Istio学习之CRD3⃣️:ServiceEntry

最新推荐文章于 2023-07-04 14:50:51 发布
最新推荐文章于 2023-07-04 14:50:51 发布
阅读量399 收藏
点赞数
分类专栏: CloudNative
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/shuxnhs/article/details/115303592
版权

Istio学习之CRD3⃣️:ServiceEntry

服务网格中的工作负载想要访问网格外的服务时,有以下三种方法:

  1. 允许Envoy代理将请求透传到未在网格内部配置的服务(默认,通常情况下配置更严格的控制是更可取的)
  2. 配置 ServiceEntry以提供对外部服务的受控访问。
  3. 对于特定范围的IP,使用global.proxy.includeIPRanges配置完全绕过Envoy代理。

本篇主要来介绍一下OutboundTrafficPolicy.Mode的设置,ServiceEntry的使用与概念。

介绍

  1. 首先还是献上官方文档:https://istio.io/latest/docs/reference/config/networking/service-entry/

  2. 样例

    apiVersion: networking.istio.io/v1alpha3
kind: ServiceEntry
metadata:
  name: external-svc-mongocluster
spec:
  # DNS名称
  hosts:
  - mymongodb.somedomain # not used
  addresses:
  - 192.192.192.192/24 # VIPs
  # 关联的端口
  ports:
  - number: 27018
    name: mongodb
    # 端口协议:HTTP, HTTPS, HTTP2, GRPC, MONGO, TCP或TLS
    protocol: MONGO
  # 网格的角度,内部 or 外部服务,MESH_INTERNAL / MESH_EXTERNAL
  location: MESH_INTERNAL
  # 主机的服务发现模式: NONE / STATIC / DNS
  resolution: STATIC
  # 外部服务在网格内的域名和网格外的域名不同,在 endpoints 中配置原始域名:
  endpoints:
  - address: us.foo.bar.com
    ports:
      https: 8080
  - address: uk.foo.bar.com
    ports:
      https: 9080

演示

  • 首先查看istio的外部服务的访问控制配置,即MeshConfig.OutboundTrafficPolicy.Mode传送门),默认为ALLOW_ANY,即istio的egressGateway会允许调用未知的服务,将请求透传到未在网格内部配置的服务

    # 查看当前模式
# kubectl get configmap istio -n istio-system -o yaml | grep -o "mode: ALLOW_ANY"
mode: ALLOW_ANY

# 如果没有配置模式,默认为ALLOW_ANY,可以手动添加
outboundTrafficPolicy: 
  mode: ALLOW_ANY

  • 此时进入busybox访问www.baidu.com,可以访问成功
    在这里插入图片描述

  • 修改访问模式为REGISTRY_ONLY

    kubectl get configmap istio -n istio-system -o yaml | sed 's/mode: ALLOW_ANY/mode: REGISTRY_ONLY/g' | kubectl replace -n istio-system -f -

# 切换回Allow-all
kubectl get configmap istio -n istio-system -o yaml | sed 's/mode: REGISTRY_ONLY/mode: ALLOW_ANY/g' | kubectl replace -n istio-system -f -

  • 此时进入busybox访问www.baidu.com,发现已经访问不了(可能需要等一段时间来使配置生效)

在这里插入图片描述

  • 创建对应的ServiceEntry服务条目,将外部资源注入到istio内部网络

    apiVersion: networking.istio.io/v1beta1
kind: ServiceEntry
metadata:
  name: demo-se
spec:
  hosts:
  - www.baidu.com
  location: MESH_EXTERNAL
  ports:
  - name: http
    number: 80
    protocol: HTTP
  resolution: DNS

    # 查看所有的serviceEntry
# kubectl get se
NAME      HOSTS               LOCATION        RESOLUTION   AGE
demo-se   ["www.baidu.com"]   MESH_EXTERNAL   DNS          37s

