Exposición pública de aplicaciones con Ingress

Exponga públicamente varias aplicaciones en su clúster Red Hat® OpenShift® on IBM Cloud® creando recursos Ingress gestionados por el controlador Ingress.

Requisitos previos

Antes de empezar a trabajar con Ingress, revise los siguientes requisitos previos.

La configuración de Ingress requiere los siguientes roles de IBM Cloud IAM:
- Rol de acceso a la plataforma de administrador para el clúster en IBM Cloud Kubernetes Service.
- función de acceso al servicio Director " en todos los espacios de nombres " IBM Cloud Kubernetes Service " (proyectosRed Hat OpenShift ").
Si una zona falla, es posible que vea anomalías intermitentes en las solicitudes de las aplicaciones expuestas por el controlador de Ingress en esa zona.
Para garantizar la alta disponibilidad, se recomiendan al menos dos nodos trabajadores por zona.

Clusters VPC: Permitir solicitudes de tráfico que son enrutadas por Ingress a puertos de nodos en sus nodos trabajadores.
Clústeres multizona VPC: Si creó un clúster en la CLI y posteriormente añadió manualmente zonas a sus pools de trabajadores con el comando ' ibmcloud oc zone add vpc-gen2 ', debe actualizar el equilibrador de carga de VPC que expone el controlador Ingress para incluir subredes para todas las zonas de su clúster.
Clústeres clásicos: habilite una función de direccionador virtual (VRF) para la cuenta de infraestructura de IBM Cloud. Para habilitar VRF, consulte Habilitación de VRF. Para comprobar si un VRF ya está habilitado, utilice el mandato ibmcloud account show. Si no puede o no desea habilitar VRF, habilite Expansión de VLAN. Cuando hay una VRF o una expansión de VLAN habilitada, el controlador de Ingress puede direccionar paquetes a varias subredes de la cuenta.

Exposición pública de aplicaciones en clústeres con un punto final de servicio de nube pública

Clústeres clásicos Virtual Private Cloud

Si su clúster se ha creado en una infraestructura clásica, o si su clúster se ha creado en una infraestructura VPC y ha habilitado el punto final del servicio de nube pública al crearlo, puede utilizar el controlador de entrada público predeterminado para exponer las aplicaciones de su clúster a la recepción de solicitudes procedentes de la red pública.

Antes de empezar:

Revise los requisitos previos de Ingress.
Acceda al clúster de Red Hat OpenShift.

Paso 1: Desplegar apps y crear servicios de app

Empiece desplegando sus apps y crear servicios de Kubernetes para exponerlos.

Despliegue la app en el clúster. Asegúrese de añadir una etiqueta a su despliegue en la sección de metadatos del archivo de configuración como, por ejemplo, app: code. Esta etiqueta es necesaria para identificar todos los pods donde se ejecuta la aplicación para que los pods estén en el equilibrio de carga de Ingress.
Para cada despliegue de app que desee exponer, cree un servicio ClusterIP de Kubernetes. El servicio de Kubernetes debe exponer la app para que se incluya en el equilibrio de carga de Ingress.

oc expose deploy <app_deployment_name> --name my-app-svc --port <app_port> -n <namespace>

Paso 2: Configurar la terminación TLS con certificados TLS y secretos de Kubernetes

El certificado TLS debe almacenarse como un secreto de Kubernetes en cada espacio de nombres donde existan las apps.

Para utilizar el dominio de Ingress gestionado por IBM, consulte Configuración de secretos TLS para el subdominio de Ingress proporcionado por IBM.
Para utilizar un dominio que ha creado usted mismo, como por ejemplo un dominio que está registrado con un proveedor externo, consulte Configuración de secretos TLS para subdominios personalizados.

Paso 3: Crear el recurso de Ingress

Los recursos de Ingress definen las reglas de direccionamiento que el controlador de Ingress utiliza para direccionar el tráfico a su servicio de app.

