istio系列:番外一 外网到内网访问配置实例

已于 2022-06-23 16:42:28 修改
阅读量673 收藏 1
点赞数
分类专栏: istio 文章标签: istio 运维 云原生
于 2022-06-23 13:43:40 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/a1023934860/article/details/125425531
版权

由于istio使用envoy进行流量转发、控制的操作,服务A访问服务B时,A将数据发出,Envoy拦截然后根据规则进行转发到B服务,B服务上的Envoy拦截判断然后发送给B。从这里我们可以看到Envoy在通讯中起到了巨大的作用,但是我们想象一下如果一个服务没有Envoy那又该怎么样与有Envoy的服务进行通讯那?

在istio中,给我们创建了两个服务,IngressGateway与EgressGateway,这两个服务就是用来完成外部到内部、内部到外部访问的功能。

接下来让我们讲解一下IngressGateway外部到内部的访问实例。
请求流程配置图

1.配置Host

由于我们使用Web实例实现外部到内部的访问,所以这里我们需要对主机host进行配置。

vim /etc/hosts
添加上
10.1.180.207 jiofenaivni.com

前面的IP地址,就是ingressGateway 的serviceIP地址,我们可以通过kubectl get svc -n istio-system 查找到。后面就是我们要访问的域名(该域名没有任何含义就是随便输入的)

2.Gateway

配置完成host后,让我们创建一个gateway.yaml文件创建gateway资源

apiVersion: networking.istio.io/v1alpha3
kind: Gateway
metadata:
  name: nginx-gateway
spec:
  selector:
    istio: ingressgateway
  servers:
  - port:
      number: 80
      name: http
      protocol: HTTP
    hosts:
    - "jiofenaivni.com"

具体的每个属性的含义,请参考我前面的isito系列文章。

其中spec.servers.port.number 设置监听的端口号,这里设置80,在访问的时候我们只需要通过域名进行通讯而不需要添加80端口了。

spec.servers.hosts 这里需要添加上我们要访问的域名地址,这个作用是绑定请求的域名地址

3.Virtual Service

创建完成网关后,已经可以将外部流量获取到,但是还不能进行路由转发操作,这就需要virtual service出场了

对于目标地址、我们不仅可以使用istio里的服务地址,还可以使用k8s原生svc资源

基于原生k8s service进行访问

apiVersion: networking.istio.io/v1alpha3
kind: VirtualService
metadata:
  name: productpage
spec:
  hosts:
  - jiofenaivni.com
  - nginx-svc
  gateways:
  - nginx-gateway
  - mesh
  http:
  - route:
    - destination:
        host: nginx-svc
        port:
          number: 8081

对于spec.hosts就是对请求地址进行匹配,如果是啧使用该路由规则。这里我们可以看到添加了我们需要的域名

gateways显示配置了需要使用的gateways、我们看到下面多出了一个mesh,这个的含义是该路由规则不仅使用与内外网、还适用于内与内的网络。

http.route.destination.host这里我们设置的是k8s原生的service下面是service的yaml,下面的port就是serivce暴露出来的port

apiVersion: v1
kind: Service
metadata:
  name: nginx-svc
  namespace: default
spec:
  selector:
      name: test-nginx
  ports:
  - name: http
    port: 8081
    protocol: TCP
    targetPort: 80

基于DestinationRule的配置

apiVersion: networking.istio.io/v1alpha3
kind: VirtualService
metadata:
  name: productpage
spec:
  hosts:
  - jiofenaivni.com
  - nginx-svc
  gateways:
  - nginx-gateway
  - mesh
  http:
  - route:
    - destination:
        host: nginx-svc
        subset: v1

我们重点看http.route.destination.subset,该值绑定了DestinationRule,当请求被路由到达主机后,就会使用绑定的DestinationRule里的配置进行操作,比如负载均衡等。

下面是DestinationRule的配置

apiVersion: networking.istio.io/v1alpha3
kind: DestinationRule
metadata:
  name: nginx-desrule
spec:
  host: nginx-svc
  subsets:
  - name: v1
    labels:
      version: v1

这里对svc是nginx-svc的所有pod进行绑定,然后根据pod中的labes.version=v1进行过滤。

当流量传来后(已经过滤完)根据负载均衡、连接池等配置对流量进行操作。

virtual serivce与DestinationRule他俩是什么关系那?为什么virtual serivce中有subset,而DestinationRule也有subset字段那?

