Istio系列学习(十)----Istio的服务网关配置:Gateway

最新推荐文章于 2024-03-27 15:15:58 发布
最新推荐文章于 2024-03-27 15:15:58 发布
阅读量6.8k 收藏 10
点赞数
分类专栏: istio 架构 微服务 文章标签: gateway 网络 java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_41709748/article/details/122695478
版权
istio 同时被 3 个专栏收录
22 篇文章 12 订阅
订阅专栏
架构
20 篇文章 0 订阅
订阅专栏
微服务
13 篇文章 0 订阅
订阅专栏

一、定义

gateway和VirtualService的关系
gateway:定义了服务从外面怎么访问,在入口处对服务进行统一治理。
VirtualService:定义了匹配到的内部服务怎么流转。

二、gateway配置实例

含义:外部通过80端口访问网格内的服务

gateway的配置如图:
在这里插入图片描述
配合gateway的使用,修改VirtualService,在host上匹配gateway上请求的主机名,并通过gateways字段关联定义的gateway对象。

VirtualService的定义如图
在这里插入图片描述

三、gateway规则定义

gateway主要包含两个关键字段
1)selector
必选字段,通过该标签找到执行gateway规则的envoy。
2)server
必选字段,表示开放的服务列表,gateway的关键内容信息,是一个数组,每个元素都是server类型。

server的描述字段包括:
1)port
必选,描述对外开放的端口

2)hosts
必选,gateway对外发布的地址,FQDN域名,支持左侧通配符来进行模糊匹配。

3)defaultEndpoint
是 Istio 1.1 新增的属性,表示流量转发的默认后端,可以是一个loopback的后 端,也可以是UNIX的域套接字。

4)tls:在实际使用中考虑到安全问题,相关配置如下
◎ httpsRedirect:是否要做HTTP重定向,在这个布尔属性启用时,负载均衡器会给所有HTTP连接都 发送一个301的重定向,要求使用HTTPS。
◎ mode:在配置的外部端口上使用TLS模式时,可以取PASSTHROUGH、SIMPLE、MUTUAL、 AUTO_PASSTHROUGH这4种模式。
◎ serverCertificate:服务端证书的路径。当模式是SIMPLE和MUTUAL时必须指定,配置在单向和双 向认证场景下用到的服务端证书。
◎ privateKey:服务端密钥的路径。当模式是SIMPLE和MUTUAL时必须指定,配置在单向和双向认 证场景下用到的服务端私钥。
◎ caCertificates:CA 证书路径。当模式是 MUTUAL 时指定,在双向认证场景下配置在Gateway上验 证客户端的证书。
◎ credentialName:Istio 1.1 的新特性,用于唯一标识服务端证书和密钥。Gateway使用 credentialName从远端的凭据存储(如 Kubernetes的 Secrets)中获取证书和密钥,而不是使用Mount的文 件。
◎ subjectAltNames:SAN 列表。SubjectAltName 允许一个证书指定多个域名,在Gateways上可以用 来验证客户端提供的证书中的主题标识。
◎ minProtocolVersion:TLS协议的最小版本。
◎ maxProtocolVersion:TLS协议的最大版本。
◎ cipherSuites:指定的加密套件,默认使用Envoy支持的加密套件

四、gateway的典型应用
1.将网格内的HTTP服务发布为HTTP外部访问,即3.4.1 节的配置示例。
外部服务通过域名http://weather.com访问到应用的入口服务frontend。VirtualService本身定义了 frontend服务从内部和外部访问同样的路由规则,即根据内容的不同,将请求路由到v2版本或v1版本。注意,这里Gateway的协议是HTTP。
在这里插入图片描述
在这里插入图片描述
2.将网格内的HTTPS服务发布为HTTPS外部访问
这种场景的Gateway配置,重点是:端口为443,协议为HTTPS,TLS模式为 PASSTHROUGH,表示Gateway只透传应用程序提供的HTTPS内容。在本示例中,frontend 入口服务自身是HTTPS类型的服务,TLS需要的服务端证书、密钥等都是由frontend服务自己维护的。
如图所示
在这里插入图片描述
3、将网格内的HTTP服务发布为HTTPS外部访问
场景:服务吱声是Http,网格外部通过https访问该服务。
如图
在这里插入图片描述
配置Gateway如下,可以看到端口为443,协议为HTTPS。与前一种场景的入口服务自身为 HTTPS不同,这里的TLS模式是SIMPLE,表示Gateway提供标准的单向TLS认证。这时需要通过 serverCertificate和 privateKey提供服务端证书密钥。从图 3-55也可以看到 TLS 认证的服务端是在入口的 Envoy 上创建的,入口服务 frontend 本身保持原有的HTTP方式:
配置如图:
在这里插入图片描述
该方式既灵活又满足安全的要求,所以是一种推荐的方式。