  • 此时进入busybox再次请求,发现可以访问到
    在这里插入图片描述

总结

  1. 使用默认的Allow-all的访问外部服务控制使用简单,但缺点,即丢失了对外部服务流量的 Istio 监控和控制;比如,允许调用所有未知的外部服务,外部服务的调用没有记录到 Mixer 的日志中。
  2. 在服务调用过程中会使用到外部的服务,外部服务和本身集群内的服务无任何关系,通过ServiceEntry将该服务注册到 Istio 网格,在集群内部就好像访问自身的服务一样,我们还可以结合VirtualService、DestinationRule进而对网格内调用外部服务使用一些高级的治理能力,例如限流、重试等等对服务治理能力支持。
  3. 现实的世界中,并不能做到所有的业务都容器化,Istio也意识到了这个问题,所以正在支持非容器部署的业务。除了ServiceEntry,又增加了WorkloadEntry,从而支持将vm部署的业务纳入mesh中。
sHuXnHs
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
CRD3:包含关键角色龙与地下城数据集的回购
02-03
[ACL 2020]对话式讲故事:地牢和龙的数据集的关键作用 总览 本文描述了《地牢与龙》的关键角色数据集(CRD3)及其相关分析。 关键角色(Critical Role)是一个无脚本的现场直播节目,固定人群在其中玩开放式角色扮演游戏《龙与地下城》。 该数据集是从159个关键角色情节中收集的,这些情节被转录为文本对话,包括398,682个回合。 它还包括从Fandom Wiki收集的相应抽象摘要。 该数据集在语言上是独一无二的,因为叙述完全是通过玩家的协作和口头互动来产生的。 对于每个对话,都有大量的转弯,详细程度各不相同的多个抽象摘要以及与先前对话的语义联系。 此外,我们提供了一种数据增强方
Ingress serviceAccount etcd istioService Mesh
怨行客
12-10 198
一个pod有两个应用,一个是你部署的应用,一个是服务网格代理应用,pod通信都是通过 网格代理(又称sidecar)1、服务间通信就是服务网格干的事情,服务就是svc(service)网格层接管流量, 服务间调用会出现的超时、重试、监控、追踪。
istio :安装参数之outboundTrafficPolicy.mode
feiger的专栏
07-07 746
背景: Istio有一个安装选项meshConfig.outboundTrafficPolicy.mode,用于配置外部服务的sidecar处理,即那些未在Istio的内部服务注册表中定义的服务。如果此选项设置为ALLOW_ANY,则Istio代理允许对未知服务的调用通过。如果该选项设置为REGISTRY_ONLY,那么Istio代理将阻止没有在mesh中定义HTTP服务或服务条目的任何主机。ALLOW_ANY是默认值,无需控制对外部服务的访问。 实验 ALLOW_ANY情况下允许外部服务直接访问
IstioServiceEntry
Micky_Yang的博客
07-31 4430
一、理解ServiceEntry   Istio支持对接Kubernetes、Consul等多种不同的注册中心,控制平面Pilot启动时,会从指定的注册中心获取Service Mesh集群的服务信息和实例列表,并将这些信息进行处理和转换,然后通过xDS下发给对应数据平面,保证服务之间可以互相发现并正常访问。   同时,由于这些服务和实例信息都来源于网格内部,Istio无法从注册中心直接获取网格外的服务,导致不利于网格内部与外部服务之间的通信和流量管理。为此,Istio引入了ServiceEntry实现对外通
Istio系列学习(十一)----Istio的外部服务配置和代理规则配置
我在深圳的这些日子的博客
02-10 3021
一、Istio的外部 服务配置:ServiceEntry 网格外的服务也需要像网格内的服务一样进行管理,所以需要将网格外的服务加入网格中,即把外部服务加入istio的服务发现。 serviceEntry的配置示例 如图 包装了一个对www.weatherdb.com外部服务的访问。之后再virtualService中就可以做类似的处理了. serviceEntry规则的定义和用法 主要字段包括: 1)hosts:必选字段,表示外部服务的主机名,可以是DNS域名,也可以使用前缀模糊匹配。说明: ◎
H3CRD文件播放器
10-30
目前主流的播放器不能播放H3CRD文件,使用本播放器就可以播放,详细的使用步骤在里面,最好将文件保存至目录盘,再用运行打开即可
CRD-Unit:使用kubebuilder构建的CRD控制器
05-23
CRD-Unit 前言 基于kubebuilder构建的CRD: Unit,代码仅供参考,重在CRD设计思路。 项目使用Kubebuilder脚手架实现,Unit的最终实现效果和Kubebuilder使用方法,请结合gitbook食用: 现状分析 通常一个运行服务(姑且...
h3crd_h3crd_h3crd
11-06
h3crd播放器 需用者下载用之
istio-operator:一个管理Kubernetes上Istio部署的操作员
02-03
它建立在多个组件和相当复杂的部署方案(20多个CRD)之上。 安装,升级和操作这些组件需要对Istio有深入的了解。 Istio-operator的目标是通过引入简单的高级抽象来自动化和简化这些操作,并启用流行的服务网格用例...
istio系列:第五章-ServiceEntry内到外的通讯配置
a1023934860的博客
06-24 732
在isito中,我们一般都是通过服务名去注册中心寻找服务,原理类似于springcloud中的nacos。对于服务注册一般都是采用自动发现与注册的方式,但是istio提供了ServiceEntry资源让我们可以手动对服务进行注册。在这里我们想到了一个问题就是那可不可以将外部服务也注册到istio中去哪?答案是可以。接下来就让我们了解一下ServiceEntry的各个属性 Hosts 定义服务名称,可以是DNS、前缀模糊匹配,用于virtual service中的host等使用表示与服务关联的虚拟IP地址,可
六, 跨语言微服务框架 - Istio Ingress和Egress详解(解决Istio无法外网访问问题)
