Cloud Native Computing Foundation
·
CNCF内部服务集群中从ingress-nginx迁移到Envoy Gateway
内容提要
本文讨论了Kubernetes集群从ingress-nginx迁移到Envoy Gateway的过程,重点关注证书管理、云负载均衡器集成和后端TLS配置。Gateway API的多层架构提供了更好的资源管理,尽管需要理解额外的资源配置。这一迁移为云原生环境提供了有效的替代方案。
关键要点
-
Kubernetes集群从ingress-nginx迁移到Envoy Gateway,选择Gateway API作为替代方案。
-
Envoy Gateway的多层架构允许为每个HTTPRoute和TLSRoute创建单独的Gateway对象,提供更好的资源管理。
-
迁移过程中,选择使用现有的证书,并通过ReferenceGrant实现跨命名空间的证书访问。
-
在配置中,确保externalTrafficPolicy设置为Cluster,以避免负载均衡器健康检查失败。
-
迁移后,需关注证书管理,确保cert-manager支持Gateway API,并更新ClusterIssuer和Gateway的注释。
延伸问答
为什么要从ingress-nginx迁移到Envoy Gateway?
迁移到Envoy Gateway是因为其多层架构提供了更好的资源管理和成本效率,同时简化了操作。
Envoy Gateway的多层架构有什么优势?
Envoy Gateway的多层架构允许为每个HTTPRoute和TLSRoute创建单独的Gateway对象,从而实现更好的资源管理和简化的TLS配置。
在迁移过程中如何管理证书?
迁移过程中选择使用现有证书,并通过ReferenceGrant实现跨命名空间的证书访问,确保cert-manager支持Gateway API。
迁移到Envoy Gateway时需要注意哪些配置?
需要确保externalTrafficPolicy设置为Cluster,以避免负载均衡器健康检查失败,并关注证书的管理和配置。
如何处理TLS握手失败的问题?
检查Gateway监听器配置、证书是否加载、ReferenceGrants是否正确,并查看Envoy日志以排查问题。
Envoy Gateway与ingress-nginx相比有哪些成本效益?
使用Envoy Gateway可以减少负载均衡器的数量,从而降低云负载均衡器的成本,提升资源效率。
