阿里云容器服务Web界面集成了路由(Ingress)服务,您可通过控制台快速创建路由服务,构建灵活可靠的流量接入层。本文介绍如何在容器服务控制台通过Web界面创建路由。

前提条件

步骤1 创建Deployment和服务

  1. 登录容器服务管理控制台
  2. 在控制台左侧导航栏中,单击集群
  3. 集群列表页面中,单击目标集群名称或者目标集群右侧操作列下的应用管理
  4. 在集群管理页左侧导航栏中,单击工作负载
  5. 单击无状态页签,然后单击右上角的使用模板创建
  6. 选择示例模板或自定义,然后单击创建
    本示例中创建3个自定义的nginx应用,一个代表旧的应用old-nginx,一个代表新的应用new-nginx,此外创建一个domain-nginx应用,用于测试集群访问域名。
    apiVersion: extensions/v1beta1
    kind: Deployment
    metadata:
      name: old-nginx
    spec:
      replicas: 2
      selector:
        matchLabels:
          run: old-nginx
      template:
        metadata:
          labels:
            run: old-nginx
        spec:
          containers:
          - image: registry.cn-hangzhou.aliyuncs.com/xianlu/old-nginx
            imagePullPolicy: Always
            name: old-nginx
            ports:
            - containerPort: 80
              protocol: TCP
          restartPolicy: Always
    ---
    apiVersion: v1
    kind: Service
    metadata:
      name: old-nginx
    spec:
      ports:
      - port: 80
        protocol: TCP
        targetPort: 80
      selector:
        run: old-nginx
      sessionAffinity: None
      type: NodePort
    apiVersion: extensions/v1beta1
    kind: Deployment
    metadata:
      name: new-nginx
    spec:
      replicas: 1
      selector:
        matchLabels:
          run: new-nginx
      template:
        metadata:
          labels:
            run: new-nginx
        spec:
          containers:
          - image: registry.cn-hangzhou.aliyuncs.com/xianlu/new-nginx
            imagePullPolicy: Always
            name: new-nginx
            ports:
            - containerPort: 80
              protocol: TCP
          restartPolicy: Always
    ---
    apiVersion: v1
    kind: Service
    metadata:
      name: new-nginx
    spec:
      ports:
      - port: 80
        protocol: TCP
        targetPort: 80
      selector:
        run: new-nginx
      sessionAffinity: None
      type: NodePort
    apiVersion: apps/v1 
    kind: Deployment
    metadata:
      name: domain-nginx
      labels:
        app: nginx
    spec:
      replicas: 2
      selector:
        matchLabels:
          app: nginx
      template:
        metadata:
          labels:
            app: nginx
        spec:
          containers:
          - name: nginx
            image: nginx:1.7.9 # replace it with your exactly <image_name:tags>
            ports:
            - containerPort: 80
    
    ---
    apiVersion: v1
    kind: Service
    metadata:
      name: domain-nginx
    spec:
      ports:
      - port: 80
        protocol: TCP
        targetPort: 80
      selector:
        app: nginx
      sessionAffinity: None
      type: NodePort
  7. 在集群管理页左侧导航栏中单击服务,进入服务列表页面。
    等待服务创建完成后,在服务列表,您可看到本示例创建的服务。 服务

步骤2 创建路由

  1. 在集群管理页左侧导航栏中,单击路由
  2. 路由页面,单击页面右上角的创建
  3. 在弹出的路由创建对话框中,首先配置路由名称,本例为nginx-ingress。
  4. 对路由规则进行配置。
    路由规则是指授权入站到达集群服务的规则,支持http/https规则,配置项包括域名(虚拟主机名称)、URL路径、服务名称、端口配置和路由权重等。详细的信息请参见路由配置说明
    本例中配置添加一条复杂的路由规则,配置集群默认的测试域名和虚拟主机名称,展示基于域名的路由服务。
    路由规则
    • 基于默认域名的简单路由,即使用集群的默认域名对外提供访问服务。
      • 域名配置:使用集群的默认域名,本例中是test.[cluster-id].[region-id].alicontainer.com

        在创建路由对话框中,会显示该集群的默认域名,域名格式是*.[cluster-id].[region-id].alicontainer.com;您也可在集群的基本信息页面中获取。

