Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
U kunt aantekeningen toevoegen aan de Kubernetes-bron voor inkomend verkeer met willekeurige sleutel-/waardeparen. Application Gateway Ingress Controller (AGIC) is afhankelijk van annotaties om Azure Application Gateway-functies te programmeren die niet kunnen worden geconfigureerd via de ingress YAML. Ingress-aantekeningen worden toegepast op alle HTTP-instellingen, back-endpools en listeners die zijn afgeleid van een ingress-bron.
Aanbeveling
Overweeg Application Gateway for Containers voor uw Kubernetes-oplossing voor inkomend verkeer. Zie quickstart: Application Gateway for Containers ALB Controller implementeren voor meer informatie.
Lijst met ondersteunde aantekeningen
De resource moet worden geannoteerd met kubernetes.io/ingress.class: azure/application-gateway zodat AGIC een ingress-resource kan observeren.
Back-end-padvoorvoegsel
Met de volgende aantekening kan het back-endpad dat is opgegeven in een ingangsresource, opnieuw worden geschreven met het opgegeven voorvoegsel. Gebruik het om services weer te geven waarvan de eindpunten verschillen van de eindpuntnamen die u gebruikt om een dienst bloot te stellen in een ingress-resource.
Gebruik
appgw.ingress.kubernetes.io/backend-path-prefix: <path prefix>
Voorbeeld
apiVersion: networking.k8s.io/v1
kind: Ingress
metadata:
name: go-server-ingress-bkprefix
annotations:
kubernetes.io/ingress.class: azure/application-gateway
appgw.ingress.kubernetes.io/backend-path-prefix: "/test/"
spec:
rules:
- http:
paths:
- path: /hello/
pathType: Exact
backend:
service:
name: go-server-service
port:
number: 80
In het voorgaande voorbeeld wordt een ingress-resource gedefinieerd met een aantekening genaamd go-server-ingress-bkprefix. De aantekening vertelt Application Gateway om een HTTP-instelling te maken die een padvoorvoegsel overschrijft voor het pad /hello naar /test/.
In het voorbeeld wordt slechts één regel gedefinieerd. De aantekeningen zijn van toepassing op de gehele toegangsbron. Dus als u meerdere regels definieert, stelt u het voorvoegsel voor het back-endpad in voor elk van de opgegeven paden. Als u verschillende regels met verschillende padvoorvoegsels wilt (zelfs voor dezelfde service), moet u verschillende ingress-bronnen definiëren.
Hostnaam van backend
Gebruik de volgende aantekening om de hostnaam op te geven die Application Gateway moet gebruiken tijdens het praten met de pods.
Gebruik
appgw.ingress.kubernetes.io/backend-hostname: "internal.example.com"
Voorbeeld
apiVersion: networking.k8s.io/v1
kind: Ingress
metadata:
name: go-server-ingress-timeout
annotations:
kubernetes.io/ingress.class: azure/application-gateway
appgw.ingress.kubernetes.io/backend-hostname: "internal.example.com"
spec:
rules:
- http:
paths:
- path: /hello/
backend:
service:
name: store-service
port:
number: 80
pathType: Exact
Aangepaste gezondheidscontrole
U kunt Application Gateway configureren voor het verzenden van een aangepaste gezondheidstest naar de back-end-adresgroep. Wanneer de volgende aantekeningen aanwezig zijn, maakt de Kubernetes-ingangscontroller een aangepaste test om de back-endtoepassing te bewaken. De controller past de wijzigingen vervolgens toe op Application Gateway.
