背景
ingress-controller 实现了集群内部服务的负载均衡,对于公有云环境,我们可以通过LoadBalance 类型的Service实现ingress-controller 的负载均衡。但是私有云环境,对于负载均衡的支持有限,虽然有MetalLB这样的开源的解决方案。 但是真正在生产应用的案例并不多。而且对于已有一套完整架构的公司,直接将ingress-controller 暴露给公网业务或者内部调用的情况并不多,大部分都是在ingress-controller 作为upstream 挂载为一组负载均衡(nginx)的后端来提供服务。因此。 如何实现ingress-controller 的无损更新也就成了如何实现upstream 的server 如何无损摘除的问题。这里我们采用的是微博的upsync 插件和 consul 来实现。
具体实现
大致说明
- 集群中创建单独的node节点(配置可以略低),仅用来运行ingress-controller(daemonset),通过给节点打标签和污点的方式实现,ingress-controller采用HostNetwork方式占用宿主机端口,并创建ClusterIP 的service。
- 集群中部署consul-sync-catalog 服务,consul-sync-catalog 可以将kubernetes中的service 同步到consul 集群中注册为服务
- nginx 通过微博的upsync 组件动态获取consul 中服务对应instance 的ip 和端口。当kubernetes 中的endpoints 发生变动时,consul-sync-catalog同步对应的变动到consul,upsync 组件自动变更upstream对应的server列表,无需reload nginx。
拓扑图
操作步骤
集群操作
-
设置node节点role,并打污点
$ kubectl label node pg-k8s-node-01 node-role.kubernetes.io/edge=edge $ kubectl label node pg-k8s-node-02 node-role.kubernetes.io/edge=edge $ kubectl taint node pg-k8s-node-01 node-role.kubernetes.io/edge:NoSchedule $ kubectl taint node pg-k8s-node-02 node-role.kubernetes.io/edge:NoSchedule -
修改ingress-controller 为daemonset(我们使用的是istio的ingressgateway),修改部分见yaml
apiVersion: apps/v1 kind: DaemonSet metadata: labels: app: istio-ingressgateway istio: ingressgateway operator.istio.io/component: IngressGateways operator.istio.io/managed: Reconcile operator.istio.io/version: 1.5.0 release: istio name: istio-ingressgateway namespace: istio-system spec: revisionHistoryLimit: 10 selector: matchLabels: app: istio-ingressgateway istio: ingressgateway template: metadata: annotations: kubectl.kubernetes.io/restartedAt: "2020-09-10T10:50:07+08:00" sidecar.istio.io/inject: "false" creationTimestamp: null labels: app: istio-ingressgateway chart: gateways heritage: Tiller istio: ingressgateway release: istio service.istio.io/canonical-name: istio-ingressgateway service.istio.io/canonical-revision: "1.5" spec: containers: - args: - proxy - router - --domain - $(POD_NAMESPACE).svc.cluster.local - --proxyLogLevel=warning - --proxyComponentLogLevel=misc:error - --log_output_level=default:info - --drainDuration - 45s - --parentShutdownDuration - 1m0s - --connectTimeout - 10s - --serviceCluster - istio-ingressgateway - --zipkinAddress - zipkin.istio-system:9411 - --proxyAdminPort - "15000" - --statusPort - "15020" - --controlPlaneAuthPolicy - NONE - --discoveryAddress - istio-pilot.istio-system.svc:15012 - --trust-domain=cluster.local env: - name: SERVICE_NAME value: ingress-test - name: JWT_POLICY value: first-party-jwt - name: PILOT_CERT_PROVIDER value: istiod - name: ISTIO_META_USER_SDS value: "true" - name: CA_ADDR value: istio-pilot.istio-system.svc:15012 - name: NODE_NAME valueFrom: fieldRef: apiVersion: v1 fieldPath: spec.nodeName - name: POD_NAME valueFrom: fieldRef: apiVersion: v1 fieldPath: metadata.name - name: POD_NAMESPACE valueFrom: fieldRef: apiVersion: v1 fieldPath: metadata.namespace - name: INSTANCE_IP valueFrom: fieldRef: apiVersion: v1 fieldPath: status.podIP - name: HOST_IP valueFrom: fieldRef: apiVersion: v1 fieldPath: status.hostIP - name: SERVICE_ACCOUNT valueFrom: fieldRef: apiVersion: v1 fieldPath: spec.serviceAccountName - name: ISTIO_META_WORKLOAD_NAME value: istio-ingressgateway - name: ISTIO_META_OWNER value: kubernetes://apis/apps/v1/namespaces/istio-system/deployments/istio-ingressgateway - name: ISTIO_META_MESH_ID value: