Expón una puerta de enlace de entrada mediante un balanceador de cargas externo
Descripción general
Con Cloud Service Mesh, puedes implementar y administrar puertas de enlace de entrada como parte de tu malla de servicios. Puedes configurar aún más el balanceo de cargas de tu clúster con Cloud Service Mesh mediante balanceadores de cargas externos (balanceadores de cargas físicos o de software fuera del clúster) para enviar tráfico a la puerta de enlace de entrada.
En esta página, se muestra cómo configurar un balanceador de cargas externo con Cloud Service Mesh. Como alternativa, puedes configurar la entrada con varias configuraciones de backend.
Antes de comenzar
Para completar los pasos de este documento, necesitas los siguientes recursos:
Un clúster de Kubernetes con Cloud Service Mesh instalado.
Un balanceador de cargas externo que puede acceder a los nodos en los que se ejecuta tu clúster. Configura este balanceador de cargas externo para que realice una puerta de enlace de entrada del clúster con la dirección IP externa del balanceador de cargas.
Configure su entorno
Ejecuta los siguientes comandos desde una estación de trabajo que pueda acceder al clúster que deseas usar. Asegúrate de que la herramienta de kubectl
esté configurada para usar el contexto de clúster específico del clúster.
Configure las variables de entorno.
export ASM_INGRESSGATEWAY_NAMESPACE=asm-ingressgateway export ASM_INGRESSGATEWAY_DEPLOYMENT_NAME=asm-ingressgateway export ASM_INGRESSGATEWAY_SERVICE_NAME=asm-ingressgateway export ASM_INGRESSGATEWAY_NODE_LABEL=asm-ingressgateway
Configura la
IP address
específica del balanceador de cargas externo.export EXTERNAL_LB_IP_ADDRESS=EXTERNAL_LB_IP_ADDRESS
[\Optional/] Etiqueta los nodos de puerta de enlace de entrada. Esto garantiza que la puerta de enlace se implemente en nodos específicos del clúster.
kubectl label nodes INGRESSGATEWAY_NODE_IP ${ASM_INGRESSGATEWAY_NODE_LABEL}=
- INGRESSGATEWAY_NODE_IP: Son los nodos en tu clúster de Kubernetes que alojan la puerta de enlace de entrada. Ejecuta este comando
kubectl
para la cantidad de nodos de entrada que tengas.
- INGRESSGATEWAY_NODE_IP: Son los nodos en tu clúster de Kubernetes que alojan la puerta de enlace de entrada. Ejecuta este comando
Crea la puerta de enlace de entrada
Antes de completar las instrucciones de esta sección, deberás determinar la implementación de tu plano de control. Para ello, usa las instrucciones que se indican en Cómo identificar la implementación del plano de control.
Crea el espacio de nombres. Este espacio de nombres se usa para implementar la puerta de enlace de entrada.
kubectl create namespace ${ASM_INGRESSGATEWAY_NAMESPACE}
Habilita el espacio de nombres para la inserción. Los pasos dependen de tu implementación del plano de control.
Administrado (TD)
- Aplica la etiqueta de inserción predeterminada al espacio de nombres:
kubectl label namespace ${ASM_INGRESSGATEWAY_NAMESPACE} \ istio.io/rev- istio-injection=enabled --overwrite
Administrada (Istiod)
Recomendado: Ejecuta el siguiente comando para aplicar la etiqueta de inserción predeterminada al espacio de nombres:
kubectl label namespace ${ASM_INGRESSGATEWAY_NAMESPACE} \ istio.io/rev- istio-injection=enabled --overwrite
Si eres un usuario existente con el plano de control de Istio administrado, te recomendamos que uses la inserción predeterminada, pero también se admite la inserción basada en revisiones. Sigue estas instrucciones:
Ejecuta el siguiente comando para ubicar los canales de versiones disponibles:
kubectl -n istio-system get controlplanerevision
El resultado es similar a este:
NAME AGE asm-managed-rapid 6d7h
NOTA: Si aparecen dos revisiones del plano de control en la lista anterior, quita una. No se admite tener varios canales de plano de control en el clúster.
En el resultado, el valor en la columna
NAME
es la etiqueta de revisión que corresponde al canal de versiones disponible para la versión de Cloud Service Mesh.Aplica la etiqueta de revisión al espacio de nombres:
kubectl label namespace ${ASM_INGRESSGATEWAY_NAMESPACE} \ istio-injection- istio.io/rev=REVISION_LABEL --overwrite
En el clúster
Recomendado: Ejecuta el siguiente comando para aplicar la etiqueta de inserción predeterminada al espacio de nombres:
kubectl label namespace ${ASM_INGRESSGATEWAY_NAMESPACE} \ istio.io/rev- istio-injection=enabled --overwrite
Te recomendamos que uses la inserción predeterminada, pero también se admite la inserción basada en revisiones: Usa las siguientes instrucciones:
Usa el siguiente comando para encontrar la etiqueta de revisión en
istiod
:kubectl get deploy -n istio-system -l app=istiod -o \ jsonpath={.items[*].metadata.labels.'istio\.io\/rev'}'{"\n"}'
Aplica la etiqueta de revisión a los espacios de nombres. En el siguiente comando,
REVISION_LABEL
es el valor de la etiqueta de revisiónistiod
que anotaste en el paso anterior.kubectl label namespace ${ASM_INGRESSGATEWAY_NAMESPACE} \ istio-injection- istio.io/rev=REVISION_LABEL --overwrite
Aplica el archivo de manifiesto de la puerta de enlace de entrada.
