Como Proxiar Serviços Externos no Apache APISIX Ingress Controller
Yeqi Peng
January 13, 2023
Neste tutorial, vamos apresentar como configurar serviços externos em recursos ApisixUpstream.
Isso é útil quando o seu serviço depende de um serviço de terceiros ou de um serviço de outro cluster K8s. Também fornece uma maneira de gerenciar seu ApisixRoute com serviços ExternalName compartilhados, sem a necessidade de modificar um grande número de ApisixRoutes quando o nome do serviço referenciado é atualizado.
Pré-requisitos
- Um cluster Kubernetes disponível
- Uma instalação disponível do APISIX e do APISIX Ingress Controller
Assumimos que o seu APISIX está instalado no namespace apisix.
Introdução
O APISIX Ingress suporta a configuração de serviços externos como backends, tanto para serviços ExternalName do K8s quanto para domínios diretos.
Neste caso, não configuramos o campo backends no recurso ApisixRoute. Em vez disso, usaremos o campo upstreams para referenciar um recurso ApisixUpstream com o campo externalNodes configurado.
Por exemplo:
# httpbin-route.yaml
apiVersion: apisix.apache.org/v2
kind: ApisixRoute
metadata:
name: httpbin-route
spec:
http:
- name: rule1
match:
hosts:
- local.httpbin.org
paths:
- /*
# backends: # Não usaremos o campo `backends`
# - serviceName: httpbin
# servicePort: 80
upstreams:
- name: httpbin-upstream
Esta configuração informa ao controlador de ingress para não resolver os hosts upstream através dos serviços K8s, mas sim usar a configuração definida no ApisixUpstream referenciado.
O ApisixUpstream referenciado DEVE ter o campo externalNodes configurado. Por exemplo:
# httpbin-upstream.yaml
apiVersion: apisix.apache.org/v2
kind: ApisixUpstream
metadata:
name: httpbin-upstream
spec:
externalNodes:
- type: Domain
name: httpbin.org
Neste exemplo de yaml, configuramos httpbin.org como o backend. O tipo Domain indica que este é um serviço de terceiros, e qualquer nome de domínio é suportado aqui.
Se você quiser usar um serviço de nome externo no cluster K8s, o tipo deve ser Service e o nome deve ser o nome do serviço. Ao configurar o ApisixUpstream com o tipo Service, o controlador de ingress rastreará automaticamente o conteúdo do serviço ExternalName e suas alterações.
Upstream de Domínio Externo
apiVersion: apisix.apache.org/v2
kind: ApisixRoute
metadata:
name: httpbin-route
spec:
http:
- name: rule1
match:
hosts:
- local.httpbin.org
paths:
- /*
upstreams:
- name: httpbin-upstream
---
apiVersion: apisix.apache.org/v2
kind: ApisixUpstream
metadata:
name: httpbin-upstream
spec:
externalNodes:
- type: Domain
name: httpbin.org
Após aplicar a configuração acima, podemos tentar acessar httpbin.org diretamente através do APISIX.
kubectl exec -it -n apisix APISIX_POD_NAME -- curl -i -H "Host: local.httpbin.org" http://127.0.0.1:9080/get
Se tudo funcionar, você verá o resultado assim:
HTTP/1.1 200 OK
Content-Type: application/json
Content-Length: 321
Connection: keep-alive
Date: Thu, 15 Dec 2022 10:47:30 GMT
Access-Control-Allow-Origin: *
Access-Control-Allow-Credentials: true
Server: APISIX/3.0.0
{
"args": {},
"headers": {
"Accept": "*/*",
"Host": "local.httpbin.org",
"User-Agent": "curl/7.29.0",
"X-Amzn-Trace-Id": "Root=xxxxx",
"X-Forwarded-Host": "local.httpbin.org"
},
"origin": "127.0.0.1, xxxxxxxxx",
"url": "http://local.httpbin.org/get"
}
O cabeçalho Server: APISIX/3.0.0 indica que a solicitação foi enviada pelo APISIX. E a resposta contém X-Amzn-Trace-Id, indicando que a solicitação foi tratada pelo serviço httpbin online.
Upstream de Serviço de Nome Externo
Vamos implantar um aplicativo httpbin simples no namespace test como o backend para o serviço de nome externo que criaremos posteriormente.
kubectl create ns test
kubectl -n test run httpbin --image-pull-policy IfNotPresent --image=kennethreitz/httpbin --port 80
kubectl -n test expose pod/httpbin --port 80
Em seguida, use a seguinte configuração para criar um serviço ExternalName no namespace apisix.
apiVersion: v1
kind: Service
metadata:
name: ext-httpbin
spec:
type: ExternalName
externalName: httpbin.test.svc
Agora podemos criar um ApisixRoute e ApisixUpstream para o serviço ExternalName.
apiVersion: apisix.apache.org/v2
kind: ApisixRoute
metadata:
name: ext-route
spec:
http:
- name: rule1
match:
hosts:
- ext.httpbin.org
paths:
- /*
upstreams:
- name: ext-upstream
---
apiVersion: apisix.apache.org/v2
kind: ApisixUpstream
metadata:
name: ext-upstream
spec:
externalNodes:
- type: Service
name: ext-httpbin
Assim que as configurações forem sincronizadas, tente acessá-la com o seguinte comando.
O único argumento que muda é o cabeçalho que passamos.
kubectl exec -it -n apisix APISIX_POD_NAME -- curl -i -H "Host: ext.httpbin.org" http://127.0.0.1:9080/get
A saída deve ser semelhante a:
HTTP/1.1 200 OK
Content-Type: application/json
Content-Length: 234
Connection: keep-alive
Date: Thu, 15 Dec 2022 10:54:21 GMT
Access-Control-Allow-Origin: *
Access-Control-Allow-Credentials: true
Server: APISIX/3.0.0
{
"args": {},
"headers": {
"Accept": "*/*",
"Host": "ext.httpbin.org",
"User-Agent": "curl/7.29.0",
"X-Forwarded-Host": "ext.httpbin.org"
},
"origin": "127.0.0.1",
"url": "http://ext.httpbin.org/get"
}
Podemos ver que a resposta é semelhante à anterior, mas alguns campos não existem. Isso ocorre porque a solicitação foi enviada para o nosso serviço httpbin local, e não para o online.
Domínio em Serviço de Nome Externo
O serviço de nome externo também pode conter qualquer nome de domínio fora do cluster K8s.
Vamos atualizar a configuração do serviço externo que aplicamos na seção anterior.
apiVersion: v1
kind: Service
metadata:
name: ext-httpbin
spec:
type: ExternalName
externalName: httpbin.org
Tente acessá-lo novamente, e a saída deve conter múltiplos origin e um cabeçalho X-Amzn-Trace-Id, o que significa que estamos acessando o serviço online httpbin.org.
Conclusão
Neste tutorial, estendemos os limites funcionais do APISIX Ingress Controller ao encaminhar solicitações para serviços externos. Isso permite que os usuários integrem facilmente serviços de terceiros, como serviços de autenticação ou serviços entre clusters.
Para mais informações sobre gateway de API, visite nossos blogs ou entre em contato conosco.