Kubernetes Ingress 最佳实践与流量管理

概览与核心价值Ingress 负责集群入口流量的路由与安全控制。合理的 Controller 选择与路由/TLS/灰度策略配置，能显著提升对外服务的可用性与可维护性。核心概念Ingress Controller：如 `Nginx`、`Traefik`、`Contour`，提供路由与负载能力路由策略：Host/Path 路由、正则重写、优先级与默认后端安全：TLS 终止、HTTP→HTTPS 强制跳转示例：Nginx Ingress 路由与 TLSapiVersion: networking.k8s.io/v1

kind: Ingress

metadata:

name: web-ingress

annotations:

nginx.ingress.kubernetes.io/rewrite-target: /$1

nginx.ingress.kubernetes.io/ssl-redirect: "true"

spec:

tls:

- hosts:

- example.com

secretName: tls-secret

rules:

- host: example.com

http:

paths:

- path: /api/?(.*)

pathType: Prefix

backend:

service:

name: api

port:

number: 8080

- path: /web

pathType: Prefix

backend:

service:

name: web

port:

number: 80

灰度与流量管理借助 `canary` 注解实现灰度：metadata:

annotations:

nginx.ingress.kubernetes.io/canary: "true"

nginx.ingress.kubernetes.io/canary-weight: "10"

参数与验证环境：`Kubernetes v1.28`、`Nginx Ingress v1.9+`。验证点：TLS 终止与强制跳转生效（HTTP 请求重定向至 HTTPS）路由重写正确（`/api/foo` → 目标服务 `/foo`）灰度 10% 权重命中与日志可观测最佳实践选择稳定版本的 Controller，并开启访问日志为外部入口配置 `LoadBalancer` 与健康检查使用 `NetworkPolicy` 控制东西向访问结论通过 Ingress 的路由/TLS/灰度策略，可在保证安全性的前提下实现灵活的入口流量管理，配置可复用与可验证。