gateway配置_istio 之 gateway

最新推荐文章于 2024-04-24 10:33:28 发布
最新推荐文章于 2024-04-24 10:33:28 发布
阅读量1.6k 收藏
点赞数
文章标签: gateway配置

1、istio gateway

如果说 AWS API Gateway 是为了对 REST/Websocket API 进行管理和维护,那么作为当下流行的 Service Mesh 的产品之一 istio,其中的 istio gateway 也扮演了类似的角色。

2、istio gateway 的一个官方的例子

在官方的例子中,无论是通过手动注入 Sidecar 还是自动注入 Sidecar,在破除重重困难把 httpbin 部署之后,你就可以通过 gateway 设置的规则来访问部署的 httpbin 服务了。

curl -I -HHost:httpbin.example.com http://$INGRESS_HOST/status/200
HTTP/1.1 200 OK
server: istio-envoy
date: Tue, 21 May 2019 07:42:22 GMT
content-type: text/html; charset=utf-8
access-control-allow-origin: *
access-control-allow-credentials: true
content-length: 0
x-envoy-upstream-service-time: 4

通过 Gatewayhosts 设置允许请求的 header 里必须带 httpbin.example.com 才能进入 gateway,进而抵达内部服务。

gateway.yaml

apiVersion: networking.istio.io/v1alpha3
kind: Gateway
metadata:
  name: httpbin-gateway
spec:
  selector:
    istio: ingressgateway # use Istio default gateway implementation
  servers:
  - port:
      number: 80
      name: http
      protocol: HTTP
    hosts:
    - "httpbin.example.com"

与此同时,通过 virtualservice 可以更细粒度地设置请求的访问规则,如这里放出了两个 url:/status/delay,从而通过 INGRESS_HOST/status/200(返回状态 200) 和 INGRESS_HOST/delay/2(延迟 2 秒) 可以访问到内部服务。

virtualservice.yaml

apiVersion: networking.istio.io/v1alpha3
kind: VirtualService
metadata:
  name: httpbin
spec:
  hosts:
  - "httpbin.example.com"
  gateways:
  - httpbin-gateway
  http:
  - match:
    - uri:
        prefix: /status
    - uri:
        prefix: /delay
    route:
    - destination:
        port:
          number: 8000
        host: httpbin

3、istio 的强大与复杂

istio 虽然好,可是使用起来却有时让人望而却步,每一个功能都要备好长长的 yaml 文件,这就像在 AWS API Gateway 在使用时,每一个资源的配置都要经过一番复杂的配置才能享用。相处久了,就会产生又爱又恨的思绪。

4、基于 istio 的发布系统

在 CI/CD 系统中,CI 一般比较简单,大多数编译系统支持一条命令就能实现代码的编译,如 go test/build 或者 mvn clean/test/package

CD 是软件发布的重要一环,而基于 istio 的发布,每个待发布的服务需要维护一套 yaml 配置文件(包括 gateway, virtualservice, serviceentry 等),这无疑是一项繁琐的工作,我们可以为这些配置编写模版,利用 gitlab 的 .gitlab-ci.yml来为模版填充内容,从而满足日常的编译和发布的需要。

搭建基于 gitlab 的 CI/CD,需要我们和 kubernetes、istio 等诸多系统集成,集成工作主要涉及以下几方面:

  • 集成 Gitlab 的 kubernetes Runner 来完成 CI
  • 单独的模版工程用来发布项目,模版需要包括 istio 相关组件如 gateway virtualservice serviceentry 等,发布成功的服务将服务会写入 etcd
  • 利用 confd 来读取 etcd 中的服务列表,每个服务通过 confd 的模版扩展为 haproxy 的 acl + use_backend,经过 haproxy 的流量统一经过同一个 frontend(frontend istio) 进行管理
  • 利用 confd 来读取 etcd 中的服务列表,每个服务通过 confd 的模版扩展为 haproxy 的 backend,backend 中的 server 为 istio ingress gateway
  • 利用 haproxy 来读取发布的服务列表,通过 acl 对 HOST 的控制做流量分流。通过对 HOST 做 acl 的方法正好和之前提到的 istio gateway 的 hosts 功能对接
  • 配置 AWS ELB 来访问内部的 haproxy 集群
  • 通过 nginx 的 proxy_set_header 来为 ELB 流量分流

