Ингресс это что такое
Kubernetes Ingress глазами новичка
Ingress это базовый тип ресурса в кубертенесе. Если просто объявить объект типа Ingress в кубернетисе то ничего не произойдет.
Что бы этот ресурс начал работу в кластере кубернетиса должен быть установлен Ingress Controller, который настроит реверсивный прокси в соответствии с Ingress объектом.
Ingress Controller состоит из 2х компонентов — реверсивного прокси и контроллера который общается с API сервером кубернетеса. Реверсивный прокси слушает входящий трафик на портах которые указаны в настройках (обычно в настройках по умолчанию указан только порт 80). Контроллер может быть как отдельным демоном (как в nginx), так и встроенным в прокси (как в traefik).
Не все клауд провайдеры кубернетеса предустанавливают Ingress Controller по умолчанию.
Контроллеры могут запускаться либо как DaemonSet либо как Deployment. DaemonSet идеально использовать как единственный Ingress Controller, что бы реверсивное прокси слушало на всех IP адресах воркеров. Deployment отлично подходит если перед Ingress контроллером стоит балансировщик — от провайдера кубернетиса (GKE, AKS), MetalLB если онпремис или обычный haproxy/nginx установленный на сервере (требутеся ручная настройка). При этой установке возможно установить несколько Ingress Controller.
Как входящий трафик попадает на Ingress Controller
Во всех случаях реверс прокси в Ingress Controller слушает порты где ожидает http/https соединения.
Трафик на этоти порты может попасть тремя путями:
NodePort
Ставить Ingress Controller на NodePort без LoadBalancer имеет мало смысла, так как URL будет включать порт который указан в NodePort http://domain.example.org:32200/.
Для этого варианта лучше использовать Deployments. Это позволит проще скейлить количество подов ответственных за входящий трафик, прописывать им nodeAffinity и запускать несколько ingress controller (например для production и staging).
HostPort
При использовании HostPort порт пробрасывается с хоста где запущен под в этот самый Pod. LoadBalancer на вход не нужен, но для работы сайта в DNS нужно указывать что адрес домена находится на всех узлах.
Пример конфигурации DNS для 3х воркеров:
Для этой установки лучше всего использовать DaemonSet т.к. он позволяет запустить не более одного Pod на хосте. Deployment возможен, но имеет мало смысла т.к. надо прописывать affinity что бы не назначилось 2 Pod на один хост, иначе будет конфликт по портам.
Host network
При запуске Ingress Controller в общей сети с хостом не требуется никаких пробросов портов, но в этом случае все порты которые открыты в Pod будут доступны из интернета. Для запуска лучше использовать DaemonSet. Причины такие же как и с HostPort — что бы избежать конфликта портов.
Что выбрать
Если есть LoadBalancer на входе — NodePort, если нет — HostPort + DNS Round Robin. Для экспериментов можно попробовать Host network, но это не безопасно.
Ingress — Ответы на вопросы и некоторые секреты
От автора топика
Инвайт пришел достаточно быстро. Прочитав этот замечательный пост, я не нашел ответы на многие вопросы… Даже пробежавшись пару часов, связав пару порталов и прокачав их по самое «нехочу» все равно остались вопросы. Google и один продвинутый друг помог во всем разобраться, о чем я и решил поделиться с сообществом, немного дополнив и расширив лучший найденный мануал. Предложения по лучшей русской терминологии предлагайте в комментариях. Буду апдейтить статью.
О Ингресс
Ингресс — это игра с дополненной реальностью в которой нужно идти в конкретные реальные места и взламывать порталы. В игре есть две фракции: Enlightened (Просвещенные) и Resistance (Сопротивление).
Широко популярный в узких кругах Niantic Project был вирусной рекламой этой заманухи.