      • 服务配置:配置服务的访问路径、名称以及端口。
        • 访问路径配置:您可指定服务访问的URL路径,默认为根路径/,本例中不做配置。每个路径 (path)都关联一个backend (服务),在阿里云SLB将流量转发到backend之前,所有的入站请求都要先匹配域名和路径。
        • 服务配置:支持服务名称、端口、服务权重等配置,即backend配置。同一个访问路径下,支持多个服务的配置,Ingress的流量会被切分,并被转发到它所匹配的backend。
    • 基于域名的简单扇出路由。本例中使用一个虚拟的主机名称作为测试域名对外提供访问服务,为两个服务配置路由权重,并为其中一个服务设置灰度发布规则。若您在生产环境中,可使用成功备案的域名提供访问服务。
      • 域名配置:本例中使用测试域名foo.bar.com

        您需要修改hosts文件添加一条域名映射规则。

        118.178.XX.XX foo.bar.com       #IP即是Ingress的Address
      • 服务配置:配置服务的访问路径、服务名称、服务端口和服务权重。
        • 访问路径配置:指定服务访问的URL路径。本例中不做配置,保留根路径/
        • 服务名称:本例中设置新旧两个服务nginx-new和nginx-old。
        • 服务端口:暴露80端口。
        • 权重设置:设置该路径下多个服务的权重。服务权重采用相对值计算方式,默认值为100,如本例中所示,新旧两个版本的服务权重值都是50,则表示两个服务的权重比例都是50%。
  5. 配置灰度发布。
    容器服务支持多种流量切分方式,适用于灰度发布以及AB测试场景。
    1. 基于Request Header的流量切分。
    2. 基于Cookie的流量切分。
    3. 基于Query Param的流量切分。

    设置灰度规则后,请求头中满足灰度发布匹配规则的请求才能被路由到新版本服务new-nginx中。如果该服务设置了100%以下的权重比例,满足灰度规则的请求会继续依据权重比例路由到对应服务。

    在本例中,设置Header请求头带有foo=^bar$的灰度发布规则,仅带有该请求头的客户端请求才能访问到new-nginx服务。

    访问服务
    • 服务:路由规则配置的服务。
    • 类型:支持Header(请求头)、Cookie和Query(请求参数)的匹配规则。
    • 名称和匹配值:用户自定义的请求字段,名称和匹配值为键值对。
    • 匹配规则:支持正则匹配和完全匹配。
    说明 灰度发布策略只支持2个Service配置。
  6. 配置注解。
    单击重定向注解,可为路由添加一条典型的重定向注解。即nginx.ingress.kubernetes.io/rewrite-target:/,表示将/path 路径重定向到后端服务能够识别的根路径/上面。
    说明 本例中未对服务配置访问路径,因此不需要配置重定向注解。重定向注解的作用是使Ingress以根路径转发到后端,避免访问路径错误配置而导致的404错误。
    您也可单击添加按钮,输入注解名称和值,即Ingress的annotation键值对,Ingress的注解请参见Annotations
    添加注解
  7. 配置TLS。
    选中开启 TLS,配置安全的路由服务。具体请参见Ingress支持
    • 您可选择使用已有密钥。
      1. 登录master节点,创建 tls.key tls.crt
        openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout tls.key -out tls.crt -subj "/CN=foo.bar.com/O=foo.bar.com"
      2. 创建一个secret。
        kubectl create secret tls foo.bar --key tls.key --cert tls.crt
      3. 执行命令kubectl get secret,您可看到该secret已经成功创建。在Web界面可选择创建的foo.bar这个secret。
        配置TLS
    • 您可选择在TLS界面上利用已创建的TLS私钥和证书,一键创建secret。
      1. 登录master节点,创建tls.key tls.crt
        openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout tls.key -out tls.crt -subj "/CN=foo.bar.com/O=foo.bar.com"
      2. 执行vim tls.keyvim tls.crt获取生成的私钥和证书。
      3. 将证书和私钥的内容复制到TLS新建密钥的面板。
        创建密钥
  8. 添加标签。
    标签的作用是为Ingress添加对应的标签,标示该Ingress的特点。
    添加标签
  9. 最后单击创建,返回路由列表。
    等待一段时间,可以看到一条路由。
    路由列表

验证结果

  1. 路由列表页面,单击路由中的访问域名test.[cluster-id].[region-id].alicontainer.com,以及foo.bar.com,可访问nginx的欢迎页面。
    访问域名
    单击指向new-nginx服务的路由地址,发现指向了old-nginx应用的页面。
    说明 在浏览器中访问路由地址,默认情况下,请求头(Header)中没有前面步骤中定义的foo=^bar$,因此流量会导向old-nginx应用。
    old-nginx应用
  2. SSH登录到Master节点,执行以下命令,模拟根据权重访问不同的后端服务。
    for i in `seq 10`; do curl -H "Host: foo.bar.com" http://47.107.XX.XX; done
    old
    new
    old
    new
    old
    new
    old
    new
    old
    new