VirtualServer, VirtualServerRoute#

Ресурсы VirtualServer и VirtualServerRoute реализуют сценарии использования, не поддерживаемые ресурсом Ingress, такие как разделение трафика и продвинутая маршрутизация на основе содержимого. Они реализованы как пользовательские ресурсы .

Это справочная документация по обоим ресурсам.

Спецификация VirtualServer#

Ресурс VirtualServer определяет конфигурацию балансировки нагрузки для доменного имени, например example.com. Ниже приведен пример такой конфигурации:

apiVersion: k8s.angie.software/v1
kind: VirtualServer
metadata:
  name: cafe
spec:
  host: cafe.example.com
  tls:
    secret: cafe-secret
  staticLocations:
  - type: root
    urlPath: /americano
    dirPath: /latte
  gunzip: on
  upstreams:
  - name: tea
    service: tea-svc
    port: 80
  - name: coffee
    service: coffee-svc
    port: 80
  routes:
  - path: /tea
    action:
      pass: tea
  - path: /coffee
    action:
      pass: coffee
  - path: ~ ^/decaf/.\*\\.jpg$
    action:
      pass: coffee
  - path: = /green/tea
    action:
      pass: tea
  activeHealthProbes:
  - name: activename1
    upstream: tea
    uri: uri
    port:  80
    interval: 3s
    isEssential: true
    isPersistent: true
    maxBody: 10m
    fails: 4
    passes: 5
    mode: onfail
  maps:
  - variable: $jwt_claim_iat
    source: $oidc_client
    parameters:
      - value: 'myclient'
        result: '80'
  - variable: $jwt_claim_iss
    source: $oidc_client
    parameters:
      - value: 'myclient'
        result: 'PROVIDER_URL'
  - variable: $jwt_claim_sub
    source: $oidc_client
    parameters:
      - value: 'myclient'
        result: 'myclient'
  - variable: $jwt_claim_aud
    source: $oidc_client
    parameters:
      - value: 'myclient'
        result: 'myclient'

Поле	Описание	Тип	Обязательно
`host`	Хост (доменное имя) сервера. Это должен быть допустимый поддомен, как определено в RFC 1123, например `my-app` или `hello.example.com`. При использовании домена с подстановочным знаком, например `*.example.com`, домен должен быть заключен в двойные кавычки. Значение `host` должно быть уникальным среди всех ресурсов Ingress и VirtualServer.	`string`	Да
`tls`	Конфигурация завершения TLS.	tls	Нет
`staticLocations`	Список каталогов для раздачи статических файлов.	[]staticLocations	Нет
`gunzip`	Включает или отключает распаковку архивированных ответов для клиентов. Допустимые пары значений: "on" и "off", "true" и "false" или "yes" и "no". Если значение `gunzip` не установлено, то по умолчанию оно равно `off`.	`boolean`	Нет
`ExternalDNS`	Конфигурация ExternalDNS для VirtualServer.	ExternalDNS	Нет
`dos`	Ссылка на DosProtectedResource; установка этого параметра включает защиту VirtualServer от DOS-атак.	`string`	Нет
`policies`	Список политик.	[]policy	Нет
`upstreams`	Список апстримов.	[]upstream	Нет
`routes`	Список маршрутов.	[]route	Нет
`activeHealthProbes`	Список активных проверок работоспособности.	[]activeHealthProbes	Нет
`maps`	Список переменных, необходимых для валидации токенов в процессе аутентификации OIDC.	[]maps	Нет
`ingressClassName`	Указывает, какой экземпляр ANIC должен обрабатывать ресурс VirtualServer.	`string`	Нет
`internalRoute`	Указывает, является ли ресурс VirtualServer внутренним маршрутом.	`boolean`	Нет
`http-snippets`	Задает пользовательский фрагмент в контексте http.	`string`	Нет
`server-snippets`	Задает пользовательский фрагмент в контексте . Имеет приоритет над ключом ConfigMap `server-snippets`.	`string`	Нет

VirtualServer.TLS#

Поле tls определяет конфигурацию TLS для ресурса VirtualServer. Например:

secret: cafe-secret
redirect:
  enable: true
ssl_session_timeout: 1h
ssl_session_cache: shared:SSL:10m
ssl_session_tickets: on
ssl_stapling: on
ssl_stapling_verify: on

Поле	Описание	Тип	Обязательно
`secret`	Имя секрета с сертификатом TLS и ключом. Секрет должен принадлежать тому же пространству имен, что и VirtualServer. Секрет должен иметь тип `kubernetes.io/tls` и содержать ключи с именами `tls.crt` и `tls.key`, содержащие сертификат и закрытый ключ, как описано здесь. Если секрет не существует или недействителен, Angie прервет любую попытку установить TLS-соединение с хостом VirtualServer. Если секрет не указан, но настроен секрет TLS с подстановочным знаком, Angie будет использовать секрет со знаком для завершения TLS.	`string`	Нет
`redirect`	Конфигурация перенаправления TLS для VirtualServer.	tls.redirect	Нет
`cert-manager`	Конфигурация TLS cert-manager для VirtualServer.	tls.cert-manager	Нет
`ssl_session_timeout`	Задает время, в течение которого клиент может повторно использовать параметры сессии. См. также директиву ssl_session_timeout в документации Angie. Значение по умолчанию `10m`.	`string`	Нет
`ssl_session_cache`	Задает тип и размеры кэшей для хранения параметров сессий. См. также директиву ssl_session_cache в документации Angie. Значение по умолчанию `shared:SSL:10m`.	`string`	Нет
`sssl_session_tickets`	Разрешает или запрещает возобновление сессий при помощи TLS session tickets. См. также директиву ssl_session_tickets в документации Angie. Значение по умолчанию `off`.	`string`	Нет
`ssl_stapling`	Разрешает или запрещает прикрепление OCSP-ответов сервером. См. также директиву ssl_stapling в документации Angie. Значение по умолчанию `on`.	`string`	Нет
`ssl_stapling_verify`	Разрешает или запрещает проверку сервером ответов OCSP. См. также директиву ssl_stapling_verify в документации Angie. Значение по умолчанию `on`.	`string`	Нет

VirtualServer.TLS.Redirect#

Поле перенаправления настраивает перенаправление TLS для VirtualServer:

enable: true
code: 301
basedOn: scheme

Поле	Описание	Тип	Обязательно
`enable`	Включает перенаправление TLS для VirtualServer. Значение по умолчанию равно `false`.	`boolean`	Нет
`код`	Код состояния перенаправления. Допустимые значения: `301`, `302`, `307`, `308`. Значение по умолчанию - `301`.	`int`	Нет
`basedOn`	Атрибут запроса, который Angie будет оценивать для отправки перенаправления. Допустимыми значениями являются `scheme` (схема запроса) или `x-forwarded-proto` (заголовок `X-Forwarded-Proto` запроса). Значение по умолчанию - `scheme`.	`string`	Нет

