Ingress
2026年1月31日大约 3 分钟
Ingress
1. 定义与职责
接入层是用户与系统之间的第一道门,也叫 Front Door 或 Ingress Layer。
主要职责:
- 流量入口管理:所有来自互联网或内部的请求必须经过接入层。
- 高可用性:保证服务入口无单点故障。
- 安全防护:提供 DDoS 防护、WAF、SSL/TLS 终止等安全措施。
- 性能优化:缓存静态资源、CDN 分发、边缘节点加速。
- 监控与治理:统计请求指标、健康检查,拦截异常流量。
2. 功能模块
2.1 DNS 与流量解析
- 作用:将域名解析到具体服务入口(Load Balancer / Edge Node)。
- 设计考虑:
- 多地区部署,避免单点故障。
- 支持智能路由(Geo DNS、Anycast)优化延迟。
- 技术选型:
- Route53(AWS)
- Cloudflare DNS
- 阿里云 DNS
- 注意点:
- TTL 设置合理,保证变更快速生效。
- 支持健康检查和故障转移。
2.2 CDN(内容分发网络)
- 作用:将静态内容缓存到离用户更近的节点,减少回源压力。
- 设计考虑:
- 缓存策略:根据资源更新频率设置 TTL。
- 动态内容是否通过 CDN 或回源。
- 技术选型:
- CloudFront
- Akamai
- Fastly
- 优化点:
- 静态资源使用版本号或 hash 保证更新立即生效。
- 支持边缘计算(Edge Compute)处理简单逻辑,减轻主服务压力。
2.3 SSL/TLS 终止
- 作用:统一处理 HTTPS 加密解密,减轻下游服务压力。
- 设计考虑:
- 支持 TLS1.3,启用安全加密套件。
- 自动证书管理(Let's Encrypt / ACM)。
- 架构方式:
- CDN 边缘节点终止。
- 或负载均衡层终止,内部使用 HTTP/2 或 gRPC。
2.4 WAF 与 DDoS 防护
- 作用:防止常见攻击、恶意请求、爬虫和分布式攻击。
- 功能:
- SQL 注入 / XSS 防护
- IP 黑白名单
- Bot 识别
- 请求频率限制
- 技术选型:
- Cloudflare WAF
- AWS WAF
- 自建 ModSecurity + Nginx
- 优化点:
- WAF 规则结合业务场景,避免误杀合法请求。
- DDoS 防护在 CDN / LB 层提前拦截。
2.5 健康检查与流量控制
- 作用:
- 定期检测下游服务健康状态
- 动态调整流量路由
- 技术手段:
- HTTP / TCP 心跳检查
- 主动节点剔除
- 流量灰度切分和限流
- 优化点:
- 心跳频率适中,避免产生额外压力
- 健康检查失败阈值设置合理,避免误判
2.6 高可用设计
- 多区域部署:
- 多机房或多可用区 (AZ)
- Anycast IP 全局路由
- 负载均衡策略:
- DNS 轮询(Round Robin)
- 最少连接 / 响应时间
- 权重流量分配
- 自动故障切换:
- 异地容灾(DR)
- 健康检查 + 自动切换
用户 / 客户端
│
▼
┌─────────────────────────┐
│ DNS & 路由 │
│ - Route53 / Cloudflare │
│ - GeoDNS / Anycast │
└─────────────────────────┘
│
▼
┌─────────────────────────┐
│ CDN │
│ - CloudFront / Akamai │
│ - 静态资源缓存 / 边缘加速 │
└─────────────────────────┘
│
▼
┌─────────────────────────┐
│ WAF / DDoS 防护层 │
│ - SQLi/XSS 防护 │
│ - IP 黑白名单 / Bot 识别 │
└─────────────────────────┘
│
▼
┌─────────────────────────┐
│ 负载均衡 / SSL 终止 │
│ - F5 / Nginx / HAProxy │
│ - TLS1.3, 自动证书管理 │
└─────────────────────────┘
│
▼
┌─────────────────────────┐
│ 健康检查与流量控制 │
│ - 心跳检测 │
│ - 节点剔除 / 限流 │
│ - 灰度发布 / 灾备切换 │
└─────────────────────────┘
思 维 教程: