ingress-nginx常用注解指南

前言

k8s ingress-nginx是个好东西，而如何用好ingress-nginx，抛开运维这块不说，对于ingress-nginx annotations掌握的好坏，决定了你在日常开发是否能使用好ingress-nginx ，因为ingress-nginx大部分能力都可以通过配置annotations实现出来。今天这篇文章主要是对ingress-nginx annotations一些常用功能做个分类，便于大家查阅

正文

流量治理

1、灰度发布

注解	说明
nginx.ingress.kubernetes.io/canary	开启或关闭灰度发布
nginx.ingress.kubernetes.io/canary-by-header	基于Request Header Key 流量切分
nginx.ingress.kubernetes.io/canary-by-header-value	基于Request Header Value 流量切分，Value为精确匹配
nginx.ingress.kubernetes.io/canary-by-header-pattern	基于Request Header Value 流量切分，Value为正则匹配
nginx.ingress.kubernetes.io/canary-by-cookie	基于Request Cookie Key 流量切分
nginx.ingress.kubernetes.io/canary-weight	基于权重流量切分
nginx.ingress.kubernetes.io/canary-weight-total	权重总和

注：灰度规则优先级由高到低：canary-by-header -> canary-by-cookie -> canary-weight

官方链接：https://kubernetes.github.io/ingress-nginx/user-guide/nginx-configuration/annotations/#canary

官方配置示例：

https://kubernetes.github.io/ingress-nginx/examples/canary/

2、Fallback（容灾）

注解	说明
nginx.ingress.kubernetes.io/default-backend	容灾服务。当Ingress定义的服务没有可用节点时，请求会自动转发该容灾服务。
nginx.ingress.kubernetes.io/custom-http-errors	该注解和default-backend一起工作。当后端服务返回指定HTTP响应码，原始请求会被再次转发至容灾服务。注意：转发至容灾服务时，请求的Path会被重写为/，该行为与ingress-nginx保持一致

官方链接：https://kubernetes.github.io/ingress-nginx/user-guide/nginx-configuration/annotations/#default-backend

官方配置示例：https://kubernetes.github.io/ingress-nginx/examples/customization/custom-errors/

3、重写

注解	说明
nginx.ingress.kubernetes.io/rewrite-target	将Ingress定义的原path重写为指定目标，支持Group Capture.
nginx.ingress.kubernetes.io/upstream-vhost	匹配Ingress定义的路由的请求在转发给后端服务时，修改头部host值为指定值。

官方链接：https://kubernetes.github.io/ingress-nginx/user-guide/nginx-configuration/annotations/#rewrite

官方配置示例：https://kubernetes.github.io/ingress-nginx/examples/rewrite/

4、重定向

注解	说明
nginx.ingress.kubernetes.io/ssl-redirect	HTTP 重定向为HTTPS
nginx.ingress.kubernetes.io/force-ssl-redirect	HTTP 重定向为HTTPS
nginx.ingress.kubernetes.io/permanent-redirect	永久重定向
nginx.ingress.kubernetes.io/permanent-redirect-code	永久重定向状态码
nginx.ingress.kubernetes.io/temporal-redirect	临时重定向
nginx.ingress.kubernetes.io/app-root	修改应用根路径，对于访问/的请求将会被重定向为设置的新路径

官方链接：https://kubernetes.github.io/ingress-nginx/user-guide/nginx-configuration/annotations/#server-side-https-enforcement-through-redirect

配置示例：https://docs.daocloud.io/network/modules/ingress-nginx/redirect/#_2

5、跨域

注解	说明
nginx.ingress.kubernetes.io/enable-cors	开启或关闭跨域
nginx.ingress.kubernetes.io/cors-allow-origin	允许的第三方站点
nginx.ingress.kubernetes.io/cors-allow-methods	允许的请求方法，如GET、POST、PUT等
nginx.ingress.kubernetes.io/cors-allow-headers	允许的请求Header
nginx.ingress.kubernetes.io/cors-expose-headers	允许的暴露给浏览器的响应Header
nginx.ingress.kubernetes.io/cors-allow-credentials	是否允许携带凭证信息
nginx.ingress.kubernetes.io/cors-max-age	预检结果的最大缓存时间

