Настройка Ingress-контроллера Yandex Application Load Balancer

Для настройки группы бэкендов используйте CustomResourceDefinition HttpBackendGroup. В качестве бэкенда может выступать целевая группа Application Load Balancer или бакет Object Storage.

Чтобы настроить Application Load Balancer на работу с группой бэкендов:

1. Создайте группу бэкендов с бакетом:

   1. Создайте публичный бакет в Object Storage.
   2. Настройте главную страницу сайта и страницу ошибки.

2. Создайте конфигурационный файл приложения demo-app-1.yaml:

   demo-app-1.yaml

   apiVersion: v1
   kind: ConfigMap
   metadata:
     name: alb-demo-1
   data:
     nginx.conf: |
       worker_processes auto;
       events {
       }
       http {
         server {
           listen 80 ;
           location = /_healthz {
             add_header Content-Type text/plain;
             return 200 'ok';
           }
           location / {
             add_header Content-Type text/plain;
             return 200 'Index';
           }
           location = /app1 {
             add_header Content-Type text/plain;
             return 200 'This is APP#1';
           }
         }
       }
   ---
   apiVersion: apps/v1
   kind: Deployment
   metadata:
     name: alb-demo-1
     labels:
       app: alb-demo-1
       version: v1
   spec:
     replicas: 2
     selector:
       matchLabels:
         app: alb-demo-1
     strategy:
       type: RollingUpdate
       rollingUpdate:
         maxSurge: 1
         maxUnavailable: 0
     template:
       metadata:
         labels:
           app: alb-demo-1
           version: v1
       spec:
         terminationGracePeriodSeconds: 5
         volumes:
           - name: alb-demo-1
             configMap:
               name: alb-demo-1
         containers:
           - name: alb-demo-1
             image: nginx:latest
             ports:
               - name: http
                 containerPort: 80
             livenessProbe:
               httpGet:
                 path: /_healthz
                 port: 80
               initialDelaySeconds: 3
               timeoutSeconds: 2
               failureThreshold: 2
             volumeMounts:
               - name: alb-demo-1
                 mountPath: /etc/nginx
                 readOnly: true
             resources:
               limits:
                 cpu: 250m
                 memory: 128Mi
               requests:
                 cpu: 100m
                 memory: 64Mi
   ---
   apiVersion: v1
   kind: Service
   metadata:
     name: alb-demo-1
   spec:
     selector:
       app: alb-demo-1
     type: NodePort
     ports:
       - name: http
         port: 80
         targetPort: 80
         protocol: TCP
         nodePort: 30081
   

3. В отдельной директории создайте файл http-group.yaml, содержащий настройки объекта HttpBackendGroup:

   apiVersion: alb.yc.io/v1alpha1
   kind: HttpBackendGroup
   metadata:
     name: example-backend-group
   spec:
     backends: # Список бэкендов.
       - name: alb-demo-1
         weight: 70 # Относительный вес бэкенда при распределении трафика. Нагрузка будет распределяться пропорционально весам других бэкендов из группы. Укажите вес, даже если в группе один бэкенд.
         service:
            name: alb-demo-1
            port:
              number: 80
       - name: bucket-backend
         weight: 30
         storageBucket:
           name: <имя_бакета>
   

   (Опционально) Укажите дополнительные настройки контроллера:

   • spec.backends.useHttp2 — режим использования протокола HTTP/2.
   • spec.backends.tls — сертификат удостоверяющего центра, которому балансировщик будет доверять при установке безопасного соединения с эндпоинтами бэкендов. Укажите содержимое сертификата в поле trustedCa в открытом виде.

   Подробнее см. в разделе Группы бэкендов.

4. Создайте файл ingress-http.yaml и укажите в нем делегированное ранее доменное имя, идентификатор сертификата и настройки для Application Load Balancer:

   apiVersion: networking.k8s.io/v1
   kind: Ingress
   metadata:
     name: alb-demo-tls
     annotations:
       ingress.alb.yc.io/subnets: <список_идентификаторов_подсетей>
       ingress.alb.yc.io/security-groups: <список_идентификаторов_групп_безопасности>
       ingress.alb.yc.io/external-ipv4-address: <способ_назначения_IP-адреса>
       ingress.alb.yc.io/group-name: my-ingress-group
   spec:
     tls:
       - hosts:
         - <доменное_имя>
         secretName: yc-certmgr-cert-id-<идентификатор_TLS-сертификата>
     rules:
       - host: <доменное_имя>
         http:
           paths:
             - path: /app1
               pathType: Exact
               backend:
                 resource:
                   apiGroup: alb.yc.io
                   kind: HttpBackendGroup
                   name: example-backend-group
   

   Где:

   • ingress.alb.yc.io/subnets — одна или несколько подсетей, с которыми будет работать Application Load Balancer.

   • ingress.alb.yc.io/security-groups — одна или несколько групп безопасности для Application Load Balancer. Если параметр не задан, используется группа безопасности по умолчанию. Хотя бы одна из групп безопасности должна разрешать исходящее TCP-соединение к порту 10501 в подсети группы узлов Managed Service for Kubernetes или в ее группу безопасности.

