Настройка L7-балансировщика Yandex Application Load Balancer с помощью Ingress-контроллера

1. Создайте группу бэкендов с бакетом:

   1. Создайте публичный бакет в Object Storage.
   2. Настройте главную страницу сайта и страницу ошибки.

2. Создайте конфигурационный файл приложения demo-app-1.yaml:

   demo-app-1.yaml

   apiVersion: v1
   kind: ConfigMap
   metadata:
     name: alb-demo-1
   data:
     nginx.conf: |
       worker_processes auto;
       events {
       }
       http {
         server {
           listen 80 ;
           location = /_healthz {
             add_header Content-Type text/plain;
             return 200 'ok';
           }
           location / {
             add_header Content-Type text/plain;
             return 200 'Index';
           }
           location = /app1 {
             add_header Content-Type text/plain;
             return 200 'This is APP#1';
           }
         }
       }
   ---
   apiVersion: apps/v1
   kind: Deployment
   metadata:
     name: alb-demo-1
     labels:
       app: alb-demo-1
       version: v1
   spec:
     replicas: 2
     selector:
       matchLabels:
         app: alb-demo-1
     strategy:
       type: RollingUpdate
       rollingUpdate:
         maxSurge: 1
         maxUnavailable: 0
     template:
       metadata:
         labels:
           app: alb-demo-1
           version: v1
       spec:
         terminationGracePeriodSeconds: 5
         volumes:
           - name: alb-demo-1
             configMap:
               name: alb-demo-1
         containers:
           - name: alb-demo-1
             image: nginx:latest
             ports:
               - name: http
                 containerPort: 80
             livenessProbe:
               httpGet:
                 path: /_healthz
                 port: 80
               initialDelaySeconds: 3
               timeoutSeconds: 2
               failureThreshold: 2
             volumeMounts:
               - name: alb-demo-1
                 mountPath: /etc/nginx
                 readOnly: true
             resources:
               limits:
                 cpu: 250m
                 memory: 128Mi
               requests:
                 cpu: 100m
                 memory: 64Mi
   ---
   apiVersion: v1
   kind: Service
   metadata:
     name: alb-demo-1
   spec:
     selector:
       app: alb-demo-1
     type: NodePort
     ports:
       - name: http
         port: 80
         targetPort: 80
         protocol: TCP
         nodePort: 30081
   

3. В отдельной директории создайте файл http-group.yaml, содержащий настройки ресурса HttpBackendGroup:

   apiVersion: alb.yc.io/v1alpha1
   kind: HttpBackendGroup
   metadata:
     name: example-backend-group
   spec:
     backends: # Список бэкендов.
       - name: alb-demo-1
         weight: 70 # Относительный вес бэкенда при распределении трафика. Нагрузка будет распределяться пропорционально весам других бэкендов из группы. Укажите вес, даже если в группе один бэкенд.
         service:
            name: alb-demo-1
            port:
              number: 80
       - name: bucket-backend
         weight: 30
         storageBucket:
           name: <имя_бакета>
   

   (Опционально) Укажите дополнительные настройки для группы бэкендов:

   • spec.backends.useHttp2 — режим использования протокола HTTP/2.
   • spec.backends.tls — сертификат удостоверяющего центра, которому балансировщик будет доверять при установке безопасного соединения с эндпоинтами бэкендов. Укажите содержимое сертификата в поле trustedCa в открытом виде.

   Подробнее см. в разделе Группы бэкендов.

4. В той же директории создайте файл ingress-http.yaml и укажите в нем делегированное ранее доменное имя, идентификатор полученного ранее сертификата и настройки L7-балансировщика Application Load Balancer:

   apiVersion: networking.k8s.io/v1
   kind: Ingress
   metadata:
     name: alb-demo-tls
     annotations:
       ingress.alb.yc.io/subnets: <список_идентификаторов_подсетей>
       ingress.alb.yc.io/security-groups: <список_идентификаторов_групп_безопасности>
       ingress.alb.yc.io/external-ipv4-address: <способ_назначения_IP-адреса>
       ingress.alb.yc.io/group-name: my-ingress-group
   spec:
     tls:
       - hosts:
         - <доменное_имя>
         secretName: yc-certmgr-cert-id-<идентификатор_TLS-сертификата>
     rules:
       - host: <доменное_имя>
         http:
           paths:
             - path: /app1
               pathType: Exact
               backend:
                 resource:
                   apiGroup: alb.yc.io
                   kind: HttpBackendGroup
                   name: example-backend-group
   

   Где:

   • ingress.alb.yc.io/subnets — одна или несколько подсетей, в которых будет расположен L7-балансировщик Application Load Balancer.

   • ingress.alb.yc.io/security-groups — одна или несколько групп безопасности для балансировщика. Если параметр не задан, используется группа безопасности по умолчанию. Хотя бы одна из групп безопасности должна разрешать исходящее TCP-соединение к порту 10501 в подсети группы узлов Managed Service for Kubernetes или в ее группу безопасности.

   • ingress.alb.yc.io/external-ipv4-address — предоставление публичного доступа к балансировщику из интернета. Укажите заранее полученный IP-адрес либо установите значение auto, чтобы получить новый.