-
health-probe-hostname: Met deze aantekening kan een aangepaste hostnaam op de statustest worden uitgevoerd. -
health-probe-port: Met deze aantekening configureert u een aangepaste poort voor de statustest. -
health-probe-path: Deze aantekening definieert een pad voor de statustest. -
health-probe-status-codes: Met deze aantekening kan de statustest verschillende HTTP-statuscodes accepteren. -
health-probe-interval: Met deze annotatie wordt het interval gedefinieerd waarop de gezondheidscontrole wordt uitgevoerd. -
health-probe-timeout: Met deze aantekening wordt gedefinieerd hoe lang de statustest wacht op een antwoord voordat de test mislukt. -
health-probe-unhealthy-threshold: Met deze aantekening wordt gedefinieerd hoeveel statustests moeten mislukken voordat de back-end als beschadigd wordt gemarkeerd.
Gebruik
appgw.ingress.kubernetes.io/health-probe-hostname: "contoso.com"
appgw.ingress.kubernetes.io/health-probe-port: 80
appgw.ingress.kubernetes.io/health-probe-path: "/"
appgw.ingress.kubernetes.io/health-probe-status-codes: "100-599"
appgw.ingress.kubernetes.io/health-probe-interval: 30
appgw.ingress.kubernetes.io/health-probe-timeout: 30
appgw.ingress.kubernetes.io/health-probe-unhealthy-threshold: 2
Voorbeeld
apiVersion: networking.k8s.io/v1
kind: Ingress
metadata:
name: go-server-ingress
annotations:
kubernetes.io/ingress.class: azure/application-gateway
appgw.ingress.kubernetes.io/health-probe-hostname: "contoso.com"
appgw.ingress.kubernetes.io/health-probe-port: 81
appgw.ingress.kubernetes.io/health-probe-path: "/probepath"
appgw.ingress.kubernetes.io/health-probe-status-codes: "100-599"
appgw.ingress.kubernetes.io/health-probe-interval: 31
appgw.ingress.kubernetes.io/health-probe-timeout: 31
appgw.ingress.kubernetes.io/health-probe-unhealthy-threshold: 2
spec:
rules:
- http:
paths:
- path: /
pathType: Exact
backend:
service:
name: go-server-service
port:
number: 80
TLS-omleiding
U kunt Application Gateway zo configureren dat HTTP-URL's automatisch worden omgeleid naar hun HTTPS-tegenhangers. Wanneer deze aantekening aanwezig is en TLS correct is geconfigureerd, maakt de Kubernetes-ingangscontroller een routeringsregel met een omleidingsconfiguratie. De controller past vervolgens de wijzigingen toe op uw Application Gateway-exemplaar. De gemaakte doorverwijzing is HTTP 301 Moved Permanently.
Gebruik
appgw.ingress.kubernetes.io/ssl-redirect: "true"
Voorbeeld
apiVersion: networking.k8s.io/v1
kind: Ingress
metadata:
name: go-server-ingress-redirect
annotations:
kubernetes.io/ingress.class: azure/application-gateway
appgw.ingress.kubernetes.io/ssl-redirect: "true"
spec:
tls:
- hosts:
- www.contoso.com
secretName: testsecret-tls
rules:
- host: www.contoso.com
http:
paths:
- backend:
service:
name: websocket-repeater
port:
number: 80
Verbindingsafvoer
Gebruik de volgende aantekeningen als u verbindingsafvoer wilt gebruiken:
-
connection-draining: Met deze aantekening geeft u aan of het leegmaken van verbindingen moet worden ingeschakeld. -
connection-draining-timeout: Deze annotatie specificeert een time-out, waarna Application Gateway de aanvragen naar het afvoerende back-endeindpunt beëindigt.
Gebruik
appgw.ingress.kubernetes.io/connection-draining: "true"
appgw.ingress.kubernetes.io/connection-draining-timeout: "60"
Voorbeeld
apiVersion: networking.k8s.io/v1
kind: Ingress
metadata:
name: go-server-ingress-drain
annotations:
kubernetes.io/ingress.class: azure/application-gateway
appgw.ingress.kubernetes.io/connection-draining: "true"
appgw.ingress.kubernetes.io/connection-draining-timeout: "60"
spec:
rules:
- http:
paths:
- path: /hello/
pathType: Exact
backend:
service:
name: go-server-service
port:
number: 80
Affiniteit op basis van cookies
Gebruik de volgende aantekening om affiniteit op basis van cookies in te schakelen.
