阿里云全链路流量配置

最新推荐文章于 2024-05-17 16:33:00 发布
最新推荐文章于 2024-05-17 16:33:00 发布
阅读量1k 收藏
点赞数
分类专栏: istio 微服务 架构 文章标签: 阿里云 云计算
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_41709748/article/details/127509911
版权
istio 同时被 3 个专栏收录
22 篇文章 12 订阅
订阅专栏
架构
20 篇文章 0 订阅
订阅专栏
微服务
13 篇文章 0 订阅
订阅专栏

一、创建istio gateway

  1. 创建ssl证书的secret
  2. 创建*.dev.domain.cn域名的gateway,yaml文件如下
apiVersion: networking.istio.io/v1beta1
kind: Gateway
metadata:
name: gw-dev-msl-cn
namespace: ns-istio-system-sit
spec:
selector:
istio: ingressgateway
servers:
- hosts:
- '*.dev.domain.cn'
port:
name: https
number: 8443
protocol: HTTPS
tls:
credentialName: dev-msl-cn
minProtocolVersion: TLSV1_2
mode: SIMPLE

3、创建*.internal.domain.com域名的gateway,yaml文件如下

apiVersion: networking.istio.io/v1beta1
kind: Gateway
metadata:
name: gw-internal-manulife-sinochem-com
namespace: ns-istio-system-sit
spec:
selector:
istio: ingressgateway
servers:
- hosts:
- '*.internal.domain.com'
port:
name: https
number: 8443
protocol: HTTPS
tls:
credentialName: internal-manulife-sinochem-com
minProtocolVersion: TLSV1_2
mode: SIMPLE
  1. 创建完成后,当前集群仅应有如下两个gateway CRD资源
    在这里插入图片描述
    二、创建istio gateway的路由
    1、为微服务vs-osi-nb-std-comp创建路由
    此微服务的service名为osi-nb-std-comp
    此微服务的域名为openapi-osi-core.dev.msl.cn
    此微服务的端口为8090
apiVersion: networking.istio.io/v1beta1
kind: VirtualService
metadata:
name: vs-osi-nb-std-comp
namespace: ns-nb-application
spec:
gateways:
- ns-istio-system-sit/gw-dev-msl-cn
hosts:
- "*.dev.domain.cn"
http:
- match:
- uri:
prefix: /osi-nb-std-comp
route:
- destination:
host: osi-nb-std-comp
port:
number: 8090

2、创建完成后,查看ingress gateway对应service的负载均衡IP地址,为10.137.9.50
在这里插入图片描述
3、在一台可访问Istio ingress gateway的Linux客户机上配置/etc/hosts,内容如下:

10.137.9.50 openapi-osi-core.dev.msl.cn

4、在客户机上测试host解析,并访问此微服务的健康检查URL以测试是否正常,返回200即为正常

$ curl https://openapi-osi-core.dev.msl.cn/osi-nb-std-comp/actuator/health -k -v
* About to connect() to openapi-osi-core.dev.msl.cn port 443 (#0)
* Trying 10.137.9.50...
* Connected to openapi-osi-core.dev.msl.cn (10.137.9.50) port 443 (#0)
* Initializing NSS with certpath: sql:/etc/pki/nssdb
* skipping SSL peer certificate verification
* SSL connection using TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
* Server certificate:
* subject: CN=*.dev.msl.cn,OU=IT,O=MSL,L=Shanghai,ST=Shanghai,C=CN
* start date: Sep 21 00:46:51 2020 GMT
* expire date: Sep 20 00:46:51 2025 GMT
* common name: *.dev.msl.cn
* issuer: CN=MSL-CA,DC=msl,DC=cn
> GET /osi-nb-std-comp/actuator/health HTTP/1.1
> User-Agent: curl/7.29.0
> Host: openapi-osi-core.dev.msl.cn
> Accept: */*
>
< HTTP/1.1 200 OK
< set-cookie: SessionId=S-2bd9ed568e594d3584bf9b9656a39c4b; Path=/; Max-Age=2592000; Expires=Tue, 22 Nov 2022 16:35:31 GMT;
HttpOnly
< server: istio-envoy
< content-type: application/vnd.spring-boot.actuator.v3+json
< date: Sun, 23 Oct 2022 16:35:31 GMT
< x-envoy-upstream-service-time: 18
< transfer-encoding: chunked
<
* Connection #0 to host openapi-osi-core.dev.msl.cn left intact

