首页
学习
活动
专区
圈层
工具
发布
首页
学习
活动
专区
圈层
工具
MCP广场
社区首页 >专栏 >TKE上nginx-ingress如何配置7层接入WAF

TKE上nginx-ingress如何配置7层接入WAF

原创
作者头像
聂伟星
发布于 2022-11-01 09:44:28
发布于 2022-11-01 09:44:28
1.3K0
举报

使用tke的接入层组件时候,很多时候会用到nginx-ingress,并且为了网站安全,很多时候会需要将域名接入到waf,但是waf只支持clb的7层监听接入https://cloud.tencent.com/document/product/627/40765

nginx-ingress是通过一个4层的clb类型service作为接入口,然后在nginx-ingress controller来实现7层的转发,这样就clb就无法接入waf了,其实要想nginx-ingress接入waf,还是有很多方法,下面我们说说如何将nginx-ingress来接入waf。

其实nginx-ingress接入waf,只需要将入口clb改成7层监听就行。下面我们说说如何来将入口clb改成7层监听。

1. 自建clb绑定nodeport端口

首先我们将nginx-ingress实例自动创建的service,改成nodeport类型,因为现在clb收费了,如果service再使用clb类型,会产生一定的费用。然后手动新建一个clb实例,在clb创建监听绑定到后端节点nodeport。

绑定成功后,nginx-ingress的接入clb就变成7层监听了,然后就可以将clb接入waf了。

这里有一个问题,因为clb是手动创建,监听也是手动绑定的后端节点,clb的管理脱离了集群的service-controller,这样如果集群新增节点,节点不会自动加入到clb监听里。

2. 配置clb类型的ingress转发到后端controller

如果第一种方案无法满足你的需求,你可以通过tke自带的ingress来创建clb的7层监听,首先我们还是参考上面,将nginx-ingress实例自动创建的service,改成nodeport类型,如果是vpc-cni网络模式,也可以改成clusterip类型,创建ingress选择直连就行。

