带你玩转Istio-第10篇---非侵入的流量治理

最新推荐文章于 2023-02-12 02:07:21 发布
最新推荐文章于 2023-02-12 02:07:21 发布
阅读量998 收藏 1
点赞数
分类专栏: 带你玩转Istio
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_31136839/article/details/102922702
版权

Tls路由(TLSRoute)

在 VirtualService 中,tls 是一种 TLSRoute 类型的路由集合,用于处理非终结的 TLS和HTTPS的流量,使用SNI(Server Name Indication,客户端在TLS握手阶段建立连接使用的服务Hostname)做路由选择。TLSRoute被应用于以下场景中。

◎ 服务的端口协议是HTTPS和TLS。即在服务的端口名中包含https-、tls-等。
◎ Gateway的端口是非终结的 HTTPS和 TLS。
◎ ServiceEntry的端口是HTTPS和TLS。

1.TLSRoute配置示例

简单配置如下:

apiVersion: networking.istio.io/v1alpha3
kind: VirtualService
metadata:
  name: total-weather-tls
  namespace: weather
spec:
  hosts:
  - "*.weather.com"
  gateways:
  - ingress-gateway
  tls:
  - match:
    - port: 443
      sniHosts:
      - frontend.weather.com
      route:
      - destination:
          host: frontend
  - match:
    - port: 443
      sniHosts:
      - recommendation.weather.com
      route:
      - destination:
          host: recommendation

在以上示例中,可以通过HTTPS方式从外面访问weather应用内部的两个HTTPS服务frontend和recommendation,访问目标端口是443并且SNI是“frontend.weather.com”的请求会被转发到 frontend 服务上,访问目标端口是 443 并且 SNI 是“recommendation.weather.com”的请求会被转发到recommendation服务上。

2.TLSRoute规则解析

TLSRoute的规则定义如图3-38所示。

                              图3-38 TLSRoute的规则定义

可以看出,TLSRoute的规则定义比HTTPRoute要简单很多,规则逻辑也是将满足一定条件的流量转发到对应的后端。在以上规则定义中,匹配条件是 TLSMatchAttributes,路由规则目标是RouteDestination。

◎ sniHosts:一个重要的属性,为必选字段,用来匹配TLS请求的SNI。SNI的值必须是VirtualService的hosts的子集。
◎ destinationSubnets:目标IP地址匹配的IP子网。
◎ port:访问的目标端口。
◎ sourceLabels:是一个map类型的键值对,匹配来源负载的标签。
◎ gateways:表示规则适用的Gateway名字。覆盖VirtualService上的gateways定义。和 HTTPMatchRequest中gateways的意思相同。

可以看到,sniHosts 和 destinationSubnets 属性是 TLS 特有的,port、sourceLabels 和gateways属性同HTTP的条件定义。一般的用法是匹配port和sniHosts,配置如下:

tls:
- match:
  - port: 443
    sinHosts:
    - frontend.weather.com

3.四层路由目标RouteDestination

TLS 的路由目标通过 RouteDestination 来描述转发的目的地址,这是一个四层路由转发地址,包含两个必选属性destination和weight。

◎ destination:表示满足条件的流量的目标。
◎ weight:表示切分的流量比例。

RouteDestination 上的这两个字段在使用上有较多注意点。用法和约束同HTTPRouteDestination的对应字段,参见对应描述和配置示例。

TCP路由(TCPRoute)

所有不满足以上HTTP和TLS条件的流量都会应用本节要介绍的TCP流量规则。

1.TLSRoute配置示例

如下所示是一个简单的TCP路由规则,将来自forecast服务23003端口的流量转发到inner-forecast服务的3003端口:

apiVersion: networking.istio.io/v1alpha3
kind: VirtualService
metadata:
  name: forecast
  namespace: weather
spec:
  hosts:
  - forecast
  tcp:
  - match:
    - port: 23003
    route:
    - destination:
        host: inner-forecast
        port:
          number: 3003

2.TCPRoute规则解析

与HTTP和TLS类似,如图3-39所示,TCPRoute的规则描述的也是将满足一定条件的流量转发到对应的目标后端,其目标后端的定义和 TLS 相同,也是四层的RouteDestination。本节重点关注TCP特有的4层匹配规则L4MatchAttributes。

