Exposición pública de aplicaciones con Ingress
Exponga públicamente varias aplicaciones en su clúster Red Hat® OpenShift® on IBM Cloud® creando recursos Ingress gestionados por el controlador Ingress.
Requisitos previos
Antes de empezar a trabajar con Ingress, revise los siguientes requisitos previos.
- La configuración de Ingress requiere los siguientes roles de IBM Cloud IAM:
- Rol de acceso a la plataforma de administrador para el clúster en IBM Cloud Kubernetes Service.
- función de acceso al servicio Director " en todos los espacios de nombres " IBM Cloud Kubernetes Service " (proyectosRed Hat OpenShift ").
- Si una zona falla, es posible que vea anomalías intermitentes en las solicitudes de las aplicaciones expuestas por el controlador de Ingress en esa zona.
- Para garantizar la alta disponibilidad, se recomiendan al menos dos nodos trabajadores por zona.
- Clusters VPC: Permitir solicitudes de tráfico que son enrutadas por Ingress a puertos de nodos en sus nodos trabajadores.
- Clústeres multizona VPC: Si creó un clúster en la CLI y posteriormente añadió manualmente zonas a sus pools de trabajadores con el comando '
ibmcloud oc zone add vpc-gen2
', debe actualizar el equilibrador de carga de VPC que expone el controlador Ingress para incluir subredes para todas las zonas de su clúster. - Clústeres clásicos: habilite una función de direccionador virtual (VRF) para la cuenta de infraestructura de IBM Cloud. Para habilitar VRF, consulte Habilitación de VRF.
Para comprobar si un VRF ya está habilitado, utilice el mandato
ibmcloud account show
. Si no puede o no desea habilitar VRF, habilite Expansión de VLAN. Cuando hay una VRF o una expansión de VLAN habilitada, el controlador de Ingress puede direccionar paquetes a varias subredes de la cuenta.
Exposición pública de aplicaciones en clústeres con un punto final de servicio de nube pública
Clústeres clásicos Virtual Private Cloud
Si su clúster se ha creado en una infraestructura clásica, o si su clúster se ha creado en una infraestructura VPC y ha habilitado el punto final del servicio de nube pública al crearlo, puede utilizar el controlador de entrada público predeterminado para exponer las aplicaciones de su clúster a la recepción de solicitudes procedentes de la red pública.
Antes de empezar:
- Revise los requisitos previos de Ingress.
- Acceda al clúster de Red Hat OpenShift.
Paso 1: Desplegar apps y crear servicios de app
Empiece desplegando sus apps y crear servicios de Kubernetes para exponerlos.
-
Despliegue la app en el clúster. Asegúrese de añadir una etiqueta a su despliegue en la sección de metadatos del archivo de configuración como, por ejemplo,
app: code
. Esta etiqueta es necesaria para identificar todos los pods donde se ejecuta la aplicación para que los pods estén en el equilibrio de carga de Ingress. -
Para cada despliegue de app que desee exponer, cree un servicio
ClusterIP
de Kubernetes. El servicio de Kubernetes debe exponer la app para que se incluya en el equilibrio de carga de Ingress.
oc expose deploy <app_deployment_name> --name my-app-svc --port <app_port> -n <namespace>
Paso 2: Configurar la terminación TLS con certificados TLS y secretos de Kubernetes
El certificado TLS debe almacenarse como un secreto de Kubernetes en cada espacio de nombres donde existan las apps.
-
Para utilizar el dominio de Ingress gestionado por IBM, consulte Configuración de secretos TLS para el subdominio de Ingress proporcionado por IBM.
-
Para utilizar un dominio que ha creado usted mismo, como por ejemplo un dominio que está registrado con un proveedor externo, consulte Configuración de secretos TLS para subdominios personalizados.
Paso 3: Crear el recurso de Ingress
Los recursos de Ingress definen las reglas de direccionamiento que el controlador de Ingress utiliza para direccionar el tráfico a su servicio de app.