4.将网格内的HTTP服务发布为双向HTTPS外部访问
5.将网格内的HTTP服务发布为HTTPS外部访问和HTTPS内部访问

归来少年Plus
关注
  • 0
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
第五章Gateway--服务网关
02-24
大家都都知道在微服务架构中,一个系统会被拆分为很多个微服务。那么作为客户端要如何去调用这么多的微服务呢?如果没有网关的存在,我们只能在客户端记录每个微服务的地址,然后分别去用。这样的架构,会存在着诸多的问题:客户端多次请求不同的微服务,增加客户端代码或配置编写的复杂性认证复杂,每个服务都需要独立认证。存在跨域请求,在一定场景下处理相对复杂。上面的这些问题可以借助API网关来解决。所谓的API网关,就是指系统的统一入口,它封装了应用程序的内部结构,为客户端提供统一服务,一些与业务本身功能无关的公共逻辑可以在这里实现,诸如认证、鉴权、监控、路由转发等等。添加上API网关之后,系统的架构图变成了如下
---gateway---网关
10-13
---gateway---网关
备考ICA----Istio实验12---配置双向TLS Istio Ingress Gateway实验
Q先生
03-27 1032
本实验部分配置延续上个Istio实验11。
ansible-minishift-istio-security:ansible-minishift-istio-security
05-08
使用OpenShift,Weave Scope和Istio探索服务网格 基本上,我们将通过探索本地的Kubernetes,API,注入Sidecar和玩Istio示例来学习和理解什么是Service Mesh。 换句话说,我们将尝试解决以下问题: 服务网格是一种分布式应用程序吗? 为什么在容器化平台中需要Istio? 为什么部署容器模式(Sidecar,大使,适配器)很重要? 我们必须如何实施: 监控方式 可观察性 安全 观察结果 经过测试: Ansible 2.3以上 Minishift v1.11.0 + 4459917 Kubernetes 3.7 istio 0.2.7 的VirtualBox 5.1.30 macOS High Sierra版本10.13.2(17C88) 先决条件 奇尔卡诺的角色: Minishift( ) 编织范围( ) Isti
express-gateway-typescript:带有Express TypeScript的Api网关
03-21
欢迎使用Express-gateway-typescript :waving_hand: 带有Express TypeScript的Api网关 :house: 先决条件 npm> = v6.x 节点> = v12.x eslint> = v7.x 熟悉TypeScript :flexed_biceps: 特征 v4.x 用于模板化HTML的 JavaScript样式 使用格式化的代码集成 使用简化需求/导入路径 文档 用生成日志文件 v5和 如何使用 使用https / ssh / github cli克隆此github cli git clone https://github.com/masb0ymas/express-gateway-typescript 克隆此存储库后,请确保已将.env.example文件duplicated到.env ,不要让.env.example文件删除或重命名。 安装 npm install or yarn 赫
云原生之深入解析K8S Istio Gateway服务的架构分析与实战操作
╰つ栺尖篴夢ゞ
07-07 2965
Istio 提供一种简单的方式来为已部署的服务建立网络,该网络具有负载均衡、服务间认证、监控、网关等功能,而不需要对服务的代码做任何改动。istio 适用于容器或虚拟机环境(特别是 k8s),兼容异构架构;istio 使用 sidecar(边车模式)代理服务网络,不需要对业务代码本身做任何的改动;HTTP、gRPC、WebSocket 和 TCP 流量的自动负载均衡;istio 通过丰富的路由规则、重试、故障转移和故障注入,可以对流量行为进行细粒度控制;支持访问控制、速率限制和配额。
【云原生】Kubernetes(k8s)Istio Gateway 介绍与实战操作
匠人精神,持之以恒!
12-09 5628
Istio提供一种简单的方式来为已部署的服务建立网络,该网络具有负载均衡、服务间认证、监控、网关等功能,而不需要对服务的代码做任何改动。这里主要讲服务istio 适用于容器或虚拟机环境(特别是 k8s),兼容异构架构。istio 使用 sidecar(边车模式)代理服务网络,不需要对业务代码本身做任何的改动。HTTP、gRPC、WebSocket 和 TCP 流量的自动负载均衡。istio 通过丰富的路由规则、重试、故障转移和故障注入,可以对流量行为进行细粒度控制;
IstioGateway设计与实现
琦彦
01-14 7247
目录 Gateway简介 Gateway vs Kubernetes Ingress Gateway原理及实现 Gateway简介 在Istio中, Gateway控制着网格边缘的服务暴露。 Gateway也可以看作网格的负载均衡器, 提供以下功能: 1) L4-L6的负载均衡 2) 对外的mTLS Istio服务网格中, Gateway可以部署任意多个,可以共用一个...
Istio三之VirtualService、Gateway、DestinationRule配置使用
qiaotl的博客
07-25 5872
通过实际例子演示如何配置VirtualService、Gateway、DestinationRule完成流量管理
istio学习笔记之多VirtualService绑定同一Gateway端口实践
丰耳的博客
12-29 926
在使用istio-ingressgateway时,用同一个端口(gateway)访问不同的后端服务
k8s之Istio Gateway 单向/双向/透传TLS配置(1)
