Google Kubernetes Engine (GKE) 为可公开访问的应用提供了对两种类型的 Cloud Load Balancing 的集成支持:
在本教程中,您将使用 Ingress。
在资源清单中指定 kind: Ingress
时,您需要指示 GKE 来创建 Ingress 资源。通过添加注释并支持工作负载和 Service,您可以创建自定义 Ingress 控制器。否则,GKE 会进行适当的 Google Cloud API 调用,以创建外部应用负载均衡器。负载均衡器的网址映射的主机规则和路径匹配器会引用一个或多个后端服务,其中,每个后端服务对应于一个类型为 NodePort
的 GKE Service,如 Ingress
中引用的那样。每个后端服务的后端是实例组或网络端点组 (NEG)。在配置 Ingress 的过程中,配置容器原生负载均衡时,系统会创建 NEG。对于每个后端服务,GKE 都会根据相应 GKE Service 引用的工作负载的就绪性探测设置创建 Google Cloud 健康检查。
如果要公开在 GKE 上托管的 HTTP(S) 服务,则建议使用 HTTP(S) 负载平衡方法来实现负载平衡。
注意:GKE 创建的负载均衡器按照常规 Cloud Load Balancing 价格计费。
注意:如需使用 Ingress,您必须启用外部应用负载均衡器插件。GKE 集群默认启用了外部应用负载均衡器;您不得将其停用。
注意:Google Kubernetes Engine 依赖于健康检查机制来确定后端服务的健康状况。此机制无法用于执行黑盒监控。如需执行黑盒监控,请创建一个正常运行时间检查。如需了解详情,请参阅(可选)监控服务的可用性和延迟时间。
在本文档中,您将使用 Google Cloud 的以下收费组件:
用于创建和删除 Kubernetes Engine 集群。gcloud
包含在 gcloud
CLI 中。kubectl
用于管理 Kubernetes(即 Kubernetes Engine 使用的集群编排系统)。您可以使用 gcloud
安装 kubectl
:从 GitHub 克隆示例代码:
git clone https://github.com/GoogleCloudPlatform/kubernetes-engine-samples
cd kubernetes-engine-samples/load-balancing
为 gcloud 命令行工具设置默认值
如需节省在 gcloud 命令行工具中输入项目 ID 和 Compute Engine 地区选项的时间,您可以设置以下默认值:gcloud config set project project-id
gcloud config set compute/zone compute-zone
通过运行以下命令创建名为 loadbalancedcluster
gcloud container clusters create loadbalancedcluster
注意:如果您使用的是现有 Google Kubernetes Engine 集群,或者已通过 Google Cloud 控制台创建集群,则需要运行以下命令来检索集群凭据,并使用这些凭据配置 kubectl 命令行工具:
gcloud container clusters get-credentials loadbalancedcluster如果您已使用上面列出的 gcloud container clusters create 命令创建集群,则无需执行此步骤。
下面的清单描述了了一个在端口 8080 的 HTTP 服务器上运行示例 Web 应用容器映像的 Deployment:
# Copyright 2021 Google LLC## Licensed under the Apache License, Version 2.0 (the 'License');# you may not use this file except in compliance with the License.# You may obtain a copy of the License at## http://www.apache.org/licenses/LICENSE-2.0## Unless required by applicable law or agreed to in writing, software# distributed under the License is distributed on an 'AS IS' BASIS,# WITHOUT WARRANTIES OR CONDITIONS OF ANY KIND, either express or implied.# See the License for the specific language governing permissions and# limitations under the License.apiVersion: apps/v1kind: Deploymentmetadata: name: web namespace: defaultspec: selector: matchLabels: run: web template: metadata: labels: run: web spec: containers: - image: us-docker.pkg.dev/google-samples/containers/gke/hello-app:1.0 imagePullPolicy: IfNotPresent name: web ports: - containerPort: 8080 protocol: TCP---
kubectl apply -f web-deployment.yaml
下面的清单描述了了使 web
部署可在容器集群中访问的 Service:
# Copyright 2021 Google LLC## Licensed under the Apache License, Version 2.0 (the 'License');# you may not use this file except in compliance with the License.# You may obtain a copy of the License at## http://www.apache.org/licenses/LICENSE-2.0## Unless required by applicable law or agreed to in writing, software# distributed under the License is distributed on an 'AS IS' BASIS,# WITHOUT WARRANTIES OR CONDITIONS OF ANY KIND, either express or implied.# See the License for the specific language governing permissions and# limitations under the License.apiVersion: v1kind: Servicemetadata: name: web namespace: defaultspec: ports: - port: 8080 protocol: TCP targetPort: 8080 selector: run: web type: NodePort---
要使 HTTP(S) 网络服务器应用可公开访问,您必须创建 Ingress 资源。