История, лежащая в основе
Научный эксперимент в CERN создал цепную реакцию выпустившую необычную энергию (XM) по всему миру. В результате сформировались порталы в таких местах как памятники, музеи и другие публичные места. Обе фракции пытаются захватить эти порталы и установить резонаторы, для генерации еще большего количества энергии. Если связать три портала, то в пространстве между ними будет создано поле, защищающее от Shapers (Шейперов).
Присоединение к Просвещенным
Фракция пытается помочь Шейперам проникнуть на Землю. Последователи верят, что Шейперы принесут великое просвещение, которое обеспечит великий прорыв для всего человечества.
Присоединение к Сопротивлению
Фракция защищает Землю от вторжения Шейперов. Это люди опасающиеся прогресса, но Сопротивление сильно убеждено, что они защищают человечество.
Как играть?
Существует возможность создавать порталы
Секретные фразы
В этом чудесном гуглодоке есть ключи, которые дают безумное количество плюшек. Ключи добываются расследованиями на сайте Niantic Project.
Взлом и захват порталов
Когда вы приближаетесь к вражескому порталу вы можете его атаковать с помощью XMP и в конце концов взломать его. Вероятность взломать вражеский портал гораздо ниже.
Дополнительная информация
P.S. На данный момент сопротивление стремительно теряет позиции.
Сам я пожалуй переметнусь на сторону просвященных, т.к. когда я выбирал принадлежность к сопротивлению идеологическая сторона вопроса была не ясна.
P.P.S. Вокруг Кремля завязалась серьезная борьба. До красной площади — 30 минут пешком, и около 50 порталов. Обойма полна патронов (зарядку Ингресс жрет немеряно). На 2-3 часа хватит. К полуночи отобъем позиции.
UPD. Игра жестко следит за настройкой fake GPS connection.
Полезное для начинающих играть в Ingress
Как мне получить инвайт?
Да, игра пока находится в бета-версии, для начала игры нужен инвайт. Но как раз на днях всем игрокам второго уровня и выше выдали по инвайту. Так что именно сейчас добыть инвайт может быть достаточно просто. Хоть здесь в теме пишите, вдруг кто поделится. Также инвайт можно добыть в группе вконтакте, или же просто запросить на сайте ingress. Я действовал последним способом, инвайт пришел через 2 недели.
Как мне быстрей всего поднять уровень?
Так я смогу разрушить вражеский портал?
Во-первых, портал вообще невозможно разрушить, можно разрушить вражеские резонаторы, освободив портал от них. Но и этого, скорей всего, у вас на первых уровнях не получится сделать. Простой пример. У резонатора первого уровня 1000 xm. Бустер 1 уровня наносит 150 урона. Но 150 — это если вы стоите точно на резонаторе. Радиус действия у него небольшой, максимум заденет два соседних, и то слабенько. Если портал доступен, то не факт, что в каждую из 8 точек с резонаторами вы сможете физически подойти. Пюс gps пляшет, и вас периодически «сносит» с точки. В итоге получается, что если резонаторы стоят не совсем рядом с порталом, то вы замучаетесь их сносить своими бустерами первого уровня. Вам их понадобится штук 50-100, даже если на портале одни резонаторы 1 уровня. Да у вас за это время аккумулятор телефона сядет!
На больших уровнях все будет проще, там бустеры имеют приличный радиус действия. А пока у вас есть шанс только добивать почти разрушенные порталы.
Как мне поставить резонатор выбранного уровня?
Если вы достигли второго уровня, у вас начинается выбор, ставить на портал резонатор первого уровня или второго. В плане защиты портала и его свойств разница невелика, топовый враг все равно все это вынесет только так. Но есть разница для вас. На портале может быть не больше 4 резонаторов 2 уровня, поставленных вами (число резонаторов 1 уровня ограничено лишь 8 — количеством слотов на портале). И может так случиться, что резонаторы 1 уровня у вас кончатся, и вы не сможете полноценно развиваться. Что делать?