然后创建ingress绑定到后端的service上

创建后之后,会新建一个clb,并创建80和443的7层监听端口,如果后端节点或者pod有数量变化,这里会自动加入到监听里面,创建好之后,将clb接入到waf即可

原创声明:本文系作者授权腾讯云开发者社区发表,未经许可,不得转载。

如有侵权,请联系 cloudcommunity@tencent.com 删除。

原创声明:本文系作者授权腾讯云开发者社区发表,未经许可,不得转载。

如有侵权,请联系 cloudcommunity@tencent.com 删除。

评论
登录后参与评论
暂无评论
推荐阅读
编辑精选文章
换一批
Nginx Ingress on TKE 部署最佳实践
开源的 Ingress Controller 的实现使用量最大的莫过于 Nginx Ingress 了,功能强大且性能极高。Nginx Ingress 有多种部署方式,本文将介绍 Nginx Ingress 在 TKE 上的一些部署方案,这几种方案的原理、各自优缺点以及一些选型和使用上的建议。
imroc
2020/08/07
1.4K0
TKE上服务暴露的几种方式
预备知识 1. K8S 上 Service 类型 平台相关基础知识 2. TKE 上四层网络流量暴露方式 3. TKE 上七层网络流量暴露方式 4. TKE 上的 VPC-CNI 5. TKE 上 CLB 直通 Pod 6. TKE 使用已有负载均衡器 7. TKE 使用内网负载均衡器 8. TKE 部署 Nginx Ingress 实际业务场景中最佳实践 1. 对集群内暴露流量 1.1 四层协议 1.2 七层协议 2. 对集群外暴露流量 2.1 七层协议 2.2 四层协议 2.3 端口段规则 2.4 使用Istio
sherlock99
2020/09/07
2K0
TKE上服务暴露的几种方式
容器服务 TKE 上服务暴露的几种方式
作者刘飞鸿,腾讯游戏高级工程师,热衷于开源、云计算相关技术。目前主要负责腾讯游戏后台架构设计和运维工作。 预备知识 1. K8S 上 Service 类型 ClusterIP 通过集群的内部 IP 暴露服务,选择该值,服务只能够在集群内部可以访问,这也是默认的 ServiceType。 NodePort 通过每个 Node 上的 IP 和静态端口(NodePort)暴露服务。NodePort 服务会路由到 ClusterIP 服务,这个 ClusterIP 服务会自动创建。通过请求:,可以从集群的外部访问
腾讯云原生
2020/09/14
2.1K0
如何在TKE集群玩转nginx-ingress
kubernetes Ingess 是有2部分组成,Ingress Controller 和Ingress服务组成,常用的Ingress Controller 是ingress-nginx,工作的原理是:
keepyan
2019/12/16
2.5K2
如何在TKE集群玩转nginx-ingress
nginx ingress 如何使用 7 层负载均衡
当前 nginx ingress 在云 CLB 接入的时候,使用了 4 层的 CLB 侦听,这样本身是合理的。但有些云产品功能却无法在四层下工作,如:证书绑定,WAF 等。
谢正伟
2021/11/15
1.6K0
nginx ingress 如何使用 7 层负载均衡
TKE集群CLB 回环问题总结
使用 TKE 的内部和外部客户,经常会遇到因 CLB 回环问题导致服务访问不通或访问 Ingress 几秒延时的现象,本文就此问题介绍下相关背景、原因以及一些思考与建议。
聂伟星
2021/02/05
4.8K1
TKE使用自带nginx-ingress组件实现tcp/udp转发
在TKE内将服务直接通过端口暴露到外网,可以使用CLB类型service,或者nginx-ingress方式实现,最近处理问题时遇到用户需要将ingress跟service同时使用nginx-ingress方式暴露,不想额外使用CLB,这里就涉及到通过nginx-ingress组件暴露四层TCP/udp的问题
程哲
2022/03/06
2.2K0
在k8s中获取客户端真实IP实践
当需明确服务请求来源以满足业务需求时,则需后端服务能够准确获取请求客户端的真实源 IP。例如以下场景:
chen1900s
2022/07/17
7.3K0
TKE基于弹性网卡直连Pod的网络负载均衡
作者周宏宇,后台开发,目前负责腾讯云TKE的接入层网络组件(Ingress、Service)。在团队中负责接入层组件的技术方案、开发测试以及相关的服务技术支持。 前言 Kubernetes在集群接入层设计并提供了两种原生资源Service和Ingress,分别负责四层和七层的网络接入层配置。 传统的做法是创建Ingress或LoadBalancer类型的Service来绑定腾讯云的负载均衡将服务对外暴露。这种做法将用户流量负载到用户节点的NodePort上,通过KubeProxy组件转发到容器网络中,但这种
腾讯云原生
2022/04/14
2.6K0
TKE基于弹性网卡直连Pod的网络负载均衡
安装nginx-ingress(上)
An API object that manages external access to the services in a cluster, typically HTTP.
虚心学习
2020/01/15
3.2K0
kubernetes系列教程(十八)TKE中实现ingress服务暴露
上一篇文章中介绍了基于Nginx实现Ingress Controller的实现,介绍了Nginx Ingress Controller安装、相关功能,TLS,高级特性等介绍,本章开始介绍基于腾讯云TKE实现ingress服务暴露。
HappyLau谈云计算
2020/01/03
3.8K0
kubernetes系列教程(十八)TKE中实现ingress服务暴露
通过nginx-ingress做tcp\udp 4层网络转发
k8s集群通过nginx-ingress做tcp\udp 4层网络转发 集群是TKE集群
chen1900s
2023/10/06
3.1K0
tke中如何通过clb类型ingress转发集群内和集群外服务
最近接到很多用户在将服务迁移到tke的时候遇到一个问题,那就是我的服务以前是部署在集群外的cvm上,但是现在我将一部分迁移到了tke,现在我需要用一个同一个的入口来提供访问。
聂伟星
2022/03/18
1.3K0
nginx-ingress使用(下)
上文已对nginx-ingress进行相关组件安装部署,可以根据实际需求进行定义Ingress资源来实现七层负载转发了。
虚心学习
2020/01/15
1.3K0
tke集群nginx-ingress无法reload全局配置
使用nginx-ingress的时候,我们需要加一些nginx的全局配置,一般都是加到nginx-ingress-controller启动参数指定的configmap下
聂伟星
2022/07/05
1.5K1
TKE部署kubernetes-dashboard
基于已经创建好的Kubernetes集群进行部署Kubernetes-dashboard
chen1900s
2022/10/18
8840
腾讯云TKE-Ingress案例: TKE-Ingress与Nginx-Ingress共存
用户场景: 既想使用腾讯云TKE Ingress的能力又想使用Nginx-Ingress的能力, 多个入口,不同的controller监听不同的带有kubernetes.io/ingress.class annotations 标签的资源. 架构图如下:
朱瑞卿
2020/10/24
2.1K0
腾讯云TKE-Ingress案例: TKE-Ingress与Nginx-Ingress共存
TKE操作指南 - 部署wordpress 容器服务下(十一)
在进行wordpress Deployment的访问设置之前,我们先介绍TKE 容器化业务的访问方式!
亮哥说TKE
2019/08/06
1.4K0
TKE nginx-ingress实例禁用HPA参考
TKE容器服务,支持用户部署nginx-ingress 实例来实现7层的负载均衡。创建实例时,如果用户选择自定义Deployment+HPA部署,平台侧会自动下发一个HPA对象,来自动伸缩nginx控制器副本。
白鹏飞
2023/06/14
4910
TKE/EKS集群通过logrotate切割nginx-ingress访问日志
Nginx-ingress 是使用 Nginx 作为反向代理和负载平衡器的 Kubernetes 的 Ingress 控制器,容器服务 TKE 提供了产品化的能力,可以直接在集群内安装和使用 Nginx-ingress,具体可以参考文档https://cloud.tencent.com/document/product/457/50503
聂伟星
2022/12/15
2K1
相关推荐
Nginx Ingress on TKE 部署最佳实践
更多 >
领券
问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档