ServiceEntry 跨命名空间

最新推荐文章于 2023-12-18 17:36:36 发布
最新推荐文章于 2023-12-18 17:36:36 发布
阅读量722 收藏 1
点赞数 1
分类专栏: istio 文章标签: istio kubernetes serviceentry servicemesh entry
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/baobaoxiannv/article/details/114772397
版权

说在前面:本文主要测试 service entry 是否可以跨命名空间可见。istio 版本为 1.8.1 k8s 版本为 1.17 网络插件为 calico。

部署示例

详情:创建命名空间 entry1、entry2 部署一个 sleep 服务然后注入 sidecar,创建命名空间 entry3 部署一个 httpbin 服务不注入 sidecar 。然后通过 service entry 的方式将 httpbin 注册到 istio 中。

部署详情:

[root@dev-10 mesh_test]# kubectl get pod -n entry1
NAME                    READY   STATUS    RESTARTS   AGE
sleep-bb5f59fb6-d29mr   2/2     Running   0          29m
[root@dev-10 mesh_test]# kubectl get pod -n entry2
NAME                     READY   STATUS    RESTARTS   AGE
sleep-78458b8cfc-pdsp5   2/2     Running   0          30m
[root@dev-10 mesh_test]# kubectl get pod -n entry3
NAME                       READY   STATUS    RESTARTS   AGE
httpbin-7589dbf6bf-l845z   1/1     Running   0          34m

测试,这时无论通过 entry1 或 entry2 中的 sleep 访问 entry3 中的 httpbin 都不会通过。注意:istio 默认可以访问所有外部服务,需要在部署时将这个特性修改为只允许访问注册服务 ,否则只要网络可达那就可以随意访问

    # REGISTRY_ONLY or ALLOW_ANY
    outboundTrafficPolicy:
      mode: REGISTRY_ONLY

无论从 entry1 还是 entry2 访问都是失败的。

[root@dev-10 mesh_test]# kubectl exec -it sleep-78458b8cfc-pdsp5 -n entry2 -c sleep -- curl 10.20.21.19:30263/ip
curl: (56) Recv failure: Connection reset by peer
command terminated with exit code 56
[root@dev-10 mesh_test]# kubectl exec -it sleep-bb5f59fb6-d29mr -n entry1 -c sleep -- curl 10.20.21.19:30263/ip
curl: (56) Recv failure: Connection reset by peer
command terminated with exit code 56

创建 ServiceEntry

apiVersion: networking.istio.io/v1beta1
kind: ServiceEntry
metadata:
  name: access-httpbin
  namespace: entry1
spec:
  endpoints:
  - address: 10.20.21.19
    ports:
      http: 30263
  exportTo:
  - .
  hosts:
  - 10.20.21.19
  ports:
  - name: http
    number: 30263
    protocol: http
  resolution: DNS

在 entry1 命名空间创建 service entry,再次测试,这时从 entry1 命名空间访问是可以通过的。而 entry1 中的 service entry 对 entry2 是不可见的。所以 entry2 访问 httpbin 失败。

[root@dev-10 mesh_test]# kubectl exec -it sleep-bb5f59fb6-d29mr -n entry1 -c sleep -- curl 10.20.21.19:30263/ip
{
  "origin": "10.20.21.19"
}
[root@dev-10 mesh_test]# kubectl exec -it sleep-78458b8cfc-pdsp5 -n entry2 -c sleep -- curl 10.20.21.19:30263/ip
curl: (56) Recv failure: Connection reset by peer
command terminated with exit code 56

entry2 命名空间创建 service entry 再次测试。entry2 的 yaml 内容基本与 entry1 内容基本相同,更新 ns 即可。

[root@dev-10 mesh_test]# kubectl exec -it sleep-78458b8cfc-pdsp5 -n entry2 -c sleep -- curl 10.20.21.19:30263/ip
{
  "origin": "10.20.21.19"
}

ok,这下 entry2 命名空间中的 sleep 服务也可以访问 httpbin。

但是此时,不管 entry1 还是 entry2 命名空间都是单独的 service entry。也就是说此时我有两个 service entry 彼此独立。现在删除两个 service entry 创建一个全局的对全部命名空间可见的 service entry。