5、以下为挂在internal.domain.com域名下的webapi服务配置示例,后端微服务为osi-nb-std-app

apiVersion: networking.istio.io/v1beta1
kind: VirtualService
metadata:
name: vs-osi-nb-std-app
namespace: ns-nb-application
spec:
gateways:
- ns-istio-system-sit/gw-internal-manulife-sinochem-com
hosts:
- "*.internal.domain.com"
http:
- match:
- uri:
prefix: /osi-nb-std-app
route:
- destination:
host: osi-nb-std-app
port:
number: 8080

三、配置Istio Gateway的健康检查
这个健康检查是为MSE网关实例检测istio gateway是否正确而配置

  1. 使用istio ingress gateway的健康检查url,用于MSE的健康检查,为这个服务创建virtualservice,yaml文件如下,分别为domain.cn和domain.com两个网关创建健康检查VirtualService
apiVersion: networking.istio.io/v1beta1
kind: VirtualService
metadata:
name: vs-istio-ingressgateway-healthcheck
namespace: ns-istio-system-sit
spec:
gateways:
- gw-dev-msl-cn
- gw-internal-manulife-sinochem-com
hosts:
- '*'
http:
- match:
- uri:
prefix: /healthz/ready
route:
- destination:
host: istio-ingressgateway
port:
number: 15021

2.创建完成后,查看ingress gateway对应service的负载均衡IP地址,为10.137.9.50

$ kubectl get svc -n ns-istio-system-sit
NAME TYPE CLUSTER-IP EXTERNAL-IP PORT(S)
AGE
istio-ingressgateway LoadBalancer 172.31.0.4 10.137.9.50
15021:32499/TCP,80:31065/TCP,443:30188/TCP,9091:32621/TCP 75d
istiod ClusterIP 172.31.0.199 <none> 15010/TCP,15012/TCP,443/TCP,15014/TCP
76d

3、在一台可访问 Istio ingress gateway的Linux客户机上配置/etc/hosts,内容如下:

10.137.9.50 istio-dit-sh01.dev.domain.cn
10.137.9.50 istio-dit-sh01.internal.domain.com