-
Defina un archivo de configuración de recursos de Ingress que utilice el dominio proporcionado por IBM o su dominio personalizado para direccionar el tráfico de entrada de red a los servicios que ha creado anteriormente.
apiVersion: networking.k8s.io/v1 kind: Ingress metadata: name: myingressresource spec: tls: - hosts: - <domain> secretName: <secret_name> rules: - host: <domain> http: paths: - path: /<app1_path> pathType: Prefix backend: service: name: test port: number: 80 - path: /<app2_path> backend: service: name: <app2_service> port: number: 80
tls
- Si desea utilizar TLS, incluya esta sección TLS en el recurso. Sustituya
<domain>
por el subdominio. No utilice*
para el host o deje la propiedad de host vacía para evitar anomalías durante la creación de Ingress. Sustituya<tls_secret_name>
por el secreto que ha creado anteriormente que contiene el certificado TLS y la clave para un dominio personalizado o el secreto TLS que se ha generado automáticamente para un subdominio proporcionado por IBM. host
- Sustituya
<domain>
por el subdominio de Ingress proporcionado por IBM o por el dominio personalizado. Si el clúster tiene varios proyectos donde se exponen las apps, se necesita un recurso de Ingress por proyecto. Puede utilizar el mismo subdominio en cada recurso o distintos subdominios en cada recurso. Por ejemplo, si utiliza un dominio comodín, puede añadir un subdominio comodín al principio del dominio, por ejemplo,subdomain1.custom_domain.net
osubdomain1.mycluster-<hash>-0000.us-south.containers.appdomain.cloud
. No utilice * para el host o deje la propiedad de host vacía para evitar anomalías durante la creación de Ingress. path
- Sustituye '
<app_path>
' por la ruta en la que tu aplicación está escuchando. La vía de acceso se añade al dominio personalizado o proporcionado por IBM para crear una ruta exclusiva a su app. Cuando especifica esta ruta en un navegador web, el tráfico de la red se direcciona al controlador de Ingress. El controlador de Ingress busca el servicio asociado y envía el tráfico de red al servicio. A continuación, el servicio reenvía el tráfico a los pods en los que se ejecuta la app. Muchas aplicaciones no escuchan en una ruta específica, sino que utilizan la vía de acceso raíz y un puerto específico. En este caso, defina la vía de acceso raíz como/
y no especifique una vía de acceso individual para la aplicación. Parahttp://domain/
, especifique/
como la vía de acceso. Parahttp://domain/app1_path
, especifique/app1_path
como la vía de acceso. pathType
- El método de comparación de vías de acceso de URL. Los valores admitidos son
ImplementationSpecific
,Exact
oPrefix
. Para obtener más información y ejemplos de cada tipo de ruta, consulte la documentación de la comunidad Kubernetes. name
- Sustituya
<app1_service>
y<app2_service>
, y así sucesivamente, por el nombre de los servicios que ha creado para exponer las aplicaciones. Si sus apps están expuestas mediante servicios en diferentes proyectos en el clúster, incluya únicamente los servicios de app que se encuentran en el mismo proyecto. Debe crear un recurso de Ingress para cada proyecto donde tiene las apps que desea exponer. port
- El puerto en el que el servicio está a la escucha. Utilice el mismo puerto que ha definido al crear el servicio de Kubernetes para la app.
-
Cree el recurso de Ingress para el clúster. Asegúrese de que el recurso se despliega en el mismo proyecto que los servicios de apps que ha especificado en el recurso.
oc apply -f myingressresource.yaml -n <project>
-
Verifique que el recurso de Ingress se haya creado correctamente. Si los mensajes en los eventos describen un error en la configuración de su recurso, corrija los valores en su archivo de recursos y vuelva a aplicar el archivo para el recurso.
oc describe ingress myingressresource
El recurso de Ingress se crea en el mismo proyecto que los servicios de app y sus apps se registran con el controlador de Ingress.
Paso 4: Acceder a la app desde Internet
En un navegador web, escriba el URL del servicio de la app al que va a acceder.
https://<domain>/<app1_path>
Si tiene varias apps expuestas, acceda a dichas apps cambiando la vía de acceso que se añade al final del URL.
https://<domain>/<app2_path>
Si utiliza un dominio comodín, acceda a dichas apps con sus propios subdominios.
http://<subdomain1>.<domain>/<app1_path>
http://<subdomain2>.<domain>/<app1_path>
¿No se puede conectar a la app a través de Ingress? Intente resolverlos consultando Resolución de problemas de Ingress.