VirtualServer.TLS.CertManager#

Поле cert-manager настраивает автоматическое управление сертификатами x509 для ресурсов VirtualServer с помощью cert-manager (cert-manager.io). Ознакомьтесь с документацией по конфигурации cert-manager для получения дополнительной информации о развертывании и настройке эмитентов (Issuer). Пример:

cert-manager:
  cluster-issuer: "my-issuer-name"

Поле	Описание	Тип	Обязательно
`issuer`	Имя эмитента. Эмитент - это ресурс cert-manager, который описывает центр сертификации, способный подписывать сертификаты. Он должен находиться в том же пространстве имен, что и ресурс VirtualServer. Обратите внимание, что требуется задать issuer или cluster-issuer, но эти параметры взаимоисключающие - должен быть задан один и только один.	`string`	Нет
`cluster-issuer`	Имя ClusterIssuer. ClusterIssuer - это ресурс cert-manager, который описывает центр сертификации, способный подписывать сертификаты. Не имеет значения, в каком пространстве имен находится ваш VirtualServer, поскольку ClusterIssuer - это ресурсы, не относящиеся к пространствам имен. Обратите внимание, что требуется задать issuer или cluster-issuer, но эти параметры взаимоисключающие - должен быть задан один и только один.	`string`	Нет
`issuer-kind`	Тип внешнего ресурса-эмитента, например AWSPCAIssuer. Это необходимо только для сторонних эмитентов. Его нельзя задавать, если также задан cluster-issuer.	`string`	Нет
`issuer-group`	Группа API внешнего контроллера-эмитента, например awspca.cert-manager.io. Это необходимо только для сторонних эмитентов. Его нельзя задавать, если также задан cluster-issuer.	`string`	Нет
`common-name`	Это поле позволяет настроить spec.commonName для создаваемого сертификата. Эта конфигурация добавляет CN к сертификату x509.	`string`	Нет
`duration`	Это поле позволяет настроить поле spec.duration для генерируемого сертификата. Оно должно быть задано с использованием формата time.Duration в Go, который не допускает суффикса d (дни). Указывайте такие значения, используя вместо них суффиксы s, m и h.	`string`	Нет
`renew-before`	Эта аннотация позволяет настроить поле spec.renewBefore для генерируемого сертификата. Оно должно быть задано с использованием формата time.Duration в Go, который не допускает суффикса d (дни). Указывайте такие значения, используя вместо них суффиксы s, m и h.	`string`	Нет
`usages`	Позволяет настроить поле spec.usages для генерируемого сертификата. Задайте строку со значениями, разделенными запятыми, т. е. `соглашение о ключе, цифровая подпись, серверная аутентификация`. Исчерпывающий список поддерживаемых способов использования ключей можно найти в документации API cert-manager.	`string`	Нет

VirtualServer.ExternalDNS#

Поле ExternalDNS настраивает динамическое управление записями DNS для ресурсов VirtualServer с использованием ExternalDNS . Ознакомьтесь с документацией по конфигурации ExternalDNS для получения дополнительной информации о развертывании и настройке ExternalDNS и поставщиков. Пример:

enable: true

Поле	Описание	Тип	Обязательно
`enable`	Включает интеграцию ExternalDNS для ресурса VirtualServer. Значение по умолчанию равно `false`.	`string`	Нет
`labels`	Настраивает метки, применяемые к ресурсам конечной точки, которые будут использоваться ExternalDNS.	`map[string]string`	Нет
`providerSpecific`	Настраивает свойства, относящиеся к конкретному поставщику, которые содержат имя и значение конфигурации, специфичной для отдельных поставщиков DNS.	[]ProviderSpecific	Нет
`recordTTL`	TTL для записи DNS. По умолчанию это значение равно 0. См. документацию ExternalDNS TTL для определения значений по умолчанию для конкретного поставщика	`int64`	Нет
`recordType`	Тип создаваемой записи, например "A", "AAAA", "CNAME". Если значение не задано, оно автоматически вычисляется на основе внешних конечных точек.	`string`	Нет

VirtualServer.ExternalDNS.ProviderSpecific#

Поле providerSpecific блока ExternalDNS позволяет указать свойства, специфичные для поставщика, которые представляют собой список пар "ключ-значение" для конфигураций, специфичных для отдельных поставщиков DNS. Пример:

- name: my-name
  value: my-value
- name: my-name2
  value: my-value2

Поле	Описание	Тип	Обязательно
`name`	Имя в паре "ключ-значение".	`string`	Да
`value`	Значение в паре "ключ-значение".	`string`	Да

VirtualServer.Policy#

Ссылается на ресурс Policy по имени и необязательному пространству имен. Например:

name: access-control

Поле	Описание	Тип	Обязательно
`name`	Имя политики. Если политика не существует или недействительна, Angie выдаст сообщение об ошибке с кодом состояния `500`.	`string`	Да
`namespace`	Пространство имен политики. Если не указано, используется пространство имен ресурса VirtualServer.	`string`	Нет

VirtualServer.Route#

Маршрут определяет правила для сопоставления клиентских запросов с такими действиями, как передача запроса апстриму. Например:

path: /tea
action:
  pass: tea

Поле	Описание	Тип	Обязательно
`path`	Путь маршрута. Angie сопоставит его с URI запроса. Возможные значения: префикс (`/`, `/path`), точное совпадение (`=/exact/match`), регулярное выражение без учета регистра (`~^/Bar..jpg`) или регулярное выражение с учетом регистра (`~^/foo.*.jpg`). В случае префикса (должен начинаться с `/` ) или точного совпадения (должно начинаться с `=` ) путь не должен содержать никаких пробельных символов, `{` , `}` или `;`. В случае регулярных выражений все двойные кавычки `"` должны быть экранированы, при этом совпадение не может заканчиваться неэкранированной обратной косой чертой \. Путь должен быть уникальным среди путей всех маршрутов VirtualServer. Дополнительные сведения см. в описании директивы location.	`string`	Да
`policies`	Список политик. Эти политики имеют приоритет над политиками того же типа, определенными в `спецификации` VirtualServer. Более подробную информацию смотрите в Применение политик.	[]policy	Нет
`action`	Действие по умолчанию, выполняемое для запроса.	Action	Нет
`dos`	Ссылка на DosProtectedResource; установка этого параметра включает защиту маршрута VirtualServer от DOS-атак.	`string`	Нет
`splits`	Конфигурация разделения трафика по умолчанию. Должно быть не менее 2 разделений.	Split	Нет
`matches`	Правила сопоставления для продвинутой маршрутизации на основе содержимого. Требуется задать `action` или `splits` по умолчанию. Несопоставленные запросы будут обрабатываться `action` или `splits` по умолчанию.	matches	Нет
`route`	Имя ресурса VirtualServerRoute, который определяет этот маршрут. Если VirtualServerRoute не принадлежит к тому же пространству имен, что и VirtualServer, необходимо включить пространство имен. Например: `tea-namespace/tea`.	`string`	Нет
`errorPages`	Настраиваемые ответы на коды ошибок. Angie будет использовать эти ответы вместо того, чтобы возвращать ответы об ошибках с серверов апстрима или ответы по умолчанию, сгенерированные Angie. Настраиваемый ответ может быть перенаправлением или сохраненным ответом. Например, это может быть перенаправление на другой URL-адрес, если вышестоящий сервер ответил кодом состояния 404.	[]errorPage	Нет
`location-snippets`	Задает пользовательский фрагмент в контексте местоположения. Имеет приоритет над ключом ConfigMap `location-snippets`.	`string`	Нет

Примечание

Маршрут должен включать в себя ровно одно из следующих действий: action, splits или route.