4、在客户机上测试host解析,并访问健康检查URL以测试是否正常,返回200即为正常

$ ping istio-dit-sh01.dev.msl.cn
PING istio-dit-sh01.dev.msl.cn (10.137.9.50) 56(84) bytes of data.
64 bytes from istio-dit-sh01.dev.msl.cn (10.137.9.50): icmp_seq=1 ttl=101 time=1.21 ms
$ ping istio-dit-sh01.internal.domain.com
PING istio-dit-sh01.internal.domain.com (10.137.9.50) 56(84) bytes of data.
64 bytes from istio-dit-sh01.dev.msl.cn (10.137.9.50): icmp_seq=1 ttl=101 time=1.15 ms
## For istio-dit-sh01.dev.domain.cn
$ curl https://istio-dit-sh01.dev.domain.cn/healthz/ready -k -v
* About to connect() to istio-dit-sh01.dev.domain.cn port 443 (#0)
* Trying 10.137.9.50...
* Connected to istio-dit-sh01.dev.domain.cn (10.137.9.50) port 443 (#0)
* Initializing NSS with certpath: sql:/etc/pki/nssdb
* skipping SSL peer certificate verification
* SSL connection using TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
* Server certificate:
* subject: CN=*.dev.msl.cn,OU=IT,O=MSL,L=Shanghai,ST=Shanghai,C=CN
* start date: Sep 21 00:46:51 2020 GMT
* expire date: Sep 20 00:46:51 2025 GMT
* common name: *.dev.msl.cn
* issuer: CN=MSL-CA,DC=msl,DC=cn
> GET /healthz/ready HTTP/1.1
> User-Agent: curl/7.29.0
> Host: istio-dit-sh01.dev.msl.cn
> Accept: */*
>
< HTTP/1.1 200 OK
< date: Sun, 23 Oct 2022 16:07:50 GMT
< content-length: 0
< x-envoy-upstream-service-time: 0
< server: istio-envoy
<
* Connection #0 to host istio-dit-sh01.dev.domain.cn left intact
## For istio-dit-sh01.internal.domain.com
$ curl https://istio-dit-sh01.internal.domain.com/healthz/ready -k -v
* About to connect() to istio-dit-sh01.internal.domain.com port 443 (#0)
* Trying 10.137.9.50...
* Connected to istio-dit-sh01.internal.domain.com (10.137.9.50) port 443 (#0)
* Initializing NSS with certpath: sql:/etc/pki/nssdb
* skipping SSL peer certificate verification
* SSL connection using TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
* Server certificate:
* subject: CN=*.internal.manulife-sinochem.com,O=有限公司,L=Shanghai,ST=Shanghai,C=CN
* start date: Aug 01 07:36:06 2022 GMT
* expire date: Sep 02 07:36:05 2023 GMT
* common name: *.internal.manulife-sinochem.com
* issuer: CN=GlobalSign RSA OV SSL CA 2018,O=GlobalSign nv-sa,C=BE
> GET /healthz/ready HTTP/1.1
> User-Agent: curl/7.29.0
> Host: istio-dit-sh01.internal.domain.com
> Accept: */*
>
< HTTP/1.1 200 OK
< date: Sun, 23 Oct 2022 17:35:23 GMT
< content-length: 0
< x-envoy-upstream-service-time: 0
< server: istio-envoy
<
* Connection #0 to host istio-dit-sh01.internal.domain.com left intact
归来少年Plus
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
阿里云域名解析网络和服务架构设计(二) 之云解析DNS-全局流量管理
飞鸽FlyGo-把自己作为一款产品来打磨,提升产品的体验,锻造出最好的自己。
03-20 1207
在搭建境外电商时,域名解析作为入口的第一关,需要根据用户在不同区域分发到就近区域,提升用户访问速度。比如在国内访问国外,因为各种网络因素,访问会出现各种超时,或者直接出现打不开网页和无法访问服务的情况。采用阿里云提供的全局流量管理,根据用户访问的地域,就近接入我们的服务。
网络访问需要经历哪些阶段?
summer_fish的专栏
07-20 1082