Решение очень простое, не надо просто кликать «deploy resonator» — тогда система сама выбирает, какой резонатор ставить (из комментариев — всегда ставит резонатор минимального уровня). Вместо этого выбираете «upgrade portal», пролистываете к пустому октанту, и у вас есть выбор, какой резонатор ставить.
От чего зависит расстояние от портала до резонаторов?
От того, на каком расстоянии вы были от портала, когда этот резонатор ставили. Стояли вплотную, будет вплотную (и их легче будет сносить врагу), стояли на 35 метрах, будет на 35 метра. Дальше невозможно.
Я могу добавить новый портал? Изменить существующий?
Да, можете, но, если я не ошибаюсь, начиная со 2 уровня.
Удержание на карте вызывает меню, через которое вы можете добавлять портал. Если же вы смотрите свойства уже существующего портала, кликните по надписи «more info» под изображением, и на описании портала будут ссылки для замены фотографии или же исправления информации. Google обещает обрабатывать такие запросы за 2 недели.
Зачем все это Гуглу?
Пока непонятно. Пока они на этом явно не зарабатывают. Но, думаю, будут.
Зачем все это нам?
Как зачем? Игра ведь! Прокачиваться и все такое. А при этом играя ты не сидишь за компьютером, а передвигаешься по городу. Очень полезно! А на больших уровнях, думаю, вообще не обойтись без реального общения с реальными игроками.
Еще что-нибудь тут можно делать?
Насколько я понимаю, больше особо ничего не сделаешь. Но игра будет развиваться. А так, можно вступать в сообщества игроков Ingress и вместе прокачиваться. Да, чуть не забыл. Есть еще одна очень интересная функция, remote recharge. Если у вас есть ключ от портала, то вы можете найти его в инвентаре, открыть свойства портала и заряжать резонаторы на нем, даже если вы не рядом. Это тоже дает немного опыта.
Update: в комментариях предложили вставить картинку: 
☸️ Учебное пособие по Ingress для начинающих в Kubernetes
Kubernetes Ingress – это ресурс для добавления правил маршрутизации трафика из внешних источников в службы в кластере kubernetes.
Кроме того, мы рассмотрим расширенную ingress маршрутизацию с использованием ingress шлюза службы ISTIO.
Как правило, пользовательская развертка Nginx или HAproxy kubernetes будет представлено как служба для перенаправления внешнего трафика во внутренние службы кластера, где правила маршрутизации будут закрепляться в поде и добавляться в виде configmap.
Ingress Kubenetes действует аналогичным образом, за исключением того, что правила маршрутизации будут поддерживаться как объект Ingress Kubernetes.
Он обладает огромным преимуществом конфигурации правил динамической маршрутизации без повторного развертывания подов прокси.
Учебное пособие по Kubernetes Ingress
Чтобы начать, вам нужно понять две ключевые вещи.
Давайте рассмотрим каждый из этих понятий.
Kubernetes Ingress:
Kubernetes Ingress – это собственный ресурс kubernetes, с которым вы можете создавать правила маршрутизации трафика от внешнего источника к конечным точкам различных служб, расположенных внутри кластера.
Для маршрутизации правил, указанных в объекте Ingress, требуется ingress controller.
Объект Ingress выглядит следующим образом.
Приведенная выше настройка означает, что все вызовы test.apps.example.com должны попадать в службу с именем hello-serviceresiding в пространстве имен dev.
Ключевые вещи, которые должны помочь понять объект ingress.
Kubernetes Ingress Controller
В этой серии руководств мы рассмотрим все типы ingress решений, поддерживаемых Kubernetes.
Как настроить Ingress на Kubernetes с помощью Nginx Controller
Есть два nginx ingress controller
Мы будем использовать контроллер Nginx от комьюнити kubernetes.
Ingress controller требует определенное пространство имен, учетную запись службы, cluster role bindings, конфигурацию и т. д.
Вы можете создать все упомянутые объекты kubernetes, используя файл yaml из официального Ingress репозитория.
Давайте развернем ingress controller, используя файл mandatory.yaml из официального репозитория.