Maps#

Определяет обязательные переменные $jwt_claim_iat, $jwt_claim_iss, $jwt_claim_sub и $jwt_claim_aud для валидации токенов в процессе аутентификации OIDC.

- variable: $jwt_claim_iat
  source: $oidc_client
  parameters:
    - value: 'myclient'
      result: '80'
- variable: $jwt_claim_iss
  source: $oidc_client
  parameters:
    - value: 'myclient'
      result: 'PROVIDER_URL'
- variable: $jwt_claim_sub
  source: $oidc_client
  parameters:
    - value: 'myclient'
      result: 'myclient'
- variable: $jwt_claim_aud
  source: $oidc_client
  parameters:
    - value: 'myclient'
      result: 'myclient'

Пример включения переменных map в зависимости от входного значения (default, volatile, include, hostnames):

maps:
  - variable: $result_var
    source: $host
    parameters:
      - value: 'default'
        result: 'default_value'
      - value: 'volatile'
        result: ''
      - value: 'include'
        result: '/dev/stdout'
      - value: 'example.com'
        result: '1'
      - value: '*.example.com'
        result: '1'

См. также директиву map в документации Angie.

Поле	Описание	Тип	Обязательно
`$jwt_claim_iat`	Настраивает параметр `iat` (issued at, время выпуска токена) для клиента.	`string`	Да
`$jwt_claim_iss`	Параметр `iss` (issuer, издатель токена) сопоставляется с URL-адресом `PROVIDER_URL`. Этот параметр указывает на сервис, выпустивший токен.	`string`	Да
`$jwt_claim_sub`	Параметр `sub` (subject, субъект токена). Идентифицирует пользователя или субъект, для которого был выдан токен.	`string`	Да
`$jwt_claim_aud`	Параметр `aud` (audience, аудитория). Идентифицирует клиент, для которого был предназначен токен.	`string`	Да

Спецификация VirtualServerRoute#

Ресурс VirtualServerRoute определяет маршрут для VirtualServer. Он может состоять из одного вложенного маршрута или нескольких. VirtualServerRoute является альтернативой объединяемым типам Ingress.

В приведенном ниже примере виртуальный сервер cafe из пространства имен cafe-ns определяет маршрут с путем /coffee, который далее определяется через VirtualServerRoute coffee из пространства имен coffee-ns.

VirtualServer:

apiVersion: k8s.angie.software/v1
kind: VirtualServer
metadata:
  name: cafe
  namespace: cafe-ns
spec:
  host: cafe.example.com
  upstreams:
  - name: tea
    service: tea-svc
    port: 80
  routes:
  - path: /tea
    action:
      pass: tea
  - path: /coffee
    route: coffee-ns/coffee

VirtualServerRoute:

apiVersion: k8s.angie.software/v1
kind: VirtualServerRoute
metadata:
  name: coffee
  namespace: coffee-ns
spec:
  host: cafe.example.com
  upstreams:
  - name: latte
    service: latte-svc
    port: 80
  - name: espresso
    service: espresso-svc
    port: 80
  subroutes:
  - path: /coffee/latte
    action:
      pass: latte
  - path: /coffee/espresso
    action:
      pass: espresso

Обратите внимание, что каждый вложенный маршрут должен иметь путь path, начинающийся с того же префикса (здесь "/coffee"), что и в маршруте VirtualServer. Кроме того, host в VirtualServerRoute должен совпадать с host у VirtualServer.

Поле	Описание	Тип	Обязательно
`host`	Хост (доменное имя) сервера. Это должен быть допустимый поддомен, как определено в RFC 1123, например `my-app` или `hello.example.com`. При использовании домена с подстановочным знаком, например `*.example.com`, домен должен быть заключен в двойные кавычки. Значение должно совпадать с `host` у VirtualServer, который ссылается на этот ресурс.	`string`	Да
`upstreams`	Список апстримов.	[]upstream	Нет
`subroutes`	Список вложенных маршрутов.	[]subroute	Нет
`ingressClassName`	Указывает, какой экземпляр ANIC должен обрабатывать ресурс VirtualServerRoute. Значение должно совпадать с `ingressClassName` у VirtualServer, который ссылается на этот ресурс.	`string`	Нет

VirtualServerRoute.Subroute#

Определяет правила сопоставления клиентских запросов и действий, например передача запроса апстриму. Например:

path: /coffee
action:
  pass: coffee

Поле	Описание	Тип	Обязательно
`path`	Путь вложенного маршрута. Angie сопоставит его с URI запроса. Возможные значения: префикс (`/`, `/path`), точное совпадение (`=/exact/match`), регулярное выражение без учета регистра (`~^/Bar..jpg`) или регулярное выражение с учетом регистра (`~^/foo.*.jpg`). В случае префикса путь должен начинаться с того же пути, что и путь маршрута VirtualServer, который ссылается на этот ресурс. В случае точного совпадения или регулярного выражения путь должен совпадать с путем маршрута VirtualServer, который ссылается на этот ресурс. В случае префикса или точного совпадения путь не должен содержать никаких пробельных символов, `{` , `}` или `;`. В случае регулярных выражений все двойные кавычки `"` должны быть экранированы, при этом совпадение не может заканчиваться неэкранированной обратной косой чертой . Путь должен быть уникальным среди путей всех вложенных маршрутов VirtualServerRoute.	`string`	Да
`policies`	Список политик. Эти политики имеют приоритет над всеми политиками, определенными в маршруте VirtualServer, который ссылается на этот ресурс. Они также имеют приоритет над политиками того же типа, определенными в `спецификации` VirtualServer. Более подробную информацию смотрите в разделе Применение политик.	[]policy	Нет
`action`	Действие по умолчанию, выполняемое для запроса.	Action	Нет
`dos`	Ссылка на DosProtectedResource; установка этого параметра включает защиту вложенного маршрута VirtualServerRoute от DOS-атак.	`string`	Нет
`splits`	Конфигурация разделения трафика по умолчанию. Должно быть не менее 2 разделений.	[]split	Нет
`matches`	Правила сопоставления для продвинутой маршрутизации на основе содержимого. Требуется задать `action` или `splits` по умолчанию. Несопоставленные запросы будут обрабатываться `action` или `splits` по умолчанию.	matches	Нет
`errorPages`	Настраиваемые ответы на коды ошибок. Angie будет использовать эти ответы вместо того, чтобы возвращать ответы об ошибках с серверов апстрима или ответы по умолчанию, сгенерированные Angie. Настраиваемый ответ может быть перенаправлением или сохраненным ответом. Например, это может быть перенаправление на другой URL-адрес, если вышестоящий сервер ответил кодом состояния 404.	[]errorPage	Нет
`location-snippets`	Задает пользовательский фрагмент в контексте местоположения. Переопределяет значение `location-snippets` VirtualServer (если задано) или ключ ConfigMap `location-snippets`.	`string`	Нет

Примечание

Вложенный маршрут должен включать в себя ровно одно из следующих действий: action или splits.

