具有静态 IP 和自定义证书/AKS 入口问题的 AKS

Question

好吧，在过去的 2 天里，我一直在与这份文档作斗争：

https://docs.microsoft.com/en-au/azure/aks/static-ip 和 https://docs.microsoft.com/en-au/azure/aks/ingress-own-tls

首先，我确保我的 aks k8s 集群已升级到 1.11.5，因此在不同的资源组中拥有静态 IP 毫无疑问。

总的来说，我无法让静态 IP 真正发挥作用。动态的一切听起来都很好，但我无法为动态 IP 添加 A 记录。

我设法成功部署了所有内容，但是任何 curl ip.. 都不起作用。我确实在本地运行了 exec -ti，并且在本地一切都很好。

有人可以指点我运行此配置的 GitHub 配置或文章吗？作为免责声明，我非常了解 azure，服务主体的任务也做得很好，等等。但是，我是新手，在 k8s 上只有几个月。

提前感谢您的任何建议。

如果需要，我可以共享日志，但我相信我确实检查了从 dns 到入口路由的所有内容。我担心这个文档不好，我只是在浪费时间。

Answer 1

在经历了相当长的一段旅程之后回答自己这个问题，因为当我变老并且我忘记了我所做的事情时，也许有一天我的侄子会节省一些时间。

1. 首先，这很重要：

在提供给 nginx-ingress 图表模板的值中，有 2 个注解很重要：

service.beta.kubernetes.io/azure-load-balancer-resource-group: "你的 IP 的资源组" externalTrafficPolicy: "本地"

以下是记录的所有值：https://github.com/helm/charts/blob/master/stable/nginx-ingress/values.yaml

图表可以部署在您服务的命名空间附近，它不应该在 kube-system 中（据我目前的知识，我找不到将它放在系统中的理由）。

1. 第二，可能会产生误导

从 IP 出现在 kubectl get services --watch 中的那一刻到 curl -i IP 能够接听电话的那一刻，有大约 30+ 秒的延迟（在我的情况下）。因此，如果您有自动化或运行状况探测，请确保您有 1 到 2 分钟的等待时间。或者可能采用更好的节点、裸机。

1. 查看 GCE 和 DO 的相同设置可能会有所帮助： https://cloud.google.com/community/tutorials/nginx-ingress-gke https://www.digitalocean.com/community/tutorials/how-to-set-up-an-nginx-ingress-with-cert-manager-on-digitalocean-kubernetes DO的人也写得很好。

祝你好运！

Answer 2

根据您的 cmets，您似乎正在尝试覆盖 externalIPs，但使用 controller.service.type 的舵图的默认值 LoadBalancer。您可能想要做的是将controller.service.type 保留为LoadBalancer 并将controller.service.loadBalancerIP 设置为您的静态IP，而不是覆盖externalIPs。

这里有一些documentation from microsoft。