jiayu的博客
04-28 1895
这篇文章将根据Istio官方案例实现Gateway的TLS或mTLS,以及HTTPS透传
Istio网关Gateway 启用TLS
小楼一夜听春雨,深巷明朝卖杏花
07-27 1765
Istio网关Gateway是一个负责处理南北向流量的组件,它通常会暴露服务网格内部的服务,以便外部的请求能够访问到服务网格中的服务Istio网关Gateway支持多种协议,包括HTTP、HTTPS和GRPC等。在Istio网关Gateway中,每个服务器都包含一个或多个端口,每个端口都定义了一种协议和相应的配置Istio网关Gateway还可以定义多个TLS证书,以便对传输的数据进行加密和解密。在配置Istio网关Gateway时,我们需要指定其所使用的负载均衡算法和服务发现机制。
华为云讲解:3. Istio Gateway设计与技术
热门推荐
张成基
02-16 2万+
华为云讲解:3. Istio Gateway设计与技术 文章目录华为云讲解:3. Istio Gateway设计与技术Gateway简介Gateway配置规则Gateway的流入流出Gateway vs Kubernetes IngressGateway 原理及实现Gateway demo 演示控制Ingress HTTP流量利用HTTPS保护后端服务mTLS 双向认证控制egress流量,访问外...
09-【istio】-【流量管理】-【流量管理原理】istio Gateway、Virtual Service(虚拟服务)及它们之间的关系
qq_42303254的博客
02-11 863
1、可参考官网:Istio / Traffic Management 2、可参考Gateway、Virtual Service案例:​​​​​​ istio实现对外暴露服务 - 波神 - 博客园 Istio Routing 实践掌握virtualservice/gateway/destinationrule/AB版本发布/金丝雀发布 | PassZhang 3、可参考Gateway、Virtual Service的相关字段介绍:Istio Gateway网关 - 好运来了 - 博客园 vvv.
使用Istio进行多集群部署管理(2):单控制平面Gateway连接拓扑
阿里云云栖号
06-05 1173
单控制平面拓扑下,多个 Kubernetes 集群共同使用在其中一个集群上运行的单个 Istio 控制平面。控制平面的 Pilot 管理本地和远程集群上的服务,并为所有集群配置 Envoy Sidecar 代理。 集群感知的服务路由 Istio 1.1 中引入了集群感知的服务路由能力,在单一控制平面拓扑配置下,使用 Istio 的 Split-horizon EDS(水平分割端点发现服务)功能可以通过其入口网关服务请求路由到其他集群。基于请求源的位置,Istio 能够将请求路由到不同的端点。 在该配
istio gateway入口流量路由管控
Mr_rain的专栏
07-27 548
本文记录istio搭建入口网关以及流量路由管控的场景。
Istio 网关中的 Gateway 和 VirtualService 配置深度解析
weixin_34009794的博客
03-31 9555
原文链接:请求都去哪了? 通过前几篇文章的学习与实践,我们对 Gateway、VirtualService 和 Destinationrule 的概念和原理有了初步的认知,本篇将对这几个对象资源的配置文件进行深度地解析,具体细节将会深入到每一个配置项与 Envoy 配置项的映射关系。 在开始之前,需要先搞清楚我们创建的这些对象资源最后都交给谁来处理了,负责处理这些资源的就是 pilot。 1....
大白话之istio gateway、virtual service 、destination rule
yanchendage的博客
12-21 3806
老王开了一家家娱乐场所,天上人间,为了气派老王花重金百万打造了一个青铜大门istio-ingressgateway 类似一个nginx。 这么气派的大门必须找两个180以上的保安gateway看门,保安的指责比较的简单明了,按摩(anmo.com)的放进来,洗浴(xiyu.com)的放进来,白嫖(baipiao.com)的请出去。 在这里插入代码片 迷茫的客人进来后需要有指路人,大堂经理virtual service客客气气的安排着。每个客人都有自己喜欢的技师,以前k8s的service不支持客户挑选技师
k8s整合istio配置gateway入口、配置集群内部服务调用管理
本作者:想花
08-15 1287
端口号是ingressgateway服务的nodeport找到80端口对应的nodeport即可。
istio-envoy Bad Gateway
最新发布
04-03
当你在使用Istio和Envoy时,可能会遇到"Bad Gateway"错误。这个错误通常表示Istio代理(Envoy)无法将请求正确地转发到目标服务。 "Bad Gateway"错误可能由以下几个原因引起: 1. 目标服务不可用:Istio代理无法连接到目标服务,可能是因为目标服务未启动、端口错误或网络连接问题。 2. 配置错误:Istio配置可能存在问题,例如目标服务的路由规则、端口映射等配置错误导致请求无法正确路由到目标服务。 3. 代理配置错误:Envoy代理的配置可能存在问题,例如代理的监听端口、上游集群配置等错误导致请求无法正确转发。 解决"Bad Gateway"错误的方法包括: 1. 检查目标服务是否正常运行,并确保它可以通过Istio代理访问。 2. 检查Istio配置文件,特别是目标服务的路由规则和端口映射配置,确保它们正确地指向目标服务。 3. 检查Envoy代理的配置文件,特别是监听端口和上游集群配置,确保它们正确地配置了目标服务的地址和端口。 4. 查看Istio和Envoy的日志,以获取更多关于错误原因的信息。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值