Общие части VirtualServer и VirtualServerRoute#

Upstream#

Апстрим определяет конечное место назначения для конфигурации маршрутизации. Например:

name: tea
service: tea-svc
subselector:
  version: canary
port: 80
lb-method: round_robin
fail-timeout: 10s
max-fails: 1
max-conns: 32
keepalive: 32
connect-timeout: 30s
read-timeout: 30s
send-timeout: 30s
next-upstream: "error timeout non_idempotent"
next-upstream-timeout: 5s
next-upstream-tries: 10
client-max-body-size: 2m
tls:
  enable: true

Примечание

Протокол WebSocket поддерживается без какой-либо дополнительной настройки.

Поле	Описание	Тип	Обязательно
`name`	Имя апстрима. Это должна быть допустимая метка DNS, как определено в RFC 1035. Например, допустимы значения `hello` и `upstream-123`. Имя должно быть уникальным среди всех апстримов ресурса.	`string`	Да
`service`	Название сервиса. Сервис должен принадлежать к тому же пространству имен, что и ресурс. Если сервиса не существует, Angie предположит, что у него нет конечных точек, и будет возвращать ответ `502` для запросов к этому апстриму.	`string`	Да
`subselector`	Выбирает поды внутри сервиса, используя ключи меток и значения. По умолчанию выбраны все поды сервиса. Примечание Ожидается, что указанные метки будут присутствовать в подах при их создании. Если метки подов изменяются, ANIC не увидит это изменение до тех пор, пока не будет изменено количество подов.	`map[string]string`	Нет
`use-cluster-ip`	Позволяет использовать IP-адрес кластера и порт сервиса вместо использования IP-адреса и порта подов по умолчанию. Когда это поле включено, поля, которые настраивают поведение Angie, относящееся к нескольким серверам апстрима (например, `lb-method` и `next-upstream`), не будут иметь никакого эффекта, поскольку ANIC настроит Angie только с одним сервером апстрима, который будет соответствовать IP-адресу кластера сервиса.	`boolean`	Нет
`port`	Порт службы. Если у сервиса не определен этот порт, Angie предположит, что у него нет конечных точек, и будет возвращать ответ `502` для запросов к этому апстриму. Значение должно находиться в диапазоне `1..65535`.	`uint16`	Да
`lb-method`	Метод балансировки нагрузки. Чтобы использовать циклический метод, укажите `round_robin`. Значение по умолчанию указано в ключе `lb-method` ConfigMap.	`string`	Нет
`fail-timeout`	Время, в течение которого должно произойти указанное количество неудачных попыток установить связь с сервером апстрима, чтобы он считался недоступным. См. параметр `fail_timeout` директивы server. Значение по умолчанию задано в ключе ConfigMap `fail-timeout`.	`string`	Нет
`max-fails`	Количество неудачных попыток установить связь с сервером апстрима, которые должны произойти в течение времени, заданного в `fail-timeout`, чтобы считать сервер недоступным. См. параметр max_fails директивы сервера. Значение по умолчанию задано в ключе ConfigMap `max-fails`.	`int`	Нет
`max-conns`	Максимальное количество одновременных активных подключений к серверу апстрима. См. параметр `max_conns` директивы server. По умолчанию ограничений нет. Примечание Если включены соединения keepalive, общее количество активных и неактивных соединений keepalive к серверу апстрима может превышать значение `max_conns`.	`int`	Нет
`keepalive`	Настраивает кэш для подключений к серверам апстрима. Значение `0` отключает кэш. См. директиву keepalive. Значение по умолчанию задано в ключе ConfigMap `keepalive`.	`int`	Нет
`connect-timeout`	Тайм-аут для установления соединения с сервером апстрима. См. директиву proxy_connect_timeout. Значение по умолчанию указано в ключе ConfigMap `proxy-connect-timeout`.	`string`	Нет
`read-timeout`	Тайм-аут для чтения ответа от сервера апстрима. См. директиву proxy_read_timeout. Значение по умолчанию указано в ключе ConfigMap `proxy-read-timeout`.	`string`	Нет
`send-timeout`	Тайм-аут для передачи запроса на сервер апстрима. См. директиву proxy_send_timeout. Значение по умолчанию указано в ключе ConfigMap `proxy-send-timeout`.	`string`	Нет
`next-upstream`	Указывает, в каких случаях запрос должен быть передан следующему серверу апстрима. См. директиву proxy_next_upstream. Значение по умолчанию - `тайм-аут ошибки`.	`string`	Нет
`next-upstream-timeout`	Время, в течение которого запрос может быть передан следующему серверу апстрима. См. директиву proxy_next_upstream_timeout. Значение `0` отключает ограничение по времени. Значение по умолчанию равно `0`.	`string`	Нет
`next-upstream-tries`	Количество возможных попыток передачи запроса на следующий сервер апстрима. См. директиву proxy_next_upstream_tries. Значение `0` отключает это ограничение. Значение по умолчанию равно `0`.	`int`	Нет
`client-max-body-size`	Задает максимальный размер текста клиентского запроса. См. директиву client_max_body_size. Значение по умолчанию задано в ключе ConfigMap `client-max-body-size`.	`string`	Нет
`tls`	Конфигурация TLS для апстрима.	tls	Нет
`buffering`	Включает буферизацию ответов от сервера апстрима. См. директиву proxy_buffering. Значение по умолчанию задано в ключе ConfigMap `proxy-buffering`.	`boolean`	Нет
`buffers`	Настраивает буферы, используемые для чтения ответа от сервера апстрима в рамках одного соединения.	buffers	Нет
`buffer-size`	Устанавливает размер буфера, используемого для считывания первой части ответа, полученного от сервера апстрима. См. директиву proxy_buffer_size. Значение по умолчанию задано в ключе ConfigMap `proxy-buffer-size`.	`string`	Нет
`type`	Тип апстрима. Поддерживаются значения `http` и `grpc`. По умолчанию используется `http`. Для gRPC необходимо включить HTTP/2 в `ConfigMap` и настроить завершение TLS на VirtualServer.	`string`	Нет

Upstream.Buffers#

Настраивает буферы, используемые для чтения ответа от сервера апстрима в рамках одного соединения.

number: 4
size: 8K

См. директиву proxy_buffers для получения дополнительной информации.

