如何使用443/80暴露prem上的kubernetes服务

Question

是否可以使用本地端口443/80公开Kubernetes服务？

我知道一些在Kubernetes中公开服务的方法：

1. NodePort -默认端口范围为30000 - 32767，因此无法使用443/80访问服务。由于端口冲突，更改端口范围存在风险，因此这不是一个好主意。

1. 主机网络-强制pod使用主机的网络，而不是专用的网络命名空间。这不是一个好主意，因为我们失去了kube-dns等。

1. 入口- AFAIK它使用NodePort (所以我们再次面临第一个问题)或云提供商LoadBalancer。由于我们在本地使用Kubernetes，因此不能使用此选项。允许您在不运行于云提供商的集群中创建LoadBalancer类型的Kubernetes服务的MetalLB还不够稳定。

您是否知道在Kubernetes中使用本地端口443/80公开服务的其他方法？我正在寻找一种"Kubernetes解决方案“，而不是使用外部集群反向代理。

谢谢。

Answer 1

使用hostNetwork代理的想法实际上还不错，Openshift路由器就是这样用到的。您可以定义两个或三个节点来运行代理，并在它们前面使用DNS负载平衡。

您仍然可以将kube-dns与hostNetwork一起使用，请参阅https://kubernetes.io/docs/concepts/services-networking/dns-pod-service/#pod-s-dns-policy

Answer 2

IMHO入口是在prem上做到这一点的最好方法。

我们将nginx-ingress controller作为守护进程运行，每个控制器都绑定到主机网络上的端口80和443。到我们集群的几乎100%的流量都来自80或443，并根据入口规则路由到正确的服务。

每个应用程序，你只需要一个将你的主机名映射到集群节点的DNS记录，以及一个对应的ingress。

下面是守护进程清单的一个示例：

kind: DaemonSet
apiVersion: apps/v1
metadata:
  name: nginx-ingress-controller
spec:
  selector:
    matchLabels:
      component: ingress-controller
  template:
    metadata:
      labels:
        component: ingress-controller
    spec:
      restartPolicy: Always
      hostNetwork: true
      containers:
        - name: nginx-ingress-lb
          image: quay.io/kubernetes-ingress-controller/nginx-ingress-controller:0.21.0
          ports:
            - name: http
              hostPort: 80
              containerPort: 80
              protocol: TCP
            - name: https
              hostPort: 443
              containerPort: 443
              protocol: TCP
          env:
            - name: POD_NAMESPACE
              valueFrom:
                fieldRef:
                  apiVersion: v1
                  fieldPath: metadata.namespace
          args:
            - /nginx-ingress-controller
            - '--default-backend-service=$(POD_NAMESPACE)/default-http-backend'

Answer 3

使用入口控制器作为kubernetes集群中服务的入口点。在端口80或443上运行入口控制器。您需要为每个想要从外部访问的后端服务定义入口规则。入口控制器应该能够允许客户端根据入口规则中定义的路径访问服务。

如果需要允许通过https进行访问，则需要获取dns证书，将其加载到secrets中，并将其绑定到入口规则中

最流行的是nginx入口控制器。Traefik和ha代理入口控制器也是其他替代解决方案。