首先virtual service提供了路由、请求过滤的功能,那么我们就可以猜想一下,virtual service是在请求刚进入内网的阶段触发的规则,这时候应该选择适合的POD,而subsets也是选择pod的一种,这种与label标签过滤类似。

DestinationRule提供了、负载均衡,连接池等配置,该配置不过滤POD只是将请求分散开来,所以我们可以明白它应该是工作在virtual service阶段的后面。

其实virtual service中的subsets配置就是用到DestinationRule里的subsets。

迷茫路人
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
基于域名的方式访问Istio服务网格中的多个应用程序
江晓龙的博客
07-13 1227
我们在Istio中部署的程序一定不止有一个,前面我们已经在Istio中部署了Httpbin、Bookinfo、Nginx这三个应用程序,但是我们使用节点IP加NodePort端口的方式永远只是请求到了一个应用程序,就好比我们已经实现了Nginx的基于端口的访问模式,不过每个应用程序都是用的是80端口,才导致只访问到了一个应用程序,在实际生产中,Istio中一定会部署很多个应用程序,我们需要实现基于域名来访问不同的应用程序。应用部署在Istio之后,将程序对外发布,会创建Gateway以及VirtualSer
istio访问网格外部服务
beijihukk的博客
04-06 1392
概述 设想一个这样的场景需求:cluster1集群处在网格mesh1管理下,default命名空间下部署有应用sleep, cluster2处在另一网格mesh2下,它的default命名空间下部署有helloworld应用。现sleep应用希望能以域名test.external.helloworld的形式访问cluster2中的helloworld。这不属于istio的四种多集群部署模型之一,服务之间的调用需要另做配置配置 版本备注 kubernetes 1.23.3 istio 1.12 暴
istio 0.8——用gateway在集群外访问服务
Ybt_c_index的博客
06-26 3823
本文环境: 阿里云的k8s集群1.9.7; Istio 0.8.0。 istio最近升级到0.8了,整个路由部分都升级到v1alpha3了,这就导致之前关于路由的配置全部要推倒重来。 首先看一下我之前写的这篇文章。这里面的文件需要一些小小的改动。 #============one============ apiVersion: extensions/v1beta1 kind: Dep...
istio-in-action系列》4. 使用 istio Gateway 允许外部访问
BASHRC的专栏
02-03 281
使用 istio Gateway 允许外部访问 仅仅是简单的创建了 VirtualService 是不能实现集群外部的访问的。 在 Istio 中, 还有一个 Gateway 的概念。 顾名思义, Gateway 就是大门保安, 只允许具有特定特征的流量通过。 1.1. 创建 Gateway 先来创建一个 Gateway --- # https://istio.io/latest/docs/reference/config/networking/gateway/ apiVersion: networkin
istio系列番外内网外网访问配置实例
a1023934860的博客
06-24 434
上一篇番外我们讲解了外网内网访问问题,这节让我们掌握一下内网访问外网。为了方便请求,我们采用gateway的方式先请求内网内网服务再请求外网服务的流程 向注册中心注册外部服务,让路由规则等可以像使用内部服务那样使用外部服务 number为向注册中心注册的端口号,targetPort为向www.baidu.com请求的端口号 这里我们可以看到number配置为8083,含义是请求www.baidu.com这个服务的8083端口 这样就完成了一个外网内网内网访问外网的请求。......
istio 访问网格内的服务(路由管理)
Mr_rain的专栏
07-28 794
本文实验访问网络内的应用,并根据路由规则访问不同版本。 访问链路:istio-springboot-demo-a > istio-springboot-demo-bi
nginx外网访问内网站点配置操作
09-29
主要介绍了nginx外网访问内网站点配置操作,具有很好的参考价值,希望对大家有所帮助。一起跟随小编过来看看吧
远程控制内网+外网上线配置
07-04
此时我们就装内网IP映射到外网IP上了。 3、点击目录栏的“运行状态”,目地是看一下外网IP。 4、在外网机器上,点击“开始”---“程序”---“附件”---“远程桌面连接” 5、输入IPxxx.xxx.xxx.xxx,点击连接,然后...
使用反向ssh从外网访问内网主机的方法详解
09-15
标题中提到的“使用反向SSH从外网访问内网主机的方法详解”是一种解决内网主机对外不可见问题的技术手段,适用于没有权限设置端口映射或不具备内网主机外网IP的情况。这种方法主要通过建立反向SSH隧道,使得外网主机...
电脑教程无公网IP实现外网访问内网群晖.rar
10-25
