kubesphere3.4.0配置网关转发tcp和udp流量

molingcfs

https://github.com/kubesphere/kubesphere/pull/5445

在关注kubesphere3.3.2和3.4.0的更新时都看到了hongzhouzi 大佬提交的网关支持tcp和udp流量转发，之前就一个很想要这个功能，因为集群中部分业务应用是需要支持tcp连接的，以及部署的redis和mysql等中间件也想用网关接入。

https://kubernetes.github.io/ingress-nginx/user-guide/exposing-tcp-udp-services/

ingress-nginx官方是支持tcp和udp流量转发的，只需要修改部分配置即可，但kubesphere的网关是经过魔改的，论坛精华帖KubeSphere 网关的设计与实现(解读)上详解了，下面评论有用户询问是否支持tcp流量转发，作者回复是目前还没有实现这个。需要调整 gateway CRD 结构和代码才可以。现在已经支持这个功能了，就根据我的实验和请教hongzhouzi 大佬，写一篇应用过程。

我测试的kubesphere版本是最新的3.4.0，理论上3.3.2应该也可以。

一，部署openelb

新建openelb项目，打开kubesphere应用商店，搜索openelb，我安装的是0.4.4版本，最新版好像是支持新的vip模式，我暂时没研究，用着layer2模式，但是这个模式我在使用过程也发现一个问题，需要在所有节点都部署ingress实例，不然他有时会无法转发请求。

配置文件方面，可以指定调度到基础设施节点，也可以默认

创建负载均衡的虚拟IP

openelb.yaml

apiVersion: network.kubesphere.io/v1alpha2

kind: Eip

metadata:

 name: eip-pool

spec:

address: 192.168.0.209 

protocol: layer2 

interface: eth0

name，可以起一个名字，后续启用网关需要配置这个参数

address，是负载均衡的IP，选一个同网段没有使用的IP，后续ingress流量都会接入这个IP

interface，这里配置是你机器网卡的名称，用ifconfig命令查看下

kubectl apply -f openelb.yaml -n openelb

可以看到有这个eip了。

二，启用集群网关

平台管理，集群设置，集群网关，选择loadbalancer，负载均衡器提供商选择openelb，注解加上这三个参数，对应上个步骤设置好的openelb

lb.kubesphere.io/v1alpha1: openelb

protocol.openelb.kubesphere.io/v1alpha1: layer2

eip.openelb.kubesphere.io/v1alpha2: eip-pool

三，修改gateway配置

重点来了，之前3.3.2和3.4.0版本我都尝试过按hongzhouzi 大佬的配置，始终没有生效，在和hongzhouzi 大佬邮件交流的过程排查出来，原因是官方发行的这两个分支没有合并hongzhouzi 大佬提交的gateway CRD代码，配置没有生效。所以需要先更新gateway CRD。

可以在master节点直接执行这个命令

kubectl apply -f https://github.com/kubesphere/kubesphere/raw/master/config/ks-core/crds/gateway.kubesphere.io_gateways.yaml

倘若网络不好可以将https://github.com/kubesphere/kubesphere/raw/master/config/ks-core/crds/gateway.kubesphere.io_gateways.yaml的内容复制到本地yaml文件中，然后再应用

我就是复制内容到gateway.yaml文件然后应用。

更新完gateway后，就可以在kubesphere页面配置了，定制资源定义搜索gateway，编辑yaml

在controller部分添加tcp的配置，格式可以参考官方文档https://kubernetes.github.io/ingress-nginx/user-guide/exposing-tcp-udp-services/

应用后可以在kubesphere-controls-system项目的service，kubesphere-router-kubesphere-system看到已经开启了tcp6379端口。

四，验证tcp连接

我也简单在应用商店部署了单节点的redis作为测试，在redis项目创建应用路由，指定redis的service。

可以在域名添加解析记录，将域名指向这个IP，也可以直接在本地修改hosts配置。

使用Another Redis Desktop Manager软件连接域名:端口

可以看到连接成功，新建两个键也是没有问题的。

最后说一个ingress的小应用吧

在集群的负载均衡中，需要配置不同的域名，例如你有ceshi.cn这个域名，那么就可以添加一条*.internal的解析记录，记录到负载均衡的IP上，后续项目中不同的应用只需要配置不同的ingress

例如admin.internal.ceshi.cn

web.internal.ceshi.cn

tcp的连接

redis.internal.ceshi.cn:6379

mysql.internal.ceshi.cn:3306

流量都会经过负载均衡。

1093626742

lld

3.4.1还需要执行这个吗？：

kubectl apply -f (https://github.com/kubesphere/kubesphere/raw/master/config/ks-core/crds/gateway.kubesphere.io_gateways.yaml)

molingcfs

lld 3.4.1版本已经合并了tcp转发的代码了，不用执行这个命令了

lld

molingcfs 项目网关也支持转发tcp流量吗？因为我是在项目网关上配置的，并没有生效，所以有疑问。

molingcfs

lld 有一个用户也是用的项目网关，当时和他排查过，并不支持

alilang

什么时候界面上直接支持tcp 转发配置啊，这个方式有些场景不行

molingcfs

alilang 估计要很久，没听到官方有这方面的计划

klj890

使用nginx ingress配置tcp或者udp转发，还不如直接NodePort。
特别是生产环境中，需要修改nginx的全局设置，这个对运维来说很不友好，比如项目下面有多个服务，你修改了全局变量，对其他项目可能造成影响。
还是用nodeport+LB暴露更简单

molingcfs

klj890 是的，大部分情况下不会这样用，只是会有k8s集群内的容器需要通过tcp连接场景，这个方案刚好可以解决

dongxiao

你好，请问，一定需要安装openelb吗？

molingcfs

dongxiao 不一定的，负载均衡服务都可以，开源的还有metallb