Ingress 是一种 Kubernetes 资源,它封装了一系列规则和配置,可将外部 HTTP(S) 流量路由到内部服务。
在 GKE 上,Ingress 是使用 Cloud Load Balancing 实现的。当您在集群中创建 Ingress 时,GKE 会创建一个 HTTP(S) 负载均衡器,并将其配置为将流量路由到您的应用。
下面的清单描述了将流量定向到 web
Service 的 Ingress 资源:
# Copyright 2021 Google LLC## Licensed under the Apache License, Version 2.0 (the 'License');# you may not use this file except in compliance with the License.# You may obtain a copy of the License at## http://www.apache.org/licenses/LICENSE-2.0## Unless required by applicable law or agreed to in writing, software# distributed under the License is distributed on an 'AS IS' BASIS,# WITHOUT WARRANTIES OR CONDITIONS OF ANY KIND, either express or implied.# See the License for the specific language governing permissions and# limitations under the License.apiVersion: networking.k8s.io/v1kind: Ingressmetadata: name: basic-ingressspec: defaultBackend: service: name: web port: number: 8080---
kubectl apply -f basic-ingress.yaml
部署此清单后,Kubernetes 会在您的集群上创建一个 Ingress 资源。GKE Ingress 控制器根据 Ingress 中的信息创建并配置 HTTP(S) 负载均衡器,将端口 80 上的所有外部 HTTP 流量路由到您公开的 web
NodePort Service。
注意:如需使用 Ingress,您必须启用外部应用负载均衡器插件。GKE 集群默认启用了外部应用负载均衡器;您不得将其停用。
通过运行以下命令找出为应用提供服务的负载均衡器的外部 IP 地址:
kubectl get ingress basic-ingress
basic-ingress * 80 2m
注意:在负载均衡器准备好处理应用之前,GKE 可能需要几分钟的时间来分配外部 IP 地址和设置转发规则。在全球范围传播负载均衡器配置之前,您可能会收到 HTTP 404 或 HTTP 500 等错误。
在浏览器中打开应用的外部 IP 地址,查看纯文本 HTTP 响应,如下所示:
Hello, world!
Version: 1.0.0
Hostname: web-6498765b79-fq5q5
您可以访问 Google Cloud 控制台上的负载均衡,并检查 GKE Ingress 控制器创建的网络资源。
在域名上公开网络服务器时,您需要确保应用的外部 IP 地址是不会更改的静态 IP。
默认情况下,GKE 会为通过 Ingress 公开的 HTTP 应用分配临时外部 IP 地址。 临时地址随时可能更改。如果您打算长时间运行应用,则必须使用静态外部 IP 地址。
请注意,为 Ingress 资源配置静态 IP 地址后,删除 Ingress 时将不会删除与之关联的静态 IP 地址。如果不再打算再次使用所配置的静态 IP 地址,请务必清理该 IP 地址。
警告:以下说明会创建一个静态 IP 地址,然后在 Ingress 清单中引用该 IP 地址。如果您修改现有 Ingress 以使用静态 IP 地址而不是临时 IP 地址,则 GKE 可能会在 GKE 重新创建负载均衡器的转发规则时更改负载均衡器的 IP 地址。
如需配置静态 IP 地址,请完成以下步骤:
您可以通过对 Ingress 配置路由规则,在单个负载均衡器和公共 IP 上运行多个服务。通过在同一 Ingress 上托管多个服务,您就不必为公开给互联网的每一个 Service 创建额外的负载均衡器(此为计费资源)。
下面的清单描述了同一 Web 应用的 2.0
版 Deployment:
# Copyright 2021 Google LLC## Licensed under the Apache License, Version 2.0 (the 'License');# you may not use this file except in compliance with the License.# You may obtain a copy of the License at## http://www.apache.org/licenses/LICENSE-2.0## Unless required by applicable law or agreed to in writing, software# distributed under the License is distributed on an 'AS IS' BASIS,# WITHOUT WARRANTIES OR CONDITIONS OF ANY KIND, either express or implied.# See the License for the specific language governing permissions and# limitations under the License.apiVersion: apps/v1kind: Deploymentmetadata: name: web2 namespace: defaultspec: selector: matchLabels: run: web2 template: metadata: labels: run: web2 spec: containers: - image: us-docker.pkg.dev/google-samples/containers/gke/hello-app:2.0 imagePullPolicy: IfNotPresent name: web2 ports: - containerPort: 8080 protocol: TCP---
kubectl apply -f web-deployment-v2.yaml