                                                          图3-39 TCPRoute的规则定义

3.四层匹配规则L4MatchAttributes

在 TCPRoute 中,match 字段也是一个数组,元素类型是 L4MatchAttributes,支持以下匹配属性。

◎ destinationSubnets:目标IP地址匹配的IP子网。
◎ sourceLabels:源工作负载标签。
◎ gateways:Gateway的名称。
◎ port:访问的目标端口。

这几个参数和TLSMatchAttributes对应字段的意义相同,如下所示为基于端口和源工作负载标签描述TCP流量的典型示例:

tcp:
- match:
  - sourceLabels:
      group: beta
  - port: 23003

 

坚持的道路注定孤独
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Istio侵入流量治理
MichaelJScofield的专栏
01-21 658
转自本人博客: https://uublog.com/article/20191212/principles-of-istio-service-governance/ 文章目录Istio流量治理原理负载均衡服务熔断故障注入灰度发布服务访问入口外部的接入服务治理Istio路由规则配置: VirtualService路由规则配置示例路由规则定义HTTP路由 (HTTPRoute)HTTPRoute规则...
玩转Istio-第6---侵入流量治理
坚持的道路注定孤独
10-10 805
故障注入 对于一个系统,尤其是一个复杂的系统,重要的不是故障会不会发生,而是什么时候发生。故障处理对于开发人员和测试人员来说都特别耗费时间和精力:对于开发人员来说,他们在开发代码时需要用20%的时间写80%的主要逻辑,然后留出80%的时间处理各种正常场景;对于测试人员来说,除了需要用80%的时间写20%的异常测试项,更要用超过80%的时间执行这些异常测试项,并构造各种故障场景,尤其是那种理论上...
Istio系列学习(七)----Istio的路由规则配置:TLS路由(TLSRoute)和TCP路由(TCPRoute)
我在深圳的这些日子的博客
01-21 1842
1
Istio系列学习(十五)----Istio可插拔的 服务安全
我在深圳的这些日子的博客
02-16 785
一、原理 Istio的安全功能以一种安全基础设施方式提供的,不用修改业务代码就能提供服务访问安全。 istio的安全原理如下图 主要涉及四个重要的组件: ◎ citadel用于秘钥和证书管理 ◎ Envoy作为数据面组件代理服务间的安全通信,包括认证、通道加密等; ◎ Pilot作为配置管理服务,在安全场景下将安全相关的配置分发给Envoy; ◎ Mixer可以通过配置Adapter来做授权和访问审计。 部署和配置阶段 Citadel监听Kube-apiserver,为每个Service都生成密钥和证书,
Istio路由规则配置:VirtualService之TLSRoute、TCPRoute及三种对比及实践
WuYuChen20的博客
05-05 2639
Istio路由规则配置:VirtualService之TLSRoute、TCPRoute及三种对比及实践1、TLS路由1)TLSRoute配置示例2)TLSRoute 规则解析3)TLS匹配规则(TLSMatchAttributes)4)四层路由目标RouteDestination2、TCP路由(TCPRoute)1)TCPRoute配置示例2)TCPRoute规则解析3)四层匹配规则(L4Mat...
行业分类-设备装置-一种侵入式电力负荷分解方法.zip
09-02
侵入式电力负荷分解(Non-Intrusive Load Monitoring,NILM)是一种先进的能源管理系统技术,主要用于识别并分析家庭或建筑物中的电力负荷。该技术无需对电气设备进行物理改造,即可实现对各电器用电情况的精确...
TI - 检测并强化对侵入式篡改的攻击
01-19
侵入式篡改方法外,还可在不打开仪表外壳的情况下侵入式地篡改电子仪表。  磁性篡改是侵入式篡改的常见形式之一。在仪表附近放置强磁铁,强磁铁可能会使附近的变压器饱和,从而导致它们瘫痪。具体而言,强...
行业分类-设备装置-一种侵入式电力负载监测与负荷分解装置.zip
08-28
侵入式电力负载监测与负荷分解装置是现代智能电网技术中的一个重要组成部分,它在不直接接触电力线路的情况下,通过分析电网的电压、电流信号,实现对用电设备的实时监控和负荷分解。这一技术的应用有助于提升能源...
istio-1.2.2-linux.tar.gz
07-14
Istio 1.2.2 是一个针对 Kubernetes 集群的服务网格解决方案,它提供了一种无侵入式的服务治理框架,旨在帮助开发者更好地管理和控制微服务间的交互。服务网格是云原生应用架构中的关键组件,尤其在大规模分布式系统...
