如何在Kubernetes(k8s)集群中配置和管理Ingress Controller？

在k8s里配Ingress Controller，简单说就是先选个控制器（比如Nginx或Traefik），用Helm或者yaml文件安装到集群。然后写Ingress规则定义域名、路径转发到对应服务，记得配TLS证书的话要提前存成Secret。日常用kubectl就能管理，出问题看控制器日志，更新配置直接apply新yaml就行。别忘开防火墙端口（比如80/443）让流量进来！

1. 选择Ingress Controller：根据需求选择Nginx、Traefik等主流控制器，推荐使用与云平台兼容的版本（如AWS ALB、GKE Ingress）。

2. 部署Ingress Controller：

   # 以Nginx为例，通过Helm快速部署
   helm repo add ingress-nginx https://kubernetes.github.io/ingress-nginx
   helm install ingress-nginx ingress-nginx/ingress-nginx --namespace ingress-nginx --create-namespace

3. 验证安装：

   kubectl get pods -n ingress-nginx  # 检查Pod状态
   kubectl get service ingress-nginx-controller -n ingress-nginx  # 获取外部IP/LB地址

4. 配置Ingress资源：

   apiVersion: networking.k8s.io/v1
   kind: Ingress
   metadata:
    name: example-ingress
   spec:
    rules:
    - host: app.example.com
      http:
        paths:
        - path: /
          pathType: Prefix
          backend:
            service:
              name: my-service
              port:
                number: 80

5. TLS证书配置：

   kubectl create secret tls my-tls-secret --cert=path/to/cert --key=path/to/key
   # 在Ingress资源中引用secret
   spec:
    tls:
    - hosts:
      - app.example.com
      secretName: my-tls-secret

6. 维护与更新：

   • 升级版本：helm upgrade ingress-nginx ingress-nginx/ingress-nginx
   • 监控日志：kubectl logs -n ingress-nginx deploy/ingress-nginx-controller
   • 故障排查：检查Events（kubectl describe ingress <name>）及控制器日志

在Kubernetes集群中配置和管理Ingress Controller需遵循以下步骤：

1. 选型：根据需求选择Nginx、HAProxy、Traefik等控制器，云厂商（如AWS ALB、GCP）提供托管方案。
2. 安装：
   • 通过Helm快速部署（如helm install ingress-nginx）
   • 使用原生YAML文件（需配置Deployment、Service等资源）
3. 配置：
   • 定义Ingress资源指定路由规则、TLS证书和路径映射
   • 通过Annotations实现高级功能（如限流、重定向）
4. 证书管理：集成Cert-Manager自动化Let's Encrypt证书申请与续签
5. 高可用：
   • 部署多副本+反亲和性策略
   • 云环境结合LoadBalancer Service分配公网IP
6. 监控：暴露Prometheus指标，配置Grafana仪表盘跟踪请求量/延迟/错误率
7. 更新策略：采用滚动更新机制，通过Readiness Probe确保零宕机
8. 安全加固：限制Ingress Controller的RBAC权限，启用WAF防护Web攻击

故障排查时重点关注控制器日志（kubectl logs <pod>）及Ingress资源的Events信息。

在Kubernetes中配置和管理Ingress Controller需遵循以下实践：

1. 选型与部署

   • 根据场景选择Nginx、Traefik或云厂商定制Controller，生产环境建议使用Helm部署（例：helm install ingress-nginx）。需注意暴露Service类型（LoadBalancer/NodePort），AWS中需关联ALB注解。

2. 路由与TLS配置

   • 通过Ingress资源定义主机路径规则，示例配置需包含spec.rules.host及paths.backend。证书管理推荐集成cert-manager实现自动签发，通过tls.secretName关联Let's Encrypt证书。

3. 性能优化

   • 高并发场景需调整Nginx参数：worker_processes设为CPU核数，keepalive连接数提升至1024。通过HPA设置CPU阈值自动扩容，并启用metrics-server监控。

4. 监控与日志

   • Prometheus采集nginx_ingress_requests_total等指标，Grafana配置QPS/延迟仪表盘。启用JSON格式访问日志并接入EFK栈，关键字段包含upstream_response_time。

实践挑战与解决方案：

• 证书更新中断：cert-manager 0.15+版本使用CertificateRequest API避免服务波动。
• 多团队路由冲突：通过metadata.annotations添加团队标识，结合NetworkPolicy隔离命名空间流量。
• 大规模路由性能：超过2000条路由时，禁用Nginx Ingress的enable-dynamic-configuration减少reload次数。
• 混合云兼容性：在跨集群场景中，采用Contour的Multi-Broker机制统一入口策略管理。

关键运维原则：通过GitOps实现Ingress配置版本化，定期执行kubectl ingress-nginx backend检查配置一致性，并监控ingress_controller_ssl_expire_time预防证书过期。