标题中的“电脑教程无公网IP实现外网访问内网群晖”主要涉及到的是网络穿透技术,特别是对于家庭或小型办公室用户来说,如何在没有公网IP地址的情况下,远程访问内部网络中的设备,例如群晖NAS(Network Attached ...
frp实现外网访问本地服务
最新发布
08-24
2. 外网访问本地:FRP的核心功能就是使外部网络的用户能够像访问公网服务一样,直接访问到用户的内网服务,无论是个人开发环境、远程桌面还是其他需要外网访问的服务。 3. 内网穿透:这是一种网络技术,通过在公网...
Istio网格内部的服务访问阿里云的RDS和SMS
来啊 快活啊
01-03 1077
apiVersion: networking.istio.io/v1alpha3 kind: ServiceEntry metadata: name: aliyun-mysql-serviceentry spec: hosts: - rm-bp1ggm262x1ut0v63o.mysql.rds.aliyuncs.com location: MESH_EXTERNAL port...
【从小白到专家】 Istio专题之七:30分钟讲透Istio访问与控制
alauda_andy的博客
05-20 236
本文为Istio系列专题之七--Istio访问与控制。Istio通过身份认证、授权、多重安全策略,来保证微服务的安全,实现代码无侵入性。 有时我们需要对微服务间的相互访问进行控制,比如满足某些条件的微服务是否能调用特定的微服务,使用 Istio 可以很方便地实现。 “Istio访问与控制”视频公开课 微服务架构虽然提供了更好的灵活性、可伸缩性以及服务复用的能力,但微服务也有特殊的安全需求,istio作为服务网格的开放平台,安全性是其不容忽视的一点,本节课程我们主要从以下两点阐释: •安全策略: 为了提供灵.
ingress-nginx 实现内部局域网的url转发配置
lswzw的博客
01-28 3088
ingress-nginx 实现内部局域网的url转发配置 实现目的: 在 192.168.4.4 物理服务器上部署 WEB服务器 端口80. 外网IP80端口直接指向ingress-nginx。 域名指向 ingress-nginx ip 可以访问到局域网内物理搭建的web服务器,而非容器。 实例yaml: 主要利用自定义Endpoints资源,指向局域网服务器。 apiVersion: v1 kind: Endpoints metadata: name: proxy-ingress subsets
Istio - 各环境域名设置
罗小爬的技术宝书
09-17 1919
正式环境 - 外网域名配置 1.外网DnsPod配置外网域名(符合特定模式*-pro.xxx.com)指向云环境LB外网IP; 2.LB监听具体协议端口(http 80, https 443, tcp 服务特定端口)并指向Isito网关IP+Port(http 31380, https 31390); 测试环境 - 外网域名配置 1.外网DnsPod配置外网域名(符合特定模式*-de...
Istio Egress Gateway出口流量管理
weixin_33967071的博客
10-25 2216
缺省状态下,Istio服务网格内的Pod,由于其iptables将所有外发流量都透明的转发给了sidecar,所以这些集群内的服务无法访问集群之外的 URL,而只能处理集群内部的目标。 控制出口流量描述了如何通过ServiceEntry将外部服务暴露给集群内的客户端 本文则通过一个官方的用例解释如何通过Egress Gateway配置Istio的出口流量...
istio系列:第五章-ServiceEntry内到外的通讯配置
a1023934860的博客
06-24 762
在isito中,我们一般都是通过服务名去注册中心寻找服务,原理类似于springcloud中的nacos。对于服务注册一般都是采用自动发现与注册的方式,但是istio提供了ServiceEntry资源让我们可以手动对服务进行注册。在这里我们想到了一个问题就是那可不可以将外部服务也注册到istio中去哪?答案是可以。接下来就让我们了解一下ServiceEntry的各个属性 Hosts 定义服务名称,可以是DNS、前缀模糊匹配,用于virtual service中的host等使用表示与服务关联的虚拟IP地址,可
Istio系列学习(十)----Istio的服务网关配置:Gateway
我在深圳的这些日子的博客
01-26 7001
一、定义 gateway和VirtualService的关系 gateway:定义了服务从外面怎么访问,在入口处对服务进行统一治理。 VirtualService:定义了匹配到的内部服务怎么流转。 二、gateway配置实例 含义:外部通过80端口访问网格内的服务 gateway配置如图: 配合gateway的使用,修改VirtualService,在host上匹配gateway上请求的主机名,并通过gateways字段关联定义的gateway对象。 VirtualService的定义如图 三、gat
H3C无线控制器NAT配置指南:内网访问外网实例
"H3C 无线控制器内网用户通过 NAT 地址访问外网典型配置举例(V7)" 本文档详细介绍了H3C无线控制器如何配置,以便让内网用户能够通过NAT(网络地址转换)技术访问外部网络。NAT是网络中的一种常见技术,用于解决IP...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值