Traefik 路由规则及中间件 Traefik Middlewares 的配置
文章目录
!版权声明:本博客内容均为原创,每篇博文作为知识积累,写博不易,转载请注明出处。
系统环境:
- Traefik 版本:v2.2.0
- Kubernetes 版本:1.18.2
- 操作系统版本:CentOS 7.8
参考地址:
一、什么是 Traefik
Traefik 是一款开源的边缘路由器,现在本人主要要作用于 kubernetes 中对外的网关,即 Ingress 路由器,可以很轻松的配置其路由规则,让 Kubernetes 外部流量涌入。并且,还支持如 Zipkin、Jaeger 等链路追踪功能,简单好用。
二、什么是 Traefik 路由规则
首先,当部署完后启动 Traefik 时,定义了入口点(端口号和对应的端口名称),然后 Kubernetes 集群外部就可以通过访问 Traefik 服务器地址和配置的入口点对 Traefik 服务进行访问,在访问时一般会带上 "域名" + "入口点端口",然后 Traefik 会根据域名和入口点端口在 Traefik 路由规则表中进行匹配,如果匹配成功,则将流量发送到 Kubernetes 内部应用中与外界进行交互。这里面的域名与入口点与对应后台服务关联的规则,即是 Traefik 路由规则。
如何部署 Traefik 请参考地址:http://www.mydlq.club/article/72/
三、什么是 Traefik Middlewares 中间件
Traefik Middlewares 是一个处于路由和后端服务之前的中间件,在外部流量进入 Traefik,且路由规则匹配成功后,将流量发送到对应的后端服务前,先将其发给中间件进行一些列处理(类似于过滤器链 Filter,进行一系列处理),例如,添加 Header 头信息、鉴权、流量转发、处理访问路径前缀、IP 白名单等等,经过一个或者多个中间件处理完成后,再发送给后端服务,这个就是中间件的作用。
了解什么是 Traefik Middlewares 之前,最好先了解上面提到的 Traefik Ingress 路由规则。
四、如何配置 Traefik 路由规则
在 Kubernetes 中 Traefik 支持 CRD 和 Ingress 两种方式进行路由规则配置,这里配置 Http 和 Https 两种方式为例进行演示。
- (1)、配置 Traefik Dashboard 的 HTTP 路由规则为例,使用域名 traefik.mydlq.club 与其后端服务关联。
- (2)、配置 Kubernetes Dashboard 的 HTTPS 路由规则为例,使用域名 cloud.mydlq.club 与其后端服务关联。
注意:本人部署 Traefik 时候指定了 80 端口的进入点名称是 "web",而 443 端口的进入点名称为 "websecure",部署 traefik 时可能这个进入点名称不同,下面的路由规则中设置进入点也不一样,这点需要注意下。
1、方式一:使用 Traefik CRD 配置路由规则
基于 HTTP 路由路由规则:
1apiVersion: traefik.containo.us/v1alpha1
2kind: IngressRoute
3metadata:
4 name: traefik-dashboard-route
5spec:
6 entryPoints:
7 - web
8 routes:
9 - match: Host(`traefik.mydlq.club`)
10 kind: Rule
11 services:
12 - name: traefik
13 port: 8080
基于 HTTPS 路由路由规则
1apiVersion: traefik.containo.us/v1alpha1
2kind: IngressRoute
3metadata:
4 name: kubernetes-dashboard-route
5spec:
6 entryPoints:
7 - websecure
8 tls:
9 secretName: cloud-mydlq-tls
10 routes:
11 - match: Host(`cloud.mydlq.club`)
12 kind: Rule
13 services:
14 - name: kubernetes-dashboard
15 port: 443
2、方式二:使用 Kubernetes Ingress 配置路由规则
注意:使用该方式需要 Traefik 版本 ≥ 2.2
基于 HTTP 路由路由规则
1apiVersion: extensions/v1beta1
2kind: Ingress
3metadata:
4 name: traefik-dashboard-ingress
5 namespace: kube-system
6 annotations:
7 kubernetes.io/ingress.class: traefik
8 traefik.ingress.kubernetes.io/router.entrypoints: web ##指定 Traefik 中进入点
9spec:
10 rules:
11 - host: traefik.mydlq.club
12 http:
13 paths:
14 - path: /
15 backend:
16 serviceName: traefik
17 servicePort: 8080
基于 HTTPS 路由路由规则
1apiVersion: extensions/v1beta1
2kind: Ingress
3metadata:
4 name: kubernetes-dashboard-ingress
5 namespace: kube-system
6 annotations:
7 kubernetes.io/ingress.class: traefik