Exposición pública de apps en clústeres de VPC solo con un punto final de servicio en la nube privado
Nube privada virtual
Si su clúster se ha creado en una infraestructura VPC y al crearlo sólo ha activado el punto final del servicio de nube privada, su clúster se creará por defecto sólo con un controlador de entrada privado. Para exponer las apps públicamente, primero debe crear un controlador de Ingress público. Luego debe registrar el controlador de Ingress con un subdominio y, si lo desea, importar su propio certificado TLS.
Paso 1: Desplegar apps y crear servicios de app
Empiece desplegando sus apps y crear servicios de Kubernetes para exponerlos.
-
Despliegue la app en el clúster. Asegúrese de añadir una etiqueta a su despliegue en la sección de metadatos del archivo de configuración como, por ejemplo,
app: code
. Esta etiqueta es necesaria para identificar todos los pods donde se ejecuta la aplicación para que los pods estén en el equilibrio de carga de Ingress. -
Para cada despliegue de app que desee exponer, cree un servicio
ClusterIP
de Kubernetes. El servicio de Kubernetes debe exponer la app para que se incluya en el equilibrio de carga de Ingress.
oc expose deploy <app_deployment_name> --name my-app-svc --port <app_port> -n <namespace>
Paso 2: Configurar la terminación TLS con certificados TLS y secretos de Kubernetes
El certificado TLS debe almacenarse como un secreto de Kubernetes en cada espacio de nombres donde existan las apps.
Secretos TLS para dominios de Ingress personalizados
Para utilizar un dominio que ha creado usted mismo, como por ejemplo un dominio que está registrado con un proveedor externo, consulte Configuración de secretos TLS para subdominios personalizados.
Secretos TLS para dominios de Ingress gestionados por IBM
Siga los pasos para configurar secretos TLS para el dominio de Ingress gestionado por IBM.
- Obtenga una lista de los subdominios existentes del clúster. En la columna Subdominio de la salida, copie el subdominio que tiene el valor de
000<n>
más alto.
En esta salida de ejemplo, el subdominioibmcloud oc nlb-dns ls --cluster <cluster_name_or_id>
mycluster-a1b2cdef345678g9hi012j3kl4567890-0002.us-south.containers.appdomain.cloud
tiene el valor de000<n>
más alto,0002
.Subdomain Load Balancer Hostname Health Monitor SSL Cert Status SSL Cert Secret Name mycluster-a1b2cdef345678g9hi012j3kl4567890-0000.us-south.containers.appdomain.cloud ["1234abcd-us-south.lb.appdomain.cloud"] None created mycluster-a1b2cdef345678g9hi012j3kl4567890-0000 mycluster-a1b2cdef345678g9hi012j3kl4567890-0001.us-south.containers.appdomain.cloud ["5678efgh-us-south.lb.appdomain.cloud"] None created mycluster-a1b2cdef345678g9hi012j3kl4567890-0001 mycluster-a1b2cdef345678g9hi012j3kl4567890-0002.us-south.containers.appdomain.cloud ["9012ijkl-us-south.lb.appdomain.cloud"] None created mycluster-a1b2cdef345678g9hi012j3kl4567890-0002
- En el subdominio que ha copiado, cambie el valor de
000<n>
en el subdominio por000<n+1>
. Por ejemplo, el valor del subdominiomycluster-a1b2cdef345678g9hi012j3kl4567890-0002.us-south.containers.appdomain.cloud
se cambia amycluster-a1b2cdef345678g9hi012j3kl4567890-0003.us-south.containers.appdomain.cloud
.n+1
indica el siguiente subdominio consecutivo que crea en este clúster. Registrará este subdominio en pasos posteriores. Al registrar el dominio, se genera automáticamente un secreto TLS para el dominio. El nombre del secreto sigue un formato truncado del subdominio, como por ejemplomycluster-a1b2cdef345678g9hi012j3kl4567890-0003
.
Paso 3: Crear y configurar un controlador de Ingress público
Después preparar el dominio y el certificado de TLS, debe crear un controlador de Ingress público y configurar el controlador con el dominio.