Поле	Описание	Тип	Обязательно
`number`	Задает количество буферов. Значение по умолчанию задано в ключе ConfigMap `proxy-buffers`.	`int`	Да
`size`	Задает размер буфера. Если значение не указано, то по умолчанию будет задано 8K. См. также ключ ConfigMap `proxy-buffers`.	`string`	Нет

Upstream.TLS#

Поле	Описание	Тип	Обязательно
`enable`	Включает HTTPS для запросов к серверам апстрима. Значение по умолчанию равно `False`, что означает, что будет использоваться HTTP. Примечание По умолчанию Angie не будет проверять сертификат вышестоящего сервера. Чтобы включить проверку, настройте политику EgressMTLS.	`boolean`	Нет

Upstream.SessionCookie#

Поле SessionCookie настраивает сохранение сеансов, что позволяет передавать запросы от одного и того же клиента на один и тот же сервер апстрима. Информация о назначенном сервере апстрима передается в сеансовом cookie, сгенерированном Angie.

В приведенном ниже примере мы настраиваем сохранение сеанса с помощью cookie сеанса для апстрима и задаем все доступные параметры:

name: tea
service: tea-svc
port: 80
sessionCookie:
  enable: true
  name: srv_id
  path: /
  expires: 1h
  domain: .example.com
  httpOnly: false
  secure: true
  samesite: strict

См. директиву sticky для получения дополнительной информации. Сеансовый cookie соответствует методу sticky cookie.

Поле	Описание	Тип	Обязательно
`enable`	Включает сохранение сеанса с помощью сеансового cookie для сервера апстрима. Значение по умолчанию равно `false`.	`boolean`	Нет
`name`	Имя cookie.	`string`	Да
`path`	Путь, для которого установлен cookie.	`string`	Нет
`expires`	Время, в течение которого браузер должен сохранять cookie. Может быть установлено специальное значение `max`; тогда срок действия cookie истечет `31 декабря 2037 года в 23:55:55 по Гринвичу`.	`string`	Нет
`domain`	Домен, для которого установлен cookie.	`string`	Нет
`httpOnly`	Добавляет атрибут `HttpOnly` к cookie.	`boolean`	Нет
`secure`	Добавляет атрибут `Secure` к cookie.	`boolean`	Нет
`samesite`	Добавляет атрибут `SameSite` к cookie. Допустимые значения: `strict`, `lax`, `none`	`string`	Нет

Upstream.SessionRoute#

Поле sessionRoute настраивает сохранение маршрутов, что позволяет передавать запросы от одного и того же клиента на один и тот же сервер апстрима. Информация о назначенном сервере апстрима поддерживается в режиме route <sticky> в Angie.

В приведенном ниже примере мы формируем директиву Angie sticky route $cookie_route $arg_route;:

sessionRoute:
  enable: true
  variables:
    \- "\$cookie_route"
    \- "\$arg_route"

См. описание режима route директивы sticky для получения дополнительной информации.

Параметры:

Поле	Описание	Тип	Обязательно
`enable`	Включает сохранение сеанса в режиме `route` для сервера апстрима. Значение по умолчанию равно `false`.	`boolean`	Нет
`variables`	Список переменных, подставляемых в директиву `sticky route` в порядке следования.	`[]string`	Нет

ActiveHealthProbes#

Поле позволяет настроить активную проверку работоспособности (health probe) для upstream. Вам необходимо задать имя проверки name и upstream, к которому она относится, а также другие параметры. Подробное описание параметров для активной проверки работоспособности см. в документации Angie, директива upstream_probe.

Пример:

activeHealthProbes:
 - name: activename1
   upstream: tea-post
   uri: uri
   port:  80
   interval: 3s
   isEssential: true
   isPersistent: true
   maxBody: 10m
   fails: 4
   passes: 5
   mode: onfail

staticLocations#

Поле позволяет задать каталог, из которого будут раздаваться статические файлы. Вы можете указать корневой каталог с помощью директивы root или другое расположение с помощью директивы alias, см. описания директив в документации Angie.

Пример конфигурации:

staticLocations:
 - type: root
   urlPath: /static
   dirPath: /var/www/html

Поле	Описание	Тип	Обязательно
`type`	Способ определения пути к каталогу, из которого будут раздаваться статические файлы. Возможные значения: `root`, `alias`.	`string`	Да
`urlPath`	Префикс URL-адресов запрашиваемых статических файлов, используемый для location; см. описание директивы в документации Angie.	`string`	Да
`dirPath`	Каталог файловой системы, из которого будут обслуживаться запросы к указанному URL-адресу.	`string`	Да

Header#

Определяет HTTP-заголовок:

name: Host
value: example.com

Поле	Описание	Тип	Обязательно
`name`	Имя заголовка.	`string`	Да
`value`	Значение заголовка.	`string`	Нет

Action#

Определяет действие, которое необходимо выполнить для запроса.

В приведенном ниже примере клиентские запросы передаются на апстрим coffee:

path: /coffee
action:
 pass: coffee

Поле	Описание	Тип	Обязательно
`pass`	Передает запросы серверу апстрима. Апстрим с таким именем должен быть определен в ресурсе.	`string`	Нет
`redirect`	Перенаправляет запросы на указанный URL-адрес.	action.redirect	Нет
`return`	Возвращает предварительно сконфигурированный ответ.	action.return	Нет
`proxy`	Передает запросы апстриму, добавляет возможность изменять запрос и ответ (например, переписывать URI или изменять заголовки).	action.proxy	Нет

Примечание

Действие должно включать в себя ровно одно из следующих значений: pass, redirect, return или proxy.

Action.Redirect#

Определяет перенаправление, возвращаемое для запроса.

В приведенном ниже примере клиентские запросы направляются на URL-адреса http://myhost.ru:

redirect:
  url: http://myhost.ru
  code: 301

Поле	Описание	Тип	Обязательно
`url`	URL-адрес, на который будет перенаправлен запрос. Поддерживаемые переменные Angie: `$scheme` , `$http_x_forwarded_proto` , `$request_uri` , `$host`. Переменные должны быть заключены в фигурные скобки. Например: `$host$request_uri`.	`string`	Да
`код`	Код состояния перенаправления. Допустимые значения: `301`, `302`, `307`, `308`. Значение по умолчанию - `301`.	`int`	Нет

Action.Return#

Определяет предварительно сконфигурированный ответ на запрос.

В приведенном ниже примере Angie будет отвечать предварительно настроенным ответом на каждый запрос:

return:
  code: 200
  type: text/plain
  body: "Hello World\n"

Поле	Описание	Тип	Обязательно
`код`	Код состояния ответа. Допустимые значения: `2XX`, `4XX` или `5XX`. Значение по умолчанию равно `200`.	`int`	Нет
`тип`	MIME-тип ответа. Значение по умолчанию - `text/plain`.	`string`	Нет
`body`	Основная часть ответа. Поддерживает переменные Angie*. Переменные должны быть заключены в фигурные скобки. Например: `Запрос равен $request_urin`.	`string`	Да

Примечание

Поддерживаемые переменные Angie: $request_uri, $request_method, $request_body, $scheme, $http_, $args, $arg_, $cookie_, $host, $request_time, $request_length, $angie_version, $pid, $connection, $remote_addr, $remote_port, $time_iso8601, $time_local, $server_addr, $server_port, $server_name, $server_protocol, $connections_active, $connections_reading, $connections_writing и $connections_waiting.