Defina un archivo de configuración de recursos de Ingress que utilice el dominio proporcionado por IBM o su dominio personalizado para direccionar el tráfico de entrada de red a los servicios que ha creado anteriormente.
```
apiVersion: networking.k8s.io/v1
kind: Ingress
metadata:
  name: myingressresource
spec:
  tls:
  - hosts:
    - <domain>
    secretName: <secret_name>
  rules:
  - host: <domain>
    http:
      paths:
      - path: /<app1_path>
        pathType: Prefix
        backend:
            service:
                name: test
                port:
                    number: 80
      - path: /<app2_path>
        backend:
            service:
                name: <app2_service>
                port:
                    number: 80
```
tls

Si desea utilizar TLS, incluya esta sección TLS en el recurso. Sustituya <domain> por el subdominio. No utilice * para el host o deje la propiedad de host vacía para evitar anomalías durante la creación de Ingress. Sustituya <tls_secret_name> por el secreto que ha creado anteriormente que contiene el certificado TLS y la clave para un dominio personalizado o el secreto TLS que se ha generado automáticamente para un subdominio proporcionado por IBM.

host

Sustituya <domain> por el subdominio de Ingress proporcionado por IBM o por el dominio personalizado. Si el clúster tiene varios proyectos donde se exponen las apps, se necesita un recurso de Ingress por proyecto. Puede utilizar el mismo subdominio en cada recurso o distintos subdominios en cada recurso. Por ejemplo, si utiliza un dominio comodín, puede añadir un subdominio comodín al principio del dominio, por ejemplo, subdomain1.custom_domain.net o subdomain1.mycluster-<hash>-0000.us-south.containers.appdomain.cloud. No utilice * para el host o deje la propiedad de host vacía para evitar anomalías durante la creación de Ingress.

path

Sustituye ' <app_path> ' por la ruta en la que tu aplicación está escuchando. La vía de acceso se añade al dominio personalizado o proporcionado por IBM para crear una ruta exclusiva a su app. Cuando especifica esta ruta en un navegador web, el tráfico de la red se direcciona al controlador de Ingress. El controlador de Ingress busca el servicio asociado y envía el tráfico de red al servicio. A continuación, el servicio reenvía el tráfico a los pods en los que se ejecuta la app. Muchas aplicaciones no escuchan en una ruta específica, sino que utilizan la vía de acceso raíz y un puerto específico. En este caso, defina la vía de acceso raíz como / y no especifique una vía de acceso individual para la aplicación. Para http://domain/, especifique / como la vía de acceso. Para http://domain/app1_path, especifique /app1_path como la vía de acceso.

pathType

El método de comparación de vías de acceso de URL. Los valores admitidos son ImplementationSpecific, Exact o Prefix. Para obtener más información y ejemplos de cada tipo de ruta, consulte la documentación de la comunidad Kubernetes.

name

Sustituya <app1_service> y <app2_service>, y así sucesivamente, por el nombre de los servicios que ha creado para exponer las aplicaciones. Si sus apps están expuestas mediante servicios en diferentes proyectos en el clúster, incluya únicamente los servicios de app que se encuentran en el mismo proyecto. Debe crear un recurso de Ingress para cada proyecto donde tiene las apps que desea exponer.

port

El puerto en el que el servicio está a la escucha. Utilice el mismo puerto que ha definido al crear el servicio de Kubernetes para la app.
Cree el recurso de Ingress para el clúster. Asegúrese de que el recurso se despliega en el mismo proyecto que los servicios de apps que ha especificado en el recurso.
```
oc apply -f myingressresource.yaml -n <project>
```
Verifique que el recurso de Ingress se haya creado correctamente. Si los mensajes en los eventos describen un error en la configuración de su recurso, corrija los valores en su archivo de recursos y vuelva a aplicar el archivo para el recurso.
```
oc describe ingress myingressresource
```

El recurso de Ingress se crea en el mismo proyecto que los servicios de app y sus apps se registran con el controlador de Ingress.

Paso 4: Acceder a la app desde Internet

En un navegador web, escriba el URL del servicio de la app al que va a acceder.

https://<domain>/<app1_path>

Si tiene varias apps expuestas, acceda a dichas apps cambiando la vía de acceso que se añade al final del URL.

https://<domain>/<app2_path>

Si utiliza un dominio comodín, acceda a dichas apps con sus propios subdominios.

http://<subdomain1>.<domain>/<app1_path>

http://<subdomain2>.<domain>/<app1_path>

¿No se puede conectar a la app a través de Ingress? Intente resolverlos consultando Resolución de problemas de Ingress.

Exposición pública de apps en clústeres de VPC solo con un punto final de servicio en la nube privado

Nube privada virtual

Si su clúster se ha creado en una infraestructura VPC y al crearlo sólo ha activado el punto final del servicio de nube privada, su clúster se creará por defecto sólo con un controlador de entrada privado. Para exponer las apps públicamente, primero debe crear un controlador de Ingress público. Luego debe registrar el controlador de Ingress con un subdominio y, si lo desea, importar su propio certificado TLS.