-
Cree un archivo de configuración para un controlador de Ingress público.
apiVersion: operator.openshift.io/v1 kind: IngressController metadata: name: public-ingress-controller namespace: openshift-ingress-operator spec: replicas: 2 domain: <domain> endpointPublishingStrategy: loadBalancer: scope: External type: LoadBalancerService
-
Cree el recurso de IngressController en el proyecto de
openshift-ingress-operator
del clúster. Cuando se crea IngressController, se crea automáticamente un controlador de Ingress público y se despliega en el proyecto deopenshift-ingress
en función de los valores de IngressController. Adicionalmente, se crea un servicio de controlador de Ingress para exponer al controlador de Ingress.oc create -f public-ingress-controller.yaml -n openshift-ingress-operator
-
Ejecute el mandato
oc get
y busque el nombre de host de VPC en el campo EXTERNAL IP del serviciorouter-public-ingress-controller
. En los clústeres de VPC, las direcciones IP externas de los servicios son no estáticas y se mantienen detrás de un nombre de host asignado por VPC.oc get svc router-public-ingress-controller -n openshift-ingress
Salida de ejemplo
NAME TYPE CLUSTER-IP EXTERNAL-IP PORT(S) AGE router-public-ingress-controller LoadBalancer 172.21.57.132 1234abcd-us-south.lb.appdomain.cloud 80/TCP,443/TCP,1940/TCP 3m
-
Registre el nombre de host de VPC del servicio con el dominio que ha elegido anteriormente.
- Dominio personalizado: trabaje con el proveedor de DNS para añadir el nombre de host de VPC del servicio
router-public-ingress-controller
como CNAME que se correlaciona con el dominio personalizado. - Dominio proporcionado por IBM: cree una entrada de DNS para el nombre de host de VPC del servicio
router-public-ingress-controller
. Cuando ejecute el siguiente mandato, el subdominio que ha especificado en el archivopublic-ingress-controller.yaml
se generará automáticamente y se registrará con el serviciorouter-public-ingress-controller
. Se genera automáticamente un secreto TLS para el dominio en el proyecto que especifique donde se ejecuta la app. El nombre del secreto sigue un formato truncado del subdominio, como por ejemplomycluster-a1b2cdef345678g9hi012j3kl4567890-0003
.ibmcloud oc nlb-dns create vpc-gen2 --cluster <cluster_name_or_ID> --lb-host <VPC_hostname> --secret-namespace <project>
- Dominio personalizado: trabaje con el proveedor de DNS para añadir el nombre de host de VPC del servicio
Paso 4: Crear el recurso de Ingress
Los recursos de Ingress definen las reglas de direccionamiento que el controlador de Ingress utiliza para direccionar el tráfico a su servicio de app.
-
Defina un archivo de configuración de recursos de Ingress que utilice el dominio proporcionado por IBM o su dominio personalizado para direccionar el tráfico de entrada de red a los servicios que ha creado anteriormente.
apiVersion: networking.k8s.io/v1 kind: Ingress metadata: name: myingressresource spec: tls: - hosts: - <subdomain> secretName: <custom_secret_name> rules: - host: <subdomain> http: paths: - path: /<app1_path> pathType: Prefix backend: service: name: <app1_service> port: number: 80 - path: /<app2_path> backend: service: name: <app2_service> port: number: 80
tls
-
- Si desea utilizar TLS, incluya esta sección TLS en el recurso.
- Sustituya
<domain>
por el subdominio. No utilice * para el host o deje la propiedad de host vacía para evitar anomalías durante la creación de Ingress. - Sustituya
<tls_secret_name>
por el secreto que ha creado anteriormente que contiene el certificado TLS y la clave para un dominio personalizado o el secreto TLS que se ha generado automáticamente para un subdominio proporcionado por IBM.