Action.Proxy#

Передает запросы апстриму с возможностью изменять запрос и ответ (например, переписывать URI или изменять заголовки).

В приведенном ниже примере URI запроса переписывается на /, а заголовки запроса и ответа изменяются:

proxy:
  upstream: coffee
  requestHeaders:
    pass: true
    set:
    - name: My-Header
      value: Value
    - name: Client-Cert
      value: ${ssl_client_escaped_cert}
  responseHeaders:
    add:
    - name: My-Header
      value: Value
    - name: IC-Angie-Version
      value: ${angie_version}
      always: true
    hide:
    - x-internal-version
    ignore:
    - Expires
    - Set-Cookie
    pass:
    - Server
  rewritePath: /

Поле	Описание	Тип	Обязательно
`upstream`	Имя апстрима, куда будут проксироваться запросы. Апстрим с таким именем должен быть определен в ресурсе.	`string`	Да
`requestHeaders`	Изменения заголовков запросов.	Action.Proxy.RequestHeaders	Нет
`responseHeaders`	Изменения в заголовках ответов.	Action.Proxy.ResponseHeaders	Нет
`rewritePath`	Переписанный URI. Если путь маршрута является регулярным выражением, т. е. начинается с ~, то rewritePath может включать группы захвата `$1-9`. Например, $1 - первая группа, и так далее.	`string`	Нет

Action.Proxy.RequestHeaders#

Поле requestHeaders изменяет заголовки запроса к проксируемому серверу апстрима.

Поле	Описание	Тип	Обязательно
`pass`	Передает исходные заголовки запроса на проксируемый сервер апстрима. Дополнительные сведения см. в описании директивы proxy_pass_request_headers. Значение по умолчанию - true.	`bool`	Нет
`set`	Позволяет переопределять или добавлять поля для представления заголовков запросов, передаваемых на проксируемые серверы апстрима. Дополнительные сведения см. в описании директивы proxy_set_header.	[]header	Нет

Action.Proxy.RequestHeaders.Set.Header#

Определяет HTTP-заголовок:

name: My-Header
value: My-Value

Можно переопределить значение заголовка Host по умолчанию, которое ANIC устанавливает равным $host:

name: Host
value: example.com

Поле	Описание	Тип	Обязательно
`name`	Имя заголовка.	`string`	Да
`value`	Значение заголовка. Поддерживает переменные Angie*. Переменные должны быть заключены в фигурные скобки. Например: `$scheme`.	`string`	Нет

Примечание

Поддерживаемые переменные Angie: $request_uri, $request_method, $request_body, $scheme, $http_, $args, $arg_, $cookie_, $host, $request_time, $request_length, $angie_version, $pid, $connection, $remote_addr, $remote_port, $time_iso8601, $time_local, $server_addr, $server_port, $server_name, $server_protocol, $connections_active, $connections_reading, $connections_writing, $connections_waiting, $ssl_cipher, $ssl_ciphers, $ssl_client_cert, $ssl_client_escaped_cert, $ssl_client_fingerprint, $ssl_client_i_dn, $ssl_client_i_dn_legacy, $ssl_client_raw_cert, $ssl_client_s_dn, $ssl_client_s_dn_legacy, $ssl_client_serial, $ssl_client_v_end, $ssl_client_v_remain, $ssl_client_v_start, $ssl_client_verify, $ssl_curves, $ssl_early_data, $ssl_protocol, $ssl_server_name, $ssl_session_id, $ssl_session_reused.

Action.Proxy.ResponseHeaders#

Поле responseHeaders изменяет заголовки ответа клиенту.

Поле	Описание	Тип	Обязательно
`hide`	Заголовки, которые не будут переданы в ответе клиенту с проксируемого сервера апстрима. Дополнительные сведения см. в описании директивы proxy_hide_header.	`[]string`	Нет
`pass`	Позволяет передавать скрытые поля заголовка клиенту с проксируемого сервера апстрима. Дополнительные сведения см. в описании директивы proxy_pass_header.	`[]string`	Нет
`ignore`	Отключает обработку определенных заголовков** при передаче клиенту ответа с проксируемого сервера апстрима. Дополнительные сведения см. в описании директивы proxy_ignore_headers.	`[]string`	Нет
`add`	Добавляет заголовки к ответу для клиента.	[]addHeader	Нет

Примечание

Скрытые заголовки по умолчанию: Date, Server, X-Pad и X-Accel-....

Примечание

Следующие поля могут быть проигнорированы: X-Accel-Redirect, X-Accel-Expires, X-Accel-Limit-Rate, X-Accel-Buffering, X-Accel-Charset, Expires, Cache-Control, Set-Cookie и Vary.

AddHeader#

Определяет HTTP-заголовок с необязательным полем always:

name: My-Header
value: My-Value
always: true

Поле	Описание	Тип	Обязательно
`name`	Имя заголовка.	`string`	Да
`value`	Значение заголовка. Поддерживает переменные Angie*. Переменные должны быть заключены в фигурные скобки. Например: `$scheme`.	`string`	Нет
`always`	Если установлено значение true, добавляет заголовок независимо от кода состояния ответа**. Значение по умолчанию - false. Дополнительные сведения см. в описании директивы add_header.	`bool`	Нет

Примечание

Поддерживаемые переменные Angie: $request_uri, $request_method, $request_body, $scheme, $http_, $args, $arg_, $cookie_, $host, $request_time, $request_length, $angie_version, $pid, $connection, $remote_addr, $remote_port, $time_iso8601, $time_local, $server_addr, $server_port, $server_name, $server_protocol, $connections_active, $connections_reading, $connections_writing, $connections_waiting, $ssl_cipher, $ssl_ciphers, $ssl_client_cert, $ssl_client_escaped_cert, $ssl_client_fingerprint, $ssl_client_i_dn, $ssl_client_i_dn_legacy, $ssl_client_raw_cert, $ssl_client_s_dn, $ssl_client_s_dn_legacy, $ssl_client_serial, $ssl_client_v_end, $ssl_client_v_remain, $ssl_client_v_start, $ssl_client_verify, $ssl_curves, $ssl_early_data, $ssl_protocol, $ssl_server_name, $ssl_session_id, $ssl_session_reused.

Примечание

Если значение always - false, заголовок ответа добавляется только в том случае, если код состояния ответа - это 200, 201, 204, 206, 301, 302, 303, 304, 307 или 308.

Split#

Определяет вес действия в составе конфигурации разделений.