Gebruik
appgw.ingress.kubernetes.io/cookie-based-affinity: "true"
Voorbeeld
apiVersion: networking.k8s.io/v1
kind: Ingress
metadata:
name: go-server-ingress-affinity
annotations:
kubernetes.io/ingress.class: azure/application-gateway
appgw.ingress.kubernetes.io/cookie-based-affinity: "true"
spec:
rules:
- http:
paths:
- path: /hello/
pathType: Exact
backend:
service:
name: go-server-service
port:
number: 80
Time-out aanvraag
Gebruik de volgende aantekening om de time-out van de aanvraag in seconden op te geven. Na de time-out mislukt Application Gateway een aanvraag als het antwoord niet wordt ontvangen.
Gebruik
appgw.ingress.kubernetes.io/request-timeout: "20"
Voorbeeld
apiVersion: networking.k8s.io/v1
kind: Ingress
metadata:
name: go-server-ingress-timeout
annotations:
kubernetes.io/ingress.class: azure/application-gateway
appgw.ingress.kubernetes.io/request-timeout: "20"
spec:
rules:
- http:
paths:
- path: /hello/
pathType: Exact
backend:
service:
name: go-server-service
port:
number: 80
Privé-IP-adres gebruiken
Gebruik de volgende aantekening om op te geven of dit eindpunt moet worden weergegeven op een privé-IP-adres van Application Gateway.
Voor een Application Gateway-exemplaar dat geen privé-IP-adres heeft, worden ingresses appgw.ingress.kubernetes.io/use-private-ip: "true" genegeerd. De controller registreert en inkomend verkeer gebeurtenissen voor die ingresses geven een NoPrivateIP waarschuwing weer.
Gebruik
appgw.ingress.kubernetes.io/use-private-ip: "true"
Voorbeeld
apiVersion: networking.k8s.io/v1
kind: Ingress
metadata:
name: go-server-ingress-privateip
annotations:
kubernetes.io/ingress.class: azure/application-gateway
appgw.ingress.kubernetes.io/use-private-ip: "true"
spec:
rules:
- http:
paths:
- path: /
pathType: Exact
backend:
service:
name: go-server-service
port:
number: 80
Frontendpoort buiten werking stellen
Gebruik de volgende aantekening om een front-endlistener te configureren voor het gebruik van andere poorten dan 80 voor HTTP en 443 voor HTTPS.
Als de poort zich binnen het geautoriseerde bereik van Application Gateway bevindt (1 tot 64999), wordt de listener gemaakt op deze specifieke poort. Als u een ongeldige poort of geen poort instelt in de aantekening, gebruikt de configuratie de standaardwaarde 80 of 443.
Gebruik
appgw.ingress.kubernetes.io/override-frontend-port: "port"
Voorbeeld
apiVersion: networking.k8s.io/v1
kind: Ingress
metadata:
name: go-server-ingress-overridefrontendport
annotations:
kubernetes.io/ingress.class: azure/application-gateway
appgw.ingress.kubernetes.io/override-frontend-port: "8080"
spec:
rules:
- http:
paths:
- path: /hello/
backend:
service:
name: store-service
port:
number: 80
pathType: Exact
Notitie
Externe aanvragen moeten zich op http://somehost:8080 richten in plaats van http://somehost.
Backendprotocol
Gebruik het volgende om het protocol op te geven dat Application Gateway moet gebruiken wanneer deze communiceert met de pods. Ondersteunde protocollen zijn HTTP en HTTPS.
Hoewel zelfondertekende certificaten worden ondersteund in Application Gateway, ondersteunt AGIC momenteel alleen HTTPS wanneer pods een certificaat gebruiken dat is ondertekend door een bekende certificeringsinstantie.
