K8s 集群部署 Traefik 并验证 Python HTTP 服务

背景与目标

本文基于 3 节点裸金属 K8s 集群（ubuntu-111/112/113），介绍如何部署 Traefik 作为 Ingress Controller，并通过一个 Python HTTP 服务验证整个链路的可用性。

环境规划

K8s 集群：3 节点，无 MetalLB，使用 HAProxy 作为外部负载均衡
Traefik 版本：Helm Chart 39.1.0-ea.2（Traefik 3.x）
核心目标：
1. Traefik 仅调度到 ubuntu-111、ubuntu-112 节点（通过节点亲和性实现）
2. 启用 hostNetwork 模式，直接占用节点 80/443 端口
3. HAProxy 代理两个 Traefik 节点，增加后端健康检查
4. 部署 Python HTTP 服务并通过 Traefik Ingress 暴露

Traefik 部署实践

1. 节点标签与亲和性配置

1.1 为多节点打标签

给 ubuntu-111、ubuntu-112 都打上 traefik-work=true 标签，作为 Traefik 调度的目标节点：

# 给 ubuntu-111 打标签
kubectl label nodes ubuntu-111 traefik-work=true
# 给 ubuntu-112 打标签
kubectl label nodes ubuntu-112 traefik-work=true
# 验证标签是否添加成功
kubectl get nodes ubuntu-111 ubuntu-112 --show-labels | grep traefik-work

1.2 多节点亲和性配置

在 Traefik 的 values.yaml 中，配置节点亲和性匹配两个打标签的节点，同时设置 Pod 反亲和性避免同一节点运行多个 Traefik 实例：

affinity:
  # 节点亲和性：匹配 traefik-work=true 的节点（ubuntu-111/112）
  nodeAffinity:
    requiredDuringSchedulingIgnoredDuringExecution:
      nodeSelectorTerms:
        - matchExpressions:
            - key: traefik-work
              operator: In
              values:
                - "true"
  # Pod 反亲和性：避免同一节点运行多个 Traefik Pod
  podAntiAffinity:
    requiredDuringSchedulingIgnoredDuringExecution:

#!/bin/bash set -euo pipefail # 基础配置 HAPROXY_NODE_IP="192.168.56.102" MASTER_NODES=("192.168.56.111" "192.168.56.112" "192.168.56.113") K8S_API_PORT=6443 HAPROXY_PORT=6443 # Traefik 配置（代理 ubuntu-111/112 的 80/443 端口） TRAEFIK_NODES=("192.168.56.111" "192.168.56.112") TRAEFIK_HTTP_PORT=80 TRAEFIK_HTTPS_PORT=443 # 安装 haproxy apt update -y && apt install -y haproxy net-tools || true mv /etc/haproxy/haproxy.cfg /etc/haproxy/haproxy.cfg.bak$(date +%Y%m%d%H%M%S) || true # 生成 haproxy.cfg cat > /etc/haproxy/haproxy.cfg <<EOF global log /dev/log local0 log /dev/log local1 notice chroot /var/lib/haproxy stats socket /run/haproxy/admin.sock mode 660 level admin expose-fd listeners stats timeout 30s user haproxy group haproxy daemon maxconn 2000 defaults log global mode tcp option tcplog option dontlognull timeout connect 5000 timeout client 50000 timeout server 50000 errorfile 400 /etc/haproxy/errors/400.http errorfile 403 /etc/haproxy/errors/403.http errorfile 408 /etc/haproxy/errors/408.http errorfile 500 /etc/haproxy/errors/500.http errorfile 502 /etc/haproxy/errors/502.http errorfile 503 /etc/haproxy/errors/503.http errorfile 504 /etc/haproxy/errors/504.http # K8s apiserver 代理（原有配置） frontend k8s-api-frontend bind ${HAPROXY_NODE_IP}:${HAPROXY_PORT} default_backend k8s-api-backend backend k8s-api-backend mode tcp balance roundrobin option tcp-check EOF # 添加 master 节点到 apiserver backend for master in "${MASTER_NODES[@]}"; do cat >> /etc/haproxy/haproxy.cfg <<EOF server master-${master//./-}${master}:${K8S_API_PORT} check inter 2000 fall 3 rise 2 EOF done # Traefik HTTP 代理（多节点 + 健康检查） cat >> /etc/haproxy/haproxy.cfg <<EOF frontend traefik-http-frontend bind ${HAPROXY_NODE_IP}:${TRAEFIK_HTTP_PORT} default_backend traefik-http-backend backend traefik-http-backend mode tcp balance roundrobin option tcp-check tcp-check connect port ${TRAEFIK_HTTP_PORT} tcp-check send GET /ping HTTP/1.1\r\nHost: localhost\r\n\r\n tcp-check expect string 200 OK EOF # 添加两个 Traefik 节点到 HTTP backend（带健康检查） for node in "${TRAEFIK_NODES[@]}"; do cat >> /etc/haproxy/haproxy.cfg <<EOF server traefik-node-${node//./-}-http ${node}:${TRAEFIK_HTTP_PORT} check inter 2000 fall 3 rise 2 timeout connect 3s EOF done # Traefik HTTPS 代理（多节点 + 健康检查） cat >> /etc/haproxy/haproxy.cfg <<EOF frontend traefik-https-frontend bind ${HAPROXY_NODE_IP}:${TRAEFIK_HTTPS_PORT} default_backend traefik-https-backend backend traefik-https-backend mode tcp balance roundrobin option tcp-check tcp-check connect port ${TRAEFIK_HTTPS_PORT} EOF # 添加两个 Traefik 节点到 HTTPS backend（带健康检查） for node in "${TRAEFIK_NODES[@]}"; do cat >> /etc/haproxy/haproxy.cfg <<EOF server traefik-node-${node//./-}-https ${node}:${TRAEFIK_HTTPS_PORT} check inter 2000 fall 3 rise 2 timeout connect 3s EOF done # 重启 haproxy 并验证 systemctl daemon-reload systemctl enable --now haproxy systemctl restart haproxy # 验证 HAProxy 状态 if systemctl is-active --quiet haproxy; then echo -e "\033[32mHAProxy 部署成功：\" echo -e " - K8s API: ${HAPROXY_NODE_IP}:${HAPROXY_PORT}" echo -e " - Traefik HTTP: ${HAPROXY_NODE_IP}:${TRAEFIK_HTTP_PORT} (代理到${TRAEFIK_NODES[*]})" echo -e " - Traefik HTTPS: ${HAPROXY_NODE_IP}:${TRAEFIK_HTTPS_PORT} (代理到${TRAEFIK_NODES[*]})\033[0m" else echo -e "\033[31mHAProxy 启动失败\033[0m" systemctl status haproxy --no-pager exit 1 fi

