Ingress Controller の本質を 1 つの記事で理解する

Ingress Controller の本質を 1 つの記事で理解する

今日は、クラウド ネイティブ エコシステムの中核技術であるトラフィック管理、Kubernetes Ingress Controller についてお話します。

Ingress Controller とは何ですか?

クラウド ネイティブ エコシステムでは、一般的に、Ingress Controller は Ingress リソース オブジェクトを管理するために使用される Kubernetes の重要なコンポーネントです。

Ingress リソース オブジェクトは、クラスター内のサービスに入るトラフィックを制御するために、外部ネットワークからの HTTP および HTTPS ルールを定義するために使用されます。 Ingress コントローラは、Ingress ルールを実際に実装するコンポーネントです。

より正確に言うと、Ingress コントローラーは、L4 および L7 レイヤーのリクエストの North-South トラフィックを管理します。これは、クラスターの外部からクラスターに出入りするプロセスと呼ばれます。 Ingress リソース オブジェクトを解析し、負荷スケジュール ルールを構成し、ドメイン名、パス、その他のルールに従って外部リクエストをクラスター内のバックエンド サービス Pod に転送します。

クラスター内のサービス間の東西トラフィックは、サービス検出メカニズムによって管理されます。たとえば、Pod は通信のためにサービス名に基づいて他の Pod IP を照会します。

これら 2 種類のトラフィックは、より広い観点から理解することができます。

  • North-South トラフィックとは、クラスターと外部ネットワーク間のトラフィックを指します。 Ingress コントローラーは、クラスターへの外部リクエストをルーティングし、クラスター内のサービスへの外部アクセスをサポートする役割を担います。
  • East-West トラフィックとは、クラスター内のマイクロサービス間の呼び出しトラフィックを指します。負荷はサービス検出メカニズムによって直接スケジュールされるため、ここではネットワーク セキュリティの分離の問題について心配する必要はありません。

ネットワーク トポロジ アーキテクチャ全体において、これら 2 つはそれぞれの役割を実行し、完全なトラフィック管理システムを形成します。 Ingress コントローラは Ingress を統合し、サービス検出によって内部トラフィックの疎結合通信が可能になります。これにより、外部アクセスのセキュリティが確保されるだけでなく、クラスター内のさまざまなサービスの高可用性呼び出しも実現されます。これは、Kubernetes ネイティブ アプリケーション アーキテクチャのチューニングとトラフィック制御に非常に役立ちます。

より専門的な観点から付け加えると、Ingress 自体は、クラスターからの外部トラフィックがクラスター内の各サービスに入る方法に関するルーティング ルールを定義する API オブジェクトにすぎず、これらのルートを直接実装することはできません。

ここで必要なコントロール プレーン コンポーネントは、Ingress リソース オブジェクトの変更を監視し、Ingress ルールに従って構成する Ingress コントローラーです。一般的に、イングレス コントローラは、Nginx Ingress や Traefik などのリバース プロキシ機能を実装します。

Ingress コントローラーは、ノード上のポートをリッスンしてクラスターから外部トラフィックを受信します。ドメイン名、URL パス、ホスト名など、Ingress によって定義されたルールに従って照合され、ロード バランシング テクノロジを使用して、トラフィックがバックエンドの対応する Pod サービス インスタンスに転送されます。

同時に、Ingress Controller は、IP またはユーザー名とパスワードに基づくアクセス制御など、より豊富なトラフィック管理機能も提供できます。タイムアウト再試行と分離。地域間トラフィック管理など、統一された外部入口を提供し、内部サービスに安全で信頼性の高い外部アクセス プレゼンテーション層を提供します。

Ingress コントローラーは必要ですか?