Gebruik poort 80 niet met HTTPS en poort 443 met HTTP op de pods.
Gebruik
appgw.ingress.kubernetes.io/backend-protocol: "https"
Voorbeeld
apiVersion: networking.k8s.io/v1
kind: Ingress
metadata:
name: go-server-ingress-timeout
annotations:
kubernetes.io/ingress.class: azure/application-gateway
appgw.ingress.kubernetes.io/backend-protocol: "https"
spec:
rules:
- http:
paths:
- path: /
pathType: Exact
backend:
service:
name: go-server-service
port:
number: 443
Hostnaamextensie
U kunt Application Gateway zo configureren dat meerdere hostnamen worden geaccepteerd. Gebruik de hostname-extension aantekening om meerdere hostnamen te definiëren, inclusief hostnamen met jokertekens. Met deze actie worden de hostnamen toegevoegd aan de FQDN die is gedefinieerd in de gegevens voor inkomend spec.rules.host verkeer op de front-endlistener, zodat deze is geconfigureerd als een listener voor meerdere locaties.
Gebruik
appgw.ingress.kubernetes.io/hostname-extension: "hostname1, hostname2"
Voorbeeld
apiVersion: networking.k8s.io/v1
kind: Ingress
metadata:
name: go-server-ingress-multisite
annotations:
kubernetes.io/ingress.class: azure/application-gateway
appgw.ingress.kubernetes.io/hostname-extension: "hostname1, hostname2"
spec:
rules:
- host: contoso.com
http:
paths:
- path: /
pathType: Exact
backend:
service:
name: go-server-service
port:
number: 443
In het voorgaande voorbeeld wordt de listener geconfigureerd voor het accepteren van verkeer voor de hostnamen hostname1.contoso.com en hostname2.contoso.com.
WAF-beleid voor pad
Gebruik de volgende aantekening om een bestaand WAF-beleid (Web Application Firewall) aan de lijst met paden voor een host binnen een Kubernetes-ingress-resource die wordt geannoteerd toe te voegen. Het WAF-beleid wordt toegepast op zowel /ad-server als /auth URL's.
Gebruik
appgw.ingress.kubernetes.io/waf-policy-for-path: "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/SampleRG/providers/Microsoft.Network/applicationGatewayWebApplicationFirewallPolicies/AGICWAFPolcy"
Voorbeeld
apiVersion: networking.k8s.io/v1
kind: Ingress
metadata:
name: ad-server-ingress
annotations:
kubernetes.io/ingress.class: azure/application-gateway
appgw.ingress.kubernetes.io/waf-policy-for-path: "/subscriptions/abcd/resourceGroups/rg/providers/Microsoft.Network/applicationGatewayWebApplicationFirewallPolicies/adserver"
spec:
rules:
- http:
paths:
- path: /ad-server
backend:
service:
name: ad-server
port:
number: 80
pathType: Exact
- path: /auth
backend:
service:
name: auth-server
port:
number: 80
pathType: Exact
SSL-certificaat voor Application Gateway
U kunt het SSL-certificaat configureren naar Application Gateway vanuit een lokaal PFX-certificaatbestand of een verwijzing naar een niet-geversiede geheime id van Azure Key Vault. Wanneer de aantekening aanwezig is met een certificaatnaam en het certificaat vooraf is geïnstalleerd in Application Gateway, maakt de Kubernetes-ingangscontroller een routeringsregel met een HTTPS-listener en past de wijzigingen toe op uw Application Gateway-exemplaar. U kunt de appgw-ssl-certificate aantekening ook samen met een ssl-redirect aantekening gebruiken in het geval van een SSL-omleiding.
Notitie
De appgw-ssl-certificate annotatie wordt genegeerd wanneer de TLS-specificatie gelijktijdig is gedefinieerd in ingress. Als u verschillende certificaten met verschillende hosts wilt (beëindiging van meerdere TLS-certificaten), moet u verschillende toegangsbeheerobjectbronnen definiëren.