创建 global service entry

apiVersion: networking.istio.io/v1beta1
kind: ServiceEntry
metadata:
  name: access-httpbin-global
  namespace: istio-system
spec:
  endpoints:
  - address: 10.20.21.19
    ports:
      http: 30263
  exportTo:
  - '*'
  hosts:
  - 10.20.21.19
  ports:
  - name: http
    number: 30263
    protocol: http
  resolution: DNS

直接在 istio-system 创建 service entry。这时 istio 中只有一个 service entry 就是刚刚创建的。

测试访问

[root@dev-10 mesh_test]# kubectl exec -it sleep-bb5f59fb6-d29mr -n entry1 -c sleep -- curl 10.20.21.19:30263/ip
{
  "origin": "10.20.21.19"
}
[root@dev-10 mesh_test]# kubectl exec -it sleep-78458b8cfc-pdsp5 -n entry2 -c sleep -- curl 10.20.21.19:30263/ip
{
  "origin": "10.20.21.19"
}

这时,虽然只有一个 service entry 但是不论 entry1 还是 entry2 访问都可以通过。

注意 service entry 中的 exportTo 字段,查看官网看一下原文解释

A list of namespaces to which this service is exported. Exporting a service allows it to be used by sidecars, gateways and virtual services defined in other namespaces. This feature provides a mechanism for service owners and mesh administrators to control the visibility of services across namespace boundaries.

If no namespaces are specified then the service is exported to all namespaces by default.

The value “.” is reserved and defines an export to the same namespace that the service is declared in. Similarly the value “*” is reserved and defines an export to all namespaces.

NOTE: in the current release, the exportTo value is restricted to “.” or “*” (i.e., the current namespace or all namespaces).

内容大意如下:
当前服务暴露的命名空间列表,暴露出的服务允许其他命名空间中定义的 sidecar、gateway、virtual services 使用。这个服务提供了一种机制:控制跨命名空间边界的服务的可见性。

如果没有指定命名空间,则默认情况下将该服务暴露到所有命名空间。

“.” 定义了暴露在当前命名空间的服务。类似地,“*” 定义了暴露在所有命名空间的服务。

注意:在当前版本 exportTo 的值为 “.” 或者 “*”