8 traefik.ingress.kubernetes.io/router.tls: "true" ##指定使用 tls 证书方式
9 traefik.ingress.kubernetes.io/router.entrypoints: websecure ##指定 Traefik 中进入点
10spec:
11 tls:
12 - secretName: cloud-mydlq-tls
13 rules:
14 - host: cloud.mydlq.club
15 http:
16 paths:
17 - path: /
18 backend:
19 serviceName: kubernetes-dashboard
20 servicePort: 443
五、如何配置 Traefik Middlewares
Traefik Middlewares 中间件是用于流量进入 Traefik 且通过定义的路由规则后,转发到对应后端服务前,在这期间对该流量进行加工的操作,它支持:
- 重试、压缩、缓冲、断路器
- header 管理、错误页、中间件链
- 服务限流、同一主机并发请求限制
- 基本认证、IP 白名单、摘要认证、转发鉴权验证
- regex 请求重定向、scheme 请求重定向、请求 URL 替换、regex 请求 URL 替换、删除 URL 前缀、regex 删除 URL 前缀、添加 URL 前缀
这里使用常用 Middleware 来进行演示配置中间件,示例如下:
1、去除请求路径前缀中间件
例如,有一个路由规则中配置的域名路径为 "{host}/one",traefik 进行路由规则进行流量转发时,也会带上这个前缀作为相对路径发送到后端服务中,而对后端服务来说,一般都是以 "/" 根路径作为相对路径的,如果带上这个路径到后端服务中,那么后端服务则变成以 "/one" 作为相对路径,显然,这样会导致状态码 404 错误。所以,很多时候我们需要去掉这个前缀。
使用去除前缀中间件去除前缀,方便配置一个域名多个二级路径这种需求,中间件写法如下:
1apiVersion: traefik.containo.us/v1alpha1
2kind: Middleware
3metadata:
4 name: test-stripprefix
5spec:
6 stripPrefix:
7 prefixes:
8 - /one
- prefixes:设置去除的 url 前缀。
2、正则表达式匹配去除请求路径前缀中间件
上面说了为什么去除前缀,也写了个去除前缀中间件,不过很多时候我们有这样一个需求,就是通过一个域名访问多个服务,这样易于统一服务的入口,而 traefik 中也提供了这种批量匹配去除前缀的功能,就是通过正则表达式方式批量匹配对应路径的前缀,然后去除,即 stripPrefixRegex 中间件。
使用正则表达式,只要正则表达式匹配成功就能将前缀去除,这样的好处就是可以多个路由规则使用该中间件进行去除前缀,方便配置通用的一个域名多个的二级路径这种需求,中间件写法如下:
1apiVersion: traefik.containo.us/v1alpha1
2kind: Middleware
3metadata:
4 name: test-stripprefixregex
5spec:
6 stripPrefixRegex:
7 regex:
8 - "/foo/[a-z0-9]+/[0-9]+/"
- prefixes:使用正则表达式匹配需要去除的 url 前缀。
3、转发鉴权验证中间件
在 traefik 中支持简单的第三方鉴权,当访问某个服务路由规则匹配后,则可以使用该转发鉴权验证中间件将请求转发到第三方服务进行鉴权。当第三方鉴权服务返回 Http 200 状态码 traeifk 则认为有权限访问后续服务,不拦截。如果鉴权服务返回非 200 状态码 traefik 认为无权访问,进行拦截。这种中间件的写法如下:
1apiVersion: traefik.containo.us/v1alpha1
2kind: Middleware
3metadata:
4 name: test-auth
5spec:
6 forwardAuth:
7 address: https://example.com/auth
8 trustForwardHeader: true
- address:将权限鉴定转发到第三方进行验证,设置转发的地址。
- trustForwardHeader:信任全部 X-Forwarded-* headers 信息。
更多中间件的使用方法可也查看 Traefik 官方文档 Middlewares 部分:https://docs.traefik.io/middlewares/overview/
六、Traefik 路由规则中如何使用 Traefik Middleware
上面演示了如何简单的配置 Traefik Middlewares,这里我们在路由规则中使用这些中间件,同样也是基于 CRD 和 Ingress 两种路由规则进行演示。
1、使用去除前缀中间件
(1)、创建去除前缀中间件
1apiVersion: traefik.containo.us/v1alpha1
2kind: Middleware
3metadata:
4 name: stripprefix-middleware ##设置中间件名称,要和路由规则中的名称一致
5 namespace: mydlqcloud ##指定 Namespace
6spec:
7 stripPrefix:
8 prefixes:
9 - /foo ##设置要去除的前缀
(2)、创建路由规则并使用中间件
CRD 方式:
1apiVersion: traefik.containo.us/v1alpha1
2kind: IngressRoute
3metadata:
4 name: test-route