Gebruik
appgw.ingress.kubernetes.io/appgw-ssl-certificate: "name-of-appgw-installed-certificate"
Voorbeeld
apiVersion: networking.k8s.io/v1
kind: Ingress
metadata:
name: go-server-ingress-certificate
annotations:
kubernetes.io/ingress.class: azure/application-gateway
appgw.ingress.kubernetes.io/appgw-ssl-certificate: "name-of-appgw-installed-certificate"
spec:
rules:
- host: www.contoso.com
http:
paths:
- backend:
service:
name: websocket-repeater
port:
number: 80
SSL-profiel voor Application Gateway
U kunt een SSL-profiel configureren op het Application Gateway-exemplaar per listener. Wanneer de aantekening aanwezig is met een profielnaam en het profiel vooraf is geïnstalleerd in Application Gateway, maakt de Kubernetes-ingangscontroller een routeringsregel met een HTTPS-listener en past u de wijzigingen toe op uw Application Gateway-exemplaar.
Gebruik
appgw.ingress.kubernetes.io/appgw-ssl-certificate: "name-of-appgw-installed-certificate"
appgw.ingress.kubernetes.io/appgw-ssl-profile: "SampleSSLProfile"
Voorbeeld
apiVersion: networking.k8s.io/v1
kind: Ingress
metadata:
name: go-server-ingress-certificate
annotations:
kubernetes.io/ingress.class: azure/application-gateway
appgw.ingress.kubernetes.io/appgw-ssl-certificate: "name-of-appgw-installed-certificate"
appgw.ingress.kubernetes.io/appgw-ssl-profile: "SampleSSLProfile"
spec:
rules:
- host: www.contoso.com
http:
paths:
- backend:
service:
name: websocket-repeater
port:
number: 80
Vertrouwd basiscertificaat van Application Gateway
U kunt nu uw eigen basiscertificaten configureren voor Application Gateway om te worden vertrouwd via AGIC. U kunt de appgw-trusted-root-certificate aantekening samen met de backend-protocol aantekening gebruiken om end-to-end SSL-versleuteling aan te geven. Als u meerdere basiscertificaten opgeeft, scheidt u deze met een komma; bijvoorbeeld name-of-my-root-cert1,name-of-my-root-cert2.
Gebruik
appgw.ingress.kubernetes.io/backend-protocol: "https"
appgw.ingress.kubernetes.io/appgw-trusted-root-certificate: "name-of-my-root-cert1"
Voorbeeld
apiVersion: networking.k8s.io/v1
kind: Ingress
metadata:
name: go-server-ingress-certificate
annotations:
kubernetes.io/ingress.class: azure/application-gateway
appgw.ingress.kubernetes.io/backend-protocol: "https"
appgw.ingress.kubernetes.io/appgw-trusted-root-certificate: "name-of-my-root-cert1"
spec:
rules:
- host: www.contoso.com
http:
paths:
- backend:
service:
name: websocket-repeater
port:
number: 80
Regelset herschrijven
Gebruik de volgende aantekening om een bestaande herschrijfregelset toe te wijzen aan de bijbehorende regel voor aanvraagroutering.
Gebruik
appgw.ingress.kubernetes.io/rewrite-rule-set: <rewrite rule set name>
Voorbeeld
apiVersion: networking.k8s.io/v1
kind: Ingress
metadata:
name: go-server-ingress-bkprefix
annotations:
kubernetes.io/ingress.class: azure/application-gateway
appgw.ingress.kubernetes.io/rewrite-rule-set: add-custom-response-header
spec:
rules:
- http:
paths:
- path: /
pathType: Exact
backend:
service:
name: go-server-service
port:
number: 8080
Aangepaste bron voor herschrijven van regelset
Notitie
De release van Application Gateway for Containers introduceert talloze prestatie-, tolerantie- en functiewijzigingen. Overweeg om Application Gateway voor containers te gebruiken voor uw volgende implementatie.
