[TOC]
# 網絡鏈路
很多情況都是k8s集群使用的traefik是沒有公網暴露面的。但是又想通過網絡訪問traefik服務,通常做法是traefik前面掛載一個lb服務將流量轉發到traefik主機上。
網絡鏈路: `客戶端` --> `lb(一或多個)` --> `traefik` --> `后端業務程序`
# 配置
>[info] 演示的后端業務程序是nginx。方便查看 `X-Forwarded-For` 以及 `X-Real-IP`
> 客戶端使用 `curl命令` 以及 `Google瀏覽器`
從上面的網絡鏈路可知,需要配置的地方有兩個。分別是 `lb` 以及 `traefik` 上。如果lb有多個的話,多個lb都需要配置的。
## web(http)協議
>[info] 這里 lb 使用HTTP代理方式轉發。
優點:網絡鏈路清晰
缺點:效率沒有四層轉發快
### lb配置
>[info] 該配置內容寫在 `http{}` 塊里面
```conf
upstream ingress_http {
server 192.168.32.127:80;
server 192.168.32.128:80;
}
server {
listen 80;
server_name _;
location / {
# 客戶端域名賦值給Host請求頭中傳給下游服務器
proxy_set_header Host $http_host;
# 將 $remote_addr(客戶端IP地址) 賦值給 X-Real-IP 請求頭中傳給下游服務器
proxy_set_header X-Real-IP $remote_addr;
# 將 $proxy_add_x_forwarded_for 賦值給 X-Forwarded-For 請求頭中傳給下游服務器
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_pass http://ingress_http;
}
}
```
### traefik配置
>[info] 在traefik配置文件的 `entryPoints.web` 配置項下添加下面內容。IP寫成 `lb` 地址。
```yaml
entryPoints:
web:
address: ":80"
# 添加以下的內容
forwardedHeaders:
trustedIPs:
- "192.168.32.128"
- "192.168.32.129"
```
### 驗證
curl 方法驗證
```shell
curl -H "Host: nginx.ecloud.com" http://192.168.32.188
```
瀏覽器驗證

查看后端業務nginx日志

## webSecurity(https)協議
>[info] 這里 lb 使用TCP代理方式轉發,目前使用 HTTP 代理沒有成功過。
優點:效率高
缺點:只記錄客戶端IP及traefik地址,沒有記錄lb的IP地址
### lb配置
>[info] 該配置內容寫在 `stream{}` 塊里面
```conf
upstream ingress_https {
server 192.168.32.127:443 max_fails=3 fail_timeout=5s;
server 192.168.32.128:443 max_fails=3 fail_timeout=5s;
}
server {
listen 443;
# 開啟proxy_protocol協議。必須有該參數
proxy_protocol on;
proxy_pass ingress_https;
access_log /var/log/nginx/ingress_https_tcp_access.log proxy;
error_log /var/log/nginx/ingress_https_error.log;
}
```
### traefik配置
>[info] 在traefik配置文件的 `entryPoints.webSecurity` 配置項下添加下面內容。IP寫成 `lb` 地址。
```yaml
webSecurity:
address: ":443"
proxyProtocol:
trustedIPs:
- "192.168.32.128"
- "192.168.32.129"
```
### 驗證
使用curl驗證
```shell
curl -k -H "Host: nginx.ecloud.com" https://192.168.32.188
```
使用瀏覽器驗證

查看后端業務nginx日志

- 前言
- 架構
- 部署
- kubeadm部署
- kubeadm擴容節點
- 二進制安裝基礎組件
- 添加master節點
- 添加工作節點
- 選裝插件安裝
- Kubernetes使用
- k8s與dockerfile啟動參數
- hostPort與hostNetwork異同
- 應用上下線最佳實踐
- 進入容器命名空間
- 主機與pod之間拷貝
- events排序問題
- k8s會話保持
- 容器root特權
- CNI插件
- calico
- calicoctl安裝
- calico網絡通信
- calico更改pod地址范圍
- 新增節點網卡名不一致
- 修改calico模式
- calico數據存儲遷移
- 啟用 kubectl 來管理 Calico
- calico卸載
- cilium
- cilium架構
- cilium/hubble安裝
- cilium網絡路由
- IP地址管理(IPAM)
- Cilium替換KubeProxy
- NodePort運行DSR模式
- IP地址偽裝
- ingress使用
- nginx-ingress
- ingress安裝
- ingress高可用
- helm方式安裝
- 基本使用
- Rewrite配置
- tls安全路由
- ingress發布管理
- 代理k8s集群外的web應用
- ingress自定義日志
- ingress記錄真實IP地址
- 自定義參數
- traefik-ingress
- traefik名詞概念
- traefik安裝
- traefik初次使用
- traefik路由(IngressRoute)
- traefik中間件(middlewares)
- traefik記錄真實IP地址
- cert-manager
- 安裝教程
- 頒布者CA
- 創建證書
- 外部存儲
- 對接NFS
- 對接ceph-rbd
- 對接cephfs
- 監控平臺
- Prometheus
- Prometheus安裝
- grafana安裝
- Prometheus配置文件
- node_exporter安裝
- kube-state-metrics安裝
- Prometheus黑盒監控
- Prometheus告警
- grafana儀表盤設置
- 常用監控配置文件
- thanos
- Prometheus
- Sidecar組件
- Store Gateway組件
- Querier組件
- Compactor組件
- Prometheus監控項
- grafana
- Querier對接grafana
- alertmanager
- Prometheus對接alertmanager
- 日志中心
- filebeat安裝
- kafka安裝
- logstash安裝
- elasticsearch安裝
- elasticsearch索引生命周期管理
- kibana安裝
- event事件收集
- 資源預留
- 節點資源預留
- imagefs與nodefs驗證
- 資源預留 vs 驅逐 vs OOM
- scheduler調度原理
- Helm
- Helm安裝
- Helm基本使用
- 安全
- apiserver審計日志
- RBAC鑒權
- namespace資源限制
- 加密Secret數據
- 服務網格
- 備份恢復
- Velero安裝
- 備份與恢復
- 常用維護操作
- container runtime
- 拉取私有倉庫鏡像配置
- 拉取公網鏡像加速配置
- runtime網絡代理
- overlay2目錄占用過大
- 更改Docker的數據目錄
- Harbor
- 重置Harbor密碼
- 問題處理
- 關閉或開啟Harbor的認證
- 固定harbor的IP地址范圍
- ETCD
- ETCD擴縮容
- ETCD常用命令
- ETCD數據空間壓縮清理
- ingress
- ingress-nginx header配置
- kubernetes
- 驗證yaml合法性
- 切換KubeProxy模式
- 容器解析域名
- 刪除節點
- 修改鏡像倉庫
- 修改node名稱
- 升級k8s集群
- 切換容器運行時
- apiserver接口
- 其他
- 升級內核
- k8s組件性能分析
- ETCD
- calico
- calico健康檢查失敗
- Harbor
- harbor同步失敗
- Kubernetes
- 資源Terminating狀態
- 啟動容器報錯