В приведенном ниже примере Angie передает 80% запросов вышестоящему coffee-v1, а оставшиеся 20% - coffee-v2:

splits:
  - weight: 80
    action:
      pass: coffee-v1
  - weight: 20
    action:
      pass: coffee-v2

Поле	Описание	Тип	Обязательно
`weight`	Вес действия. Значение должно попадать в диапазон `1..99`. Сумма весов всех разделений должна быть равна `100`.	`int`	Да
`action`	Действие, которое необходимо выполнить для запроса.	:ref`:action`	Да

Match#

Определяет сопоставление между условиями и действием или разделениями.

В приведенном ниже примере Angie направляет запросы с путем "/coffee" в разные апстримы на основе значения cookie user:

user=john -> coffee-future
user=bob -> coffee-deprecated
Если cookie не установлен или не равен ни john, ни bob, Angie перенаправляет запрос в coffee-stable

path: /coffee
matches:
- conditions:
  - cookie: user
    value: john
    action:
    pass: coffee-future
- conditions:
  - cookie: user
    value: bob
    action:
      pass: coffee-deprecated
  action:
    pass: coffee-stable

В следующем примере Angie направляет запросы на основе значения встроенной переменной $request_method, которая представляет HTTP-метод запроса:

все запросы POST -> coffee-post
все прочие запросы -> coffee

path: /coffee
matches:
  - conditions:
    - variable: $request\_method
        value: POST
      action:
        pass: coffee-post
    action:
      pass: coffee

Поле	Описание	Тип	Обязательно
`conditions`	Список условий. Должен включать по крайней мере одно условие.	[]condition	Да
`action`	Действие, которое необходимо выполнить для запроса.	Action	Нет
`splits`	Конфигурация разбиений для разделения трафика. Должно быть указано не менее двух разделений.	[]split	Нет

Примечание

Сопоставление должно использовать ровно одно из следующих значений: action или splits.

Condition#

Определяет условие в сопоставлении.

Поле	Описание	Тип	Обязательно
`header`	Имя заголовка. Должно состоять из буквенно-цифровых символов или `-`.	`string`	Нет
`cookie`	Имя cookie. Должно состоять из буквенно-цифровых символов или `_`.	`string`	Нет
`argument`	Имя аргумента. Должно состоять из буквенно-цифровых символов или `_`.	`string`	Нет
`variable`	Имя переменной Angie. Должно начинаться с `$`. См. список поддерживаемых переменных после таблицы.	`string`	Нет
`value`	Значение, которому должно соответствовать условие. Как определить значение, показано ниже в таблице.	`string`	Да

Примечание

Условие должно включать ровно одно из следующих значений: header, cookie, argument или variable.

Поддерживаемые переменные Angie: $args, $http2, $https, $remote_addr, $remote_port, $query_string, $request, $request_body, $request_uri, $request_method, $scheme.

Значение поддерживает два вида сопоставления:

Сравнение строк без учета регистра. Например:
- john - сопоставление без учета регистра, которое выполняется успешно для таких строк, как john, John, JOHN.
- !john - отрицание соответствия без учета регистра для john, которое выполняется успешно для таких строк, как bob, anything, " (пустая строка).
Сопоставление с регулярным выражением. Обратите внимание, что Angie поддерживает регулярные выражения, совместимые с языком программирования Perl (PCRE). Например:
- ~^yes - регулярное выражение с учетом регистра, которое соответствует любой строке, начинающейся с yes. Например: yes, yes123.
- !~^yes - отрицание предыдущего регулярного выражения, которое успешно выполняется для строк типа YES, Yes123, noyes. (Механизм отрицания не является частью синтаксиса PCRE).
- ~*no$ -- регулярное выражение без учета регистра, которое соответствует любой строке, заканчивающейся на no. Например: no, 123no, 123NO.

Примечание

Значение не должно содержать неэкранированных двойных кавычек (") и не должно заканчиваться неэкранированной обратной косой чертой (\). Например, следующие значения недопустимы: some"value, somevalue\.

ErrorPage#

Определяет настраиваемый ответ для маршрута на случай, когда сервер апстрима отвечает кодом состояния ошибки (или его генерирует Angie). В качестве ответа может быть задано перенаправление или сохраненный ответ. Дополнительные сведения см. в описании директивы error_page.

path: /coffee
errorPages:
  - codes: [502, 503]
    redirect:
      code: 301
      url: https://angie.software
  - codes: [404]
    return:
      code: 200
      body: "Original resource not found, but success!"

Поле	Описание	Тип	Обязательно
`codes`	Список кодов состояния ошибки.	`[]int`	Да
`redirect`	Действие перенаправления для заданных кодов состояния.	errorPage.Redirect	Нет
`return`	Сохраненное ответное действие для заданных кодов состояния.	errorPage.Return	Нет

Примечание

Страница с ошибкой должна содержать ровно одно из следующих значений: return или redirect.

ErrorPage.Redirect#

Определяет перенаправление для errorPage.

В приведенном ниже примере Angie отвечает перенаправлением, когда ответ от сервера апстрима имеет код состояния 404.

codes: [404]
redirect:
  code: 301
  url: ${scheme}://cafe.example.com/error.html

Поле	Описание	Тип	Обязательно
`код`	Код состояния перенаправления. Допустимые значения: `301`, `302`, `307`, `308`. Значение по умолчанию - `301`.	`int`	Нет
`url`	URL-адрес, на который будет перенаправлен запрос. Поддерживаемые переменные Angie: `$scheme` и `$http_x_forwarded_proto`. Переменные должны быть заключены в фигурные скобки. Например: `$scheme`.	`string`	Да

ErrorPage.Return#

Определяет сохраненный ответ для errorPage.

В приведенном ниже примере Angie выдает сохраненный ответ, когда ответ от сервера апстрима имеет код состояния 401 или 403.

codes: [401, 403]
return:
  code: 200
  type: application/json
  body: |
    {\"msg\": \"You don't have permission to do this\"}
  headers:
    - name: x-debug-original-statuses
      value: ${upstream\_status}

Поле	Описание	Тип	Обязательно
`code`	Код состояния ответа. По умолчанию используется код состояния исходного ответа.	`int`	Нет
`type`	MIME-тип ответа. Значение по умолчанию - `text/html`.	`string`	Нет
`body`	Тело ответа. Поддерживаемая переменная Angie: `$upstream_status`. Переменные должны быть заключены в фигурные скобки. Например: `$upstream_status`.	`string`	Да
`headers`	Настраиваемые заголовки ответа.	errorPage.Return.Header	Нет

ErrorPage.Return.Header#

Определяет HTTP-заголовок для сохраненного ответа у errorPage:

name: x-debug-original-statuses
value: ${upstream_status}

Поле	Описание	Тип	Обязательно
`name`	Имя заголовка.	`string`	Да
`value`	Значение заголовка. Поддерживаемая переменная Angie: `$upstream_status`. Переменные должны быть заключены в фигурные скобки. Например: `$upstream_status`.	`string`	Нет

Использование VirtualServer и VirtualServerRoute#

Для работы с ресурсами VirtualServer и VirtualServerRoute можно использовать обычные команды kubectl, аналогично ресурсам Ingress.

