入口控制器 NodePort 无法从外部访问

Question

我有一个 3 个 vm 的集群，我在上面安装了 kubernetes 并部署了一些我希望从外部访问的 pod 和服务（例如我的本地电脑）

我按照本教程https://kubernetes.github.io/ingress-nginx/deploy/#bare-metal 安装了我的入口控制器。 我创建了一个 NodePort 类型的服务。 我创建了一个如下所示的入口：

apiVersion: extensions/v1beta1
kind: Ingress
metadata:
  name: test-ingress
  annotations:
      kubernetes.io/ingress.class: nginx
spec:
  rules:
  - host: my.service.com
    http:
      paths:
      - path: /
        backend:
          serviceName: myservice
          servicePort: 9090

kubectl get svc myservice 给我：

NAME        TYPE       CLUSTER-IP        EXTERNAL-IP   PORT(S)          AGE
myservice   NodePort   xxx.xxx.xxx.xxx   <none>        9090:31220/TCP   47m

kubectl get ingress test-ingress给我

NAME            HOSTS            ADDRESS          PORTS   AGE
test-ingress    my.service.com   xx.xxx.xxx.xxx   80      49m

在我的本地计算机上，我已添加到 /etc/hosts 我已将入口的 IP 地址映射到名称 my.service.com 当我尝试 ping my.service.com 或直接 ip 我去请求超时 100% 丢包。 我尝试使用网络浏览器访问我的服务可视化界面，但它也不起作用。

如何进一步调查为什么我无法从集群外部访问我的服务？

Answer 1

您的防火墙可能存在问题。检查防火墙规则是否阻止从外部访问该端口。

您还应该在部署入口控制器时从您创建的服务的 NodePort 访问该服务。

同时编辑您的入口并添加带有my.service.com 的自签名证书的 tls 和 hosts 属性

apiVersion: extensions/v1beta1
kind: Ingress
metadata:
  name: test-ingress
  annotations:
      ingress.kubernetes.io/rewrite-target: /
      kubernetes.io/ingress.class: nginx
spec:
  tls:
  - hosts:
    - my.service.com
    secretName: tls-secret-for my service
  rules:
  - host: my.service.com
    http:
      paths:
      - path: /
        backend:
          serviceName: myservice
          servicePort: 9090

Answer 2

无法ping Kubernetes 服务 IP。

服务的 IP 是虚拟 IP，因此它们不可 ping。
要测试您的入口，您应该尝试使用 curl 访问您的服务。

Answer 3

您应该能够使用设置为 www.my.service.com 的主机标头进行 curl

curl --verbose --header 'Host: www.my.service.com' http://nodeip:nodeport/