istio-ingressgateway 学习

tanmx

发布于 2023-10-18 12:48:27

5200

发布于 2023-10-18 12:48:27

除了支持 Kubernetes Ingress，Istio还提供了另一种配置模式，Istio Gateway。与Ingress相比，Gateway提供了更广泛的自定义和灵活性，并允许将 Istio 功能（例如监控和路由规则）应用于进入集群的流量。

下面介绍如何使用 IstioGateway来将服务暴露至服务网格之外。

一、开始之前

1. 安装 Istio 环境

上文已经使用 demo 配置安装了 Istio 环境，包含 istio-ingressgateway 组件

2. 安装 LoadBalancer 服务

每个Gateway由类型为 LoadBalancer 的服务支撑，该服务的外部负载均衡器 IP 和端口用于访问 Gateway。k3s 安装的时候禁用了默认的 servicelb 服务，需要手动安装其他 LB 服务，这里安装MetalLB。

使用一下命令安装 MetalLB （native模式）

1	kubectl apply -f https://raw.githubusercontent.com/metallb/metallb/v0.13.10/config/manifests/metallb-native.yaml

配置 MetalLB 地址池：

1 2 3 4 5 6 7 8 9 10 11 12 13	cat <<EOF > IPAddressPool.yaml apiVersion: metallb.io/v1beta1 kind: IPAddressPool metadata: name: first-pool namespace: metallb-system spec: addresses: # 可分配的 IP 地址,可以指定多个，包括 ipv4、ipv6 - 192.168.10.0/24 EOF kubectl apply -f IPAddressPool.yaml

3. 部署示例应用

启动 httpbin 样例，用作用口流量的目标服务：

1	kubectl apply -f istio-1.18.2/samples/httpbin/httpbin.yaml

本文旨在展示如何使用网关控制到“Kubernetes 集群”中的入口流量，无论是否启用 Sidecar 注入都可以启动httpbin服务（即目标服务可以在 Istio 网格内，也可以在 Istio 网格外）。

二、使用网关配置 Ingress

IngressGateway描述在网格边界运作的负载均衡器，用于接收传入的 HTTP/TCP 连接。它会配置暴露的端口、协议等，但与Kubernetes Ingress 资源不同，不会包括任何流量路由配置。转而使用路由规则来配置入口流量的流量路由，这与内部服务请求所用的方式相同。

使用以下步骤为 HTTP 流量在 80 端口上配置Gateway（Istio APIS为例）

创建Istio Gateway：

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16	kubectl apply -f - <<EOF apiVersion: networking.istio.io/v1alpha3 kind: Gateway metadata: name: httpbin-gateway spec: selector: istio: ingressgateway # use Istio default gateway implementation servers: - port: number: 80 name: http protocol: HTTP hosts: - "httpbin.example.com" EOF

通过Gateway为进入的流量配置路由：

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22	kubectl apply -f - <<EOF apiVersion: networking.istio.io/v1alpha3 kind: VirtualService metadata: name: httpbin spec: hosts: - "httpbin.example.com" gateways: - httpbin-gateway http: - match: - uri: prefix: /status - uri: prefix: /delay route: - destination: port: number: 8000 host: httpbin EOF

已为httpbin服务创建了虚拟服务配置，包含两个路由规则，允许流量流向路径/status和/delay。

三、确定 Ingress IP 和端口

每个Gateway由类型为 LoadBalancer 的服务支撑。该服务的外部负载均衡器 IP 和端口用于访问 Gateway。

设置INGRESS_HOST和INGRESS_PORT环境变量：

1 2	export INGRESS_NAME=istio-ingressgateway export INGRESS_NS=istio-system

执行如下指令，确定您的 Kubernetes 集群是否运行在支持外部负载均衡器的环境中：

1 2 3	kubectl get svc "$INGRESS_NAME" -n "$INGRESS_NS" NAME TYPE CLUSTER-IP EXTERNAL-IP PORT(S) AGE istio-ingressgateway LoadBalancer 10.43.184.198 192.168.10.0 15021:30789/TCP,80:30472/TCP,443:32302/TCP,31400:32312/TCP,15443:31676/TCP 27h

四、访问 Ingress 服务

使用 curl 访问 httpbin 服务：

1 2 3 4 5 6 7 8 9	curl -s -I -HHost:httpbin.example.com "http://192.168.10.0:80/status/200" HTTP/1.1 200 OK server: istio-envoy date: Wed, 16 Aug 2023 06:43:17 GMT content-type: text/html; charset=utf-8 access-control-allow-origin: * access-control-allow-credentials: true content-length: 0 x-envoy-upstream-service-time: 20

注意上文命令使用-H标识将 HTTP 头部参数 Host 设置为 “httpbin.example.com”。该操作是必需的，因为 IngressGateway已被配置用来处理 “httpbin.example.com” 的服务请求，而在测试环境中并没有为该主机绑定 DNS，而是简单直接地向 Ingress IP 发送请求。