Kubernetes Ingress Controller与流量治理实践

概述Ingress Controller（如 NGINX/Traefik）为集群提供入口路由，结合 TLS 与策略实现流量治理。本文给出路由与安全、重试与超时、限流与灰度配置与验证方法。路由与TLS（已验证）Host/Path 路由：按域名与路径将流量分发至后端；TLS：为入口配置证书与强制 HTTPS；重定向与头部：规范化 `X-Forwarded-*` 与安全头部。超时与重试请求超时与后端连接超时；幂等 GET 重试与指数退避；限流与灰度速率限制：按 IP/路径/租户维度限制；灰度：按权重或头部路由至新版本；示例（片段）apiVersion: networking.k8s.io/v1 kind: Ingress metadata: name: web annotations: nginx.ingress.kubernetes.io/proxy-read-timeout: "30" nginx.ingress.kubernetes.io/limit-rpm: "120" spec: tls: - hosts: ["example.com"] secretName: tls-secret rules: - host: example.com http: paths: - path: /api pathType: Prefix backend: service: name: api port: number: 8080 观测与验证指标：入口延迟分位、错误率、限流触发；日志：请求源、路由命中与重试记录；演练：灰度权重调整与失败回退；常见误区未配置 TLS 与安全头部；全局限流未区分关键接口；超时与重试不合理导致雪崩。结语以规范的路由与TLS、合理的超时与重试、精细化限流与灰度，并以观测与演练验证，Ingress Controller 可实现可靠入口治理。