---

title: Kubernetes Ingress Controller与流量治理实践

keywords:

• Ingress
• NGINX Ingress
• Traefik
• 路由规则
• TLS
• 重试与超时
• 速率限制
• 灰度
• 观测性
• 验证

description: 基于 Ingress Controller 构建入口路由与流量治理，配置TLS与路由、超时与重试、限流与灰度，并提供可验证的策略与监控方法。

date: 2025-11-25

categories:

• 文章资讯
• 技术教程

---

概述

Ingress Controller（如 NGINX/Traefik）为集群提供入口路由，结合 TLS 与策略实现流量治理。本文给出路由与安全、重试与超时、限流与灰度配置与验证方法。

路由与TLS（已验证）

• Host/Path 路由：按域名与路径将流量分发至后端；
• TLS：为入口配置证书与强制 HTTPS；
• 重定向与头部：规范化 X-Forwarded-* 与安全头部。

超时与重试

• 请求超时与后端连接超时；
• 幂等 GET 重试与指数退避；

限流与灰度

• 速率限制：按 IP/路径/租户维度限制；
• 灰度：按权重或头部路由至新版本；

示例（片段）

apiVersion: networking.k8s.io/v1
kind: Ingress
metadata:
  name: web
  annotations:
    nginx.ingress.kubernetes.io/proxy-read-timeout: "30"
    nginx.ingress.kubernetes.io/limit-rpm: "120"
spec:
  tls:
    - hosts: ["example.com"]
      secretName: tls-secret
  rules:
    - host: example.com
      http:
        paths:
          - path: /api
            pathType: Prefix
            backend:
              service:
                name: api
                port:
                  number: 8080

观测与验证

• 指标：入口延迟分位、错误率、限流触发；
• 日志：请求源、路由命中与重试记录；
• 演练：灰度权重调整与失败回退；

常见误区

• 未配置 TLS 与安全头部；
• 全局限流未区分关键接口；
• 超时与重试不合理导致雪崩。

结语

以规范的路由与TLS、合理的超时与重试、精细化限流与灰度，并以观测与演练验证，Ingress Controller 可实现可靠入口治理。