In dit artikel vindt u regels voor het herschrijven van URL's voor Application Gateway for Containers over de Gateway-API en dit artikel over de ingangs-API. In dit artikel vindt u regels voor het herschrijven van headers voor Application Gateway for Containers over de Gateway-API.
Met Application Gateway kunt u geselecteerde inhoud van aanvragen en antwoorden herschrijven. Met deze functie kunt u URL's vertalen, queryreeksparameters wijzigen en aanvraag- en antwoordheaders wijzigen. U kunt deze functie ook gebruiken om voorwaarden toe te voegen om ervoor te zorgen dat de URL of de opgegeven headers alleen worden herschreven wanneer aan bepaalde voorwaarden wordt voldaan. De custom resource "Rewrite Rule Set" brengt deze functie naar AGIC.
Met HTTP-headers kan een client en server aanvullende informatie doorgeven met een aanvraag of antwoord. Door deze kopteksten te herschrijven, kunt u belangrijke taken uitvoeren, zoals het toevoegen van beveiligingsgerelateerde koptekstvelden (bijvoorbeeld HSTS of X-XSS-Protection), het verwijderen van antwoordheadervelden die gevoelige informatie kunnen onthullen en poortgegevens uit X-Forwarded-For headers verwijderen.
Met de mogelijkheid voor het herschrijven van URL's kunt u het volgende doen:
- Herschrijf de hostnaam, het pad en de querytekenreeks van de aanvraag-URL.
- Kies ervoor om de URL van alle aanvragen of alleen aanvragen te herschrijven die overeenkomen met een of meer van de voorwaarden die u hebt ingesteld. Deze voorwaarden zijn gebaseerd op de aanvraag- en antwoordeigenschappen (aanvraagheader, antwoordheader en servervariabelen).
- Kies ervoor om de aanvraag te routeren op basis van de oorspronkelijke URL of de herschreven URL.
Notitie
Deze functie wordt ondersteund sinds 1.6.0-rc1. Gebruik appgw.ingress.kubernetes.io/rewrite-rule-set, waarmee u een bestaande regelset voor herschrijven kunt gebruiken in Application Gateway.
Gebruik
appgw.ingress.kubernetes.io/rewrite-rule-set-custom-resource
Voorbeeld
apiVersion: appgw.ingress.azure.io/v1beta1
kind: AzureApplicationGatewayRewrite
metadata:
name: my-rewrite-rule-set-custom-resource
spec:
rewriteRules:
- name: rule1
ruleSequence: 21
conditions:
- ignoreCase: false
negate: false
variable: http_req_Host
pattern: example.com
actions:
requestHeaderConfigurations:
- actionType: set
headerName: incoming-test-header
headerValue: incoming-test-value
responseHeaderConfigurations:
- actionType: set
headerName: outgoing-test-header
headerValue: outgoing-test-value
urlConfiguration:
modifiedPath: "/api/"
modifiedQueryString: "query=test-value"
reroute: false
Regelprioriteit
Met de volgende aantekening kan de controller voor inkomend verkeer van Application Gateway expliciet de prioriteit van de bijbehorende regels voor aanvraagroutering instellen.
Gebruik
appgw.ingress.kubernetes.io/rule-priority:
Voorbeeld
apiVersion: networking.k8s.io/v1
kind: Ingress
metadata:
name: go-server-ingress-rulepriority
annotations:
kubernetes.io/ingress.class: azure/application-gateway
appgw.ingress.kubernetes.io/rule-priority: 10
spec:
rules:
- http:
paths:
- path: /
pathType: Exact
backend:
service:
name: go-server-service
port:
number: 8080
In het voorgaande voorbeeld wordt een prioriteit van 10 ingesteld voor de regel voor aanvraagroutering.