5 namespace: mydlqcloud ##指定 Namespace
6spec:
7 entryPoints:
8 - web
9 routes:
10 - match: Host(`www.mydlq.club`) && PathPrefix(`/foo`)
11 kind: Rule
12 services:
13 - name: test-service
14 port: 80
15 middlewares:
16 - name: stripprefix-middleware ##指定使用的中间件
Ingress 方式:
1apiVersion: extensions/v1beta1
2kind: Ingress
3metadata:
4 name: test-ingress
5 namespace: mydlqcloud ##指定 Namespace
6 annotations:
7 kubernetes.io/ingress.class: traefik
8 traefik.ingress.kubernetes.io/router.entrypoints: web
9 ##指定使用的 Middleware,规则是 {namespace名称}-{middleware名称}@{资源类型}
10 traefik.ingress.kubernetes.io/router.middlewares: mydlqcloud-stripprefix-middleware@kubernetescrd
11spec:
12 rules:
13 - host: www.mydlq.club
14 http:
15 paths:
16 - path: /foo
17 backend:
18 serviceName: test-service
19 servicePort: 80
2、正则表达式去除前缀中间件
(1)、创建正则表达式去除中间件
1apiVersion: traefik.containo.us/v1alpha1
2kind: Middleware
3metadata:
4 name: regex-stripprefix-middleware
5 namespace: mydlqcloud
6spec:
7 stripPrefixRegex:
8 regex:
9 - ^/[a-zA-Z0-9-]+ ##设置正则表达式
(2)、创建路由规则并使用中间件
CRD 方式:
1## IngressRoute
2apiVersion: traefik.containo.us/v1alpha1
3kind: IngressRoute
4metadata:
5 name: test-route1
6 namespace: mydlqcloud
7spec:
8 entryPoints:
9 - web
10 routes:
11 - match: Host(`www.mydlq.club`) && PathPrefix(`/one`) ##路由规则1
12 kind: Rule
13 services:
14 - name: test-service1
15 port: 80
16 middlewares:
17 - name: regex-stripprefix-middleware
18 - match: Host(`www.mydlq.club`) && PathPrefix(`/two`) ##路由规则2
19 kind: Rule
20 services:
21 - name: test-service2
22 port: 80
23 middlewares:
24 - name: regex-stripprefix-middleware
Ingress 方式:
1## Ingress
2apiVersion: extensions/v1beta1
3kind: Ingress
4metadata:
5 name: test-ingress1
6 namespace: mydlqcloud
7 annotations:
8 kubernetes.io/ingress.class: traefik
9 traefik.ingress.kubernetes.io/router.entrypoints: web
10 traefik.ingress.kubernetes.io/router.middlewares: mydlqcloud-regex-stripprefix-middleware@kubernetescrd
11spec:
12 rules:
13 - host: www.mydlq.club
14 http:
15 paths:
16 - path: /one ##路由规则1
17 backend:
18 serviceName: test-service1
19 servicePort: 80
20 - path: /two ##路由规则2
21 backend:
22 serviceName: test-service2
23 servicePort: 80
3、转发鉴权验证中间件
(1)、创建转发鉴权中间件
1apiVersion: traefik.containo.us/v1alpha1
2kind: Middleware
3metadata:
4 name: authentication-middleware ##设置中间件名称
5 namespace: mydlqcloud ##指定 Namespace
6spec:
7 forwardAuth:
8 address: "http://auth-service/auth"
9 trustForwardHeader: true
(2)、创建路由规则并使用中间件
CRD 方式:
1## IngressRoute
2apiVersion: traefik.containo.us/v1alpha1