Он содержит сводный список объектов kubernetes, необходимых для контроллера Nginx.
Настройка службы LoadBalancer для Ingress контроллера
Следующим шагом является создание службы типа Loadbalancer для предоставления развертывания контроллера nginx вне кластера.
Шаг 1: Создайте каталог проекта локально и переключитесь на этот каталог.
Шаг 2: Создайте файл с именем nginx-ingress.yaml
Шаг 3: Скопируйте следующее содержимое в файл.
Заметка:
Аннотации под Lables очень важны для интеграции с nginx controller deployment.
Сопоставьте доменное имя с IP-адресом Loadbalancer
Чтобы наши настройки Ingress работали, нам нужно сопоставить доменное имя с IP-адресом балансировщика нагрузки.
Вы можете сделать это двумя способами.
Вы можете сопоставить один домен напрямую как A запись с IP-адресом балансировщика нагрузки.
Используя этот вариант, вы можете иметь только один домен для Ingress контроллера и маршрутизацию трафика по нескольким путям.
Вы можете использовать базовую маршрутизацию, используя эту модель.
Если вы сопоставите подстановочный DNS с балансировщиком нагрузки, у вас могут быть динамические конечные точки DNS через Ingress.
Таким образом, вы можете иметь несколько динамических поддоменов через один Ingress Controller, и каждый DNS может иметь собственную маршрутизацию на основе базовой маршрутизации.
Настройка приложения A
В целях тестирования мы развернем демонстрационное приложение и добавим в него сервис ClusterIp.
Шаг 2: Создайте файл с именем hello-app.yaml
Шаг 3: Скопируйте следующее содержимое и сохраните файл.
Шаг 4. Создайте развертывание с помощью kubectl
Проверьте состояние развертывания.
Шаг 5: Создайте файл с именем hello-app-service.yaml
Шаг 6: Скопируйте следующее содержимое и сохраните файл.
Шаг 7: Создайте сервис, используя kubectl.
Проверьте статус сервиса
Создание объекта Ingress Kubernetes
Теперь давайте создадим Ingress объект для доступа к нашему приложению через DNS.
Объект Ingress – это не что иное, как настройка правил маршрутизации.
Шаг 1: Создайте файл с именем ingress.yaml
Шаг 2: Скопируйте следующее содержимое и сохраните файл.
Ingress-контроллер: что это и как выбрать
Kubernetes — достаточно сложная для понимания вещь, даже сами авторы это признают. В этой статье мы попытаемся простым языком объяснить, что такое Ingress-контроллер и для чего он нужен.
Начнем с того, что в Kubernetes есть целых два типа сущностей. Первый — сам Ingress, некоторый набор правил, позволяющий трафику извне достичь сервисов внутри кластера. Второй — Ingress-контроллер, представляющий собой ни что иное, как pod с запущенным приложением-контроллером. Здесь стоит оговориться, что отдельно эти два типа сущностей бесполезны.
На ум приходит аналогия с автомобилем. Ingress — это как автомобиль со снятым двигателем, а Ingress-контроллер — тот самый двигатель. Так что если вы создадите Ingress без установленного контроллера, то само собой ничего работать не будет.
Работая вместе, Ingress и Ingress-контроллер позволяют создать единую точку входа для трафика и выполняют одновременно роль прокси и балансировщика нагрузки, работая на 7 уровне сетевой модели OSI.
Итак, основная задача выбора Ingress-контроллера лишь в том, какое именно приложение будет разруливать весь трафик. В идеале различные Ingress-контроллеры должны работать одинаково по спецификации, но на практике все же есть различия. Возвращаясь к автомобильной аналогии, двигатели бывают разного типа: атмосферные, компрессорные, турбированные и даже электрические.
Важно понимать, что Ingress-контроллер не отменяет необходимость во внешнем балансировщике нагрузки, он лишь добавляет дополнительный уровень маршрутизации и большую гибкость в распределении трафика.