通常、コンテナ クラウド プラットフォーム、特にプライベート クラウド環境では、Kubernetes クラスター内の Pod は相互にのみアクセスでき、外部ネットワークはクラスター内の Pod に直接アクセスできないため、クラスターのセキュリティが確保されます。

外部サービスを提供する必要がある場合は、ドメイン名や URL パスに基づいてトラフィックをさまざまなバックエンド サービスに転送するなどのルーティング ルールを定義する Ingress リソース オブジェクトを作成できます。

ただし、Ingress リソース自体は単なる宣言であり、トラフィック転送機能を直接実装することはできません。この時点で、Ingress オブジェクトの変更を検出し、負荷分散デバイスを構成したり、Ingress ルールに従ってリバース プロキシとして機能したりするコントロール プレーン コンポーネント Ingress Controller Pod (Nginx や Traefik など) をデプロイする必要があります。

Ingress コントローラーはクラスター内でポッドとして実行されます。クラスターの外部から流入するリクエストは、Ingress Controller の入り口を介してバックエンド サービスに転送されます。

同時に、Ingress コントローラーは、単純なラウンドロビン リクエスト分散を実装できるだけでなく、仮想ホスティング、HTTPS、ターゲット URL またはドメイン名に基づく認証などの追加機能もサポートし、エントリとしての機能を最大限に活用できます。

したがって、Ingress によって定義された複雑なトラフィック管理ルールを実際に実装できるのは Ingress Controller を通じてのみであり、同時に、統合された Ingress を通じて外部への安全で信頼性の高いサービス アクセス機能も提供できます。これは、Ingress が外部アクセスを実現するための標準的なソリューションです。

Ingress Controller はどのように機能しますか?

一般的に言えば、Ingress コントローラーの一般的な動作原理は次のとおりです。

  • Ingress ルールの定義: 管理者は、Kubernetes の Ingress リソース オブジェクトを通じてトラフィック ルーティング ルールを定義します。イングレス ルールには通常、ホスト名、パス、サービス ポートなどの情報が含まれており、トラフィックのルーティング方法を記述するために使用されます。
  • Ingress コントローラーは Ingress リソースを監視します。Ingress コントローラーは、Kubernetes クラスター内の Ingress リソース オブジェクトの変更を監視します。 Kubernetes API サーバーと対話して、Ingress ルールの更新と作成を取得します。
  • ロード バランサーを構成する: Ingress コントローラーは、Ingress ルールで定義された情報に基づいてロード バランサーを構成し、トラフィックをバックエンド サービスに分散します。これには通常、Ingress ルールの変更を反映するためにロード バランサーを構成および更新することが含まれます。
  • バックエンド サービスへのトラフィックのルーティング: ロード バランサーが構成されると、Ingress コントローラーは Ingress ルールに基づいてトラフィックを対応するバックエンド サービスにルーティングします。トラフィック転送を実現するために、リバース プロキシ、DNS 解決などのテクノロジが使用される場合があります。

Ingress Controller はどのような問題を解決できますか?

一般的に、Ingress コントローラーは、Kubernetes クラスターで実行され、クラスターに流入するネットワーク トラフィックを管理および制御するコンポーネントです。主に以下の重要な問題を解決します。

  • 負荷分散とトラフィック ルーティング: Ingress コントローラーはリバース プロキシとして機能し、負荷分散とトラフィック ルーティングのメカニズムを通じてトラフィックをバックエンド サービスに分散します。要求されたホスト名、パス、ヘッダーなどの条件に基づいてトラフィックをさまざまなサービスに誘導し、柔軟なトラフィック管理を実現します。イングレス コントローラは、負荷分散とルーティングを通じて、サービスの可用性、信頼性、パフォーマンスの最適化を保証します。
  • SSL/TLS 終了と証明書管理: Ingress コントローラーは、受信要求の SSL/TLS 終了、つまり暗号化されたトラフィックを復号化し、バックエンド サービスに転送することができます。クラスター内での SSL/TLS 証明書の生成、管理、更新、または外部の証明機関 (Let's Encrypt など) との統合による自動証明書管理の実現をサポートします。 Ingress コントローラは、SSL/TLS 終了と証明書管理を通じて、ユーザー データの機密性と整合性を保護する安全な通信チャネルを提供します。
  • アクセス制御とセキュリティ ポリシー: Ingress Controller は、管理者がネットワーク トラフィックのセキュリティ ポリシーを定義および適用できるようにするアクセス制御メカニズムを提供します。 IP アドレス、ネットワーク セグメント、ヘッダー、リクエスト メソッドなどの条件に基づいて、バックエンド サービスへのアクセスを制限できます。アクセス制御とセキュリティ ポリシーにより、イングレス コントローラーは不正アクセスや悪意のあるリクエストを防ぎ、システムのセキュリティを向上できます。
  • ドメイン名の管理とマルチテナントのサポート: Ingress Controller を使用すると、管理者は複数のドメイン名を簡単に管理し、それらをさまざまなサービスやパスにマッピングできます。これは、各テナントに独立したドメイン名とアクセス パスを割り当てて分離とカスタマイズを実現できるため、マルチテナント環境をサポートするのに非常に便利です。ドメイン名管理とマルチテナントのサポートにより、イングレス コントローラーは、同じクラスター内で複数のアプリケーションまたはサービスをホストする際の柔軟性と管理性を高めます。
  • 観測性と可視性: Ingress コントローラーは通常、クラスターに流入するネットワーク トラフィックを追跡および分析するための豊富な監視機能とログ機能を提供します。応答時間、ステータス コード、要求量、その他のメトリックなど、要求と応答に関する詳細な情報を記録できます。イングレス コントローラは、監視とログ記録を通じて、管理者がトラフィック パターンを理解し、潜在的な問題を特定し、システム パフォーマンスを最適化するのに役立ちます。

