备案控制台
文档
产品文档
输入文档关键字查找
首页 服务网格 操作指南 ASM网关 出口网关 为网格内流量配置统一的出口网关

为网格内流量配置统一的出口网关

更新时间:
一键部署
提交缺陷
产品详情
相关技术圈
我的收藏

当网格内的应用需要与外部服务进行通信时,您可以使用出口网关作为统一的出口,集中管理所有的出站流量。通过配置出口网关,您可以实现对流量的安全控制和路由,提升网格内应用程序的安全性和可观测性。

前提条件

配置流程

配置流程

步骤一:部署示例应用

  1. 部署sleep应用。

    1. 使用以下内容,创建sleep.yaml

      展开查看sleep.yaml

      apiVersion: v1
kind: ServiceAccount
metadata:
  name: sleep
---
apiVersion: v1
kind: Service
metadata:
  name: sleep
  labels:
    app: sleep
    service: sleep
spec:
  ports:
  - port: 80
    name: http
  selector:
    app: sleep
---
apiVersion: apps/v1
kind: Deployment
metadata:
  name: sleep
spec:
  replicas: 1
  selector:
    matchLabels:
      app: sleep
  template:
    metadata:
      labels:
        app: sleep
    spec:
      terminationGracePeriodSeconds: 0
      serviceAccountName: sleep
      containers:
      - name: sleep
        image: curlimages/curl
        command: ["/bin/sleep", "infinity"]
        imagePullPolicy: IfNotPresent
        volumeMounts:
        - mountPath: /etc/sleep/tls
          name: secret-volume
      volumes:
      - name: secret-volume
        secret:
          secretName: sleep-secret
          optional: true
---

    2. 在ACK集群对应的KubeConfig环境下,执行以下命令,部署sleep应用。

      关于如何使用kubectl管理集群,请参见获取集群KubeConfig并通过kubectl工具连接集群

      kubectl apply -f sleep.yaml

  2. 执行以下命令,进入sleep Pod,访问外部服务。

    您可以通过kubectl get pod -n default命令,查看sleep Pod的名称。

    kubectl exec -it ${sleep Pod的名称} -- /bin/sh
curl aliyun.com -I

    示例输出:

    HTTP/1.1 301 Moved Permanently
server: envoy
date: Thu, 14 Dec 2023 03:05:41 GMT
content-type: text/html
content-length: 239
location: https://aliyun.com/
eagleeye-traceid: 0b57ff8717025231418255220e****
timing-allow-origin: *
x-envoy-upstream-service-time: 69

    返回301,表示网格内应用可以正常访问外部服务。此处默认使用HTTP协议访问,网站会返回重定向响应。

    说明

    ASM默认允许访问所有外部服务,采用此方式无法进行安全权限控制,也无法使用网格提供的各种可观测能力。建议您参照下文,开启REGISTRY_ONLY,限制可访问的服务,并使用出口网关作为流量统一出口。

(可选)步骤二:开启REGISTRY_ONLY

ASM的外部服务访问策略默认为ALLOW_ANY,建议您将其修改为REGISTRY_ONLY。Sidecar代理将阻止应用访问未在网格中定义服务条目的外部主机,保障网格内应用的安全。

说明

  1. 登录ASM控制台,在左侧导航栏,选择服务网格 > 网格管理

  2. 网格管理页面,单击目标实例名称,然后在左侧导航栏,选择数据面组件管理 > Sidecar代理配置

  3. Sidecar代理配置页面,单击全局页签,单击外部服务访问策略,配置对外部服务的访问策略OutboundTrafficPolicyREGISTRY_ONLY,然后单击更新设置

  4. 执行以下命令,进入sleep Pod,访问外部服务。

    kubectl exec -it ${sleep Pod的名称} -- /bin/sh
curl aliyun.com -I

    示例输出:

    HTTP/1.1 502 Bad Gateway
date: Thu, 14 Dec 2023 03:08:46 GMT
server: envoy
transfer-encoding: chunked

    返回502,表示网格内应用无法访问未经注册的外部服务。

步骤三:为外部服务创建服务条目(ServiceEntry)

