Не удается получить доступ к панели инструментов Traefik или службам K8s на DigitalOcean K8s с помощью CRD Traefik IngressRoute

Я вхожу в K8s в управляемом сервисе DigitalOcean и просто пытаюсь настроить самые основы, чтобы просто заставить его работать.

Настраивать

  • Один узел в сервисе DO K8s, без балансировщиков нагрузки (если не рекомендовано иное, для всего этого нужно использовать Traefik).
  • Один плавающий IP-адрес, который я привязал к узлу K8s в своем кластере.
  • Нет брандмауэра при диагностике этих проблем
  • DO K8s v1.15
  • Траефик v2.0

Проблема

Насколько я могу судить, я могу подтвердить, что все настраивается так, как у меня есть в следующих объявлениях конфигурации, но у меня возникают проблемы с доступом к службам примеров модулей «whoami», которые Traefik использует для тестирования функциональности, или даже с доступом к Traefik. Панель приборов.

При использовании kubectl proxy я использую http://localhost:8001/api/v1/namespaces/default/services/http:traefik:8080/proxy/dashboard/#/, чтобы попытаться получить доступ к панели инструментов Traefik, которая «отвечает», но выдает только пустую страницу.

В логах модуля Traefik есть только следующее:

time="2019-11-04T00:44:49Z" level=info msg="Configuration loaded from flags."
time="2019-11-04T00:44:58Z" level=error msg="Unable to obtain ACME certificate for domains \"<myDomain>\": unable to generate a certificate for the domains [<myDomain>]: acme: Error -> One or more domains had a problem:\n[<myDomain>] acme: error: 400 :: urn:ietf:params:acme:error:connection :: Connection refused, url: \n" rule="Host(`<myDomain>`) && PathPrefix(`/tls`)" routerName=default-ingressroutetls-2c388d38f54b2bf1bbe2 providerName=default.acme

Я рассмотрю проблему Let's Encrypt позже, так как сейчас я сосредоточен на том, чтобы получить этот функционал на базовом уровне.

При попытке доступа к службе WhoAmI на http://<myDomain>/notls я получаю ERR_CONNECTION_REFUSED (Brave/Chrome)

Конфигурация

traefik.yaml

apiVersion: apiextensions.k8s.io/v1beta1
kind: CustomResourceDefinition
metadata:
  name: ingressroutes.traefik.containo.us

spec:
  group: traefik.containo.us
  version: v1alpha1
  names:
    kind: IngressRoute
    plural: ingressroutes
    singular: ingressroute
  scope: Namespaced

---
apiVersion: apiextensions.k8s.io/v1beta1
kind: CustomResourceDefinition
metadata:
  name: ingressroutetcps.traefik.containo.us

spec:
  group: traefik.containo.us
  version: v1alpha1
  names:
    kind: IngressRouteTCP
    plural: ingressroutetcps
    singular: ingressroutetcp
  scope: Namespaced

---
apiVersion: apiextensions.k8s.io/v1beta1
kind: CustomResourceDefinition
metadata:
  name: middlewares.traefik.containo.us

spec:
  group: traefik.containo.us
  version: v1alpha1
  names:
    kind: Middleware
    plural: middlewares
    singular: middleware
  scope: Namespaced

---
apiVersion: apiextensions.k8s.io/v1beta1
kind: CustomResourceDefinition
metadata:
  name: tlsoptions.traefik.containo.us

spec:
  group: traefik.containo.us
  version: v1alpha1
  names:
    kind: TLSOption
    plural: tlsoptions
    singular: tlsoption
  scope: Namespaced

---
kind: ClusterRole
apiVersion: rbac.authorization.k8s.io/v1beta1
metadata:
  name: traefik-ingress-controller

rules:
  - apiGroups:
      - ""
    resources:
      - services
      - endpoints
      - secrets
    verbs:
      - get
      - list
      - watch
  - apiGroups:
      - extensions
    resources:
      - ingresses
    verbs:
      - get
      - list
      - watch
  - apiGroups:
      - extensions
    resources:
      - ingresses/status
    verbs:
      - update
  - apiGroups:
      - traefik.containo.us
    resources:
      - middlewares
    verbs:
      - get
      - list
      - watch
  - apiGroups:
      - traefik.containo.us
    resources:
      - ingressroutes
    verbs:
      - get
      - list
      - watch
  - apiGroups:
      - traefik.containo.us
    resources:
      - ingressroutetcps
    verbs:
      - get
      - list
      - watch
  - apiGroups:
      - traefik.containo.us
    resources:
      - tlsoptions
    verbs:
      - get
      - list
      - watch

