原文作者：NGINX
原文链接：在 Kubernetes 上实现高速应用交付
转载来源：NGINX 官方网站

运行于 Kubernetes 之上的应用需要一个经过验证的生产级应用交付解决方案。NGINX Ingress Controller将值得信赖的 NGINX Open Source 和 NGINX Plus 软件负载均衡器与基于标准 Kubernetes Ingress 或自定义 NGINX Ingress 资源的简化配置结合在一起，可确保 Kubernetes 集群中的应用可靠、安全且高速地交付。

为何使用 NGINX Ingress Controller for Kubernetes？

• 降低复杂性 – 使用标准 Kubernetes Ingress 资源配置 NGINX 或 NGINX Plus，或利用新的 NGINX Ingress 资源，而非编写原生 NGINX 配置。
• 高级负载均衡 – 通过 NGINX Ingress 资源的高级负载均衡和请求路由特性支持蓝绿部署、Canary 发布、A/B 测试和熔断器。
• 多协议支持 – 交付 HTTP、HTTP/2、gRPC、TCP 和 UDP 应用。
• 可观察性 – 利用跟踪支持（通过 OpenTracing）、详细记录功能和原生 Prometheus 集成，以及有关应用流量的大量实时统计信息（支持 NGINX Plus）。
• 安全性 – 通过可配置的加密（包括通配符证书）优化 SSL/TLS 终止性能，并使用 JWT 身份验证（支持 NGINX Plus）保护应用安全。
• 自助服务和多租户 – 利用 NGINX Ingress 资源的 RBAC 和跨命名空间功能，跨不同团队明确划分和委派应用交付组件管理。
• 生产就绪型 – 稳定、可靠的 Ingress Controller通过了 NGINX 测试，并为 NGINX Plus 客户提供 24x7 全天候支持，让您安心无忧。

关键功能

高级请求路由

较之标准 Kubernetes Ingress 资源，自定义 NGINX Ingress 资源（VirtualServer 和 VirtualServerRoute）能够为您提供更高的流量分类和路由决策控制能力。NGINX Ingress 资源支持：

• 基于请求 URI、标头、cookie 和方法执行请求路由
• 根据权重在多个应用版本之间进行流量分流

使用 NGINX Ingress 资源进行流量分流

upstreams:
-    name: webapp-v1 service: webapp-svc-v1 port: 80
-    name: webapp-v2 service: webapp-svc-v2 port: 80
routes:
-    path: / splits:
-    weight: 90 action:
pass: webapp-v1
-    weight: 10 action:
pass: webapp-v2

基于 NGINX Ingress 资源中的 cookie 执行请求路由

upstreams:
-    name: webapp-v1 service: webapp-svc-v1 port: 80
-    name: webapp-v2 service: webapp-svc-v2 port: 80
routes:
-    path: / matches:
- conditions:
- cookie: debug value: true
action:
pass: webapp-v2 action:
pass: webapp-v1

RBAC和多租户

NGINX Ingress 资源允许将各种流量配置组件委派给不同的团队，同时仍支持对所有公开的服务执行全局配置。例如，这支持安全运营团队对某资源 (VirtualServer) 上的所有公开服务执行 TLS 设置，同时通过将相应资源 (VirtualServerRoute) 部署至单独的 Kubernetes 命名空间而将上游配置委派给一个或多个应用所有者。此类委派将使用 Kubernetes 的原生 RBAC 机制执行。

VirtualServer 定义主机的 TLS 设置，并将路由定义委派给引用的 VirtualServerRoute 资源

apiVersion: k8s.nginx.org/v1 kind: VirtualServer metadata:
name: api-fe namespace: frontend-ns
spec:
host: api.example.com tls:
secret: api-ssl-secret routes:
-    path: /games/api
route: games-ns/games-route
-    path: /stats/api
route: stats-ns/stats-route

VirtualServerRoute 定义路由，但无法覆盖全局主机 TLS 设置

apiVersion: k8s.nginx.org/v1 kind: VirtualServerRoute metadata:
name: games-route namespace: games-ns
spec:
host: api.example.com upstreams:
-    name: games service: games-svc port: 80
subroutes:
-    path: /games/api action:
pass: games

更多资源

想要更及时全面地获取 NGINX 相关的技术干货、互动问答、系列课程、活动资源？

请前往 NGINX 开源社区：

官网：https://www.nginx.org.cn/

微信公众号：https://mp.weixin.qq.com/s/XVE5yvDbmJtpV2alsIFwJg

微信群：https://www.nginx.org.cn/static/pc/images/homePage/QR-code.png?v=1621313354

B 站：https://space.bilibili.com/628384319