Paso 1: Desplegar apps y crear servicios de app

Empiece desplegando sus apps y crear servicios de Kubernetes para exponerlos.

Despliegue la app en el clúster. Asegúrese de añadir una etiqueta a su despliegue en la sección de metadatos del archivo de configuración como, por ejemplo, app: code. Esta etiqueta es necesaria para identificar todos los pods donde se ejecuta la aplicación para que los pods estén en el equilibrio de carga de Ingress.
Para cada despliegue de app que desee exponer, cree un servicio ClusterIP de Kubernetes. El servicio de Kubernetes debe exponer la app para que se incluya en el equilibrio de carga de Ingress.

oc expose deploy <app_deployment_name> --name my-app-svc --port <app_port> -n <namespace>

Paso 2: Configurar la terminación TLS con certificados TLS y secretos de Kubernetes

El certificado TLS debe almacenarse como un secreto de Kubernetes en cada espacio de nombres donde existan las apps.

Secretos TLS para dominios de Ingress personalizados

Para utilizar un dominio que ha creado usted mismo, como por ejemplo un dominio que está registrado con un proveedor externo, consulte Configuración de secretos TLS para subdominios personalizados.

Secretos TLS para dominios de Ingress gestionados por IBM

Siga los pasos para configurar secretos TLS para el dominio de Ingress gestionado por IBM.

Obtenga una lista de los subdominios existentes del clúster. En la columna Subdominio de la salida, copie el subdominio que tiene el valor de 000<n> más alto.

ibmcloud oc nlb-dns ls --cluster <cluster_name_or_id>

En esta salida de ejemplo, el subdominio mycluster-a1b2cdef345678g9hi012j3kl4567890-0002.us-south.containers.appdomain.cloud tiene el valor de 000<n> más alto, 0002.

Subdomain                                                                               Load Balancer Hostname                        Health Monitor   SSL Cert Status           SSL Cert Secret Name
mycluster-a1b2cdef345678g9hi012j3kl4567890-0000.us-south.containers.appdomain.cloud     ["1234abcd-us-south.lb.appdomain.cloud"]      None             created                   mycluster-a1b2cdef345678g9hi012j3kl4567890-0000
mycluster-a1b2cdef345678g9hi012j3kl4567890-0001.us-south.containers.appdomain.cloud     ["5678efgh-us-south.lb.appdomain.cloud"]      None             created                   mycluster-a1b2cdef345678g9hi012j3kl4567890-0001
mycluster-a1b2cdef345678g9hi012j3kl4567890-0002.us-south.containers.appdomain.cloud     ["9012ijkl-us-south.lb.appdomain.cloud"]      None             created                   mycluster-a1b2cdef345678g9hi012j3kl4567890-0002

En el subdominio que ha copiado, cambie el valor de 000<n> en el subdominio por 000<n+1>. Por ejemplo, el valor del subdominio mycluster-a1b2cdef345678g9hi012j3kl4567890-0002.us-south.containers.appdomain.cloud se cambia a mycluster-a1b2cdef345678g9hi012j3kl4567890-0003.us-south.containers.appdomain.cloud. n+1 indica el siguiente subdominio consecutivo que crea en este clúster. Registrará este subdominio en pasos posteriores. Al registrar el dominio, se genera automáticamente un secreto TLS para el dominio. El nombre del secreto sigue un formato truncado del subdominio, como por ejemplo mycluster-a1b2cdef345678g9hi012j3kl4567890-0003.

Paso 3: Crear y configurar un controlador de Ingress público

Después preparar el dominio y el certificado de TLS, debe crear un controlador de Ingress público y configurar el controlador con el dominio.