3kind: IngressRoute
4metadata:
5 name: test-route
6 namespace: mydlqcloud
7spec:
8 entryPoints:
9 - web
10 routes:
11 - match: Host(`www.mydlq.club`) && PathPrefix(`/foo`)
12 kind: Rule
13 services:
14 - name: test-service
15 port: 80
16 middlewares:
17 - name: authentication-middleware
Ingress 方式:
1## IngressRoute
2apiVersion: extensions/v1beta1
3kind: Ingress
4metadata:
5 name: test-ingress
6 namespace: mydlqcloud
7 annotations:
8 kubernetes.io/ingress.class: traefik
9 traefik.ingress.kubernetes.io/router.entrypoints: web
10 traefik.ingress.kubernetes.io/router.middlewares: mydlqcloud-authentication-middleware@kubernetescrd
11spec:
12 rules:
13 - host: www.mydlq.club
14 http:
15 paths:
16 - path: /foo
17 backend:
18 serviceName: test-service
19 servicePort: 80
七、Traefik 路由规则中使用多个 Traefik Middlewares
这里再演示一下使用一个路由中如何使用两个中间件,使用去除路径前缀与鉴权配合:
1、创建转发鉴权与去除前缀中间件
1## Middleware1
2apiVersion: traefik.containo.us/v1alpha1
3kind: Middleware
4metadata:
5 name: authentication-middleware ##设置中间件名称
6 namespace: mydlqcloud ##指定 Namespace
7spec:
8 forwardAuth:
9 address: "http://auth-service/auth"
10 trustForwardHeader: true
11---
12## Middleware2
13apiVersion: traefik.containo.us/v1alpha1
14kind: Middleware
15metadata:
16 name: regex-stripprefix-middleware
17 namespace: mydlqcloud
18spec:
19 stripPrefixRegex:
20 regex:
21 - ^/[a-zA-Z0-9-]+ ##设置正则表达式
2、创建路由规则并使用中间件
CRD 方式:
1## IngressRoute
2apiVersion: traefik.containo.us/v1alpha1
3kind: IngressRoute
4metadata:
5 name: test-route
6 namespace: mydlqcloud ##指定 Namespace
7spec:
8 entryPoints:
9 - web
10 routes:
11 - match: Host(`www.mydlq.club`) && PathPrefix(`/foo`)
12 kind: Rule
13 services:
14 - name: test-service
15 port: 80
16 middlewares:
17 - name: authentication-middleware ##指定使用的中间件1
18 - name: regex-stripprefix-middleware ##指定使用的中间件2
Ingress 方式:
1## IngressRoute
2apiVersion: extensions/v1beta1
3kind: Ingress
4metadata:
5 name: test-ingress
6 namespace: mydlqcloud ##指定 Namespace
7 annotations:
8 kubernetes.io/ingress.class: traefik
9 traefik.ingress.kubernetes.io/router.entrypoints: web
10 ##指定使用的 Middleware,规则是 {namespace名称}-{middleware名称}@{资源类型},如果使用多个中间件,则逗号隔开
11 traefik.ingress.kubernetes.io/router.middlewares: mydlqcloud-authentication-middleware@kubernetescrd,mydlqcloud-regex-stripprefix-middleware@kubernetescrd
12spec:
13 rules:
14 - host: www.mydlq.club
15 http:
16 paths:
17 - path: /foo
18 backend:
19 serviceName: test-service
20 servicePort: 80
到此 Traefik 路由规则和中间件配置介绍完毕,可以访问 Traefik 官方文档 了解更多相关知识 。
---END---
!版权声明:本博客内容均为原创,每篇博文作为知识积累,写博不易,转载请注明出处。