<<:  5 分間の技術講演 | VXLAN トンネルと「クラウド ゲートウェイ」でのその応用

>>:  クラウドネイティブアーキテクチャ、DevOps入門

推薦する

クラウド プラットフォームを「より適切に管理」するにはどうすればよいでしょうか?ファーウェイのクラウド集中運用・保守が企業のイノベーションを加速

デジタル化の波は世界の経済情勢を一変させており、デジタル経済は世界の持続可能な成長の新たな原動力にな...

prometeus-アジアとインドでのVPS補充/XEN/SSD

良いニュースです。Prometeus のインド データ センターの VPS が再入荷しました。最初の...

ローカルウェブサイト運営者が避けるべきこと:困難な時代に生まれ、快適な時代に死ぬ

2008年からウェブサイト構築の波が吹き荒れ、その流れに沿ってローカルウェブサイトが徐々に設立されま...

電子書籍を販売し、年間数億ドルを稼ぐ、私が今まで見た中で最もすごい人(パート 2)

関連記事: 電子書籍を販売し、年間数億ドルを稼ぐ、私が今まで見た中で最も素晴らしい人物 (パート 1...

支部を指揮せよ!従来の業界ではOpenStackを使用して業界クラウドを構築しています

[51CTO.com からのオリジナル記事] 2016 OpenStack Barcelona Su...

おすすめ: Ftpit - 4 つの純粋な SSD 特別 VPS のプロモーション

FTPIT の今回のプロモーションには、SSD CACHE ではなく、純粋な SSD ハードドライブ...

A5ウェブマスターネットワークSEOサービスは新しいドメイン名yuehuai.comを使用し、Yuehuaiマーケティングを開始

Admin5 Webmaster Networkは7月2日、中国最大のウェブマスター情報交換サービス...

インターネットとタオバオマーケティングの今後の動向分析

ウェブマスターの皆様、ADMIN5 を 3 年間離れてから戻ってきました。今回は、Taobao とウ...

来年のIT技術の発展動向

年末が近づいている今こそ、企業が情報に基づいた意思決定を行う準備ができるよう、今後 1 年間の業界動...

新しいオンライン収入詐欺に注意してください:公式カスタマーサービスや電話を利用してあなたを誘惑します

現在、市場には多くの革新的な詐欺が存在し、9 月 26 日に私は新たな詐欺を発見しました。一部の犯罪...

ウェブマスターネットワークニュース:Tmall Wirelessの取引額が1億元を超え、テンセントがXiaomiに投資すると噂される

1. テンセント・シャオミスキャンダルシーズン2:ソフトウェアとハ​​ードウェアの統合製品への賭けテ...

SEOを行うには、すべてのステップを慎重に実行することを学ぶ必要があります。3つの主要なサポートを得ることが成功の鍵です。

Baidu の検索エンジン最適化ガイドから、SEO が正常な運用軌道に乗りたい場合、自らの行動に代償...

Alibaba の専門家による実践的な要約: Kafka アーキテクチャの原則

まず、Kafka のアーキテクチャ原則についていくつか質問してみましょう。 1. Kafka のトピ...

モバイル SEO: Baidu モバイル検索アルゴリズム

調査によると、モバイルデバイスの普及が進むにつれて、モバイルインターネットでのユーザーの検索頻度は絶...