下面的清单描述了一个在内部将 web2
公开给名为 web2
的 NodePort Service 上的集群:
# Copyright 2021 Google LLC## Licensed under the Apache License, Version 2.0 (the 'License');# you may not use this file except in compliance with the License.# You may obtain a copy of the License at## http://www.apache.org/licenses/LICENSE-2.0## Unless required by applicable law or agreed to in writing, software# distributed under the License is distributed on an 'AS IS' BASIS,# WITHOUT WARRANTIES OR CONDITIONS OF ANY KIND, either express or implied.# See the License for the specific language governing permissions and# limitations under the License.apiVersion: v1kind: Servicemetadata: name: web2 namespace: defaultspec: ports: - port: 8080 protocol: TCP targetPort: 8080 selector: run: web2 type: NodePort---
kubectl apply -f web-service-v2.yaml
下面的清单描述了具备以下特点的 Ingress 资源:
开头的路径将请求路由到 web2
Service# Copyright 2021 Google LLC## Licensed under the Apache License, Version 2.0 (the 'License');# you may not use this file except in compliance with the License.# You may obtain a copy of the License at## http://www.apache.org/licenses/LICENSE-2.0## Unless required by applicable law or agreed to in writing, software# distributed under the License is distributed on an 'AS IS' BASIS,# WITHOUT WARRANTIES OR CONDITIONS OF ANY KIND, either express or implied.# See the License for the specific language governing permissions and# limitations under the License.apiVersion: networking.k8s.io/v1kind: Ingressmetadata: name: fanout-ingressspec: rules: - http: paths: - path: /* pathType: ImplementationSpecific backend: service: name: web port: number: 8080 - path: /v2/* pathType: ImplementationSpecific backend: service: name: web2 port: number: 8080---
kubectl create -f fanout-ingress.yaml
部署 Ingress 后,请运行 kubectl get ingress fanout-ingress
来查找集群的公共 IP 地址。
注意:GKE 分配外部 IP 地址和准备负载均衡器可能需要几分钟的时间。在负载均衡器准备好处理流量之前,您可能会收到 HTTP 404 和 HTTP 500 等错误。
然后,访问该 IP 地址,确定能否在同一负载均衡器上访问这两个应用:
并注意响应包含 Version: 1.0.0
(因为该请求被路由到 web
并注意响应包含 Version: 2.0.0
(因为该请求被路由到 web2
Service)Ingress 的 path
字段唯一支持的通配符是 *
字符必须紧跟在正斜线 (/
) 之后,并且必须是格式中的最后一个字符。例如,/*
是有效格式,但 *
较具体的格式优先于不太具体的格式。如果您同时拥有 /foo/*
和 /foo/bar/*
,则选择 /foo/bar/bat
来匹配 /foo/bar/*
Google Cloud 拨测从用户的角度对应用进行黑盒监控,确定从多个外部 IP 到负载均衡器 IP 地址的延迟时间和可用性。相比之下,Google Cloud 健康检查会对 Pod IP 执行内部检查,确定实例级层的可用性。这两项检查是相辅相成的,它们可让您全面了解应用的运行状况。
您可以使用 Google Cloud 控制台、Cloud Monitoring API 或使用 Cloud Monitoring 客户端库来创建拨测。 如需了解相关信息,请参阅管理拨测。 如需使用 Google Cloud 控制台创建拨测,请执行以下操作:
默认情况下,Ingress 通过在 /
路径上发出 GET
请求来执行定期健康检查,以确定应用的健康状况,并预期获得 HTTP 200 响应。如果要检查其他路径或预期获得其他响应代码,您可以使用自定义健康检查路径。
Ingress 支持更高级的用例,例如:
删除 Ingress 后,GKE Ingress 控制器会自动清理相关资源(预留的静态 IP 地址除外)。
为避免因本教程中使用的资源导致您的 Google Cloud 帐号产生费用,请删除包含这些资源的项目,或者保留项目但删除各个资源。