cluster.local - name: ISTIO_AUTO_MTLS_ENABLED value: "true" - name: ISTIO_META_POD_NAME valueFrom: fieldRef: apiVersion: v1 fieldPath: metadata.name - name: ISTIO_META_CONFIG_NAMESPACE valueFrom: fieldRef: apiVersion: v1 fieldPath: metadata.namespace - name: ISTIO_META_ROUTER_MODE value: sni-dnat - name: ISTIO_META_CLUSTER_ID value: Kubernetes image: dockerhub.piggy.xiaozhu.com/istio/proxyv2:1.5.0 imagePullPolicy: IfNotPresent lifecycle: preStop: exec: command: - /bin/sh - -c - sleep 40 name: istio-proxy ports: - containerPort: 15020 hostPort: 15020 protocol: TCP - containerPort: 80 hostPort: 80 protocol: TCP - containerPort: 443 hostPort: 443 protocol: TCP - containerPort: 15029 hostPort: 15029 protocol: TCP - containerPort: 15030 hostPort: 15030 protocol: TCP - containerPort: 15031 hostPort: 15031 protocol: TCP - containerPort: 15032 hostPort: 15032 protocol: TCP - containerPort: 15443 hostPort: 15443 protocol: TCP - containerPort: 15011 hostPort: 15011 protocol: TCP - containerPort: 8060 hostPort: 8060 protocol: TCP - containerPort: 853 hostPort: 853 protocol: TCP - containerPort: 15090 hostPort: 15090 name: http-envoy-prom protocol: TCP readinessProbe: failureThreshold: 30 httpGet: path: /healthz/ready port: 15020 scheme: HTTP initialDelaySeconds: 1 periodSeconds: 2 successThreshold: 1 timeoutSeconds: 1 resources: limits: cpu: "2" memory: 1Gi requests: cpu: 100m memory: 128Mi terminationMessagePath: /dev/termination-log terminationMessagePolicy: File volumeMounts: - mountPath: /var/run/secrets/istio name: istiod-ca-cert - mountPath: /var/run/ingress_gateway name: ingressgatewaysdsudspath - mountPath: /etc/istio/pod name: podinfo - mountPath: /etc/istio/ingressgateway-certs name: ingressgateway-certs readOnly: true - mountPath: /etc/istio/ingressgateway-ca-certs name: ingressgateway-ca-certs readOnly: true dnsPolicy: ClusterFirstWithHostNet # 如果不修改,pod 的dns-server 会变成宿主机的,无法访问集群内部的svc hostNetwork: true # pod 使用宿主机网络 nodeSelector: node-role.kubernetes.io/edge: edge # 进部署在edge(边缘)节点 tolerations: - key: "node-role.kubernetes.io/edge" operator: "Exists" effect: "NoSchedule" # 增加容忍 restartPolicy: Always schedulerName: default-scheduler securityContext: {} serviceAccount: istio-ingressgateway-service-account serviceAccountName: istio-ingressgateway-service-account terminationGracePeriodSeconds: 30 volumes: - configMap: defaultMode: 420 name: istio-ca-root-cert name: istiod-ca-cert - emptyDir: {} name: data - configMap: defaultMode: 420 name: consul-client-config name: config - downwardAPI: defaultMode: 420 items: - fieldRef: apiVersion: v1 fieldPath: metadata.labels path: labels - fieldRef: apiVersion: v1 fieldPath: metadata.annotations path: annotations name: podinfo - emptyDir: {} name: ingressgatewaysdsudspath - name: ingressgateway-certs secret: defaultMode: 420 optional: true secretName: istio-ingressgateway-certs - name: ingressgateway-ca-certs secret: defaultMode: 420 optional: true secretName: istio-ingressgateway-ca-certs updateStrategy: rollingUpdate: maxUnavailable: 1 type: RollingUpdate
-
部署consul-sync-catalog 服务
$ helm repo add hashicorp https://helm.releases.hashicorp.com # helm添加consul源 $ cat config.yaml syncCatalog: enabled: true # 默认不安装sync,需要手动开启 toConsul: true # 开启k8s->consul的同步 toK8S: false # 关闭consul->k8s的同步 default: false # If true, all valid services in K8S are synced by default. If false, the service must be annotated properly to sync. In either case an annotation can override the default $ helm install consul hashicorp/consul --set global.name=consul -n consul -f config.yaml # 会安装consul,consul-server,consul-sync-catalog