weixin_33696106的博客
12-07 912
2019独角兽企业重金招聘Python工程师标准>>> ...
istio 0.8 ——用ServiceEntry访问外部服务(如RDS)
Ybt_c_index的博客
07-02 3595
如之前文章所说,istio 0.8大改路由,并且将flag --includeIPRanges移除,所以如之前这篇文章的方法已经不再适用。 至于为什么要去掉这个flag,可以看一下这个issue。 接下来以之前这篇文章的内容为例,编写一个ServiceEntry来访问外部RDS。 首先我们发布了一个连接RDS的服务。接着新建一个ServiceEntry: apiVersion: netwo...
Istio流量管理实践之(4): 基于CoreDNS Plugin扩展实现Istio Service Entry的DNS寻址 ...
weixin_33827590的博客
01-08 916
CoreDNS 及其Plugin扩展 CoreDNS是一个CNCF下的孵化级项目,它的前身是SkyDNS,主要目的是构建一个快速灵活的 DNS 服务器,让用户可以通过不同方式访问和使用 DNS 内的数据。基于 Caddy 服务器框架,CoreDNS 实现了一个插件链的架构,将大量逻辑抽象成插件Plugin的形式暴露给使用者,每个插件都执行DNS功能,例如...
ServiceEntry扩展网格服务
qq_43109978的博客
05-12 791
服务入口 网关是将内部服务暴露给外部访问,服务入口正好相反,是把外部服务纳入到网格内部进行管理,主要是希望能够管理到外部服务的请求,比如需要对访问外部服务的请求做一些流量控制,还有就是能够帮我们扩展我们的网格,例如我们要给多个集群共享同一个网格(mesh) 从图上可以看出,服务入口相当于抽象了一个外部服务,然后内部服务就像访问网格内部的服务一样去访问外部服务 任务 说明:将httpbin注册为网格内部的服务,并配置流控策略 目标:学会通过服务入口扩展网格,掌握服务入口的配置方法 配置 因为bookinfo
ServiceEntry详解
mark's technic world
05-27 2494
学习目标 什么是ServiceEntry 使用服务条目资源(Service Entries)可以将条目添加到 Istio 内部维护的服务注册表中。添加服务条目后,Envoy 代理可以将流量发送到该服务,就好像该服务条目是网格中的服务一样。通过配置服务条目,可以管理在网格外部运行的服务的流量。 此外,可以配置虚拟服务和目标规则,以更精细的方式控制到服务条目的流量,就像为网格中的其他任何服务配置流量一样。 资源详解 Field Type Description Requir.
ServiceEntry 跨命名空间
baobaoxiannv的博客
03-14 716
说在前面:本文主要测试 service entry 是否可以跨命名空间可见。istio 版本为 1.8.1 k8s 版本为 1.17 网络插件为 cni。 部署示例 详情:创建命名空间 entry1、entry2 部署一个 sleep 服务然后注入 sidecar,创建命名空间 entry3 部署一个 httpbin 服务不注入 sidecar 。然后通过 service entry 的方式将 httpbin 注册到 istio 中。 部署详情: [root@dev-10 mesh_test]# kubec
Istio 流量管理核心资源 VirtualService(虚拟服务)/DestinationRule(目标规则)/ Gateway(网关)/ ServiceEntry(服务入口)
小楼一夜听春雨,深巷明朝卖杏花
07-13 1883
istio最重要的是数据平面有个组件叫sidecar,它里面是采用的envoy的代理转发器,拦截所有业务程序的流量,只要你的业务程序接入了istio,到你业务的流量会被proxy接管,最重要的就是管理流量。核心资源: 上面4个是lstio在流量管理实现的具体资源。也即是我们要实现流量管理策略,都是基于这些资源去配置的。 VirtualService(虚拟服务): 这里创建了gateway,监听的地址是80,只创建监听的路口是不行的,不具备一个转发的功能,下面是其具体的路由规则,service名称和端口。虚拟
Istio 流量管理 serviceEntry 出口流量管理
小楼一夜听春雨,深巷明朝卖杏花
07-04 624
pod里面设置的是dnsPolicy:clusterFirst,它的意思就是优先使用集群里面的dns,这个也就是kube-system命名空间下面的coredns了,resolution: STATIC address: 192.168.26.3 这样是去解析www.baidu.com的时候解析为192.168.26.3(此处的endpoint的地址是www.baidu.com的IP)xx.rhce.cc,也就是出去的时候流量,xx.rhce.cc不是集群的,它不是我们网格里面的。
k8s之Istio ServiceEntry实例(1)
jiayu的博客
04-30 806
由于默认情况下,来自 Istio-enable Pod 的所有出站流量都会重定向到其 Sidecar 代理,集群外部 URL 的可访问性取决于代理的配置。默认情况下,Istio 将 Envoy 代理配置为允许传递未知服务的请求。尽管这为入门 Istio 带来了方便,但是,通常情况下,配置更严格的控制是更可取的
{ "WeCht_appid_Cd": "123", "WeCht_openid_Cd": "456", "Crd_TpCd": "01" }转为字符串
最新发布
12-09
以下是将给定的字典转换为字符串的Python代码示例: ```python my_dict = { "WeCht_appid_Cd": "123", "WeCht_openid_Cd": "456", "Crd_TpCd": "01" } my_str = str(my_dict) print(my_str) # 输出:{'WeCht_appid_Cd': '123', 'WeCht_openid_Cd': '456', 'Crd_TpCd': '01'} ```

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值