[Kubernetes] Kubernetes 集成 traefik ingress 实现 服务暴露

1. 背景

     Kubernetes Service 服务默认只能内网访问，而使用 nodePort 方式的服务暴露会在每台服务器上开放目标端口，

     存在大量端口占用现象，难以应用于生产环境，本文介绍通过 traefik ingress 方式实现内部服务的外部可访问化。

2. 基本步骤

2.1  导入 traefik 镜像到 kubernetes 集群（如果是内网环境，就上传镜像 tar 包，用 docker load 载入即可）

# docker pull traefik:alpine

2.2  部署 traefik 服务

      权限授予

# vim ingress-rbac.yaml

apiVersion: v1
kind: ServiceAccount
metadata:
name: ingress
namespace: kube-system

---

kind: ClusterRoleBinding
apiVersion: rbac.authorization.k8s.io/v1beta1
metadata:
name: ingress
subjects:
- kind: ServiceAccount
name: ingress
namespace: kube-system
roleRef:
kind: ClusterRole
name: cluster-admin
apiGroup: rbac.authorization.k8s.io

# kubectl create -f ingress-rbac.yaml

       服务创建 

# vim traefik.yaml

apiVersion: extensions/v1beta1
kind: Deployment
metadata:
name: traefik-ingress-lb
namespace: kube-system
labels:
k8s-app: traefik-ingress-lb
spec:
replicas: 1
template:
metadata:
labels:
k8s-app: traefik-ingress-lb
name: traefik-ingress-lb
spec:
terminationGracePeriodSeconds: 60
hostNetwork: true
restartPolicy: Always
serviceAccountName: ingress
containers:
- image: traefik:alpine
name: traefik-ingress-lb
resources:
limits:
cpu: 200m
memory: 30Mi
requests:
cpu: 100m
memory: 20Mi
ports:
- name: http
containerPort: 80
hostPort: 80
- name: admin
containerPort: 8580
hostPort: 8580
args:
- --web
- --web.address=:8580
- --kubernetes

# kubectl create -f traefik.yaml

      UI 创建（host 字段可以替换成自己想要的域名，这里以 ui.traefik.kubernetes.local 为例说明）

# vim ui.yaml

apiVersion: v1
kind: Service
metadata:
name: traefik-web-ui
namespace: kube-system
spec:
selector:
k8s-app: traefik-ingress-lb
ports:
- name: web
port: 80
targetPort: 8580
---
apiVersion: extensions/v1beta1
kind: Ingress
metadata:
name: traefik-web-ui
namespace: kube-system
spec:
rules:
- host: ui.traefik.kubernetes.local
http:
paths:
- path: /
backend:
serviceName: traefik-web-ui
servicePort: web

# kubectl create -f ui.yaml

2.3  验证 traefik 工作是否正常

       浏览器访问 traefik-ingress-lb 容器运行所在物理机的 8580 端口，查看 traefik 状态 ，类似下图则正常

            


2.4  应用实例（可选，到 2.3 步，其实已经完成 traefik 的部署了）

       开放服务的前提是已经有服务在正常运行，这里我的实验集群中已经运行好了 ELK 日志收集系统，就以 kibana 服务为例，讲解服务暴露的步骤。

       a）创建 ingress

            其中，namespace 为 kibana 服务所在的命名空间，host 为 kibana 服务的访问域名（用户可以任意设置)

            serviceName 和 servicePort 为 kibana 服务的内网访问服务名和端口（这是在创建服务时可指定的）

# vim kibana-ingress.yaml

apiVersion: extensions/v1beta1
kind: Ingress
metadata:
name: traefik-kibana
namespace: development
spec:
rules:
- host: kibana.traefik.kubernetes.local
http:
paths:
- path: /
backend:
serviceName: kibana-headless-svc
servicePort: 5601

# kubectl create -f kibana-ingress.yaml

        b） 配置客户端 hosts

              选择任意一台与 traefik-ingress-lb 容器运行所在物理机互联的机器作为客户端，

              编辑客户端本地 hosts 文件，将 kibana 服务的外部访问域名与 traefik 容器所在物理机 IP 地址建立起映射关系，如

                    


               然后，客户端就可以直接通过该域名访问 kibana 服务了，traefik 将通过域名将流量自动转发给后端的真实Pod。

                     


               当然，配置 hosts 文件只是一种暴力方式实现映射，更好的方法是配置一个 DNS 服务，具体方法不再赘述！

               可参考http://blog.csdn.net/shida_csdn/article/details/78931436

               最后附一张 traefik 代理原理图，来自官网