官方链接：https://kubernetes.github.io/ingress-nginx/user-guide/nginx-configuration/annotations/#enable-cors

官方配置示例：https://kubernetes.github.io/ingress-nginx/user-guide/nginx-configuration/annotations/#enable-cors

6、重试

注解	说明
nginx.ingress.kubernetes.io/proxy-next-upstream-tries	请求的最大重试次数。默认3次。
nginx.ingress.kubernetes.io/proxy-next-upstream-timeout	请求重试的超时时间，单位秒。默认未配置超时时间。
nginx.ingress.kubernetes.io/proxy-next-upstream	请求重试条件，参考：http://nginx.org/en/docs/http/ngx_http_proxy_module.html#proxy_next_upstream

官方链接：https://kubernetes.github.io/ingress-nginx/user-guide/nginx-configuration/annotations/#custom-timeouts

配置示例：https://docs.daocloud.io/network/modules/ingress-nginx/timeout/#_3

7、后端服务使用的协议

注解	说明
nginx.ingress.kubernetes.io/backend-protocol	指定后端服务使用的协议，默认为HTTP，支持HTTP、HTTP2、HTTPS、GRPC和GRPCS

官方链接：https://kubernetes.github.io/ingress-nginx/user-guide/nginx-configuration/annotations/#backend-protocol

官方配置示例：https://kubernetes.github.io/ingress-nginx/user-guide/nginx-configuration/annotations/#backend-protocol

8、负载均衡

注解	说明
nginx.ingress.kubernetes.io/load-balance	后端服务的普通负载均衡算法。默认为round_robin。合法值如下：round_robin：基于轮询的负载均衡;least_conn：基于最小请求数的负载均衡;random：基于随机的负载均衡。
nginx.ingress.kubernetes.io/upstream-hash-by	基于一致Hash的负载均衡算法

官方链接：https://kubernetes.github.io/ingress-nginx/user-guide/nginx-configuration/annotations/#custom-nginx-load-balancing

配置示例：https://docs.daocloud.io/network/modules/ingress-nginx/proxy/#_5

9、Cookie亲和性

注解	说明
nginx.ingress.kubernetes.io/affinity	亲和性种类，目前只支持cookie，默认为cookie。
nginx.ingress.kubernetes.io/affinity-mode	亲和性模式，默认为balanced模式。
nginx.ingress.kubernetes.io/session-cookie-name	配置指定Cookie的值作为Hash Key
nginx.ingress.kubernetes.io/session-cookie-path	当指定Cookie不存在，生成的Cookie的Path值，默认为/
nginx.ingress.kubernetes.io/session-cookie-max-age	当指定Cookie不存在，生成的Cookie的过期时间，单位为秒，默认为Session会话级别。
nginx.ingress.kubernetes.io/session-cookie-expires	当指定Cookie不存在，生成的Cookie的过期时间，单位为秒，默认为Session会话级别。

官方链接：https://kubernetes.github.io/ingress-nginx/user-guide/nginx-configuration/annotations/#session-affinity

官方配置示例：https://kubernetes.github.io/ingress-nginx/examples/affinity/cookie/

10、IP访问控制

注解	Col2
nginx.ingress.kubernetes.io/whitelist-source-range	指定路由上的IP白名单，支持IP地址或CIDR地址块，以逗号分隔。

官方链接：https://kubernetes.github.io/ingress-nginx/user-guide/nginx-configuration/annotations/#whitelist-source-range

官方配置示例：https://kubernetes.github.io/ingress-nginx/user-guide/nginx-configuration/annotations/#whitelist-source-range

11、镜像流量

注解	说明
nginx.ingress.kubernetes.io/mirror-target	指定流量目标地址。支持 Service 和外部地址，例如设置为 https://test.env.com/$request_uri，$request_uri可以选择将原始请求的 URI 添加到目标 URL 的末尾。
nginx.ingress.kubernetes.io/mirror-request-body	是否镜像请求流量的 Body
nginx.ingress.kubernetes.io/mirror-host	指定用于转发请求 Host 信息