结尾:ServiceEntry 可以通过 exportTo 来控制是否跨命名空间可见。即:当前命名空间、指定命名空间、所有命名空间。

SunnyJim
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Istio - Https Gateway
罗小爬的技术宝书
09-09 6926
之前Istio在测试环境、云环境(华为云、阿里云)上,都是用的Nginx挂载的Https证书; 测试环境: (1)外网域名(含有固定前缀,例如:*-fat.xxx.com)通过dnsPod直接指到Nginx地址; (2)在Nginx 443端口上挂载Https ssl配置(证书、私钥); (3)Nginx 443端口监听外网域名并转发请求到Istio Ingress网关IP+http端口(...
istio功能介绍(二.Istio使用说明)
sgs的博客
12-15 4009
文章目录 基本原理 istio与服务治理 关于微服务 服务治理的三种形态 第1种:在应用程序中包含治理逻辑 第2种:治理逻辑独立的代码 第3种:治理逻辑独立的进程 Istiokubernetes Istio的工作机制 Istio的重要组件 Istio-pilot istio-Mixer istio-citadel
Istio Destinationrule规则定义后不生效(命名空间)
jiayu的博客
04-09 650
配置subset后无法正常访问nginx资源(default命名空间)将vs/gw/dr配置到默认的default空间后可以正常访问gw和vs配置如下。
ServiceEntry
变成习惯
07-14 1488
ServiceEntry ServiceEntry 允许向 Istio 的内部服务注册表中添加额外的条目,以便网格中的自动发现服务可以访问或路由到这些手动指定的服务。ServiceEntry 描述了服务的属性(DNS名称,VIP,端口,协议,endpoints)。这些服务可以是网格外部的(如 Web APIs),也可以是不属于平台服务注册表的网格内部服务(如 一组在 Kubernetes 中与服务通信的 VM)。 下面的示例中,声明了一些内部应用程序通过 HTTPS 访问的外部 API。sidecar 检查
ServiceEntry详解
mark's technic world
05-27 2530
学习目标 什么是ServiceEntry 使用服务条目资源(Service Entries)可以将条目添加到 Istio 内部维护的服务注册表中。添加服务条目后,Envoy 代理可以将流量发送到该服务,就好像该服务条目是网格中的服务一样。通过配置服务条目,可以管理在网格外部运行的服务的流量。 此外,可以配置虚拟服务和目标规则,以更精细的方式控制到服务条目的流量,就像为网格中的其他任何服务配置流量一样。 资源详解 Field Type Description Requir.
【09】ServiceEntry使用案例
最新发布
weixin_38753143的博客
12-18 53
创建VirtualService和DestinationRule,为ServiceEntry的流量配置高级路由规则。nginx采用docker-compose部署,必须在nginx机器的ens33网卡上绑定几个ip。首先将nginx部署在nginx机器,部署方式为docker-compose。进入到sleep这个容器进行访问
destinationRule\Gateway\ServiceEntry\SideCar配置详解
进化的深山猿
04-28 1705
3.3 destinationRule destinationRule 和 VirtualService的联系和区别 1)两者之间的关系 在讲解virtualService中,路由目标对象destination中会包含Service子集的subset字段,这个服务子集就是通过DestinationRule定义的。 2) 两者都是用于流量治理,那应用场景有什么区别? virtualService是一个虚拟的service,描述的是满足什么条件的流量被那个后端处理。类似于根据路径去匹配方法,是更开放的martc
Istio实践(4)- 故障注入、熔断及ServiceEntry.doc
07-09
Istio实践(4)- 故障注入、熔断及ServiceEntry.doc
istio_federation_demo:K8S上两个Istio群集之间的区域路由
04-25
使用Istio网关与Istio进行群集通信的简单演示。 这两个Istio群集可能在相同或不同的区域中,也可能在内部/外部部署,甚至可能使用不同的平台(例如,K8S和CF)。 运营商通过Ingress网关在通用DNS后缀(例如* ....
基于fabric8io的kubernetes Java 依赖包
03-08
基于fabric8io的kubernetes Java 依赖包,jar包列表: fabric-utils-2.0.47.jar httpclient-4.5.3.jar kubernetes-client-3.0.3.jar kubernetes-model-2.0.8.jar log4j-1.2.15.jar log4j-over-slf4j-1.7.25.jar ...
IstioServiceEntry
Micky_Yang的博客
07-31 4436
一、理解ServiceEntry   Istio支持对接Kubernetes、Consul等多种不同的注册中心,控制平面Pilot启动时,会从指定的注册中心获取Service Mesh集群的服务信息和实例列表,并将这些信息进行处理和转换,然后通过xDS下发给对应数据平面,保证服务之间可以互相发现并正常访问。   同时,由于这些服务和实例信息都来源于网格内部,Istio无法从注册中心直接获取网格外的服务,导致不利于网格内部与外部服务之间的通信和流量管理。为此,Istio引入了ServiceEntry实现对外通
istio ServiceEntry使用例子
纵横四海的博客
06-10 217
