作者:泓舟子,KubeSphere 后端研发工程师,云原生爱好者,现专注于云原生微服务方向。
如果需要将 K8s 集群内的服务暴露到外部访问有那些方式呢?可以通过将 Service 设置成 NodePort 方式暴露出去或者通过 Ingress 方式。另外使用 Ingress 方式可以实现将请求分发到一个或多个 Service,可以同一个 IP 地址下暴露多个服务等优势。
但是对于 Ingress 方式而言,在 K8s 中只是内置了 Ingress CRD(可以创建 Ingress 资源),没有内置 Ingress Controller,必须部署了 Ingress Controller 才能为 Ingress 资源提供外部访问集群内部服务的能力。而 KubeSphere 中的网关就是 Ingress Controller 。
KubeSphere v3.2 对网关进行了重构,在保留了原有网关功能的基础上增加了以下几点新功能:
目前 K8s 支持和维护 AWS、 GCE 和 Nginx Ingress 控制器,KubeSphere 使用 Ingress Nginx Controller 作为默认的网关实现,没有做任何代码修改。
集群和项目级别的网关:这个通过传入参数覆盖默认的 Helm Chart Values 来实现并在代码逻辑里控制,如果启用了集群网关就不能启用项目网关了;若启用了项目网关又启用了集群网关,那么通过两个网关入口都可以访问,只是这样会有两个 Ingress Controller 同时 Watch 相同的 Ingress 对象。
增减网关副本数&配置 Ingress Controller 配置选项:这个通过传入参数覆盖默认的 Helm Chart Values 来实现,实现过程用到的 Helm Operator 将在后面重点介绍。
可指定网关应用负载安装的位置:可选择将网关应用负载安装的位置指定某固定命名空间或分别让其位于各自项目命名空间下。这个在代码逻辑中控制,并做成了配置项,默认将所有资源安装在 kubesphere-controls-system 下。
网关日志:使用到了 KubeSphere 中日志组件,日志组件会采集日志数据然后存储在 Elasticsearch 中,网关在查询日志过程就根据参数在 Elasticsearch 中查询日志。
网关监控指标:使用到了 KubeSphere 中监控组件,KubeSphere 内部配置了 Prometheus 相关的参数采集 Ingress 相关指标,查询监控信息过程就根据监控组件中的 API 查询相关数据。
下面重点介绍设计实现过程抽象出的 CRD 和如何巧妙地用 Helm Operator 集成。
在设计上抽象了一个 Gateway CRD 来适配不同的 Ingress Controller,Gateway CRD 中包含设置 Ingress Controller 所需的公共属性。KubeSphere API 和 UI 只与 Gateway CRD 交互。
# Gateway sample
apiVersion: gateway.kubesphere.io/v1alpha1
kind: Gateway
metadata:
name: kubesphere-router-proj1
namespace: kubesphere-controls-system # all Gateway workload will be created in the kubesphere-controls-system namespace by default. However, it's configurable in kubesphere-config when calling KubeSphere API.
spec:
controller:
# controlpanel replicas. For ingress Controler that has controlpanel and workers. *Reserved field. Changing on UI isn't supported yet.
replicas: 1
# annotations of the controlpanel deployment. *Reserved field. Changing on UI isn't supported yet.
annotations: {}
# Watching scope,
# enabled =true, watching for the project only. The user needs to specify the watching namespace.
# enabled =false, Global gateway, watching for all namespaces.
scope:
enabled: false
namespace: "" # defaults to .Release.Namespace
# gateway configurations. only key-value pair supported currently.
config:
max-bucket: 1m
# worker workload deployment configuration
deployment:
annotations:
"servicemesh.kubesphere.io/enabled": "false"
replicas: 1
#
service:
# Cloud LoadBalancer configurations for service
annotations:
"service.beta.kubernetes.io/qingcloud-load-balancer-eip-ids": "test-ip-id"
# Service Type, only LoadBalancer and NodePort are supported
type: LoadBalancer
KubeSphere 使用 Nginx Ingress Controller 作为默认的网关实现。为了简化部署步骤,我们集成了 Helm-operator-plugins 作为 Helm Operator 。
根据 watch.yaml 中配置的监听指定 CRD 下的 CR 来创建或更新 Chart 资源。其中可以根据 CR spec 中的值覆盖默认 Helm Chart 中的值,这是由 Helm Operator 中的机制决定的,详见官方说明。
如下的含义是需要 Watch gateway.kubesphere.io/v1alpha1
的 Nginx CR,如果有变化就触发 Reconcile ,根据 chart 中配置的地址创建或更新对应的资源。
- group: gateway.kubesphere.io
version: v1alpha1
kind: Nginx
chart: /var/helm-charts/ingress-nginx
watchs.yaml 中就做了如下配置:
- group: gateway.kubesphere.io
version: v1alpha1
kind: Nginx
chart: /var/helm-charts/ingress-nginx
- group: gateway.kubesphere.io
version: v1alpha1
kind: Gateway
chart: /var/helm-charts/gateway
其中对 chart 而言:
整体而言:
Helm Operator Watch 了 Gateway 和 Nginx 2 个 CRD 的资源,当前端发起创建或更新网关时是对 Gateway CR 发起创建或更新操作:
为了方便更改网关的一些参数设计了如下配置项:
gateway:
watchesPath: /var/helm-charts/watches.yaml
repository: kubesphere/nginx-ingress-controller
tag: v1.1.0
namespace: kubesphere-controls-system
nginx.ingress.kubernetes.io/upstream-vhost: [service-name].[service-namespace].svc.cluster.local
流量拓扑/链路追踪可以正常工作,不然入口流量处会有异常。本文由博客一文多发平台 OpenWrite 发布!