官方链接：https://kubernetes.github.io/ingress-nginx/user-guide/nginx-configuration/annotations/#mirror

官方配置示例：https://kubernetes.github.io/ingress-nginx/user-guide/nginx-configuration/annotations/#mirror

安全防护

1、客户端与网关之前的通信加密

注解	说明
nginx.ingress.kubernetes.io/ssl-cipher	指定tls的加密套件，可以指定多个，英文逗号分隔，仅当tls握手时采用TLSv1.0-1.2生效。默认加密套件如下：ECDHE-ECDSA-AES128-GCM-SHA256;ECDHE-RSA-AES128-GCM-SHA256;ECDHE-ECDSA-AES128-SHA;ECDHE-RSA-AES128-SHA;AES128-GCM-SHA256;AES128-SHA;ECDHE-ECDSA-AES256-GCM-SHA384;ECDHE-RSA-AES256-GCM-SHA384;ECDHE-ECDSA-AES256-SHA;ECDHE-RSA-AES256-SHA;AES256-GCM-SHA384;AES256-SHA
nginx.ingress.kubernetes.io/auth-tls-secret	网关使用的CA证书，用于验证MTLS握手期间，客户端提供的证书。该注解主要应用于网关需要验证客户端身份的场景

注解

说明

nginx.ingress.kubernetes.io/ssl-cipher

指定tls的加密套件，可以指定多个，英文逗号分隔，仅当tls握手时采用TLSv1.0-1.2生效。默认加密套件如下：ECDHE-ECDSA-AES128-GCM-SHA256;ECDHE-RSA-AES128-GCM-SHA256;ECDHE-ECDSA-AES128-SHA;ECDHE-RSA-AES128-SHA;AES128-GCM-SHA256;AES128-SHA;ECDHE-ECDSA-AES256-GCM-SHA384;ECDHE-RSA-AES256-GCM-SHA384;ECDHE-ECDSA-AES256-SHA;ECDHE-RSA-AES256-SHA;AES256-GCM-SHA384;AES256-SHA

nginx.ingress.kubernetes.io/auth-tls-secret

网关使用的CA证书，用于验证MTLS握手期间，客户端提供的证书。该注解主要应用于网关需要验证客户端身份的场景

官方链接：https://kubernetes.github.io/ingress-nginx/user-guide/nginx-configuration/annotations/#ssl-ciphers

官方配置示例：https://kubernetes.github.io/ingress-nginx/user-guide/nginx-configuration/annotations/#ssl-ciphers

2、网关与后端服务之间通信加密

注解	说明
nginx.ingress.kubernetes.io/proxy-ssl-secret	网关使用的客户端证书，用于后端服务对网关进行身份认证
nginx.ingress.kubernetes.io/proxy-ssl-name	TLS握手期间使用的SNI
nginx.ingress.kubernetes.io/proxy-ssl-server-name	开启或关闭TLS握手期间使用SNI

官方链接：https://kubernetes.github.io/ingress-nginx/user-guide/nginx-configuration/annotations/#backend-certificate-authentication

官方示例配置：https://kubernetes.github.io/ingress-nginx/user-guide/nginx-configuration/annotations/#backend-certificate-authentication

3、Basic认证

注解	说明
nginx.ingress.kubernetes.io/auth-type	认证类型
nginx.ingress.kubernetes.io/auth-secret	Secret名字，格式支持/，包含被授予能够访问该Ingress上定义的路由的访问权限的用户名和密码。
nginx.ingress.kubernetes.io/auth-secret-type	Secret内容格式。auth-file：data的key为auth；value为用户名和密码，多帐号回车分隔;auth-map：data的key为用户名；value为密码
nginx.ingress.kubernetes.io/auth-realm	保护域。相同的保护域共享用户名和密码。

官方配置：https://kubernetes.github.io/ingress-nginx/user-guide/nginx-configuration/annotations/#authentication

官方配置示例：https://kubernetes.github.io/ingress-nginx/examples/auth/basic/