ServiceEntrykubernetes service的功能是一样的,不同的地方是ServiceEntry指向外部地址或者其他kubernetes service或者endpoint。需要注意的是 VirtualServiceServiceEntry中的。话不多说,现在结合VirtualService给出个Demo。VirtualService yaml文件。
Istio 流量管理核心资源 VirtualService(虚拟服务)/DestinationRule(目标规则)/ Gateway(网关)/ ServiceEntry(服务入口)
小楼一夜听春雨,深巷明朝卖杏花
07-13 1901
istio最重要的是数据平面有个组件叫sidecar,它里面是采用的envoy的代理转发器,拦截所有业务程序的流量,只要你的业务程序接入了istio,到你业务的流量会被proxy接管,最重要的就是管理流量。核心资源: 上面4个是lstio在流量管理实现的具体资源。也即是我们要实现流量管理策略,都是基于这些资源去配置的。 VirtualService(虚拟服务): 这里创建了gateway,监听的地址是80,只创建监听的路口是不行的,不具备一个转发的功能,下面是其具体的路由规则,service名称和端口。虚拟
istio系列:第五章-ServiceEntry内到外的通讯配置
a1023934860的博客
06-24 736
在isito中,我们一般都是通过服务名去注册中心寻找服务,原理类似于springcloud中的nacos。对于服务注册一般都是采用自动发现与注册的方式,但是istio提供了ServiceEntry资源让我们可以手动对服务进行注册。在这里我们想到了一个问题就是那可不可以将外部服务也注册到istio中去哪?答案是可以。接下来就让我们了解一下ServiceEntry的各个属性 Hosts 定义服务名称,可以是DNS、前缀模糊匹配,用于virtual service中的host等使用表示与服务关联的虚拟IP地址,可
istio使用教程和示例(导流,请求路由,访问拒绝,黑白名单,限速)
热门推荐
全栈工程师开发手册(原创)https://github.com/tencentmusic/cube-studio
11-28 1万+
我们先下载下来istio的压缩包,其中samples目录中包含使用示例,我们使用其中的Bookinfo应用 使用下面命令可以创建Bookinfo应用的组件 kubectl create ns istio-demo kubectl create -f <(istioctl kube-inject -f samples/bookinfo/platform/kube/bookinfo.yaml)...
istio服务条目(ServiceEntry
ᠮᠤᠷᠢᠨ ᠬᠤᠭᠤᠷ
08-11 221
image: ccr.ccs.tencentyun.com/ imagePullPolicy: IfNotPresent name: test resources: limits: cpu: "2" memory: 2Gi requests: ...
Istio 服务条目 (Service Entry)
叶康铭的博客
10-07 4254
服务条目(Service Entry)是 Istio 重要的资源对象之一,作用是将外部的资源注册到 Istio 内部的网格服务中来,以提供网格内对外部资源的更加精细化的控制。 什么情况下会用到 Service Entry 在服务调用过程中会使用到外部的服务,例如微信、支付宝的付款服务,这个服务和本身集群内的服务无任何关系,通过服务条目将该服务注册到 Istio 网格,在集群内部就好像访问自身的服务一样,结合虚拟服务、目标规则进而通过一些高级的治理能力,例如限流、重试等等对服务治理能力支持。 通过例子来理.
ServiceEntry扩展网格服务
qq_43109978的博客
05-12 792
服务入口 网关是将内部服务暴露给外部访问,服务入口正好相反,是把外部服务纳入到网格内部进行管理,主要是希望能够管理到外部服务的请求,比如需要对访问外部服务的请求做一些流量控制,还有就是能够帮我们扩展我们的网格,例如我们要给多个集群共享同一个网格(mesh) 从图上可以看出,服务入口相当于抽象了一个外部服务,然后内部服务就像访问网格内部的服务一样去访问外部服务 任务 说明:将httpbin注册为网格内部的服务,并配置流控策略 目标:学会通过服务入口扩展网格,掌握服务入口的配置方法 配置 因为bookinfo
istio网络主从集群如何配置
06-06
Istio支持多种网络的主从集群配置方案,其中最常用的方案是使用Istio的多集群网格(Multi-Cluster Mesh)功能。该功能利用了Istio的分布式控制平面和数据平面,通过Istio Gateway和VirtualService对象将多个Kubernetes集群连接在一起。 具体来说,您需要在每个Kubernetes集群中部署一个Istio控制平面和一个Istio数据平面。然后,您可以使用Istio Gateway将多个Kubernetes集群连接在一起,通过Istio VirtualService对象定义流量路由和策略控制规则。 在多集群部署中,还需要考虑网络的主从集群配置问题。Istio提供了多种网络的主从集群配置方案,如以下两种: 1. 外部负载均衡器(External Load Balancer)方案:使用外部负载均衡器将请求路由到不同的Kubernetes集群中。在每个Kubernetes集群中,使用Istio Gateway将外部负载均衡器的流量路由到正确的Istio数据平面。 2. 多云服务网格(Multi-Cloud Service Mesh)方案:使用多云服务网格将不同云厂商的Kubernetes集群连接在一起。在每个云厂商的Kubernetes集群中,使用Istio Gateway将流量路由到正确的Istio数据平面。 无论采用何种方案,都需要对Istio的流量路由和策略控制进行配置。您可以使用Istio的VirtualService、DestinationRule和ServiceEntry等对象来定义流量路由和策略控制规则。同时,还需要考虑网络的身份验证和授权问题,Istio提供了多种身份验证和授权机制,如基于JWT的身份验证、RBAC授权等,您可以根据需要进行选择和配置。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值