K8S के लिए एक Ingress Controller के रूप में Traefik

यह कोई रहस्य नहीं है कि K8S में एक उत्कृष्ट समुदाय और आम तौर पर अच्छे दस्तावेज हैं। इसमें आप कई सवालों के जवाब आसानी से पा सकते हैं। लेकिन किसी भी अन्य दस्तावेज की तरह, यह पूरी तरह से सब कुछ कवर नहीं कर सकता है। इस लेख में मैं ट्रिगिक को इनग्रेड कंट्रोलर के रूप में उपयोग करने के लिए तैनात करने और कॉन्फ़िगर करने के बारे में विस्तृत निर्देश प्रदान करने का प्रयास करूंगा ।

Ingress क्या है?

इनग्रेड एक एपीआई ऑब्जेक्ट है जो क्लस्टर में सेवाओं तक बाहरी पहुंच को नियंत्रित करता है, मुख्य रूप से HTTP / HTTPS के माध्यम से। काम करने के लिए Ingress संसाधन के लिए, आपको Ingress नियंत्रक की आवश्यकता होती है। यदि आप जीसीई का उपयोग करते हैं, तो इनग्रेड नियंत्रक पहले से ही विज़ार्ड को तैनात किया गया है। हालाँकि, यदि आप स्वयं क्लस्टर डाउनलोड करते हैं, उदाहरण के लिए kops से AWS तक, तो आपको खुद ही Ingress नियंत्रक को तैनात करना होगा। मिनीब्यूब पर, यह इनग्रेड एड-इन को शामिल करके हल किया गया है।

इनग्रेटर कंट्रोलर

एनजीआईएनएक्स इनग्रेडेशन कंट्रोलर, कोंग, ओक्टाविया इनर्गेन्स कंट्रोलर इत्यादि द्वारा इनग्रेड कंट्रोलर की भूमिका निभाई जा सकती है। इस लेख में हम ट्रैफिक जैसे टूल पर विचार करेंगे और देखेंगे कि आप इसे क्लस्टर में सेवाओं के लिए इनग्रेड कंट्रोलर के रूप में कैसे उपयोग कर सकते हैं।

क्यों?

यदि आप NodePort या LoadBalancer माध्यम से प्रत्येक सेवा तक पहुँच प्रदान कर सकते हैं, तो Ingress नियंत्रक का उपयोग क्यों करें? संक्षेप में, यह सभी ट्रैफ़िक को प्रॉक्सी करने के लिए एक केंद्रीय बिंदु की अनुमति देता है। यही है, इनग्रेड कंट्रोलर का उपयोग करने के लिए, आपको केवल एक लोडबेलर की आवश्यकता है जो ट्राफिक के लिए है और इससे अधिक कुछ नहीं। यह बंडल सभी यातायात को हल करेगा।

ट्राफिक घटक

ट्रैफिक ने संस्करण 1.4 में कुबेरनेट्स इनग्रेड के लिए समर्थन की घोषणा की। हालांकि, हाल ही में जारी किए गए ट्राफिक 1.7 में publishedService, विकल्प है publishedService, जो इनग्रेड में status क्षेत्र को अपडेट कर सकता है, जो पिछले संस्करणों में नहीं था। निम्नलिखित घटकों की एक सूची है जिसे संचालित करने के लिए आवश्यक होगा।

बनाएँ:

• नाम स्थान
• सेवा खाता
• टीएलएस गुप्त
• क्लस्टर भूमिका
• क्लस्टर रोल बाइंडिंग
• configmap
• तैनाती
• http और https के लिए सेवा
• ट्रैफिक डैशबोर्ड के लिए सेवा
• प्रवेश

नाम स्थान

एक नाम स्थान बनाएँ:

 kubectl create namespace traefik 

टीएलएस सीक्रेट

(लगभग प्रति। - नीचे दिए गए उदाहरण में, किसी कारण से, लेखक उसी कॉन्फ़िगरेशन को डुप्लिकेट करता है, नीचे दिए गए लिंक द्वारा प्रदान की गई README फ़ाइल में वर्तमान कॉन्फ़िगरेशन देखें)

पहले एक प्रमाण पत्र बनाएँ:

 openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout ./tls.key -out ./tls.crt -subj "/CN=*.example.com" 

एक टीएलएस प्रमाणपत्र बनाएं:

 openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout ./tls.key -out ./tls.crt -subj "/CN=*.example.com" 

