[TOC]
# traefik流量匹配
部署完后啟動 Traefik 時,定義了入口點(端口號和對應的端口名稱),然后 Kubernetes 集群外部就可以通過訪問 Traefik 服務器地址和配置的入口點對 Traefik 服務進行訪問,在訪問時一般會帶上 “域名” + “入口點端口”,然后 Traefik 會根據域名和入口點端口在 Traefik 路由規則表中進行匹配,如果匹配成功,先進入中間件(middlewares)修飾請求,該過程可以包含多個中間件。最后將請求發送到 Kubernetes 內部應用中與外界進行交互。這里面的域名與入口點與對應后臺服務關聯的規則,即是 Traefik 路由規則。
 
Traefik 創建路由規則有多種方式:
- 原生 Ingress 寫法,cert-manager可以自動自簽證書。
- 使用 CRD IngressRoute 方式 (推薦)
- 使用 GatewayAPI 的方式
這里只演示 `CRD IngressRoute` 方式創建路由規則
# traefik路由
traefik路由分為 `entryPoints` 、 `match` 、 `services` 、 `middlewares` 、 `tls` 配置項組成。前三項是必填項,后面兩項是可選項。
## entryPoints
參數說明:
 EntryPoints定義要綁定到的入口點名稱列表,必須在靜態配置(啟動配置文件)中配置入口點。
參數配置:
 在 `ingressroute.spec` 下的 entryPoints 配置項
IngressRoute 資源文件示例
```yaml
spec:
entryPoints:
- web
```
## routes
### match
參數說明:
 流量進去traefik入口點后,根據match條件來判斷是否匹配成功。否則轉發到404頁面。
參數配置:
 在 `ingressroute.spec.routes` 下的 `kind 和 match` 配置項
IngressRoute 資源文件示例
```yaml
spec:
entryPoints:
- web
routes:
- kind: Rule
match: Host(`nginx.ecloud.com`)
```
下表列出了所有可用的匹配器
| 規則 | 描述 |
| - | - |
| Headers(`key`, `value`) | 檢查headers中是否有一個鍵為key值為value的鍵值對 |
| HeadersRegexp(`key`, `regexp`) | 檢查headers中是否有一個鍵位key值為正則表達式匹配的鍵值對 |
| Host(`example.com`, ...) | 檢查請求的域名是否包含在特定的域名中
|
| HostHeader(`example.com`, ...) | 和Host一樣,只是因為歷史原因而存在 |
| HostRegexp(`example.com`, `{subdomain:[a-z]+}.example.com`, ...) | 檢查請求的域名是否包含在特定的正則表達式域名中 |
| Method(`GET`, ...) | 檢查請求方法是否為給定的methods(GET、POST、PUT、DELETE、PATCH)中 |
| Path(`/path`, `/articles/{cat:[a-z]+}/{id:[0-9]+}`, ...) | 匹配特定的請求路徑,它接受一系列文字和正則表達式路徑 |
| PathPrefix(`/products/`, `/articles/{cat:[a-z]+}/{id:[0-9]+}`) | 匹配特定的前綴路徑,它接受一系列文字和正則表達式前綴路徑 |
| Query(`foo=bar`, `bar=baz`) | 匹配查詢字符串參數,接受key=value的鍵值對 |
| ClientIP(`10.0.0.0/16`, `::1`) | 如果請求客戶端 IP 是給定的 IP/CIDR 之一,則匹配。它接受 IPv4、IPv6 和網段格式 |
>[info] 注意:可以使用通常的 AND(&&) 和 OR(||) 邏輯運算符,以及預期的優先級規則和括號。
### services
參數說明:
  match條件匹配成功后,將流量轉發給 k8s 的 service 對應后端服務處理請求。
參數配置:
 在 `ingressroute.spec.routes` 下的 `services` 配置項
IngressRoute 資源文件示例
```yaml
spec:
entryPoints:
- web
routes:
- kind: Rule
match: Host(`nginx.ecloud.com`)
services:
- kind: Service
name: nginx
port: 80
```
>[info] kind默認是 `Service`, 可選 `Service` 和 `TraefikService`
### middlewares
>[info] 請求被匹配成功后,流量進入k8s之前,請求會先經過middlewares處理后。流量再進入 services 服務。
參數說明:
 將 match 匹配成功后,對請求做處理動作。例如修改路徑、添加認證等操作。
參數配置:
 在 `ingressroute.spec.routes` 下的 `middlewares` 配置項
IngressRoute 資源文件示例
```yaml
spec:
entryPoints:
- web
routes:
- match: Host(`nginx.ecloud.com`)
kind: Rule
services:
- name: nginx
port: 80
middlewares:
- name: auth
namespace: default
```
## tls
參數說明:
 定義該路由是https協議的。注意搭配使用的entryPoints也是https協議。
參數配置:
 在 `ingressroute.spec` 下的 `tls` 配置項
證書生成有三種方式
