前言

故事的起因是朋友所在的部門最近基于auth2實(shí)現(xiàn)單點(diǎn)登錄，他們在測試環(huán)境單點(diǎn)登錄，運(yùn)行得好好的，但他們把單點(diǎn)登錄上到預(yù)發(fā)布環(huán)境，發(fā)現(xiàn)單點(diǎn)登錄不好使了。他們有部分系統(tǒng)是以授權(quán)碼式接入，發(fā)現(xiàn)第一次登錄拿到授權(quán)碼進(jìn)行換取token時，會提示授權(quán)碼失效。而他們測試環(huán)境和預(yù)發(fā)布環(huán)境的代碼是一樣的。

后面朋友和我聊天，我就問朋友兩套環(huán)境有存在什么不一樣的地方，朋友說測試環(huán)境是單POD部署，而預(yù)發(fā)布環(huán)境是多POD部署。最后我還從朋友的口中得到一個信息，他們auth2是基于國內(nèi)開源的sa-token進(jìn)行實(shí)現(xiàn)，剛好我也玩過這個玩意兒，這玩意兒的授權(quán)碼是基于cookies進(jìn)行保持。我就跟朋友說可能是因?yàn)槟悴渴鹆硕鄠€pod，pod的會話沒保持住。然后我就跟朋友提供以下方案

會話保持方案

方案一：通過service進(jìn)行配置

在service配置配置形如下內(nèi)容

apiVersion: v1
kind: Service
metadata:
  namespace: uat
  name: uat-sso
spec:
  selector:
    app: uat-sso
  ports:
    - protocol: TCP
      port: 80
      targetPort: 80
      nodePort: 30666
  type: NodePort
  # 會話保持3小時
  sessionAffinity: ClientIP
  sessionAffinityConfig:
    clientIP:
      timeoutSeconds: 10800

其中關(guān)鍵配置如下

sessionAffinity: ClientIP
sessionAffinityConfig:
    clientIP:
      timeoutSeconds: 10800

通過指定sessionAffinity: ClientIP開啟了session保持。當(dāng)設(shè)置了session保持之后，k8s會根據(jù)訪問的ip來把請求轉(zhuǎn)發(fā)給他以前訪問過的pod，這樣session就保持住了。其中timeoutSeconds指的是session保持的時間，這個時間默認(rèn)是10800秒，也就是三個小時。

不過朋友說他配置了這個之后，貌似沒產(chǎn)生作用，因?yàn)榕笥阉麄儐吸c(diǎn)登錄是通過ingress進(jìn)行轉(zhuǎn)發(fā)，于是就有了第二種方案

方案二：通過ingress配置會話保持

配置形如下

apiVersion: networking.k8s.io/v1
kind: Ingress
metadata:
  annotations:
    nginx.ingress.kubernetes.io/affinity: cookie
    nginx.ingress.kubernetes.io/affinity-mode: persistent
    nginx.ingress.kubernetes.io/session-cookie-name: route
  name: uat-sso-ingress
  namespace: uat
spec:
  rules:
  - host: sso.com
    http:
      paths:
      - backend:
          service:
            name: uat-sso
            port:
              number: 80
        path: /
        pathType: Prefix
  tls:
  - hosts:
    - sso.com
    secretName: tls.sso.com

其中關(guān)鍵配置如下

metadata:
  annotations:
    nginx.ingress.kubernetes.io/affinity: cookie
    nginx.ingress.kubernetes.io/affinity-mode: persistent
    nginx.ingress.kubernetes.io/session-cookie-name: route

其中nginx.ingress.kubernetes.io/affinity 屬性，啟用會話保持, 其值僅僅支持cookie。
nginx.ingress.kubernetes.io/affinity-mode 屬性，設(shè)置為persistent時，則請求一直請求至同一pods服務(wù)，設(shè)置為balanced (默認(rèn)設(shè)置)則請求會使用輪詢的方式至后端pods服務(wù)
nginx.ingress.kubernetes.io/session-cookie-name 屬性，自定義cookie名稱, 其默認(rèn)設(shè)置為 INGRESSCOOKIE，但我們可自定義，如上文的route。

更多詳細(xì)的配置可以查看如下鏈接
https://kubernetes.github.io/ingress-nginx/examples/affinity/cookie/

總結(jié)

朋友后面是通過配置ingress這種方式解決問題，本文就作為一個記錄

到此這篇關(guān)于如何在K8S中實(shí)現(xiàn)會話保持的文章就介紹到這了,更多相關(guān)K8S會話保持內(nèi)容請搜索腳本之家以前的文章或繼續(xù)瀏覽下面的相關(guān)文章希望大家以后多多支持腳本之家！

最新評論