Cree un archivo de configuración para un controlador de Ingress público.

apiVersion: operator.openshift.io/v1
kind: IngressController
metadata:
  name: public-ingress-controller
  namespace: openshift-ingress-operator
spec:
  replicas: 2
  domain: <domain>
  endpointPublishingStrategy:
    loadBalancer:
      scope: External
    type: LoadBalancerService

Cree el recurso de IngressController en el proyecto de openshift-ingress-operator del clúster. Cuando se crea IngressController, se crea automáticamente un controlador de Ingress público y se despliega en el proyecto de openshift-ingress en función de los valores de IngressController. Adicionalmente, se crea un servicio de controlador de Ingress para exponer al controlador de Ingress.
```
oc create -f public-ingress-controller.yaml -n openshift-ingress-operator
```

Ejecute el mandato oc get y busque el nombre de host de VPC en el campo EXTERNAL IP del servicio router-public-ingress-controller. En los clústeres de VPC, las direcciones IP externas de los servicios son no estáticas y se mantienen detrás de un nombre de host asignado por VPC.

oc get svc router-public-ingress-controller -n openshift-ingress

Salida de ejemplo

NAME                                  TYPE           CLUSTER-IP       EXTERNAL-IP                             PORT(S)                      AGE
router-public-ingress-controller     LoadBalancer   172.21.57.132    1234abcd-us-south.lb.appdomain.cloud    80/TCP,443/TCP,1940/TCP      3m

Registre el nombre de host de VPC del servicio con el dominio que ha elegido anteriormente.
- Dominio personalizado: trabaje con el proveedor de DNS para añadir el nombre de host de VPC del servicio router-public-ingress-controller como CNAME que se correlaciona con el dominio personalizado.
- Dominio proporcionado por IBM: cree una entrada de DNS para el nombre de host de VPC del servicio router-public-ingress-controller. Cuando ejecute el siguiente mandato, el subdominio que ha especificado en el archivo public-ingress-controller.yaml se generará automáticamente y se registrará con el servicio router-public-ingress-controller. Se genera automáticamente un secreto TLS para el dominio en el proyecto que especifique donde se ejecuta la app. El nombre del secreto sigue un formato truncado del subdominio, como por ejemplo mycluster-a1b2cdef345678g9hi012j3kl4567890-0003.
```
ibmcloud oc nlb-dns create vpc-gen2 --cluster <cluster_name_or_ID> --lb-host <VPC_hostname> --secret-namespace <project>
```

Paso 4: Crear el recurso de Ingress

Los recursos de Ingress definen las reglas de direccionamiento que el controlador de Ingress utiliza para direccionar el tráfico a su servicio de app.

Defina un archivo de configuración de recursos de Ingress que utilice el dominio proporcionado por IBM o su dominio personalizado para direccionar el tráfico de entrada de red a los servicios que ha creado anteriormente.
```
apiVersion: networking.k8s.io/v1
kind: Ingress
metadata:
  name: myingressresource
spec:
  tls:
  - hosts:
    - <subdomain>
    secretName: <custom_secret_name>
  rules:
  - host: <subdomain>
    http:
      paths:
      - path: /<app1_path>
        pathType: Prefix
        backend:
            service:
              name: <app1_service>
              port:
                number: 80
      - path: /<app2_path>
        backend:
            service:
              name: <app2_service>
              port:
                number: 80
```
tls

Si desea utilizar TLS, incluya esta sección TLS en el recurso.

Sustituya <domain> por el subdominio. No utilice * para el host o deje la propiedad de host vacía para evitar anomalías durante la creación de Ingress.

Sustituya <tls_secret_name> por el secreto que ha creado anteriormente que contiene el certificado TLS y la clave para un dominio personalizado o el secreto TLS que se ha generado automáticamente para un subdominio proporcionado por IBM.

host

Sustituya <domain> por el subdominio. Si el clúster tiene varios proyectos donde se exponen las apps, se necesita un recurso de Ingress por proyecto. Puede utilizar el mismo subdominio en cada recurso o distintos subdominios en cada recurso. Por ejemplo, si utiliza un dominio comodín, puede añadir un subdominio comodín al principio del dominio, como por ejemplo subdomain1.custom_domain.net. No utilice * para el host o deje la propiedad de host vacía para evitar anomalías durante la creación de Ingress.

path

Sustituye ' <app_path> ' por la ruta en la que tu aplicación está escuchando. La vía de acceso se añade al dominio personalizado o proporcionado por IBM para crear una ruta exclusiva a su app. Cuando especifica esta ruta en un navegador web, el tráfico de la red se direcciona al controlador de Ingress. El controlador de Ingress busca el servicio asociado y envía el tráfico de red al servicio. A continuación, el servicio reenvía el tráfico a los pods en los que se ejecuta la app. Muchas aplicaciones no escuchan en una ruta específica, sino que utilizan la vía de acceso raíz y un puerto específico. En este caso, defina la vía de acceso raíz como / y no especifique una vía de acceso individual para la aplicación. Por ejemplo, para utilizar http://domain/, introduzca / como ruta. Para http://domain/app1_path, especifique /app1_path como la vía de acceso.