Например, следующая команда создает ресурс VirtualServer, определенный в cafe-virtual-server.yaml с именем cafe:

kubectl apply -f cafe-virtual-server.yaml

virtualserver.k8s.angie.software "cafe" created

Вы можете получить ресурс, выполнив:

kubectl get virtualserver cafe

NAME   STATE   HOST                   IP            PORTS      AGE
cafe   Valid   cafe.example.com       12.13.23.123  [80,443]   3m

В kubectl get и подобных командах также можно использовать короткое имя vs вместо virtualserver.

Работать с ресурсами VirtualServerRoute можно аналогично. В командах kubectl используйте virtualserverroute или короткое имя vsr.

Использование фрагментов#

Фрагменты позволяют вставлять элементы конфигурации Angie в различные контексты конфигурации Angie. В приведенном ниже примере мы используем фрагменты кода для настройки нескольких функций Angie на VirtualServer:

apiVersion: k8s.angie.software/v1
kind: VirtualServer
metadata:
  name: cafe
  namespace: cafe
spec:
  http-snippets: |
    limit_req_zone $binary_remote_addr zone=mylimit:10m rate=1r/s;
    proxy_cache_path /tmp keys_zone=one:10m;
  host: cafe.example.com
  tls:
    secret: cafe-secret
  server-snippets: |
    limit_req zone=mylimit burst=20;
  upstreams:
    - name: tea
      service: tea-svc
      port: 80
    - name: coffee
      service: coffee-svc
      port: 80
  routes:
    - path: /tea
      location-snippets: |
        proxy\_cache one;
        proxy\_cache\_valid 200 10m;
      action:
        pass: tea
    - path: /coffee
      action:
        pass: coffee

Фрагменты предназначены для продвинутых пользователей Angie, которым требуется больше контроля над генерируемой конфигурацией Angie.

Однако из-за недостатков, описанных ниже, фрагменты по умолчанию отключены. Чтобы использовать фрагменты, задайте аргумент командной строки enable-snippets.

Недостатки использования фрагментов:

Сложность. Чтобы использовать фрагменты, требуется:
- Понимать примитивы конфигурации Angie и реализовать правильную конфигурацию Angie.
- Понимать, как ANIC генерирует конфигурацию Angie, чтобы фрагмент не мешал другим функциям конфигурации.
Сниженная надежность. Неправильный фрагмент делает конфигурацию Angie недействительной, что приведет к ошибке при перезагрузке. Это помешает применить какие-либо обновления конфигурации, включая обновления для других ресурсов VirtualServer и VirtualServerRoute, пока фрагмент не будет исправлен.
Последствия для безопасности. Фрагменты предоставляют доступ к примитивам конфигурации Angie, и эти примитивы не проверяются самим ANIC. Например, через фрагмент можно настроить в Angie произвольную отправку сертификатов TLS и ключей, используемых для завершения TLS у ресурсов Ingress и VirtualServer.

Чтобы помочь отлавливать ошибки при использовании фрагментов, ANIC сообщает об ошибках перезагрузки конфигурации в журналах, а также в полях событий и состояния ресурсов VirtualServer и VirtualServerRoute.

Примечание

Пока конфигурация Angie содержит недопустимый фрагмент, Angie будет продолжать работать с последней допустимой конфигурацией.

Валидация#

Для ресурсов VirtualServer и VirtualServerRoute доступны два типа валидации:

Структурная валидация с помощью kubectl и сервера Kubernetes API.
Всесторонняя валидация с помощью ANIC.

Структурная валидация#

Пользовательские определения ресурсов для VirtualServer и VirtualServerRoute включают структурную схему OpenAPI, которая описывает тип каждого поля этих ресурсов.

Если вы попытаетесь создать (или обновить) ресурс с нарушением структурной схемы (например, используете строковое значение для поля порта апстрима), kubectl и сервер Kubernetes API отклонят такой ресурс:

Пример проверки kubectl:

kubectl apply -f cafe-virtual-server.yaml

  error: error validating "cafe-virtual-server.yaml": error validating
  data: ValidationError(VirtualServer.spec.upstreams[0].port): invalid
  type for software.angie.k8s.v1.VirtualServer.spec.upstreams.port: got
  "string", expected "integer"; if you choose to ignore these errors,
  turn validation off with --validate=false

Пример проверки сервера Kubernetes API:

kubectl apply -f cafe-virtual-server.yaml --validate=false

  The VirtualServer "cafe" is invalid: []: Invalid value:
  map[string]interface {}{ ... }: validation failure list:
  spec.upstreams.port in body must be of type integer: "string"

Если ресурс не отклонен (т. е. не нарушает структурную схему), ANIC проверит его дополнительно.

Всесторонняя валидация#

ANIC проверяет поля ресурсов VirtualServer и VirtualServerRoute. Если ресурс недействителен, ANIC отклонит его: ресурс продолжит существовать в кластере, но ANIC будет его игнорировать.

Вы можете проверить, успешно ли ANIC применил конфигурацию для VirtualServer. Для нашего примера VirtualServer cafe мы можем запустить:

kubectl describe vs cafe

. . .
Events:
  Type    Reason          Age   From                      Message
  -----
  Normal  AddedOrUpdated  16s   angie-ingress-controller  Configuration for default/cafe was added or updated

Обратите внимание, что раздел "События" (Events) включает событие Normal с причиной AddedOrUpdated, которое информирует нас о том, что конфигурация была успешно применена.

Если вы создадите недопустимый ресурс, ANIC отклонит его и выдаст событие Rejected. Например, если вы создадите VirtualServer cafe с двумя серверами апстрима с одинаковым именем tea, вы получите:

kubectl describe vs cafe

. . .
Events:
  Type     Reason    Age   From                      Message
  -----
  Warning  Rejected  12s   angie-ingress-controller  VirtualServer default/cafe is invalid and was rejected: spec.upstreams[1].name: Duplicate value: "tea"

Обратите внимание, что раздел "События" (Events) включает предупреждающее событие с указанием причины отклонения.

Кроме того, эта информация также доступна в поле status ресурса VirtualServer. Обратите внимание на раздел Status VirtualServer:

kubectl describe vs cafe

. . .
Status:
  External Endpoints:
    Ip:        12.13.23.123
    Ports:     [80,443]
  Message:  VirtualServer default/cafe is invalid and was rejected: spec.upstreams[1].name: Duplicate value: "tea"
  Reason:   Rejected
  State:    Invalid

ANIC проверяет ресурсы VirtualServerRoute аналогичным образом.

Примечание

Если вы внесете ошибку в существующий ресурс, ANIC отклонит его и удалит соответствующую конфигурацию из Angie.

Настройка с помощью ConfigMap#

Вы можете дополнительно настроить конфигурацию Angie для ресурсов VirtualServer и VirtualServerRoutes, используя ConfigMap. Поддерживается большинство ключей ConfigMap, за следующими исключениями:

proxy-hide-headers
proxy-pass-headers
hsts
hsts-max-age
hsts-include-subdomains
hsts-behind-proxy
redirect-to-https
ssl-redirect