Какие существуют Ingress-контроллеры
Условно все Ingress-контроллеры можно поделить на две группы.
Первая группа — специфичные приложения, рассчитанные на работу с трафиком каких-либо экосистем, например, Citrix ingress controller. Эта штука предназначена для работы с Citrix ADC — комплексным решением по доставке приложений для исполнения на bare-metal, а также внутри контейнеров и виртуальных машин.
Точно такое же специфичное решение — AKS Application Gateway Ingress Controller. Его назначение — балансирование рабочих нагрузок, размещенных в Azure, о чем нам намекают в названии AKS (Azure Kubernetes Service). Многие крупные провайдеры облачной инфраструктуры создают свои решения и предлагают их в рамках использования определенной экосистемы. Например, F5 BIG-IP Container Ingress Services for Kubernetes создавался для работы с виртуальными серверами F5 BIG-IP.
Переходим ко второй группе, где у нас находятся универсальные Ingress-контроллеры. Их достаточно много, но можно выделить несколько, базирующихся на одном и том же ПО, например, на Envoy:
Особняком стоят Ingress-контроллеры, заточенные под использование в паре с определенным ПО:
Все перечислять не будем. Из вышесказанного можно сделать однозначный вывод о том, что вопрос выбора Ingress-контроллера может быть решен, если какое-либо ПО уже есть и оно готово к рабочим нагрузкам соответствующего контроллера.
Взглянем чуть более детально, какие контроллеры чаще всего используют.
Наиболее используемый Ingress-контроллер
Прежде чем набивать шишки, всегда проще посмотреть на чужой опыт и сделать выводы. На момент написания этой статьи в подавляющем большинстве источников на роль Ingress-контроллера рекомендуют использовать nginx-ingress. Причина проста: разработкой и поддержкой этого контроллера занимаются разработчики Kubernetes. Длительный опыт использования, а также масса документации и учебных материалов играют существенную роль в «боевой» эксплуатации. Так что вряд ли вы столкнетесь с нерешаемыми проблемами.
Дабы исключить всякую путаницу: существует еще и NGINX Ingress для Kubernetes, продукт от NGINX Inc (ныне компания поглощена F5 Networks). В отличие от nginx-ingress у этого продукта есть еще и платная версия, реализованная на NGINX Plus.
Чуть меньшую популярность завоевал HAProxy Ingress. Достаточно производительный и гибкий, с понятной документацией и обширным комьюнити в Slack и на StackOverflow, этот контроллер однозначно заслуживает внимания. Определенную долю рынка занимает Traefik Kubernetes Ingress и Kong для Kubernetes, также основанный на NGINX.
Критерии выбора
Прежде чем сделать выбор, стоит задать несколько важных вопросов:
Эти простые вопросы позволят сходу отсечь варианты, когда наличие дополнительных возможностей потребует больших вложений, но эти возможности не будут востребованы.
Следующий вопрос, который важен для принятия решения, — о производительности. Получить на него ответ можно будет либо эмпирическим путем, либо основываясь на уже существующих научных исследованиях.
В качестве примера приведем научную публикацию «Исследование производительности различных имплементаций Ingress-контроллеров в кластере Kubernetes», основанную на проведенных исследованиях в Белорусском государственном университете информатики и радиоэлектроники (Шуляк А.В., Савенко А.Г.). Получившиеся выводы весьма интересны и показательны. Выяснились следующие факты:
Заключение
Процесс выбора Ingress-контроллера в большинстве случаев зависит от решаемых задач и требований к поддержке дополнительных функций. Практически все существующие контроллеры способны решать простые задачи, так что выбор можно сделать в пользу наиболее простого и хорошо задокументированного варианта.
Если же у вас высоконагруженные системы, следует большее внимание уделить производительности решения, а также наличию коммерческой поддержки. Так вы минимизируете возможные простои и не будете тратить время на глубокое погружение в особенности используемой системы.