Kubernetes で HTTPS トラフィックをルーティングするための NGINX Ingress の設定 - EDAS

コンテナ化アプリケーションが外部からの HTTP または HTTPS トラフィックを受信する必要がある場合、NGINX Ingress はドメイン名および URL パスに基づいて着信リクエストを適切なバックエンドサービスにマップします。Enterprise Distributed Application Service (EDAS) では、コンソールから直接 Ingress リソースを作成および管理できます。

前提条件

開始する前に、以下の条件を満たしていることを確認してください。

ターゲットアプリケーションに追加されたサービスが少なくとも 1 つ

制限事項

EDAS が自動的に管理する Ingress リソースは変更しないでください。これらのリソースには、edas-domain: edas-admin または edas-domain というラベルが付与されています。
EDAS Standard Edition では、サンプリング率が 10 % を超えるルーティングルールを最大 5 件まで設定できます。
EDAS Professional Edition および Platinum Edition では、サンプリング率に制限はありません。

NGINX Ingress の作成

EDAS コンソールにログインします。
左側のナビゲーションウィンドウで、トラフィック管理 > アプリケーションルーティング を選択します。
アプリケーションルーティング (Kubernetes Ingress) ページで、リージョンおよびマイクロサービス名前空間を選択します。
NGINX Ingress の作成 をクリックします。

NGINX Ingress の作成 パネルで、以下のパラメーターを設定します。

パラメーター	説明
K8s クラスター	Ingress を作成する Kubernetes クラスターです。
K8s 名前空間	Kubernetes 名前空間です。一般的な値は次のとおりです：default（名前空間が指定されていない場合に使用）、kube-system（システムによって作成されたオブジェクト）、kube-public（認証されていないユーザーを含むすべてのユーザーが読み取り可能な名前空間）。
HTTPS へのリダイレクト	HTTP リクエストをすべて HTTPS にリダイレクトする場合は、この機能を有効化します。
アプリケーションルート名	名前空間内で一意の名称です。小文字、数字、およびハイフン (-) のみを使用できます。先頭は英字で始まり、末尾は英字または数字で終わる必要があります。

転送ルールの追加 をクリックし、ルーティングルールを設定します。

説明注：各「ドメイン名＋パス」の組み合わせは、1 つのサービスにのみマップされますが、1 つのサービスが複数の「ドメイン名＋パス」の組み合わせを処理することは可能です。1 つの Ingress に複数の転送ルールを追加でき、異なる Ingress 間で同じルールを共有することもできます。

パラメーター	説明
ドメイン名	外部クライアントがサービスにアクセスするために使用するドメイン名です。
パス	一致させる URL パスです。先頭はスラッシュ (`/`) で始める必要があります。
アプリケーション	クラスター内のターゲットアプリケーションです。
サービス名	一致したトラフィックを受信するバックエンドサービスです。
サービスポート	サービスがリッスンするポートです。

（任意）詳細オプション をクリックして、リクエストトレースの サンプリング率 を設定します。サンプリング率は、Application Real-Time Monitoring Service (ARMS) がトレースするリクエストの割合を制御します。有効範囲：0～100。デフォルト値：0（トレースなし）。値を 100 に設定すると、すべてのリクエストがトレースされます。トレース ID を表示するには、Ingress のモニタリングページにある ログ分析 タブに移動します。
（任意）HTTPS トラフィックの TLS 終端を有効化するには、TLS の有効化 をオンにして、シークレット のドロップダウンリストから TLS 証明書を含むシークレットを選択します。シークレットが存在しない場合は、新規キーの作成 をクリックして作成します。詳細については、「シークレットの作成」をご参照ください。
はいをクリックします。

Ingress が作成されると、Ingress 一覧に表示されます。一覧から、詳細の表示、ルーティングルールの変更、トラフィックのモニタリング、または Ingress の削除が可能です。

Ingress の検証

ブラウザのアドレスバーに、ルーティングルールで指定したドメイン名およびパス（例： example.com/api）を入力します。バックエンドアプリケーションから正常な応答が返された場合、Ingress がトラフィックを正しくルーティングしていることを確認できます。

Ingress ルーティングの仕組み

EDAS で Kubernetes クラスターを作成すると、Ingress コントローラーが自動的にデプロイされます。このコントローラーはリバースプロキシとして機能し、Ingress リソースを継続的に監視して、そのルーティングルールを適用します。

Kubernetes クラスターにおけるトラフィックルーティングは、以下の 3 つのコンポーネントによって処理されます。

サービス — Pod のセット上で実行されるアプリケーションを表します。
Ingress — ドメイン名およびパスに基づいて、着信 HTTP または HTTPS リクエストをバックエンドサービスにマップするルールを定義します。
Ingress コントローラー — Ingress ルールを読み取り、一致するサービスにトラフィックを転送するリバースプロキシです。その後、サービスがそのリクエストを所属する Pod に分散します。

Relationships between Services, Ingresses, and the Ingress controller

次のステップ

サービスの追加 — Ingress ルーティングを通じて、追加のアプリケーションを公開します。
シークレットの作成 — HTTPS トラフィック用の TLS 証明書を格納します。