遗憾婚礼）
正文为了忘掉前任，我火速办了婚礼，结果婚礼上，老公的妹妹穿的比我还像新娘。我一直安慰自己，他们只是感情好，可当我...
茶点故事阅读 52,208评论 3赞 286
恶毒庶女顶嫁案：这布局不是一般人想出来的
文/花漫我一把揭开白布。她就那样静静地躺着，像睡着了一般。火红的嫁衣衬着肌肤如雪。梳的纹丝不乱的头发上，一...
开封第一讲书人阅读 40,535评论 1赞 216
城市分裂传说
那天，我揣着相机与录音，去河边找鬼。笑死，一个胖子当着我的面吹牛，可吹牛的内容都是我干的。我是一名探鬼主播，决...
沈念sama阅读 31,797评论 2赞 311
双鸳鸯连环套：你想象不到人心有多黑
文/苍兰香墨我猛地睁开眼，长吁一口气：“原来是场噩梦啊……” “哼！你这毒妇竟也来了？” 一声冷哼从身侧响起，我...
开封第一讲书人阅读 30,493评论 0赞 197
万荣杀人案实录
序言：老挝万荣一对情侣失踪，失踪者是张志新（化名）和其女友刘颖，没想到半个月后，有当地人在树林里发现了一具尸体，经...
沈念sama阅读 34,215评论 1赞 241
护林员之死
正文独居荒郊野岭守林人离奇死亡，尸身上长有42处带血的脓包…… 初始之章·张勋以下内容为张勋视角年9月15日...
茶点故事阅读 30,477评论 2赞 244
白月光启示录
正文我和宋清朗相恋三年，在试婚纱的时候发现自己被绿了。大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
茶点故事阅读 31,988评论 1赞 258
活死人
序言：一个原本活蹦乱跳的男人离奇死亡，死状恐怖，灵堂内的尸体忽然破棺而出，到底是诈尸还是另有隐情，我是刑警宁泽，带...
沈念sama阅读 28,325评论 2赞 252
日本核电站爆炸内幕
正文年R本政府宣布，位于F岛的核电站，受9级特大地震影响，放射性物质发生泄漏。R本人自食恶果不足惜，却给世界环境...
茶点故事阅读 32,971评论 3赞 235
男人毒药：我在死后第九天来索命
文/蒙蒙一、第九天我趴在偏房一处隐蔽的房顶上张望。院中可真热闹，春花似锦、人声如沸。这庄子的主人今日做“春日...
开封第一讲书人阅读 26,055评论 0赞 8
一桩弑父案，背后竟有这般阴谋
文/苍兰香墨我抬头看了看天上的太阳。三九已至，却和暖如春，着一层夹袄步出监牢的瞬间，已是汗流浃背。一阵脚步声响...
开封第一讲书人阅读 26,807评论 0赞 194
情欲美人皮
我被黑心中介骗来泰国打工，没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留，地道东北人。一个月前我还...
沈念sama阅读 35,544评论 2赞 271
代替公主和亲
正文我出身青楼，却偏偏与公主长得像，于是被迫代替她去往敌国和亲。传闻我的和亲对象是个残疾皇子，可洞房花烛夜当晚...
茶点故事阅读 35,455评论 2赞 266

HA ingress-nginx: DaemonSet hostNetwork keepavlied

推荐阅读更多精彩内容