Configurer Ingress pour les équilibreurs de charge d'application externes

Cette page vous explique comment configurer un équilibreur de charge d'application externe en créant un objet Ingress Kubernetes.

Avant de lire cette page, vous devez connaître les concepts de mise en réseau GKE.

Avant de commencer

Avant de commencer, effectuez les tâches suivantes :

• Activez l'API Google Kubernetes Engine.
Activer l'API Google Kubernetes Engine
• Si vous souhaitez utiliser Google Cloud CLI pour cette tâche, installez puis initialisez gcloud CLI. Si vous avez déjà installé gcloud CLI, assurez-vous de disposer de la dernière version en exécutant la commande gcloud components update.

Activez le module complémentaire HttpLoadBalancing.

Le module complémentaire HttpLoadBalancing doit être activé sur votre cluster. Ce module complémentaire est activé par défaut. Dans les clusters Autopilot, vous ne pouvez pas désactiver ce module complémentaire.

Vous pouvez activer le module complémentaire HttpLoadBalancing à l'aide de la console Google Cloud ou de Google Cloud CLI.

gcloud container clusters update CLUSTER_NAME --update-addons=HttpLoadBalancing=ENABLED

Créer une adresse IP statique

Un équilibreur de charge d'application externe fournit une adresse IP stable pour l'acheminement des requêtes vers un ou plusieurs services. Si vous souhaitez obtenir une adresse IP permanente, vous devez réserver une adresse IP externe statique globale avant de créer un objet Ingress.

Si vous modifiez un objet Ingress existant pour utiliser une adresse IP statique au lieu d'une adresse IP éphémère, GKE peut modifier l'adresse IP de l'équilibreur de charge lorsque GKE recrée la règle de transfert de l'équilibreur de charge.

Créer un équilibreur de charge d'application externe

Dans cet exercice, vous allez configurer un équilibreur de charge d'application externe afin d'acheminer les requêtes vers différents services en fonction du chemin de l'URL.

Pour obtenir des instructions détaillées sur cette tâche directement dans la console Google Cloud, cliquez sur Visite guidée :

Visite guidée

Créer des déploiements et des services

Créez deux déploiements avec des services nommés hello-world-1 et hello-world-2 :

1. Enregistrez le manifeste suivant sous le nom hello-world-deployment-1.yaml :

   apiVersion: apps/v1
   kind: Deployment
   metadata:
     name: hello-world-deployment-1
   spec:
     selector:
       matchLabels:
         greeting: hello
         version: one
     replicas: 3
     template:
       metadata:
         labels:
           greeting: hello
           version: one
       spec:
         containers:
         - name: hello-app-1
           image: "us-docker.pkg.dev/google-samples/containers/gke/hello-app:1.0"
           env:
           - name: "PORT"
             value: "50000"
   

   Ce fichier manifeste décrit un exemple de déploiement comportant trois instances répliquées.

2. Appliquez le fichier manifeste au cluster :

   kubectl apply -f hello-world-deployment-1.yaml
   

3. Enregistrez le manifeste suivant sous le nom hello-world-service-1.yaml :

   apiVersion: v1
   kind: Service
   metadata:
     name: hello-world-1
   spec:
     type: NodePort
     selector:
       greeting: hello
       version: one
     ports:
     - protocol: TCP
       port: 60000
       targetPort: 50000
   

   Ce fichier manifeste décrit un service avec les propriétés suivantes :

   • Tous les pods comportant les étiquettes greeting: hello et version: one sont membres du service.
   • GKE transfère les requêtes envoyées au service sur le port TCP 60000 à l'un des pods membres sur le port TCP 50000.
   • Le type du service doit obligatoirement être NodePort, sauf si vous utilisez l'équilibrage de charge natif en conteneurs, auquel cas aucune restriction n'est imposée sur le type de service. Nous vous recommandons de définir le type comme suit : type: ClusterIP.

4. Appliquez le fichier manifeste au cluster :

   kubectl apply -f hello-world-service-1.yaml
   

5. Enregistrez le manifeste suivant sous le nom hello-world-deployment-2.yaml :

   apiVersion: apps/v1
   kind: Deployment
   metadata:
     name: hello-world-deployment-2
   spec:
     selector:
       matchLabels:
         greeting: hello
         version: two
     replicas: 3
     template:
       metadata:
         labels:
           greeting: hello
           version: two
       spec:
         containers:
         - name: hello-app-2
           image: "us-docker.pkg.dev/google-samples/containers/gke/hello-app:2.0"
           env:
           - name: "PORT"
             value: "8080"
   

   Ce fichier manifeste décrit un exemple de déploiement comportant trois instances répliquées.

