外包精通--Istio Ingress Gateway

发布于

在kubernetes环境中,kubernetes Ingress Resource常用来指定应该暴露给集群外部的服务。在一个Istio的服务网格中,最好的办法就是使用不同的配置模型,也就是Istio Gateway。一个gateway允许Istio的功能,比如监控和路由规则去应用到进入集群的流量 。

描述如何配置Istio去暴露服务到服务网格的外部。

1. 准备工作
  • 如果开启了sidecar的自动注入,那么执行如下
代码语言:javascript
复制
$ kubectl apply -f samples/httpbin/httpbin.yaml
  • 否则使用如下命令手工注入sidecar
代码语言:javascript
复制
$ kubectl apply -f <(istioctl kube-inject -f samples/httpbin/httpbin.yaml)
2. 确定Ingress的IP和端口
  • 执行下面命令,查看你的istio-ingressgateway服务是不是使用负载均衡器
代码语言:javascript
复制
$ kubectl get svc istio-ingressgateway -n istio-system
  • 使用以下命令查看端口和IP
代码语言:javascript
复制
$ export INGRESS_HOST=$(kubectl -n istio-system get service istio-ingressgateway -o jsonpath='{.status.loadBalancer.ingress[0].ip}')

 export INGRESS_PORT=(kubectl -n istio-system get service istio-ingressgateway -o jsonpath='{.spec.ports[?(@.name=="http2")].port}')


 export SECURE_INGRESS_PORT=(kubectl -n istio-system get service istio-ingressgateway -o jsonpath='{.spec.ports[?(@.name=="https")].port}')
3. 使用Istio gateway配置ingress

入口网关描述了一个运行在网格边缘的负载均衡器,它接收传入的HTTP/TCP连接。它配置暴露的端口、协议等,但与Kubernetes进入资源不同,它不包含任何流量路由配置。入口流量的流量路由是使用Istio路由规则配置的,其方式与内部服务请求完全相同。

  1. 创建Istio Gateway:
代码语言:javascript
复制
$ kubectl apply -f - <<EOF

apiVersion: networking.istio.io/v1alpha3

kind: Gateway

metadata:

name: httpbin-gateway

spec:

selector:

istio: ingressgateway # use Istio default gateway implementation

servers:


    

  • port:
    
number: 80
    
name: http
    
protocol: HTTP
    
hosts:

      

    • "httpbin.example.com"
      
EOF
  1. 通过gateway配置进入的流量
代码语言:javascript
复制
$ kubectl apply -f - <<EOF

apiVersion: networking.istio.io/v1alpha3

kind: VirtualService

metadata:

name: httpbin

spec:

hosts:



  • "httpbin.example.com"
    
gateways:
    • 

  • httpbin-gateway
    
http:
    • 

  • match:

      

    • uri:
      
prefix: /status
      • 

    • uri:
      
prefix: /delay
      
route:
      • 

    • destination:
      
port:
      
number: 8000
      
host: httpbin
      
EOF
    1. 使用curl访问httpbin的服务
    代码语言:javascript
    复制
     curl -I -HHost:httpbin.example.com http://INGRESS_HOST:INGRESS_PORT/status/200</code></pre></div></div><p>在这里-H选项是设置主机的HTTP报头为<code>httpbin.example.com</code></p><ol class="ol-level-0"><li>访问其它的URL,应该会看到一个HTTP 404错误。</li></ol><div class="rno-markdown-code"><div class="rno-markdown-code-toolbar"><div class="rno-markdown-code-toolbar-info"><div class="rno-markdown-code-toolbar-item is-type"><span class="is-m-hidden">代码语言:</span>javascript</div></div><div class="rno-markdown-code-toolbar-opt"><div class="rno-markdown-code-toolbar-copy"><i class="icon-copy"></i><span class="is-m-hidden">复制</span></div></div></div><div class="developer-code-block"><pre class="prism-token token line-numbers language-javascript"><code class="language-javascript" style="margin-left:0"> curl -I -HHost:httpbin.example.com http://INGRESS_HOST:INGRESS_PORT/headers
    4. 使用浏览器访问ingress服务

    warning由于没有配置针对域名和IP相对应的DNS服务,所以当用浏览器访问 https://httpbin.example.com/status/200 时可能无法访问。为了能够使基于IP的能够工作,特配置如下:

    代码语言:javascript
    复制
    kubectl apply -f - <<EOF
    
apiVersion: networking.istio.io/v1alpha3
    
kind: Gateway
    
metadata:
    
name: httpbin-gateway
    
spec:
    
selector:
    
istio: ingressgateway # use Istio default gateway implementation
    
servers:



  • port:
    
number: 80
    
name: http
    
protocol: HTTP
    
hosts:

      

    • "*"
      • 

    

    • 


    

    apiVersion: networking.istio.io/v1alpha3
    
kind: VirtualService
    
metadata:
    
name: httpbin
    
spec:
    
hosts:
    

      

    • "*"
      
gateways:
      • 

    • httpbin-gateway
      
http:
      • 

    • match:

        

      • uri:
        
prefix: /headers
        
route:
        • 

      • destination:
        
port:
        
number: 8000
        
host: httpbin
        
EOF
    • 测试结果如下所示:

    网关配置资源允许外部流量进入Istio服务网格,使Istio的流量管理和策略特性可用于边缘服务。

    5. 排错
    1. 检查INGRESS_HOSTINGRESS_PORT环境变量,根据下面命令的输出,确认一下你是否有有效的值。
    代码语言:javascript
    复制
    $ kubectl get svc -n istio-system
    
 echo INGRESS_HOST=INGRESS_HOST, INGRESS_PORT=INGRESS_PORT</code></pre></div></div><ol class="ol-level-0"><li>确保在相同的端口上你没有其它的Istio ingress gateways的定义</li></ol><div class="rno-markdown-code"><div class="rno-markdown-code-toolbar"><div class="rno-markdown-code-toolbar-info"><div class="rno-markdown-code-toolbar-item is-type"><span class="is-m-hidden">代码语言:</span>javascript</div></div><div class="rno-markdown-code-toolbar-opt"><div class="rno-markdown-code-toolbar-copy"><i class="icon-copy"></i><span class="is-m-hidden">复制</span></div></div></div><div class="developer-code-block"><pre class="prism-token token line-numbers language-javascript"><code class="language-javascript" style="margin-left:0"> kubectl get gateway --all-namespaces
    1. 检查你没有在相同的IP和端口上定义其它的kubernetes Ingress资源
    代码语言:javascript
    复制
     kubectl get ingress --all-namespaces</code></pre></div></div><h5 id="e7677" name="6.-%E6%B8%85%E7%A9%BA%E5%AE%9E%E9%AA%8C"><strong>6. 清空实验</strong></h5><div class="rno-markdown-code"><div class="rno-markdown-code-toolbar"><div class="rno-markdown-code-toolbar-info"><div class="rno-markdown-code-toolbar-item is-type"><span class="is-m-hidden">代码语言:</span>javascript</div></div><div class="rno-markdown-code-toolbar-opt"><div class="rno-markdown-code-toolbar-copy"><i class="icon-copy"></i><span class="is-m-hidden">复制</span></div></div></div><div class="developer-code-block"><pre class="prism-token token line-numbers language-javascript"><code class="language-javascript" style="margin-left:0"> kubectl delete gateway httpbin-gateway
    
$ kubectl delete virtualservice httpbin
    
$ kubectl delete --ignore-not-found=true -f samples/httpbin/httpbin.yaml
    #gateway#istio#kubernetes-ingress#kubernetes#container