kubectl --namespace ${ASM_INGRESSGATEWAY_NAMESPACE} apply --filename https://raw.githubusercontent.com/GoogleCloudPlatform/anthos-service-mesh-samples/main/docs/ingress-gateway-external-lb/ingress-gateway.yaml
Resultado esperado:
serviceaccount/asm-ingressgateway created role.rbac.authorization.k8s.io/asm-ingressgateway created rolebinding.rbac.authorization.k8s.io/asm-ingressgateway created deployment.apps/asm-ingressgateway created service/asm-ingressgateway created poddisruptionbudget.policy/asm-ingressgateway created horizontalpodautoscaler.autoscaling/asm-ingressgateway created
Aplica un parche al servicio
ingressgateway
con la dirección IP del balanceador de cargas externo.cat <<EOF > asm-external-ip-patch.yaml spec: externalIPs: - ${EXTERNAL_LB_IP_ADDRESS} loadBalancerIP: ${EXTERNAL_LB_IP_ADDRESS} EOF kubectl --namespace ${ASM_INGRESSGATEWAY_NAMESPACE} patch service/${ASM_INGRESSGATEWAY_SERVICE_NAME} --patch "$(cat asm-external-ip-patch.yaml)"
[Opcional] Aplica un parche a la implementación
ingressgateway
para la afinidad de etiquetas de nodos de la puerta de enlace de entrada.cat <<EOF > asm-ingress-node-label-patch.yaml spec: template: spec: affinity: nodeAffinity: requiredDuringSchedulingIgnoredDuringExecution: nodeSelectorTerms: - matchExpressions: - key: ${ASM_INGRESSGATEWAY_NODE_LABEL} operator: Exists EOF kubectl --namespace ${ASM_INGRESSGATEWAY_NAMESPACE} patch deployment/${ASM_INGRESSGATEWAY_DEPLOYMENT_NAME} --patch "$(cat asm-ingress-node-label-patch.yaml)"
Configura el balanceador de cargas externo
En esta sección, configurarás el balanceador de cargas externo para que se conecte con la puerta de enlace de entrada del clúster.
Recupera la información del puerto Service
de la puerta de enlace de entrada
Obtén los
NodePorts
.export HTTP_INGRESS_PORT=$(kubectl --namespace ${ASM_INGRESSGATEWAY_NAMESPACE} get service/${ASM_INGRESSGATEWAY_SERVICE_NAME} --output jsonpath='{.spec.ports[?(@.name=="http2")].nodePort}') export HTTPS_INGRESS_PORT=$(kubectl --namespace ${ASM_INGRESSGATEWAY_NAMESPACE} get service/${ASM_INGRESSGATEWAY_SERVICE_NAME} --output jsonpath='{.spec.ports[?(@.name=="https")].nodePort}') export STATUS_PORT=$(kubectl --namespace ${ASM_INGRESSGATEWAY_NAMESPACE} get service/${ASM_INGRESSGATEWAY_SERVICE_NAME} --output jsonpath='{.spec.ports[?(@.name=="status-port")].nodePort}')
Muestra los
NodePorts
.echo HTTP_INGRESS_PORT=${HTTP_INGRESS_PORT} echo HTTPS_INGRESS_PORT=${HTTPS_INGRESS_PORT} echo STATUS_PORT=${STATUS_PORT}
Configura el balanceador de cargas externo
Usa los NodePorts
que se mostraron en el paso anterior para configurar la conectividad entre el balanceador de cargas externo y la puerta de enlace de entrada.
Configura la verificación de estado en la configuración del balanceador de cargas.
hosts: CLUSTER_NODE_IP Protocol: HTTP Port: STATUS_PORT Path: /healthz/ready
CLUSTER_NODE_IP: Es la dirección IP de los nodos de tu clúster de Kubernetes que aloja la puerta de enlace de entrada. Se debe poder acceder a esta dirección IP desde tu balanceador de cargas externo. Es posible que debas configurar esta configuración varias veces, una por nodo de clúster.
STATUS_PORT: es el
NodePort
a través del que se expone la API de estado de la puerta de enlace de entrada. Puedes copiar esta información del paso anterior. El valor es el mismo para todos los nodos del clúster.
Configura los grupos de nodos en el balanceador de cargas para enrutar el tráfico
HTTP
yHTTPS
. Usa la siguiente configuración deIP:PORT
para el tráfico en el puerto 80 (HTTP
) y el puerto 443 (HTTPS
).80 -> CLUSTER_NODE_IP:HTTP_INGRESS_PORT 443 -> CLUSTER_NODE_IP:HTTPS_INGRESS_PORT
CLUSTER_NODE_IP: Es la dirección IP de los nodos de tu clúster de Kubernetes que aloja la puerta de enlace de entrada. Se debe poder acceder a esta dirección IP desde tu balanceador de cargas externo. Es posible que debas configurar esta configuración varias veces, una por nodo de clúster.
HTTP_INGRESS_PORT: es el
NodePort
a través del que se expone el tráfico HTTP de la puerta de enlace de entrada. Puedes copiar esta información del paso anterior. El valor es el mismo para todos los nodos del clúster.HTTPS_INGRESS_PORT: es el
NodePort
a través del que se expone el tráfico HTTPS de la puerta de enlace de entrada. Puedes copiar esta información del paso anterior. El valor es el mismo para todos los nodos del clúster.
Para verificar tu configuración, asegúrate de que las verificaciones de estado del balanceador de cargas estén pasando.
¿Qué sigue?
- Obtén más información sobre cómo instalar y actualizar puertas de enlace.