特性	hostNetwork 模式	NodePort 模式
网络模型	Pod 直接使用节点的网络命名空间，监听节点 IP 和端口。	Service 在节点上打开一个端口（NodePort），流量通过 kube-proxy 转发到 Pod。
端口占用	直接占用节点的 80/443 等标准端口，同一节点上的多个 Pod 不能监听同一端口。	使用 30000-32767 范围内的端口，避免与主机服务冲突。
性能	性能最优，无额外的 NAT 和转发开销。	存在 kube-proxy 的转发开销，性能略低。
隔离性	差，Pod 可以看到节点上的所有网络接口和连接。	好，Pod 的网络栈与节点隔离。
高可用	需要通过 Pod 反亲和性确保每个节点只运行一个 Pod，配合 HAProxy 健康检查实现高可用。	自动负载均衡到所有节点的 NodePort，高可用更简单，但依赖 kube-proxy。
适用场景	对性能要求极高的 Ingress Controller、网络插件等。	通用的服务暴露方式，适合大多数应用。

K8s 集群部署 Traefik 并验证 Python HTTP 服务

背景与目标

环境规划

Traefik 部署实践

1. 节点标签与亲和性配置

1.1 为多节点打标签

1.2 多节点亲和性配置

更多推荐文章

相关免费在线工具

2. 使用 Helm 部署 Traefik

3. HAProxy 配置（多节点代理 + 健康检查）

3.1 完整 HAProxy 配置文件

3.2 健康检查关键配置说明

3.3 验证 HAProxy 健康检查

hostNetwork vs NodePort 对比

Python HTTP 服务部署

1. 服务代码

2. K8s 资源配置

整体验证流程

1. 验证 Traefik 调度

2. 验证 HAProxy 健康检查

3. 验证 Python 服务访问

4. 故障模拟验证

总结

更多推荐文章

相关免费在线工具

K8s 集群部署 Traefik 并验证 Python HTTP 服务

背景与目标

环境规划

Traefik 部署实践

1. 节点标签与亲和性配置

1.1 为多节点打标签

1.2 多节点亲和性配置

微信扫一扫，关注极客日志

更多推荐文章

相关免费在线工具

2. 使用 Helm 部署 Traefik

3. HAProxy 配置（多节点代理 + 健康检查）

3.1 完整 HAProxy 配置文件

3.2 健康检查关键配置说明

3.3 验证 HAProxy 健康检查

hostNetwork vs NodePort 对比

Python HTTP 服务部署

1. 服务代码

2. K8s 资源配置

整体验证流程

1. 验证 Traefik 调度

2. 验证 HAProxy 健康检查

3. 验证 Python 服务访问

4. 故障模拟验证

总结

微信扫一扫，关注极客日志

更多推荐文章

相关免费在线工具