- 手工生成證書,請參考以下命令
```shell
openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout tls.key -out tls.crt -subj "/CN=nginx.ecloud.com"
kubectl create secret tls myapp-tls --cert=tls.crt --key=tls.key
```
- cert-manager自動生成自簽證書。請使用 `Certificate Resources` 證書證書
- Let’s Encrypt。沒有購買證書,這里沒法演示
IngressRoute 資源文件示例
```yaml
spec:
entryPoints:
- webSecurity
routes:
- match: Host(`nginx.ecloud.com`)
kind: Rule
services:
- name: nginx
port: 80
middlewares:
- name: auth
namespace: default
tls:
secretName: myapp-tls
```
# 在線文檔
kubernetes ingressRoute: https://doc.traefik.io/traefik/routing/providers/kubernetes-crd/
kubernetes ingress:https://doc.traefik.io/traefik/routing/providers/kubernetes-ingress/
- 前言
- 架構
- 部署
- kubeadm部署
- kubeadm擴容節點
- 二進制安裝基礎組件
- 添加master節點
- 添加工作節點
- 選裝插件安裝
- Kubernetes使用
- k8s與dockerfile啟動參數
- hostPort與hostNetwork異同
- 應用上下線最佳實踐
- 進入容器命名空間
- 主機與pod之間拷貝
- events排序問題
- k8s會話保持
- 容器root特權
- CNI插件
- calico
- calicoctl安裝
- calico網絡通信
- calico更改pod地址范圍
- 新增節點網卡名不一致
- 修改calico模式
- calico數據存儲遷移
- 啟用 kubectl 來管理 Calico
- calico卸載
- cilium
- cilium架構
- cilium/hubble安裝
- cilium網絡路由
- IP地址管理(IPAM)
- Cilium替換KubeProxy
- NodePort運行DSR模式
- IP地址偽裝
- ingress使用
- nginx-ingress
- ingress安裝
- ingress高可用
- helm方式安裝
- 基本使用
- Rewrite配置
- tls安全路由
- ingress發布管理
- 代理k8s集群外的web應用
- ingress自定義日志
- ingress記錄真實IP地址
- 自定義參數
- traefik-ingress
- traefik名詞概念
- traefik安裝
- traefik初次使用
- traefik路由(IngressRoute)
- traefik中間件(middlewares)
- traefik記錄真實IP地址
- cert-manager
- 安裝教程
- 頒布者CA
- 創建證書
- 外部存儲
- 對接NFS
- 對接ceph-rbd
- 對接cephfs
- 監控平臺
- Prometheus
- Prometheus安裝
- grafana安裝
- Prometheus配置文件
- node_exporter安裝
- kube-state-metrics安裝
- Prometheus黑盒監控
- Prometheus告警
- grafana儀表盤設置
- 常用監控配置文件
- thanos
- Prometheus
- Sidecar組件
- Store Gateway組件
- Querier組件
- Compactor組件
- Prometheus監控項
- grafana
- Querier對接grafana
- alertmanager
- Prometheus對接alertmanager
- 日志中心
- filebeat安裝
- kafka安裝
- logstash安裝
- elasticsearch安裝
- elasticsearch索引生命周期管理
- kibana安裝
- event事件收集
- 資源預留
- 節點資源預留
- imagefs與nodefs驗證
- 資源預留 vs 驅逐 vs OOM
- scheduler調度原理
- Helm
- Helm安裝
- Helm基本使用
- 安全
- apiserver審計日志
- RBAC鑒權
- namespace資源限制
- 加密Secret數據
- 服務網格
- 備份恢復
- Velero安裝
- 備份與恢復
- 常用維護操作
- container runtime
- 拉取私有倉庫鏡像配置
- 拉取公網鏡像加速配置
- runtime網絡代理
- overlay2目錄占用過大
- 更改Docker的數據目錄
- Harbor
- 重置Harbor密碼
- 問題處理
- 關閉或開啟Harbor的認證
- 固定harbor的IP地址范圍
- ETCD
- ETCD擴縮容
- ETCD常用命令
- ETCD數據空間壓縮清理
- ingress
- ingress-nginx header配置
- kubernetes
- 驗證yaml合法性
- 切換KubeProxy模式
- 容器解析域名
- 刪除節點
- 修改鏡像倉庫
- 修改node名稱
- 升級k8s集群
- 切換容器運行時
- apiserver接口
- 其他
- 升級內核
- k8s組件性能分析
- ETCD
- calico
- calico健康檢查失敗
- Harbor
- harbor同步失敗
- Kubernetes
- 資源Terminating狀態
- 啟動容器報錯