only-pipe:侵入性的Python管道
05-24
管道侵入性的Python管道。 只有管​​道。 如果您想要更多的功能性工具,则应该寻找另一个库。 该代码存储库已移至 ,在此处进行积极维护,并有更多类似的工具。安装 pip install only-pipe或从github获取 pip ...
SNI生效条件 - 补充nginx-host绕过实例复现中SNI绕过的先决条件
最新发布
好好睡觉
02-12 3245
SNI机制生效时间,SNI机制工作流程,SNI机制绕过host头需要的条件
Istio 中的多集群部署与管理
ServiceMesher
07-07 1369
本文节选自ServiceMesher 社区出品的开源电子书《Istio Handbook——Istio 服务网格进阶实战》,作者钟华,来自腾讯云。Istio 在 1.1 后提供了两...
服务器名称指示(SNI)是什么东东?
蔚可云的博客
02-11 7512
在HTTPS 大热的今日,SSL证书已成为了HTTPS加密协议最常见的解决方案。虽然在安全方面,HTTPS完胜HTTP。但在性能方面,HTTPS中的SSL证书仍存在一些问题。如基于名称的主机不能很好地处理SSL。 在过去的HTTP时代,解决基于名称的主机在同一IP地址上托管多个网站的问题并不难。当一个客户端请求某特定网站时,把请求的域名作为主机头(Host)放在HTTP Header中,服务器端知道应该把请求引向哪个域名,并把匹配的网站传送给客户端。 但使用HTTPS时就无法故技重施了。因为在SSL握手
SNI: 实现多域名虚拟主机的SSL/TLS认证
热门推荐
上善若水,水善利万物而不争。
02-20 1万+
一、介绍 早期的SSLv2根据经典的公钥基础设施PKI(Public Key Infrastructure)设计,它默认认为:一台服务器(或者说一个IP)只会提供一个服务,所以在SSL握手时,服务器端可以确信客户端申请的是哪张证书。但是让人万万没有想到的是,虚拟主机大力发展起来了,这就造成了一个IP会对应多个域名的情况。解决办法有一些,例如申请泛域名证书,对所有*.yourdomain.com的域
适用C#语言遥感TLS协议流量 sni_host 连接的域名地址
liulilittle的博客
01-20 376
识别TLS协议:Client Hello (1) RFC4366/6066(Server Name Indication extension) 获取SNI域名信息,这是有必要的,无论是实现域名审查还是 sni_proxy,我们都需要感知它,另外网站CDN,也是依赖于遥感SNI域名来呈现不同网站资源的。 [StructLayout(LayoutKind.Sequential, Pack = 1, Size = 5)] private struct tls_
Istio 南北向流量管理
Doub1's Blog
11-16 1516
Istio 南北向流量管理引言Istio 网关Istio网关的工作原理Istio 网关负载均衡器的作用入口网关(IngressGateway)服务入口网关部署网关资源例子:使用单个Gateway创建一个GatewayVirtualService使用Gateway 引言 之前的文章:Istio 东西向流量管理 这次讲的是南北向流量管理,也就是入口请求到集群服务的流量管理。 Istio 网关 网络社区中有一个术语叫Ingress,是指入口请求到集群内服务的流量管理。Ingress指的是本地网络之外的流量请求到本
六, 跨语言微服务框架 - Istio Ingress和Egress详解(解决Istio无法外网访问问题)
weixin_33696106的博客
12-07 929
2019独角兽企业重金招聘Python工程师标准>>> ...
Istio路由规则配置:VirtualService概念及HTTPRoute讲解
WuYuChen20的博客
05-05 1万+
Istio路由规则配置:VirtualService概念及HTTPRoute讲解1.1 路由规则配置示例1.2 路由规则定义1.3 HTTP路由(HTTPRoute)1)HTTPRoute规则解析2)HTTP匹配规则(HTTPMatchRequest)3)HTTP路由目标(HTTPRouteDestination)4)HTTP重定向(HTTPRedirect)5)HTTP重写(HTTPRewrit...
GB/T 958-2015区域地质图图例详解:书签的修订与英文对照
- 地质点状要素图例:详细规定了如何表示地层、断层、岩浆侵入等点状地质现象。 - 地质构造图例:涉及褶皱、断裂、节理等构造特征的表示方法。 - 地质成因图例:区分不同成因的岩石和地层,如沉积岩、火成岩等。 - ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值