另外,可以通过配置 ELB 使流量直接进入 istio ingressgateway,不过目前还处于 alpha 功能,不建议用于生产环境。

5、一个 devops 问题

这里介绍一个删除异常 istio-ingressgateway 的方法

istio-ingressgateway 是通过 ReplicaSet 来运行,默认 replicas 的数量为 1,出现异常时(如手动在 dashboard 删除了 pod)可以通过修改 pod 的 label 来对异常 pod 进行隔离,隔离后的 pod 不属于 ReplicaSet ,kubernetes 会启动新的 pod 来代替异常 pod,此时我们可以通过 kubectl delete pod 来删除异常 pod。

通过 kubectl -n istio-system edit pod 来修改 istio-ingressgatewaylabel:

labels:
  app: istio-ingressgateway
  istio: ingressgateway-changed

通过 kubectl -n istio-system delete pod <istio-ingressgateway-pod-name> --grace-period=0 --force 来删除处于 Terminating 的 pod。

tomorrow-77
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
[分享]解决Istio中遇到的间歇性连接重置的问题1
08-04
4. **Istio配置审查**:核对Istio配置,如VirtualService、DestinationRule等,确保路由、负载均衡策略、超时和重试设置正确无误。 5. **资源监控**:监控Ingress Gateway和Sidecar的资源使用情况,如CPU、内存和...
istio 资源包 Linux版
10-17
4. **配置Ingress Gateway**:Istio的Ingress Gateway允许外部流量进入服务网格。配置Ingress Gateway需要创建相关的Service和Deployment资源。 5. **启用和配置Telemetry**:Istio提供了丰富的可观测性工具,如...
Istio系列学习(十)----Istio的服务网关配置:Gateway
我在深圳的这些日子的博客
01-26 6980
一、定义 gateway和VirtualService的关系 gateway:定义了服务从外面怎么访问,在入口处对服务进行统一治理。 VirtualService:定义了匹配到的内部服务怎么流转。 二、gateway配置实例 含义:外部通过80端口访问网格内的服务 gateway配置如图: 配合gateway的使用,修改VirtualService,在host上匹配gateway上请求的主机名,并通过gateways字段关联定义的gateway对象。 VirtualService的定义如图 三、gat
istio组件[gateway]
ᠮᠤᠷᠢᠨ ᠬᠤᠭᠤᠷ
10-23 405
Istio-GateWay:负责控制域名流量的请求(请求/拒绝),以及一些证书配置 apiVersion: networking.istio.io/v1alpha3 kind: Gateway metadata: name: test-gateway-wai namespace: apm spec: #选择定义的ingressgateway,即为外网负载均衡 selector: istio: ingressgateway app: istio-ingressgateway
gateway基本配置
最新发布
借雨醉东风的博客
04-24 1057
路由转发 + 执行过滤器链。网关,旨在为微服务架构提供一种简单有效的统一的API路由管理方式。同时,基于Filter链的方式提供了网关的基本功能,比如:鉴权、流量控制、熔断、路径重写、黑白名单、日志监控等。统一入口:暴露出网关地址,作为请求唯一入口,隔离内部微服务,保障了后台服务的安全性鉴权校验:识别每个请求的权限,拒绝不符合要求的请求动态路由:动态的将请求路由到不同的后端集群中​按生命周期分类。
IstioGateway设计与实现
琦彦
01-14 7295
目录 Gateway简介 Gateway vs Kubernetes Ingress Gateway原理及实现 Gateway简介 在Istio中, Gateway控制着网格边缘的服务暴露。 Gateway也可以看作网格的负载均衡器, 提供以下功能: 1) L4-L6的负载均衡 2) 对外的mTLS Istio服务网格中, Gateway可以部署任意多个,可以共用一个...
k8s整合istio配置gateway入口、配置集群内部服务调用管理
本作者:想花
08-15 1341
端口号是ingressgateway服务的nodeport找到80端口对应的nodeport即可。
【云原生】Kubernetes(k8s)Istio Gateway 介绍与实战操作
匠人精神,持之以恒!
12-09 5692
Istio提供一种简单的方式来为已部署的服务建立网络,该网络具有负载均衡、服务间认证、监控、网关等功能,而不需要对服务的代码做任何改动。这里主要讲服务。istio 适用于容器或虚拟机环境(特别是 k8s),兼容异构架构。istio 使用 sidecar(边车模式)代理服务的网络,不需要对业务代码本身做任何的改动。HTTP、gRPC、WebSocket 和 TCP 流量的自动负载均衡。istio 通过丰富的路由规则、重试、故障转移和故障注入,可以对流量行为进行细粒度控制;
istio 示例程序 bookinfo 快速部署
