Kubernetes Ingress Controller与流量治理实践

--- title: Kubernetes Ingress Controller与流量治理实践 keywords: - Ingress - NGINX Ingress - Traefik - 路由规则 - TLS - 重试与超时 - 速率限制 - 灰度 - 观测性 - 验证 description: 基于 Ingress Controller 构建入口路由与流量治理，配置TLS与路由、超时与重试、限流与灰度，并提供可验证的策略与监控方法。 date: 2025-11-25 categories: - 文章资讯 - 技术教程 --- # 概述 Ingress Controller（如 NGINX/Traefik）为集群提供入口路由，结合 TLS 与策略实现流量治理。本文给出路由与安全、重试与超时、限流与灰度配置与验证方法。 # 路由与TLS（已验证） - Host/Path 路由：按域名与路径将流量分发至后端； - TLS：为入口配置证书与强制 HTTPS； - 重定向与头部：规范化 `X-Forwarded-*` 与安全头部。 # 超时与重试 - 请求超时与后端连接超时； - 幂等 GET 重试与指数退避； # 限流与灰度 - 速率限制：按 IP/路径/租户维度限制； - 灰度：按权重或头部路由至新版本； # 示例（片段） ```yaml apiVersion: networking.k8s.io/v1 kind: Ingress metadata: name: web annotations: nginx.ingress.kubernetes.io/proxy-read-timeout: "30" nginx.ingress.kubernetes.io/limit-rpm: "120" spec: tls: - hosts: ["example.com"] secretName: tls-secret rules: - host: example.com http: paths: - path: /api pathType: Prefix backend: service: name: api port: number: 8080 ``` # 观测与验证 - 指标：入口延迟分位、错误率、限流触发； - 日志：请求源、路由命中与重试记录； - 演练：灰度权重调整与失败回退； # 常见误区 - 未配置 TLS 与安全头部； - 全局限流未区分关键接口； - 超时与重试不合理导致雪崩。 # 结语 以规范的路由与TLS、合理的超时与重试、精细化限流与灰度，并以观测与演练验证，Ingress Controller 可实现可靠入口治理。