   • ingress.alb.yc.io/external-ipv4-address — предоставление публичного доступа к Application Load Balancer из интернета. Укажите заранее полученный IP-адрес либо установите значение auto, чтобы получить новый.

     Если вы указали значение auto, то при удалении Ingress-контроллера IP-адрес также будет удален из облака. Чтобы избежать этого, используйте имеющийся зарезервированный адрес.

   • ingress.alb.yc.io/group-name — имя группы. Ресурсы Kubernetes Ingress объединяются в группы, каждая из которых обслуживается отдельным экземпляром Application Load Balancer.

     Вместо my-ingress-group вы можете указать произвольное имя группы. Убедитесь, что оно соответствует требованиям.

   (Опционально) Укажите дополнительные настройки контроллера:

   • ingress.alb.yc.io/group-settings-name — имя для настроек группы ресурсов Ingress, которые должны быть описаны в дополнительном ресурсе IngressGroupSettings. Подробнее см. в разделе Настройте группу ресурсов Ingress.

   • ingress.alb.yc.io/internal-ipv4-address — предоставление внутреннего доступа к Application Load Balancer. Укажите внутренний IP-адрес, либо установите значение auto, чтобы получить IP-адрес автоматически.

     Примечание

     Вы можете одновременно использовать только один тип доступа к Application Load Balancer: ingress.alb.yc.io/external-ipv4-address или ingress.alb.yc.io/internal-ipv4-address.

   • ingress.alb.yc.io/internal-alb-subnet — подсеть для размещения внутреннего IP-адреса Application Load Balancer. Обязательный параметр, если выбран параметр ingress.alb.yc.io/internal-ipv4-address.

   • ingress.alb.yc.io/protocol — протокол соединений между балансировщиком и бэкендами:

     • http — HTTP/1.1. Значение по умолчанию.
     • http2 — HTTP/2.
     • grpc — gRPC.

   • ingress.alb.yc.io/prefix-rewrite — замена пути на указанное значение.

   • ingress.alb.yc.io/upgrade-types — допустимые значения HTTP-заголовка Upgrade, например, websocket.

   • ingress.alb.yc.io/request-timeout — максимальный период, на который может быть установлено соединение.

   • ingress.alb.yc.io/idle-timeout — максимальный период, в течение которого соединение может простаивать без передачи данных.

     Значения для request-timeout и idle-timeout следует указывать с единицами измерения, например: 300ms, 1.5h. Допустимые единицы измерения:

     • ns — наносекунды.
     • us — микросекунды.
     • ms — миллисекунды.
     • s — секунды.
     • m — минуты.
     • h — часы.

   • ingress.alb.yc.io/security-profile-id — поддержка сервиса Yandex Smart Web Security, который позволяет защититься от DDoS-атак и ботов, а также задействовать WAF и ограничить нагрузку на защищаемый ресурс.

     Чтобы включить поддержку сервиса, в аннотации Ingress укажите заранее созданный профиль безопасности Smart Web Security:

     ingress.alb.yc.io/security-profile-id: <идентификатор_профиля_безопасности>
     

     Примечание

     Для подключения профиля безопасности к виртуальному хосту Application Load Balancer у сервисного аккаунта, от имени которого работает Ingress-контроллер, должна быть роль smart-web-security.editor на каталог, в котором размещены ресурсы Application Load Balancer и Smart Web Security. Подробнее см. Назначение роли сервисному аккаунту.

   • ingress.alb.yc.io/use-regex — поддержка регулярных выражений стандарта RE2 при сопоставлении пути запроса. Если передана строка true, поддержка включена. Применимо только если для параметра pathType указано значение Exact.

   Примечание

   Настройки действуют только на хосты этого контроллера, но не на всю группу Ingress.

   Подробное описание настроек ресурса Ingress см. в статье Поля и аннотации ресурса Ingress.

5. Создайте Ingress-контроллер, объект HttpBackendGroup и приложение Kubernetes:

   kubectl apply -f .
   

6. Дождитесь создания Ingress-контроллера и получения им публичного IP-адреса, это может занять несколько минут.

   Чтобы отслеживать создание контроллера и убедиться в отсутствии ошибок, откройте логи пода, в котором запущен процесс создания:

   1. В консоли управления перейдите на страницу каталога и выберите сервис Managed Service for Kubernetes.

   2. Нажмите на имя нужного кластера и на панели слева выберите Рабочая нагрузка.

   3. Выберите один из подов alb-demo-***, в котором запущен процесс создания Ingress-контроллера.

   4. На странице пода перейдите на вкладку Логи.

      В режиме реального времени записываются и отображаются логи о создании Ingress-контроллера. Если возникла ошибка во время создания, она появится в логах.

7. Убедитесь, что Ingress-контроллер создан. Для этого выполните команду и проверьте, что в поле ADDRESS в выводе команды появилось значение:

   kubectl get ingress alb-demo-tls
   

   Результат:

   NAME          CLASS   HOSTS           ADDRESS     PORTS    AGE
   alb-demo-tls  <none>  <доменное_имя>  <IP-адрес>  80, 443  15h
   

   По конфигурации Ingress-контроллера будет автоматически развернут L7-балансировщик.