网络边界是指网络中不同子网络或网络域之间的边界,通常由网络设备(如防火墙、由器、负载均衡器等)实现和管理。网络边界的存在可以将不同的网络隔离开来,使其能够互相通信或限制其访问范围,从而提高网络安全性和管理灵活性。网络边界可以将一个大的IP地址范围划分成多个子网(子网络),每个子网都有自己的IP地址范围。这样可以实现不同子网之间的隔离,避免广播和多播流量在整个网络中传播,提高网络性能和安全性。网络边界设备(如由器)负责处理网络流量的转发和由。
urllib3 发起https请求时报错 certificate verify failed
最新发布
码农终结者的博客
05-17 799
主要是解决urllib3 的https 请求报错 SSL验证失败问题,SSL routines、certificate verify failed
【解决】调第三方https接口概率性报cURL error 28: NSS: client certificate not found (nickname not specified)错误
热门推荐
重诺,守时。
06-19 2万+
错误场景描述 使用guzzle的curl方法,连接第三方https接口,概率性出现 cURL error 28: NSS: client certificate not found (nickname not specified) 报错,查看phpinfo发现curl的ssl_version为nss。另,该https接口不需要证书认证,且接口数据较大。 错误查找 一般找错都是根据错误信息...
阿里云服务器配置DNS域名解析
曹举的个人博客
04-07 7408
打开地址:https://ecs.console.aliyun.com/,登录 1、鼠标放到最左侧,左上角那里,然后会出现菜单栏,点击菜单栏里的域名 2、点击域名会出现下面的页面 点击 解析,然后在点击添加记录 最后点击确定就好了 你还需要 ...
藏经阁-全链云压测探索与实践.pdf
09-11
"全链云压测探索与实践" 该资源总结了性能测试面临的挑战、云性能测试平台介绍、性能测试调优流程等知识点。以下是详细的知识点说明: 1. 性能测试面临的挑战: - 时间开发迭代周期极具缩短 - 测试时间被深度...
阿里云 专有云企业版 V3.8.1 API 网关 技术白皮书 20190910
04-05
【阿里云专有云企业版 V3.8.1 API 网关 技术白皮书 20190910】是阿里云针对其专有云企业版中API网关的一个详细技术文档,旨在为用户提供该版本API网关的功能、架构和使用指南。API网关作为微服务架构中的核心组件,...
藏经阁-京东全链压测军演系统(ForceBot)-19.pdf
08-25
京东全链压测军演系统(ForceBot)-19.pdf 基于京东全链压测军演系统(ForceBot),我们可以总结出以下知识点: 一、压测的必要性 * 压测是确保系统稳定运行的重要手段 * 压测可以帮助我们发现系统中的瓶颈和...
聚石塔全链容器运维平台实践.pptx
08-23
【聚石塔全链容器运维平台实践】的讲解主要围绕着阿里巴巴集团在运维领域的创新实践,特别是如何构建和优化大规模容器化的运维平台。在这个过程中,我们看到了一系列关键技术和架构演进,旨在提升系统的高可用性、...
阿里云中间件产品最新介绍.pptx
10-11
10. **容器服务**:结合Kubernetes和Docker,阿里云提供了容器化的应用发布和管理,支持war、jar、Helm模板部署,以及灰度发布和HTTP流量灰度。 阿里云的中间件产品通过不断演进和技术创新,将阿里巴巴在互联网架构...
一个有关istio出现NSS error -5961的错误解决方法
mywebuser的专栏
02-09 2131
有关istio调用时出现NSS error -5961
openssl双向认证 tomcat_openssl + tomcat 完成 https 双向认证配置
weixin_42181545的博客
01-14 5808
0、中心思想项目里需要https双向认证,证书的提供就不等别人了,自己卷起袖子生成证书,这样进度会快一些。其实,对于openssl的使用,我现在也是糊里糊涂,从网上借鉴了一些方法,攒出来这个可行的脚本,跟大家分享一下。欢迎较真的朋友指点其中的不足,这样,我就又可以提高一点了:)1、主要内容首先,生成一个CA,也就是根证书。然后,生成两个证书请求,将来生成的证书分别是给client和server用的...
为你的阿里云服务器配置一个域名并成功访问(入门版
āáǎà
09-15 1万+
阿里云域名解析入门教程……
“SSL peer certificate or SSH remote key was not OK”的分析和解决
meloyi的专栏
12-31 2万+
“SSL peer certificate or SSH remote key was not OK”
docker registry_v2 部署过程中遇到的坑
xiaolummhae的专栏
07-05 1万+
docker registry_v2 docker registry_v2的搭建和排错文档,nginx+registry源码搭建,有别于网上类docker的搭建方法,方便registry日后调优 搭建过程 CA证书的制作(openssl) nginx的搭建及配置 registry源码编译及配置 验证及排错 CA证书的制作 1.首先我们去 /etc/ssl/openssl.cnf下
shell实现https登录
weixin_33805557的博客
10-26 230
服务端提供了两个api: 一个是用于用户认证,因为要传输密钥,所以用了https方式  如何在服务端配置https请见另外一个博文 https://192.168.1.190:8443/api/auth      参数api_key=***&amp;secret_key=***  [post 方式提交] 另外一个api,普通的http api,只有当通过第一个api的认证后,服务器下...
Docker内nginx使用301强制http跳转https,解决请求http无数据返回问题
weixin_43039757的博客
03-12 4033
Docker内nginx使用301强制http跳转https,解决请求http无数据返回问题1、情景说明:2、 nginx下default.conf配置 1、情景说明: 公司这几天进行数据安全升级,大数据自然首当其冲了,基础环境nginx,supervisor等都是安装在docker内,第一次发文,不对的地方请多度指教。 2、 nginx下default.conf配置 配置问下供两个server,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值