12-26
6. **验证部署**:一旦所有服务都部署完成,可以通过访问 Kubernetes Ingress Gateway 或使用 Istio 的 `istioctl` 工具来测试 "bookinfo" 应用。通过设置适当的端点和规则,我们可以在浏览器中查看 "bookinfo" 页面...
istio-1.6.7-win.zip
08-03
1. 解压`istio-1.6.7-win.zip`,这将包含Istio的二进制文件和配置文件。 2. 安装Docker Desktop for Windows,它包含了Linux容器支持,Istio需要在这样的环境中运行。 3. 配置Docker Desktop的设置,使其使用...
k8s环境Istio应用详解
03-21
注入sidecar后,应用会被置于Istio的监控之下,可以执行流量管理和策略控制。 要启用自动sidecar注入,可以给默认命名空间打上`istio-injection=enabled`标签。之后,你可以定义一个Gateway配置入站和出站流量...
23【istio】-【流量管理】-【Ingress gateway】不带TLS终结器的ingress gateway
qq_42303254的博客
02-18 1008
这里以istio 1.6.0为例 不同版本的istio安装步骤参考官网:Istio / Ingress Gateway without TLS Termination 注:这里只给出相关步骤参考,在实践时,结合该博客、官网一起看。 什么是不带TLS终结器的ingress gateway呢?上篇博客中:客户端访问https://httpbin.example.com:443/status/408时,相当于,客户端【访问https://httpbin.example.com:443/stat...
华为云讲解:3. Istio Gateway设计与技术
热门推荐
张成基
02-16 2万+
华为云讲解:3. Istio Gateway设计与技术 文章目录华为云讲解:3. Istio Gateway设计与技术Gateway简介Gateway配置规则Gateway的流入流出Gateway vs Kubernetes IngressGateway 原理及实现Gateway demo 演示控制Ingress HTTP流量利用HTTPS保护后端服务mTLS 双向认证控制egress流量,访问外...
上了 istio 的贼船之 API Gateway
kozazyh的专栏
11-13 1216
现状 下图是我们系统的架构现状,大致介绍一下: 基础设施在华为云上 基本上是基于 istio on k8s 架构。 istio 版本为 1.3,所以组件较多(galley、pilot、citadel、telemetry......) 微服务后端用 spring boot 单体,前端有 nodejs、vue等 应用的链路监控主要基于 skywalking, istio 的通讯层面利用 kiali可视化调用链 其他比较传统 历史架构 主要介绍下作为服务通讯基础设施的 istio 在这里的作用
istio 0.8——用gateway在集群外访问服务
Ybt_c_index的博客
06-26 3820
本文环境: 阿里云的k8s集群1.9.7; Istio 0.8.0。 istio最近升级到0.8了,整个路由部分都升级到v1alpha3了,这就导致之前关于路由的配置全部要推倒重来。 首先看一下我之前写的这篇文章。这里面的文件需要一些小小的改动。 #============one============ apiVersion: extensions/v1beta1 kind: Dep...
kubernetes istiogateway
weixin_30329623的博客
05-25 612
[root@master istio-1.1.5]# kubectl apply -f samples/httpbin/httpbin.yaml service/httpbin created deployment.extensions/httpbin created [root@master istio-1.1.5]# [root@master istio-1...
istio gateway入口流量路由管控
Mr_rain的专栏
07-27 617
本文记录istio搭建入口网关以及流量路由管控的场景。
istio学习笔记之多VirtualService绑定同一Gateway端口实践
丰耳的博客
12-29 961
在使用istio-ingressgateway时,用同一个端口(gateway)访问不同的后端服务
微服务网关Gateway实现Host过滤
Leon_Jinhai_Sun的博客
05-08 1718
Host 路由 比如用户请求cloud.leon.com的时候,可以将请求路由给http://localhost:18081服务处理,如下配置: routes: - id: leon_goods_route uri: http://localhost:18081 predicates: - Host=cloud.leon.com** 测试请求http://cloud.leon.co
istio-envoy Bad Gateway
04-03
当你在使用Istio和Envoy时,可能会遇到"Bad Gateway"错误。这个错误通常表示Istio代理(Envoy)无法将请求正确地转发到目标服务。 "Bad Gateway"错误可能由以下几个原因引起: 1. 目标服务不可用:Istio代理无法...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值