pathType

El método de comparación de vías de acceso de URL. Los valores admitidos son ImplementationSpecific, Exact o Prefix. Para obtener más información y ejemplos de cada tipo de ruta, consulte la documentación de la comunidad Kubernetes.

name

Sustituya <app1_service> y <app2_service>, y así sucesivamente, por el nombre de los servicios que ha creado para exponer las aplicaciones. Si sus apps están expuestas mediante servicios en diferentes proyectos en el clúster, incluya únicamente los servicios de app que se encuentran en el mismo proyecto. Debe crear un recurso de Ingress para cada proyecto donde tiene las apps que desea exponer.

port

El puerto en el que el servicio está a la escucha. Utilice el mismo puerto que ha definido al crear el servicio de Kubernetes para la app.
Cree el recurso de Ingress para el clúster. Asegúrese de que el recurso se despliega en el mismo proyecto que los servicios de apps que ha especificado en el recurso.
```
oc apply -f myingressresource.yaml -n <project>
```
Verifique que el recurso de Ingress se haya creado correctamente. Si los mensajes en los eventos describen un error en la configuración de su recurso, corrija los valores en su archivo de recursos y vuelva a aplicar el archivo para el recurso.
```
oc describe ingress myingressresource
```

El recurso de Ingress se crea en el mismo proyecto que los servicios de app y sus apps se registran con el controlador de Ingress.

Paso 5: Acceder a la app desde Internet

En un navegador web, escriba el URL del servicio de la app al que va a acceder.

https://<domain>/<app1_path>

Si tiene varias apps expuestas, acceda a dichas apps cambiando la vía de acceso que se añade al final del URL.

https://<domain>/<app2_path>

Si utiliza un dominio comodín, acceda a dichas apps con sus propios subdominios.

http://<subdomain1>.<domain>/<app1_path>

http://<subdomain2>.<domain>/<app1_path>

¿No se puede conectar a la app a través de Ingress? Intente resolverlos consultando Resolución de problemas de Ingress.

Exposición pública de apps que están fuera del clúster

Exponga las apps que están fuera de su clúster al público incluyéndolas en el equilibrio de carga de Ingress público. Las solicitudes públicas entrantes en el dominio personalizado o proporcionado por IBM se reenvían automáticamente a la app externa.

Antes de empezar, asegúrese de que se puede acceder a la aplicación externa que desea incluir en el equilibrio de carga del clúster mediante una dirección IP pública.

Para exponer al público aplicaciones que están fuera de su clúster, siga estos pasos.

Defina un archivo de configuración de servicios Kubernetes para la aplicación que expone el controlador Ingress. Este servicio reenvía las solicitudes de entrada a un punto final externo que creará en los siguientes pasos.
```
apiVersion: v1
kind: Service
metadata:
  name: myexternalservice
spec:
  ports:
   - protocol: TCP
     port: <app_port>
```
Cree el servicio en el clúster.
```
oc apply -f myexternalservice.yaml
```
Defina un archivo de configuración de punto final externo. Incluya todas las direcciones IP públicas y puertos que puede utilizar para acceder a la app externa. Tenga en cuenta que el nombre del endpoint debe ser el mismo que el nombre del servicio que creó en el paso anterior, por ejemplo, ' myexternalservice.
```
kind: Endpoints
apiVersion: v1
metadata:
  name: myexternalservice
subsets:
  - addresses:
      - ip: <external_IP1>
      - ip: <external_IP2>
    ports:
      - port: <external_port>
```
name

Sustituya <myexternalendpoint> por el nombre del servicio de Kubernetes que ha creado anteriormente.

ip

Sustituya <external_IP> por las direcciones IP públicas que se utilizan para conectarse a la aplicación externa.

port

Sustituya <external_port> por el puerto donde escucha la aplicación externa.
Cree el punto final en el clúster.
```
oc apply -f myexternalendpoint.yaml
```
Continúe con el segundo paso en Exponer públicamente apps en clústeres de VPC solo con un punto final de servicio de nube privada o Exponer públicamente apps en clústeres con un punto final de servicio de nube pública.