对集群外的服务创建ServiceEntry,集群内应用才能使用出口网关访问对应的外部服务。

  1. 登录ASM控制台,在左侧导航栏,选择服务网格 > 网格管理

  2. 网格管理页面,单击目标实例名称,然后在左侧导航栏,选择集群与工作负载管理 > 集群外服务(ServiceEntry),然后单击使用YAML创建

  3. 创建页面,选择sleep应用所在的命名空间场景模版选择访问网格外部服务,配置如下YAML示例,然后单击创建

    apiVersion: networking.istio.io/v1beta1
kind: ServiceEntry
metadata:
  name: external-svc-http
spec:
  hosts:
  - aliyun.com
  location: MESH_EXTERNAL
  ports:
  - number: 80
    name: http
    protocol: HTTP
  resolution: DNS

  4. 执行以下命令,进入sleep Pod,访问外部服务。

    kubectl exec -it ${sleep Pod的名称} -- /bin/sh
curl aliyun.com -I

    返回301,表示网格内应用可以正常访问外部服务。在网格内使用ServiceEntry注册了aliyun.com,所以允许应用访问该外部服务。此时外部流量直接从各个Pod发出,并没有从统一的出口网关发出。

步骤四:使用出口网关作为外部服务的统一出口

上文已为aliyun.com创建了ServiceEntry,因此可以使用虚拟服务、网关规则等功能来管理访问aliyun.com的流量。

  1. 创建出口网关,配置HTTP协议和80端口。具体操作,请参见创建出口网关

  2. 按照以下内容,创建网关规则。具体操作,请参见管理网关规则

    创建网关规则

  3. 使用以下YAML,创建虚拟服务。具体操作,请参见管理虚拟服务

    展开查看虚拟服务YAML

    apiVersion: networking.istio.io/v1alpha3
kind: VirtualService
metadata:
  name: egressgateway-vs
spec:
  hosts:
  - aliyun.com
  gateways:
  - egress-gw  # 上一步创建的网关规则名称。
  - mesh
  http:
  - match:
    - gateways:
      - mesh
      port: 80
    route:
    - destination:
        host: istio-egressgateway.istio-system.svc.cluster.local
        port:
          number: 80
      weight: 100
  - match:
    - gateways:
      - egress-gw
      port: 80
    route:
    - destination:
        host: aliyun.com
        port:
          number: 80
      weight: 100

  4. 测试访问外部服务。

    1. 执行以下命令,进入sleep Pod,访问外部服务。

      kubectl exec -it ${sleep Pod的名称} -- /bin/sh
curl aliyun.com -I

      返回301,表示网格内应用可以正常访问外部服务。此时网格内应用不是直接从Pod访问服务,而是通过上文创建的出口网关访问服务。

    2. 执行以下命令,在网关Pod中查看访问日志。

      说明

      • 若您的出口网关Pod有多个副本,产生的访问日志会在某个Pod上。您需要依次在所有网关Pod上执行此命令,才能找到对应的访问日志。

      • 如果您开启了出口网关的访问日志,也可以登录日志服务控制台查看访问记录。

      kubectl -n istio-system logs ${出口网关Pod名称}  -c istio-proxy | grep aliyun.com | tail -n 1

      示例输出:

      {"trace_id":null,"upstream_host":"106.11.XXX.XX:80","downstream_remote_address":"10.34.0.140:47942","requested_server_name":null,"response_code":301,"upstream_service_time":"24","user_agent":"curl/7.86.0-DEV","path":"/","route_name":null,"bytes_sent":0,"response_flags":"-","upstream_local_address":"10.34.0.141:60388","duration":24,"upstream_cluster":"outbound|80||aliyun.com","upstream_transport_failure_reason":null,"authority":"aliyun.com","request_id":"55789d59-9b81-4e39-b64a-66baf44e****","protocol":"HTTP/1.1","bytes_received":0,"method":"HEAD","downstream_local_address":"10.34.0.141:80","start_time":"2022-11-30T08:03:01.315Z","istio_policy_status":null,"x_forwarded_for":"10.34.0.140"}

      downstream_remote_address表示sleep Pod的IP地址。

      完成上述配置之后,相应的外部服务流量会通过出口网关向集群外发出,您可以在网关上使用ASM提供的可观测以及安全相关的能力,更加高效地管理出口流量。

相关文档

文档推荐
  • 本页导读 (1)
文档反馈