istio-in-action - 04 使用 istio Gateway 允许外部访问
istio-in-action - 04 使用 istio Gateway 允许外部访问
老麦
发布于 2022-12-24 10:19:45
发布于 2022-12-24 10:19:45
文章被收录于专栏:Go与云原生
聪明的人找的到项目和代码: https://github.com/tangx/istio-in-action
仅仅是简单的创建了 VirtualService 是不能实现集群外部的访问的。
在 Istio 中, 还有一个 Gateway 的概念。顾名思义, Gateway 就是大门保安, 只允许具有特定特征的流量通过。
1.1. 创建 Gateway
先来创建一个 Gateway
---
# https://istio.io/latest/docs/reference/config/networking/gateway/
apiVersion: networking.istio.io/v1alpha3
kind: Gateway
metadata:
name: istio-tangx-in
namespace: myistio
spec:
selector:
istio: ingressgateway # 选择 ingressgateway, 省略则兼容所有
servers:
- port:
number: 80
name: http
protocol: HTTP
hosts:
# - myistio/istio.tangx.in # 只针对特定的 namespace myistio 有效
- istio.tangx.in # 所有 ns 都有效
上述 gateway 注意以下几点。
- 使用
.spec.selector选择了绑定的 ingressgateway。如果 省略 则绑定到所有的 ingressgateway。
kgall deployment -l istio=ingressgateway
NAMESPACE NAME READY UP-TO-DATE AVAILABLE AGE
istio-system istio-ingressgateway 1/1 1 1 3d23h
.spec.servers.port指定了 gateway 允许的 端口 和 协议。- 截止
istio v1.11.4只支持HTTP|HTTPS|GRPC|HTTP2|MONGO|TCP|TLS7中。
- 截止
.sepc.servers.hosts指定了允许通过的 域名。- 如果使用
ns_name/istio.tangx.innamespace 字段, 则表示只有 特定 的namespace 中生效。 istio.tangx.in如果没有 ns 字段, 则表示所有 ns 中生效。
- 如果使用
1.2. VirutalService 定义
随后, 更新 VirtualService 配置
---
apiVersion: networking.istio.io/v1alpha3
kind: VirtualService
metadata:
name: vs-prod
namespace: myistio
spec:
gateways: # 选择 gateway
- istio-tangx-in # 这里的名字要与 gateway 的名字匹配
hosts:
- svc-prod
- istio.tangx.in # 使用的外部地址 FQDN。这里的域名是 gateway hosts 中定义的
http:
- route:
- destination:
host: svc-prod
需要注意
.spec.gateways的列表值必须是存在的 gateway 名称.spec.hosts的值, 必须是上述选中的 gateway 中定义的。
2. 测试
运行如下命令创建相关环境
kubectl apply -f istio-samples/04/
使用 04.http 的 GET 请求进行测试
注意: 使用访问的外部域名
istio.tangx.in一定要进行 dns 解析。或使用/etc/resolv.conf进行绑定。
本文参与 腾讯云自媒体同步曝光计划,分享自微信公众号。
原始发表:2021-11-18,如有侵权请联系 cloudcommunity@tencent.com 删除
评论
登录后参与评论
推荐阅读
腾讯云开发者