---
kind: ClusterRoleBinding
apiVersion: rbac.authorization.k8s.io/v1beta1
metadata:
  name: traefik-ingress-controller

roleRef:
  apiGroup: rbac.authorization.k8s.io
  kind: ClusterRole
  name: traefik-ingress-controller
subjects:
  - kind: ServiceAccount
    name: traefik-ingress-controller
    namespace: default
---
apiVersion: v1
kind: ServiceAccount
metadata:
  namespace: default
  name: traefik-ingress-controller
---
kind: Deployment
apiVersion: extensions/v1beta1
metadata:
  namespace: default
  name: traefik
  labels:
    app: traefik

spec:
  replicas: 1
  selector:
    matchLabels:
      app: traefik
  template:
    metadata:
      labels:
        app: traefik
    spec:
      serviceAccountName: traefik-ingress-controller
      containers:
        - name: traefik
          image: traefik:v2.0
          imagePullPolicy: Always
          args:
            - --api.insecure
            - --accesslog
            - --entrypoints.web.Address=:80
            - --entrypoints.websecure.Address=:443
            - --providers.kubernetescrd
            - --certificatesresolvers.default.acme.tlschallenge
            - --certificatesresolvers.default.acme.email=<myEmail>
            - --certificatesresolvers.default.acme.storage=acme.json
          ports:
            - name: web
              containerPort: 80
            - name: websecure
              containerPort: 443
            - name: admin
              containerPort: 8080
---
apiVersion: v1
kind: Service
metadata:
  name: traefik

spec:
  ports:
    - protocol: TCP
      name: web
      port: 8000
    - protocol: TCP
      name: admin
      port: 8080
    - protocol: TCP
      name: websecure
      port: 4443
  selector:
    app: traefik

whoami.yaml

kind: Deployment
apiVersion: extensions/v1beta1
metadata:
  namespace: default
  name: whoami
  labels:
    app: whoami

spec:
  replicas: 2
  selector:
    matchLabels:
      app: whoami
  template:
    metadata:
      labels:
        app: whoami
    spec:
      containers:
        - name: whoami
          image: containous/whoami
          ports:
            - name: web
              containerPort: 80
---
apiVersion: v1
kind: Service
metadata:
  name: whoami

spec:
  ports:
    - protocol: TCP
      name: web
      port: 80
  selector:
    app: whoami
---
apiVersion: traefik.containo.us/v1alpha1
kind: IngressRoute
metadata:
  name: simpleingressroute
spec:
  entryPoints:
    - web
  routes:
  - match: Host(`<myDomain>`) && PathPrefix(`/notls`)
    kind: Rule
    services:
    - name: whoami
      port: 80

---
apiVersion: traefik.containo.us/v1alpha1
kind: IngressRoute
metadata:
  name: ingressroutetls
spec:
  entryPoints:
    - websecure
  routes:
  - match: Host(`<myDomain>`) && PathPrefix(`/tls`)
    kind: Rule
    services:
    - name: whoami
      port: 80
  tls:
    certResolver: default

Любая помощь будет принята с благодарностью, заранее спасибо!!


kubernetes digital-ocean traefik traefik-ingress
person William Miceli    schedule 04.11.2019    source источник
comment
Постарайтесь получить как можно больше из уравнения, например. трафик, кубернет. Ваша ошибка означает, что какой бы адрес вы ни указали в адресной строке, никто не слушает на другом конце. Это может быть по разным причинам, DNS, конфигурация сети, брандмауэры и т. д., поэтому начните с этого, а когда у вас будет базовое подключение, начните добавлять в смесь traefik, kubernetes и т. д.   -  person Andrew Savinykh    schedule 04.11.2019
comment
Отказ в соединении -› никто не слушает? Я обычно получаю это, когда я просто что-то неправильно настроил, но я достиг правильного места. Тайм-аут соединения — это то, что может появиться, если ничего не отвечает. Я в значительной степени обрисовал в общих чертах все, что у меня есть выше, это настолько базовый уровень, насколько я могу получить. В DigitalOcean многое настраивается за вас, начиная с работающего кластера k8s и одного узла. DNS — это простая запись A для домена с плавающим IP-адресом, непосредственно назначенным узлу (и проверенным), сеть k8s, брандмауэр отключен...   -  person William Miceli    schedule 05.11.2019

Ответы (1)


arrow_upward
0
arrow_downward

Я могу предположить пару вещей, которые могли бы помочь вам...

Я начну с того, что избавлюсь от этого плавающего IP-адреса, который вы используете, и просто назначу внешний IP-адрес службе Traefik, создав службу как тип «LoadBalancer», например:

apiVersion: v1
kind: Service
metadata:
  name: traefik
spec:
  ports:
    - protocol: TCP
      name: web
      port: 80
    - protocol: TCP
      name: websecure
      port: 443
  selector:
    app: traefik
  type: LoadBalancer
status:
  loadBalancer: {}

Сервису потребуется несколько секунд, чтобы получить внешний IP-адрес. используйте «kubectl get all», чтобы увидеть статус в столбце «EXTERNAL-IP». В конце концов, это то, что вы пытаетесь сделать, не так ли? Настроить Treafik в качестве балансировщика нагрузки? так что весь внешний трафик, указывающий и проходящий через саму службу, имеет смысл, не так ли?

Ошибки, которые вы видите, должны быть устранены путем изменения/добавления следующих аргументов в ваше развертывание Traefik:

- --certificatesresolvers.default.acme.tlschallenge=true
- --certificatesresolvers.default.acme.httpChallenge.entryPoint=web
- --api.dashboard=true (needed for the API route to work)

Затем создайте маршрут к API Traefik. Маршрут, указывающий на API, выглядит примерно так (по крайней мере, так я это сделал):

apiVersion: traefik.containo.us/v1alpha1
kind: IngressRoute
metadata:
  name: traefik-dashboard
spec:
  entryPoints:
    - web
  routes:
  - match: Host(`traefik.domain.com`)
    kind: Rule
    services:
    - name: api@internal
      kind: TraefikService

Я бы сказал, сначала попробуйте их, а сертификаты TLS оставьте на потом.

person vinhod    schedule 24.12.2019