गुप्त बनाएँ:

 kubectl create secret tls traefik-ui-tls-cert --key ./tls.key --cert ./tls.crt 

सुविधा के लिए, मैंने इन आदेशों के साथ एक README फ़ाइल बनाई और इसे अपने GitHub पर अपलोड किया।

ConfigMap

 --- apiVersion: v1 kind: ConfigMap metadata: name: traefik-configmap namespace: traefik data: traefik.toml: | defaultEntryPoints = ["http","https"] [entryPoints] [entryPoints.http] address = ":80" [entryPoints.https] address = ":443" [entryPoints.https.tls] [[entryPoints.https.tls.certificates]] CertFile = "/ssl/tls.crt" KeyFile = "/ssl/tls.key" [entryPoints.traefik] address = ":8080" [entryPoints.traefik.auth.basic] users = ["admin:$apr1$zjjGWKW4$W2JIcu4m26WzOzzESDF0W/"] [kubernetes] [kubernetes.ingressEndpoint] publishedService = "traefik/traefik" [ping] entryPoint = "http" [api] entryPoint = "traefik" 

डिफ़ॉल्ट रूप से, एंट्री पॉइंट्स पोर्ट्स 80 और 443 ।

एंट्रीपॉइंट http सुनता है :80 और कोई अतिरिक्त नियम नहीं है

EntryPoint https सुनता है :443 और TLS प्रमाणपत्र जोड़ने के लिए एक नियम है।

एंट्रीपॉइंट traefik सुनता है :8080 और मूल प्रमाणीकरण का उपयोग करता है। उपयोगकर्ता नाम admin , पासवर्ड admin ।

कुबेरनेट्स में संबंधित समापन बिंदु इनग्रेड की परिभाषा पब्लिश सर्विस को निर्दिष्ट करके की publishService और इसमें publishService के लिए namespace वैल्यू और service नाम शामिल होना चाहिए। इस मामले में, यह traefik / traefik ।

ping या स्वास्थ्य जांच में एंट्रेस पॉइंट http उपयोग किया जाएगा।

api या डैशबोर्ड / यूआई एंट्रीपॉइंट traefik उपयोग करेगा।

ध्यान दें कि आप एक पोर्ट के साथ अतिरिक्त एंट्री पॉइंट्स को परिभाषित कर सकते हैं। यह पोर्ट डायनेमिक पोर्ट और NodePort बजाय किसी भी पोर्ट पर ट्रैफ़िक को प्रॉक्सी कर सकता है।

ClusterRole

ट्राईफिक के सेवा खाते में इनग्रेड Ingress status क्षेत्र को अपडेट करने की अनुमति होनी चाहिए। यह एक महत्वपूर्ण पैरामीटर है, और इसे अभी तक आधिकारिक ट्रैफिक प्रलेखन में प्रस्तुत नहीं किया गया है:

 --- kind: ClusterRole apiVersion: rbac.authorization.k8s.io/v1beta1 metadata: name: traefik-ingress-controller rules: - apiGroups: - "" resources: - services - endpoints - secrets verbs: - get - list - watch - apiGroups: - extensions resources: - ingresses verbs: - get - list - watch - apiGroups: - extensions resources: - ingresses/status verbs: - update 

सही ऑपरेशन के लिए अंतिम 6 लाइनें बहुत महत्वपूर्ण हैं।

तैनाती

तैनाती बहुत सीधी है। आइए संक्षेप में मुख्य ब्लॉकों से गुजरते हैं:

 volumes: - name: traefik-ui-tls-cert secret: secretName: traefik-ui-tls-cert - name: traefik-configmap configMap: name: traefik-configmap 

कॉन्फिगरेशन और सीक्रेट के लिए volumes को डिफाइन करें, जिसे फिर volumeMounts में इस्तेमाल किया जा सकता है।

 volumeMounts: - mountPath: "/ssl" name: "traefik-ui-tls-cert" - mountPath: "/config" name: "traefik-configmap" 

कॉन्फ़िगरेशन 80 में परिभाषित के रूप में स्वास्थ्य जांच पोर्ट 80 पर की जाती है।

कॉन्फ़िगरेशन फ़ाइल में निर्दिष्ट सभी प्रविष्टि बिंदुओं के लिए खुले पोर्ट:

 ports: - name: http containerPort: 80 - name: https containerPort: 443 - name: dashboard containerPort: 8080 