6. Appliquez le fichier manifeste au cluster :

   kubectl apply -f hello-world-deployment-2.yaml
   

7. Enregistrez le manifeste suivant sous le nom hello-world-service-2.yaml :

   apiVersion: v1
   kind: Service
   metadata:
     name: hello-world-2
   spec:
     type: NodePort
     selector:
       greeting: hello
       version: two
     ports:
     - protocol: TCP
       port: 80
       targetPort: 8080
   

   Ce fichier manifeste décrit un service avec les propriétés suivantes :

   • Tous les pods comportant les étiquettes greeting: hello et version: two sont membres du service.
   • GKE transfère les requêtes envoyées au service sur le port TCP 80 à l'un des pods membres sur le port TCP 8080.

8. Appliquez le fichier manifeste au cluster :

   kubectl apply -f hello-world-service-2.yaml
   

Créer un objet Ingress

Créez un objet Ingress qui spécifie les règles de routage des requêtes en fonction du chemin de l'URL spécifié dans la requête. Lorsque vous créez l'objet Ingress, le contrôleur GKE Ingress crée et configure un équilibreur de charge d'application externe.

1. Enregistrez le manifeste suivant sous le nom my-ingress.yaml :

   apiVersion: networking.k8s.io/v1
   kind: Ingress
   metadata:
     name: my-ingress
     annotations:
       # If the class annotation is not specified it defaults to "gce".
       kubernetes.io/ingress.class: "gce"
   spec:
     rules:
     - http:
         paths:
         - path: /*
           pathType: ImplementationSpecific
           backend:
             service:
               name: hello-world-1
               port:
                 number: 60000
         - path: /v2
           pathType: ImplementationSpecific
           backend:
             service:
               name: hello-world-2
               port:
                 number: 80
   

   Ce fichier manifeste décrit un objet Ingress avec les propriétés suivantes :

   • Il existe deux classes GKE Ingress. Pour spécifier une classe Ingress, vous devez utiliser l'annotation kubernetes.io/ingress.class. Vous ne pouvez pas spécifier le contrôleur GKE Ingress en utilisant spec.ingressClassName.

   • La classe gce déploie un équilibreur de charge d'application externe.

   • La classe gce-internal déploie un équilibreur de charge d'application interne.

   • Lorsque vous déployez une ressource Ingress sans les annotations spec.ingressClassName et kubernetes.io/ingress.class, GKE crée un équilibreur de charge d'application externe. Il s'agit du même comportement que si l'annotation kubernetes.io/ingress.class: gce était spécifiée. Pour en savoir plus, consultez la page Comportement du contrôleur GKE Ingress.

   • GKE crée un service de backend Google Cloud pour chaque backend.service.

   • Lorsqu'un client envoie une requête à l'équilibreur de charge avec le chemin d'URL /, GKE transfère la requête au service hello-world-1 sur le port 60000. Lorsqu'un client envoie une requête à l'équilibreur de charge avec le chemin d'URL /v2, GKE transfère la requête au service hello-world-2 sur le port 80. Pour en savoir plus sur les propriétés path et pathType, consultez la section Chemins d'URL.

2. Appliquez le fichier manifeste au cluster :

   kubectl apply -f my-ingress.yaml
   

Tester l'équilibreur de charge d'application externe

Attendez environ cinq minutes que l'équilibreur de charge soit configuré, puis testez l'équilibreur de charge d'application externe :

1. Affichez l'objet Entrée :

   kubectl get ingress my-ingress --output yaml
   

   Le résultat affiche l'adresse IP de l'équilibreur de charge d'application externe :

   status:
     loadBalancer:
       ingress:
       - ip: 203.0.113.1
   

2. Testez le chemin / :

   curl LOAD_BALANCER_IP_ADDRESS/
   

   Remplacez LOAD_BALANCER_IP_ADDRESS par l'adresse IP externe de l'équilibreur de charge.

   Le résultat ressemble à ce qui suit :

   Hello, world!
   Version: 1.0.0
   Hostname: ...
   

   Si le résultat inclut une erreur 404, attendez quelques minutes.

3. Testez le chemin /v2 :

   curl load-balancer-ip/v2
   

   Le résultat ressemble à ce qui suit :

   Hello, world!
   Version: 2.0.0
   Hostname: ...
   

Fonctionnement d'Ingress pour l'équilibrage de charge externe

Un équilibreur de charge d'application externe agit comme un proxy entre vos clients et votre application. Si vous souhaitez accepter les requêtes HTTPS de vos clients, l'équilibreur de charge doit disposer d'un certificat pour justifier son identité auprès de vos clients. L'équilibreur de charge doit également disposer d'une clé privée pour effectuer la négociation HTTPS. Pour en savoir plus, consultez les pages suivantes :

• Configurer HTTPS (TLS) entre le client et l’équilibreur de charge
• Utiliser plusieurs certificats SSL dans l'équilibrage de charge HTTPS avec un objet Ingress

Chemins d'URL

Le seul caractère générique accepté pour le champ path d'une entrée est l'astérisque (*). Le caractère * doit être placé immédiatement après une barre oblique (/) et doit être le dernier caractère du modèle. Par exemple, /*, /foo/* et /foo/bar/* sont des modèles valides, mais ce n'est pas le cas de *, /foo/bar* et /foo/*/bar.