     Если вы указали значение auto, то при удалении балансировщика из облака также будет удален его IP-адрес. Чтобы избежать этого, используйте имеющийся зарезервированный адрес.

   • ingress.alb.yc.io/group-name — имя группы. Ресурсы Ingress объединяются в группы, каждая из которых обслуживается отдельным балансировщиком.

     Вместо my-ingress-group вы можете указать произвольное имя группы. Убедитесь, что оно соответствует требованиям.

   (Опционально) Укажите дополнительные настройки балансировщика.

   Примечание

   Перечисленные ниже настройки будут применены только к виртуальным хостам для ресурса Ingress, в котором заданы аннотации, соответствующие этим настройкам.

   К виртуальным хостам остальных ресурсов Ingress в группе эти настройки применены не будут.

   Доступные настройки:

   • ingress.alb.yc.io/group-settings-name — имя для настроек группы ресурсов Ingress, которые должны быть описаны в дополнительном ресурсе IngressGroupSettings. Подробнее см. в разделе Настройте группу ресурсов Ingress.

   • ingress.alb.yc.io/internal-ipv4-address — предоставление внутреннего доступа к балансировщику. Укажите внутренний IP-адрес, либо установите значение auto, чтобы получить IP-адрес автоматически.

     Примечание

     Вы можете одновременно использовать только один тип доступа к балансировщику: ingress.alb.yc.io/external-ipv4-address или ingress.alb.yc.io/internal-ipv4-address.

   • ingress.alb.yc.io/internal-alb-subnet — подсеть, в которой нужно разместить балансировщик. Обязательный параметр, если выбран параметр ingress.alb.yc.io/internal-ipv4-address.

   • ingress.alb.yc.io/protocol — протокол соединений между балансировщиком и бэкендами:

     • http — HTTP/1.1. Значение по умолчанию.
     • http2 — HTTP/2.
     • grpc — gRPC.

   • ingress.alb.yc.io/prefix-rewrite — замена пути на указанное значение.

   • ingress.alb.yc.io/upgrade-types — допустимые значения HTTP-заголовка Upgrade, например, websocket.

   • ingress.alb.yc.io/request-timeout — максимальный период, на который может быть установлено соединение.

   • ingress.alb.yc.io/idle-timeout — максимальный период, в течение которого соединение может простаивать без передачи данных.

     Значения для request-timeout и idle-timeout следует указывать с единицами измерения, например: 300ms, 1.5h. Допустимые единицы измерения:

     • ns — наносекунды.
     • us — микросекунды.
     • ms — миллисекунды.
     • s — секунды.
     • m — минуты.
     • h — часы.

   • ingress.alb.yc.io/security-profile-id — поддержка сервиса Yandex Smart Web Security, который позволяет защититься от {% if lang == "ru" %}DDoS-атакDDoS-атак{% endif %} и ботов, а также задействовать WAF и ограничить нагрузку на защищаемый ресурс.

     Чтобы включить поддержку сервиса, в аннотации Ingress укажите заранее созданный профиль безопасности Smart Web Security:

     ingress.alb.yc.io/security-profile-id: <идентификатор_профиля_безопасности>
     

     Примечание

     Для подключения профиля безопасности к виртуальному хосту Application Load Balancer у сервисного аккаунта, от имени которого работает Ingress-контроллер, должна быть роль smart-web-security.editor на каталог, в котором размещены ресурсы Application Load Balancer и Smart Web Security. Подробнее см. Назначение роли сервисному аккаунту.

   • ingress.alb.yc.io/use-regex — поддержка регулярных выражений стандарта RE2 при сопоставлении пути запроса. Если передана строка true, поддержка включена. Применимо, только если для параметра pathType указано значение Exact.

   Подробное описание настроек ресурса Ingress см. в статье Поля и аннотации ресурса Ingress.

5. Создайте приложение Kubernetes, ресурс HttpBackendGroup и ресурс Ingress:

   kubectl apply -f .
   

ALB Ingress Controller автоматически развернет L7-балансировщик по конфигурации ресурса Ingress.

1. Дождитесь создания L7-балансировщика Application Load Balancer и получения им публичного IP-адреса, это может занять несколько минут.

   Чтобы отслеживать создание балансировщика и убедиться в отсутствии ошибок, откройте логи пода, в котором запущен процесс создания:

   1. В консоли управления перейдите на страницу каталога и выберите сервис Managed Service for Kubernetes.

   2. Нажмите на имя нужного кластера и на панели слева выберите Рабочая нагрузка.

   3. Выберите один из подов alb-demo-***, в котором запущен процесс создания балансировщика.

   4. На странице пода перейдите на вкладку Логи.

      В режиме реального времени записываются и отображаются логи о создании балансировщика. Если возникла ошибка во время создания, она появится в логах.

2. Убедитесь, что балансировщик создан. Для этого выполните команду и проверьте, что в поле ADDRESS в выводе команды появилось значение:

   kubectl get ingress alb-demo-tls
   

   Результат:

   NAME          CLASS   HOSTS           ADDRESS     PORTS    AGE
   alb-demo-tls  <none>  <доменное_имя>  <IP-адрес>  80, 443  15h