你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
具有应用程序路由加载项的托管 NGINX Ingress
将超文本传输协议 (HTTP) 和安全 (HTTPS) 流量路由到在 Azure Kubernetes 服务 (AKS) 群集上运行的应用程序的一种方法是使用 Kubernetes Ingress 对象。 创建使用应用程序路由加载项 的 NGINX Ingress 类的 Ingress 对象时,加载项会在 AKS 群集中创建、配置和管理一个或多个 Ingress 控制器。
本文介绍如何在 AKS 群集中部署和配置基本 Ingress 控制器。
具有 NGINX 的应用程序路由加载项提供以下优势:
- 基于 IngressKubernetes NGINX Ingress 控制器轻松配置托管 NGINX Ingress 控制器。
- 与 Azure DNS 集成,以便进行公共区域和专用区域管理
- SSL 终止,证书存储在 Azure Key Vault 中。
有关其他配置,请参阅:
随着云原生计算基础 (CNCF) 停用 Open Service Mesh (OSM),不建议将应用程序路由附加产品与 OSM 一起使用。
- Azure 订阅。 如果没有 Azure 订阅,可以创建一个免费帐户。
- 安装并配置了 Azure CLI 2.54.0 或更高版本。 运行
az --version
即可查找版本。 如果需要进行安装或升级,请参阅安装 Azure CLI。
- 应用程序路由附加产品最多支持五个 Azure DNS 区域。
- 应用程序路由加载项只能在具有托管标识的 AKS 群集上启用。
- 与附加产品集成的所有全局 Azure DNS 区域都必须位于同一资源组中。
- 与附加产品集成的所有专用 Azure DNS 区域都必须位于同一资源组中。
- 不支持编辑
app-routing-system
命名空间中的 ingress-nginxConfigMap
。 - 以下代码片段注释被阻止,并将阻止配置流入量:
load_module
、lua_package
、_by_lua
、location
、root
、proxy_pass
、serviceaccount
、{
、}
、'
。
若要在新群集上启用应用程序路由,请使用 az aks create
命令,并指定 --enable-app-routing
标志。
az aks create \
--resource-group <ResourceGroupName> \
--name <ClusterName> \
--location <Location> \
--enable-app-routing \
--generate-ssh-keys
若要在现有群集上启用应用程序路由,请使用 az aks approuting enable
命令。
az aks approuting enable --resource-group <ResourceGroupName> --name <ClusterName>
若要从本地计算机连接到 Kubernetes 群集,请使用 kubectl(Kubernetes 命令行客户端)。 可以使用 az aks install-cli
命令在本地进行安装。 如果使用的是 Azure Cloud Shell,则 kubectl
已安装。
使用 az aks get-credentials 命令将 kubectl
配置为连接到你的 Kubernetes 群集。
az aks get-credentials --resource-group <ResourceGroupName> --name <ClusterName>
应用程序路由附加产品使用 Kubernetes Ingress 对象的注释来创建适当的资源。
创建名为
aks-store
的应用程序命名空间,以使用kubectl create namespace
命令运行示例 Pod。kubectl create namespace aks-store
使用以下 YAML 清单文件部署 AKS 存储应用程序:
kubectl apply -f https://raw.githubusercontent.com/Azure-Samples/aks-store-demo/main/sample-manifests/docs/app-routing/aks-store-deployments-and-services.yaml -n aks-store
此清单将为 AKS 存储应用程序创建必要的部署和服务。
应用程序路由附加产品在名为 webapprouting.kubernetes.azure.com 的群集上创建一个 Ingress 类。 使用此类创建 Ingress 对象时,会激活附加产品。
将以下 YAML 清单复制到名为 ingress.yaml 的新文件中,并将该文件保存到本地计算机。
apiVersion: networking.k8s.io/v1 kind: Ingress metadata: name: store-front namespace: aks-store spec: ingressClassName: webapprouting.kubernetes.azure.com rules: - http: paths: - backend: service: name: store-front port: number: 80 path: / pathType: Prefix
使用
kubectl apply
命令创建入口资源。kubectl apply -f ingress.yaml -n aks-store
以下示例输出显示了已创建的资源:
ingress.networking.k8s.io/store-front created
可以使用 kubectl get ingress
命令验证是否已创建托管 Ingress。
kubectl get ingress -n aks-store
以下示例输出显示了创建的托管 Ingress:
NAME CLASS HOSTS ADDRESS PORTS AGE
store-front webapprouting.kubernetes.azure.com * 51.8.10.109 80 110s
可以通过将浏览器指向入口控制器的公共 IP 地址来验证 AKS 存储是否正常工作。 使用 kubectl 查找 IP 地址:
kubectl get service -n app-routing-system nginx -o jsonpath="{.status.loadBalancer.ingress[0].ip}"
若要删除关联的命名空间,请使用 kubectl delete namespace
命令。
kubectl delete namespace aks-store
若要从群集中删除应用程序路由附加产品,请使用 az aks approuting disable
命令。
az aks approuting disable --name <ClusterName> --resource-group <ResourceGroupName>
备注
为了避免当应用程序路由加载项被禁用时可能会中断流向群集的流量,某些 Kubernetes 资源(包括 configMaps、机密以及运行控制器的部署)将保留在群集上。 这些资源位于 app-routing-system 命名空间中。 如果不再需要这些资源,则可以通过使用 kubectl delete ns app-routing-system
删除该命名空间来删除这些资源。
配置自定义流入量配置介绍了如何创建高级流入量配置以及使用 Azure DNS 配置自定义域,以管理 DNS 区域并设置安全入口。
若要与 Azure 内部负载均衡器集成并配置专用 Azure DNS 区域,以便为专用终结点启用 DNS 解析来解析特定域,请参阅为 Azure 专用 DNS 区域配置内部 NGINX 入口控制器。
了解在分析应用程序的性能和使用情况的过程中,如何使用 Grafana 中的 Prometheus(预览版)监视应用程序路由附加产品中包含的 ingress-nginx 控制器指标。