-
通过helm 安装的consul-server pod 处于pending 中,因为他需要pvc 而我本地并没有,我们将需要持久化的数据目录修改为emptydir 来解决。并修改consul-server 的svc 类型为nodeport 以便外部访问
-
给ingressgateway 的svc 添加annotations
apiVersion: v1 kind: Service metadata: annotations: consul.hashicorp.com/service-name: ingressgateway consul.hashicorp.com/service-port: http2 consul.hashicorp.com/service-sync: "true" ... -
从consu-ui 中查看service ,已经有一个名为ingressgateway 的服务注册成功了。包含两个instances。
负载均衡配置
-
安装upsync 插件
$ cd /root $ yum install git pcre-devel openssl-devel # 安装openresty 依赖相关包 $ git clone https://github.com/weibocom/nginx-upsync-module.git # 下载upsync 插件 $ wget https://openresty.org/download/openresty-1.17.8.1.tar.gz -o openresty-1.17.8.1.tar.gz && tar zxf openresty-1.17.8.1.tar.gz && cd openresty-1.17.8.1 $ ./configure --prefix=/usr/local/openresty --add-module=../nginx-upsync-module/ $ gmake -j 4 && gmake install -
配置upstream 从consul 获取server列表
upstream app { upsync 10.4.10.176:8500/v1/catalog/service/ingressgateway upsync_timeout=6m upsync_interval=1000ms upsync_type=consul_services strong_dependency=off; upsync_dump_path /tmp/servers_app.conf; include /tmp/servers_app.conf; server 0.0.0.0:80 down; # 如果不加这一行,第一次reload 会因为没有server 而报错。 } server { listen 80; server_name api.itanony.com; charset utf-8; location /upstream_list { upstream_show; } location = /api/v1/products { proxy_pass http://app; proxy_http_version 1.1; } }
相关问题
502
在ingressgateway滚动更新过程中进行压测,使用如下命令,日志中还是会有502 的情况, 怀疑是consul-sync-catalog同步不及时。
for i in `seq 1 1000`; do curl -o /dev/null -s -w "%{time_total}:%{http_code}\n" http://api.xiaozhu.com/api/v1/products| tee -a 1.log; done
查看到官方文档 中有consulWriteInterval的配置
consulWriteInterval(string: null) - Override the default interval to perform syncing operations creating Consul services.
这个参数应该是控制consul-sync-catalog向consul 集群同步间隔的(看来consul-sync-catalog不是实时的)。这种情况下, 我们可以通过调小这个间隔或者通过给ingressgateway添加一段prestop来解决。注意sleep 的时间要大于consulWriteInterval的值
最后的解决方法:
$ cat config.yaml
syncCatalog:
enabled: true
toConsul: true
toK8S: false
default: false
consulWriteInterval: 10s
$ helm upgrade consul hashicorp/consul --set global.name=consul -n consul -f config.yaml
$ kubectl get daemonsets.apps -n istio-system istio-ingressgateway -o yaml
...
lifecycle:
preStop:
exec:
command:
- /bin/sh
- -c
- sleep 40
...
一些思考
- 这种方式的好处是ingress-controller 直接通过宿主机网络来实现流量收发。性能相对比nodeport 要高,而且可以避免nodeport 的一些弊端。相比lvs 方案, 也可以避免vrrp 切换中间的流量损失
- 为什么不用采用NodePort 方式暴露ingress?在测试中。将NodePort的外部流量策略改为Local 或者 Cluster 的情况下。consul-sync-catalog 均会根据pod 的分布,将没有pod 处于不可用状态的node节点从instance 中摘除。但是NodePort 相比直接采用宿主机网络会经过一次目的地址转换。效率自然相比宿主机网络模式要低一点。
- 弊端:虽然保证了pod滚动更新情况下的完全无损。但是。如果pod 因为一些原因,就绪探针失败而从svc 上摘除, 这块还是没法实现完全无损,不考虑同步的网络延时。这个故障间隔最大是consulWriteInterval。 这里可以通过nginx_upstream_check_module 在负载层做健康监测主动摘除减低影响。 或者应用+负载层的重试来避免。
- 如果企业内部已经通过consul 来做服务发现。 那其实我们可以借助一些非cluster network plugins如macvlan来实现内部业务的无缝迁移kubernetes。仅使用kubernetes 的调度和资源编排能力, 业务的服务发现和服务注册依然通过consul 来实现。
- 对于同一个svc中定义了多个端口的服务,consul-sync-catalog默认会以第一个端口作为instance 的port。 其他端口通过metadata 的形式写入consul中。 当然我们也可以通过添加consul.hashicorp.com/service-port 的注解来显式指定哪个端口作为instance 的端口。其他端口想同步。 那我们就再定义几个服务吧。。。
参考
https://www.consul.io/docs/k8s/service-sync#syncing-kubernetes-and-consul-services
网友评论