host
- Sustituya
<domain>
por el subdominio. Si el clúster tiene varios proyectos donde se exponen las apps, se necesita un recurso de Ingress por proyecto. Puede utilizar el mismo subdominio en cada recurso o distintos subdominios en cada recurso. Por ejemplo, si utiliza un dominio comodín, puede añadir un subdominio comodín al principio del dominio, como por ejemplosubdomain1.custom_domain.net
. No utilice * para el host o deje la propiedad de host vacía para evitar anomalías durante la creación de Ingress. path
- Sustituye '
<app_path>
' por la ruta en la que tu aplicación está escuchando. La vía de acceso se añade al dominio personalizado o proporcionado por IBM para crear una ruta exclusiva a su app. Cuando especifica esta ruta en un navegador web, el tráfico de la red se direcciona al controlador de Ingress. El controlador de Ingress busca el servicio asociado y envía el tráfico de red al servicio. A continuación, el servicio reenvía el tráfico a los pods en los que se ejecuta la app. Muchas aplicaciones no escuchan en una ruta específica, sino que utilizan la vía de acceso raíz y un puerto específico. En este caso, defina la vía de acceso raíz como/
y no especifique una vía de acceso individual para la aplicación. Por ejemplo, para utilizarhttp://domain/
, introduzca/
como ruta. Parahttp://domain/app1_path
, especifique/app1_path
como la vía de acceso. pathType
- El método de comparación de vías de acceso de URL. Los valores admitidos son
ImplementationSpecific
,Exact
oPrefix
. Para obtener más información y ejemplos de cada tipo de ruta, consulte la documentación de la comunidad Kubernetes. name
- Sustituya
<app1_service>
y<app2_service>
, y así sucesivamente, por el nombre de los servicios que ha creado para exponer las aplicaciones. Si sus apps están expuestas mediante servicios en diferentes proyectos en el clúster, incluya únicamente los servicios de app que se encuentran en el mismo proyecto. Debe crear un recurso de Ingress para cada proyecto donde tiene las apps que desea exponer. port
- El puerto en el que el servicio está a la escucha. Utilice el mismo puerto que ha definido al crear el servicio de Kubernetes para la app.
-
Cree el recurso de Ingress para el clúster. Asegúrese de que el recurso se despliega en el mismo proyecto que los servicios de apps que ha especificado en el recurso.
oc apply -f myingressresource.yaml -n <project>
-
Verifique que el recurso de Ingress se haya creado correctamente. Si los mensajes en los eventos describen un error en la configuración de su recurso, corrija los valores en su archivo de recursos y vuelva a aplicar el archivo para el recurso.
oc describe ingress myingressresource
El recurso de Ingress se crea en el mismo proyecto que los servicios de app y sus apps se registran con el controlador de Ingress.
Paso 5: Acceder a la app desde Internet
En un navegador web, escriba el URL del servicio de la app al que va a acceder.
https://<domain>/<app1_path>
Si tiene varias apps expuestas, acceda a dichas apps cambiando la vía de acceso que se añade al final del URL.
https://<domain>/<app2_path>
Si utiliza un dominio comodín, acceda a dichas apps con sus propios subdominios.
http://<subdomain1>.<domain>/<app1_path>
http://<subdomain2>.<domain>/<app1_path>
¿No se puede conectar a la app a través de Ingress? Intente resolverlos consultando Resolución de problemas de Ingress.
Exposición pública de apps que están fuera del clúster
Exponga las apps que están fuera de su clúster al público incluyéndolas en el equilibrio de carga de Ingress público. Las solicitudes públicas entrantes en el dominio personalizado o proporcionado por IBM se reenvían automáticamente a la app externa.
Antes de empezar, asegúrese de que se puede acceder a la aplicación externa que desea incluir en el equilibrio de carga del clúster mediante una dirección IP pública.
Para exponer al público aplicaciones que están fuera de su clúster, siga estos pasos.
-
Defina un archivo de configuración de servicios Kubernetes para la aplicación que expone el controlador Ingress. Este servicio reenvía las solicitudes de entrada a un punto final externo que creará en los siguientes pasos.
apiVersion: v1 kind: Service metadata: name: myexternalservice spec: ports: - protocol: TCP port: <app_port>
-
Cree el servicio en el clúster.
oc apply -f myexternalservice.yaml
-
Defina un archivo de configuración de punto final externo. Incluya todas las direcciones IP públicas y puertos que puede utilizar para acceder a la app externa. Tenga en cuenta que el nombre del endpoint debe ser el mismo que el nombre del servicio que creó en el paso anterior, por ejemplo, '
myexternalservice
.kind: Endpoints apiVersion: v1 metadata: name: myexternalservice subsets: - addresses: - ip: <external_IP1> - ip: <external_IP2> ports: - port: <external_port>
name
- Sustituya
<myexternalendpoint>
por el nombre del servicio de Kubernetes que ha creado anteriormente. ip
- Sustituya
<external_IP>
por las direcciones IP públicas que se utilizan para conectarse a la aplicación externa. port
- Sustituya
<external_port>
por el puerto donde escucha la aplicación externa.
-
Cree el punto final en el clúster.
oc apply -f myexternalendpoint.yaml
-
Continúe con el segundo paso en Exponer públicamente apps en clústeres de VPC solo con un punto final de servicio de nube privada o Exponer públicamente apps en clústeres con un punto final de servicio de nube pública.