Un modèle plus restrictif a priorité sur un modèle moins restrictif. Si vous avez à la fois /foo/* et /foo/bar/*, alors /foo/bar/bat est considéré comme correspondant à /foo/bar/*. Pour plus d'informations sur les restrictions en matière de chemin d'accès et la correspondance de modèle, consultez la documentation relative aux mappages d'URL.

Pour les clusters GKE exécutant des versions antérieures à la version 1.21.3-gke.1600, la seule valeur acceptée pour le champ pathType est ImplementationSpecific. Pour les clusters exécutant la version 1.21.3-gke.1600 ou ultérieure, les valeurs Prefix et Exact sont également acceptées pour pathType.

Désactiver HTTP

Si vous souhaitez que tout le trafic entre le client et l'équilibreur de charge utilise HTTPS, désactivez HTTP. Pour plus d'informations, consultez la page Désactiver HTTP.

HTTPS entre l'équilibreur de charge et l'application

Si votre application, qui s'exécute dans un pod GKE, est capable de recevoir des requêtes HTTPS, configurez l'équilibreur de charge pour qu'il utilise HTTPS lorsqu'il transfère des requêtes à votre application. Pour plus d'informations, consultez la section HTTPS (TLS) entre l'équilibreur de charge et votre application.

HTTP/2 entre le client et l'équilibreur de charge

Les clients peuvent utiliser HTTP/2 pour envoyer des requêtes à l'équilibreur de charge. Aucune configuration n'est requise.

HTTP/2 entre l'équilibreur de charge et l'application

Configurez l'équilibreur de charge pour qu'il utilise HTTP/2 lorsqu'il transfère des requêtes à votre application si cette dernière, exécutée dans un pod GKE, est capable de recevoir des requêtes HTTP/2. Pour plus d'informations, consultez la section HTTP/2 pour l'équilibrage de charge avec l'objet Entrée.

Groupes de points de terminaison du réseau

Si votre cluster est compatible avec l'équilibrage de charge natif en conteneurs, il est recommandé d'utiliser des groupes de points de terminaison du réseau (NEG). Pour les clusters GKE 1.17 et les versions ultérieures, et sous certaines conditions, l'équilibrage de charge natif en conteneurs est défini par défaut. Aucune annotation de service cloud.google.com/neg: '{"ingress": true}' explicite n'est requise.

VPC partagé

Si le cluster GKE dans lequel vous déployez les ressources d'entrée se trouve dans un projet de service et que vous souhaitez que le plan de contrôle GKE gère les ressources de pare-feu dans votre projet hôte, le compte de service GKE du projet de service doit disposer des autorisations IAM appropriées sur le projet hôte, conformément à la section Gérer les ressources de pare-feu pour les clusters avec VPC partagé. Cela permet au contrôleur d'entrée de créer des règles de pare-feu afin d'autoriser le trafic entrant et le trafic pour les vérifications d'état Google Cloud.

Voici un exemple d'événement qui peut exister dans les journaux de ressources d'entrée. Cette erreur se produit lorsque le contrôleur d'entrée ne parvient pas à créer une règle de pare-feu pour autoriser le trafic entrant pour les vérifications d'état Google Cloud si les autorisations ne sont pas configurées correctement.

Firewall change required by security admin: `gcloud compute firewall-rules update <RULE_NAME> --description "GCE L7 firewall rule" --allow tcp:<PORT> --source-ranges 130.211.0.0/22,35.191.0.0/16 --target-tags <TARGET_TAG> --project <HOST_PROJECT>

Si vous préférez provisionner manuellement les règles de pare-feu à partir du projet hôte, vous pouvez mettre en sourdine les événements firewallXPNError en ajoutant l'annotation networking.gke.io/suppress-firewall-xpn-error: "true" à la ressource Ingress.

Récapitulatif des annotations de l'entrée externe

Annotations de l'entrée

Annotations des services associées à Ingress

Étapes suivantes

• Consultez la présentation du concept d'Ingress pour les équilibreurs de charge d'application externes dans GKE.

• Suivez le tutoriel Configurer un équilibreur de charge d'application externe avec Ingress.

• Accédez à une présentation du concept d'objet Service dans GKE.

• Mettez en œuvre un objet Ingress externe de base.