K8s Ingress Controllers
默认情况下,RKE 会在所有可调度节点上部署 NGINX ingress controller。
说明: 从 v0.1.8 开始,只有 worker 节点是可调度节点,但在 v0.1.8 之前, worker 节点和 controlplane 节点都是是可调度节点。
RKE 将以 DaemonSet 的形式部署 Ingress Controller,并使用 hostnetwork: true
,因此在部署控制器的每个节点上都会打开 80
和443
端口。
注意
从 V1.1.11 开始,入口控制器的网络选项是可配置的。参见网络配置选项。
Ingress Controller 使用的镜像在系统镜像中。对于每个 Kubernetes 版本,都有与 Ingress Controller 相关联的默认镜像,这些镜像可以通过更改system_images
中的镜像标签来覆盖默认设置。
#
调度 Ingress Controller如果只想在特定的节点上部署 Ingress Controller ,可以在dns
部分设置一个node_selector
。node_selector
中的标签需要与要部署 Ingress Controller 的节点上的标签相匹配。
#
入站优先级类别名称从 RKE v1.2.6+开始可用
pod priority是通过配置优先级类名称来设置的。
#
容忍度从 v1.2.4 开始提供
配置的容忍度适用于kube-dns
和kube-dns-autoscaler
部署。
要检查coredns
和 coredns-autoscaler
部署的应用容忍度,请使用以下命令:
#
禁用默认 Ingress Controller您可以在集群配置中的 Ingressprovider
设置为none
,禁用默认的 Ingress Controller。
#
配置 NGINX Ingress ControllerKubernetes 中有 NGINX 选项:NGINX 配置图的选项列表、命令行 extra_args和注释。
#
禁用 NGINX Ingress 默认后端从 v0.20.0 开始,你可以禁用入口控制器的默认后台服务,这是因为ingress-nginx
会回到本地 404 页面,而不需要后台服务。这是可能的,因为ingress-nginx
将返回到本地 404 页面,并且不需要后端服务。该服务可以通过布尔值来启用和禁用。
如果省略该字段会发生什么情况?这保持了旧版本rke
的行为。然而,未来版本的rke
将把默认值改为false
。
#
网络配置选项#
v1.3.x对于 Kubernetes v1.21 及更高版本,NGINX ingress controller 不再运行在 hostNetwork: true
中,而是使用 hostPorts 的端口 80
和端口 443
。这样做是为了使 webhook 可以被配置为使用 ClusterIP 来访问,这样它就只能在集群内被访问。如果你想改变模式或端口,请参阅下面的选项。
#
v1.1.11 及以上版本 & v1.2.x默认情况下,nginx ingress controller 使用 hostNetwork: true
配置,默认端口为80
和443
。如果你想改变模式或端口,请参阅下面的选项。
使用hostPort
配置 nginx ingress controller ,并覆盖默认端口:
使用 hostNetwork
配置 nginx ingress controller:
配置 nginx ingress controller,不使用网络模式,这将使它在 overlay 网络上运行(例如,如果你想使用LoadBalancer
暴露 nginx ingress controller),并覆盖默认端口:
#
配置 NGINX 默认证书在配置具有 TLS 终止功能的 ingress 对象时,必须为其提供用于加密/解密的证书。与其在每次配置 ingress 时明确定义证书,不如设置一个默认使用的自定义证书。
在使用通配符证书的环境中,设置默认证书特别有用,因为该证书可以应用在多个子域中。
先决条件
- 访问用于创建集群的
cluster.yml
。- 你将使用的 PEM 编码证书作为默认证书。
获取或生成 PEM 编码形式的证书密钥对。
运行以下命令,从你的 PEM 编码证书中生成一个 Kubernetes 密钥,用
mycert.cert
和mycert.key
代替你的证书。将
ingress-default-cert.yml
的内容嵌入到 RKE 的cluster.yml
文件中:用下面的
default-ssl-certificate
参数定义你的 ingress 资源,它引用了我们之前在cluster.yml
中extra_args
下创建的密钥。可选: 如果想将默认证书应用到已经存在的集群中的入口,必须删除 NGINX 入口控制器 pods,让 Kubernetes 使用新配置的
extra_args
调度新的 pods。