如何通过 Kubernetes(k8s) 中的 Ingress 配置入口流量的路由？

为什么不考虑使用服务网格（如Istio）的Gateway资源来替代传统Ingress，或许能实现更细粒度的流量控制？

在Kubernetes中，通过Ingress配置入口流量路由需遵循以下步骤与实践经验：

1. Ingress Controller部署：选择并安装Nginx、Traefik等控制器。例如，使用Helm安装Nginx Ingress需注意资源限制及服务类型（如NodePort或LoadBalancer）。云环境中可能依赖云厂商的LB集成。

2. Ingress资源定义：通过YAML配置路由规则。关键字段包括host（域名）、http.paths（路径匹配）及backend.service（指向Service及端口）。路径匹配需谨慎设置pathType（Exact/Prefix），例如/api需设为Prefix以覆盖子路径，避免与根路径冲突。

3. TLS配置：将证书存入Secret并在Ingress中引用。常见问题包括证书过期或Secret未同步，可通过Cert-manager自动化Let's Encrypt证书管理。

实践中遇到的挑战：

• 路径优先级问题：较长路径需优先定义，否则被根路径覆盖。曾因路径顺序错误导致API路由失效，需通过kubectl describe ingress验证规则顺序。
• 多集群/命名空间路由：跨命名空间引用Service需确保Ingress Controller具备Cluster角色权限，否则报错no service found。
• 性能瓶颈：高并发场景下Nginx Ingress可能出现延迟，需调整worker-processes及keep-alive参数，并通过Prometheus监控QPS与延迟指标。
• Annotation差异：不同控制器对注解（如重写规则、超时）支持不一。例如，Nginx需用nginx.ingress.kubernetes.io/rewrite-target，而Traefik使用traefik.ingress.kubernetes.io/request-modifier。
• Canary发布复杂性：通过注解实现灰度发布时，流量权重分配可能受客户端持久连接影响，需结合Header匹配或Cookie策略增强精确性。

最佳实践建议：

• 标准化命名：为Host与Path定义清晰规则（如<service>.<env>.example.com），减少配置冲突。
• 自动化验证：在CI/CD中集成Conftest检查Ingress语法，防止无效配置入集群。
• 监控与日志：启用Ingress Controller的访问日志并设置结构化格式，便于ELK分析异常流量。
• 版本控制：定期升级Controller以修复CVE漏洞（如CVE-2021-25745），并通过Helm Chart版本回滚应对兼容性问题。

在k8s里配Ingress路由，其实就是创建一个Ingress资源文件，里面定义好域名和路径规则，把不同网址或路径的请求转到对应的Service。比如用nginx做控制器的话，先装好Ingress控制器，再写个yaml指定哪个域名下的请求转发到哪个服务，还可以加SSL证书。简单来说就是告诉Ingress：什么地址来的流量，该扔给哪个后端服务处理。