मैं आपको याद दिलाता हूं कि इंटरनेट पर कुछ उदाहरण और प्रलेखन पुराने हैं, इसलिए काम करने के लिए ट्रैफिक के लिए आवश्यक आर्ग्स अनुभाग को याद न करें:

 args: - --logLevel=INFO - --configfile=/config/traefik.toml 

अतिरिक्त झंडे और तर्कों को पारित न करें, जैसे -पीआई, -पिंगिंग या -कुबर्नेटेस, क्योंकि यह कॉन्फ़िगरेशन फ़ाइल में निर्दिष्ट सेटिंग्स को ओवरराइड करेगा।

सेवा

सर्वप्रथम सेवाओं ने एंट्री पॉइंट पॉइंट http और https लिए एक लोडबलर को परिभाषित किया। यदि आप LoadBalancer के लिए Security Group (Ingress) को देखते हैं, तो आपको वहां पोर्ट 80 और 443 खुले दिखाई देंगे। K8s एक LoadBalancer बनाएंगे और इसे उन नोड्स से कनेक्ट करेंगे जो ट्रैफिक पर चलते हैं। यदि आप मेरी तरह एक आंतरिक ईएलबी बनाना चाहते हैं, तो आपको एनोटेशन को परिभाषित करने की आवश्यकता है:

 --- kind: Service apiVersion: v1 metadata: name: traefik namespace: traefik annotations: {} # service.beta.kubernetes.io/aws-load-balancer-internal: 0.0.0.0/0 spec: selector: k8s-app: traefik-ingress ports: - protocol: TCP port: 80 name: http - protocol: TCP port: 443 name: https type: LoadBalancer 

सेवा (डैशबोर्ड के लिए)

अब मज़ा हिस्सा! चूंकि डैशबोर्ड मूल प्रमाणीकरण का उपयोग करता है, इसलिए मुझे https आवश्यकता थी। SSL का उपयोग करने के लिए, हमें ट्रैफ़िक को पोर्ट :8080 पर पुनर्निर्देशित करना होगा, जिस पर डैशबोर्ड काम करता है। जैसा कि आप देख सकते हैं, यह बहुत सरल है। सभी जादू इन्ग्रेस में होता है।

 --- kind: Service apiVersion: v1 metadata: name: traefik-dashboard namespace: traefik spec: selector: k8s-app: traefik-ingress ports: - port: 8080 name: dashboard 

इनग्रेड (डैशबोर्ड के लिए)

जादू यह है कि डैशबोर्ड के लिए सुरक्षित ट्रैफ़िक की भविष्यवाणी ट्रैफ़िक के माध्यम से ही की जाती है। ट्राफिक एनोटेशन का उपयोग करते हुए इनग्रेड में ट्रेफिक का प्रबंधन किया जाता है:

 --- apiVersion: extensions/v1beta1 kind: Ingress metadata: name: traefik-dashboard-ingress namespace: traefik annotations: kubernetes.io/ingress.class: traefik traefik.ingress.kubernetes.io/frontend-entry-points: http,https traefik.ingress.kubernetes.io/redirect-entry-point: https traefik.ingress.kubernetes.io/redirect-permanent: "true" spec: rules: - host: traefik-ui.example.com http: paths: - path: / backend: serviceName: traefik-dashboard servicePort: 8080 

इसने केवल 4 सरल और स्पष्ट एनोटेशन लिए।

बेशक, पूर्ण कार्यक्षमता सुनिश्चित करने के लिए, आपको DNS रिकॉर्ड traefik-ui.example.com बनाने की आवश्यकता है, जो आपके ELB को इंगित करेगा।

क्या यह अच्छा होगा अगर यह स्वचालित रूप से किया जाएगा? कोई समस्या नहीं है, मैं अगले लेख में DNS रिकॉर्ड के स्वत: निर्माण के बारे में लिखूंगा।

संदर्भ

समाप्त परिनियोजन .yaml फ़ाइल को मेरे Github भंडार से डाउनलोड किया जा सकता है । यदि आपको सेटअप प्रक्रिया के दौरान कोई कठिनाई है, तो बेझिझक पूछें।

अनुवादक से शब्द जुदा करना

हमारे ब्लॉग पर अन्य लेख पढ़ें:

कुबेरनेट्स में स्टेटफ़ुल बैकअप

बड़ी संख्या में विषम वेब परियोजनाओं का समर्थन करना

रेडमाइन के लिए टेलीग्राम बॉट। अपने और लोगों के लिए जीवन को सरल कैसे बनाएं