技术向|利用 APISIX Ingress 实现 Istio 服务的安全暴露

最新推荐文章于 2024-06-16 23:00:36 发布
最新推荐文章于 2024-06-16 23:00:36 发布
阅读量3.6k 收藏 2
点赞数
文章标签: java kubernetes docker linux python
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45583158/article/details/122248177
版权
本文详细介绍了如何利用Apache APISIX Ingress与Istio Service Mesh,将Kubernetes集群中的服务安全地暴露到集群外部。通过Kind创建本地集群,部署Istio和APISIX,结合BookInfo示例验证,展示了一种有效的服务暴露方案。同时提到了Kiali作为可视化工具辅助监控和管理流量。
摘要由CSDN通过智能技术生成

Service Mesh 简介

随着云原生技术的火热发展,Service Mesh 逐渐在微服务领域流行起来。当下 Service Mesh 比较流行的实现方案是 Istio和 Linkerd。

下图为 Service Mesh 示意图,通过引入 Sidecar Proxy 来完成微服务之间的互联及通信。

54b0db739416870e523215d6426ddd44.png

通过上图我们可以看出 Service Mesh 比较侧重传统意义上的东西向流量,即服务间的流量。当我们将 Service Mesh 与 Kubernetes 配合使用时,东西向流量对应的则是 Kubernetes 集群内的流量。

回到真实使用场景下,我们不会只接触到包含 Kubernetes 集群内的流量,大多数情况下都需要将一些服务暴露到集群外,供用户或其他服务使用。但将 Kubernetes 集群中的服务暴露到集群外时,我们就必须要考虑诸如安全性和可观测性等相关因素。

接下来我们将通过使用 Istio Service Mesh 和 Apache APISIX,为大家演示如何将启用 Service Mesh 的 Kubernetes 集群中服务安全暴露至集群外。

52d04145a07c1399f487e2cc465c8f90.png

第一步:准备 Kubernetes 集群

这里我们使用 Kind在本地创建一个临时集群用于演示。关于如何通过 Kind 命令进行安装可参考官方文档。

以下为用于创建演示集群所使用的 yaml 配置文件,将其保存为 kind-config.yaml

kind: Cluster
apiVersion: kind.x-k8s.io/v1alpha4
nodes:
- role: control-plane
- role: worker
- role: worker
- role: worker

然后使用此配置文件创建一个集群。

(MoeLove) ➜ kind create cluster --config kind-config.yaml 
Creating cluster "kind" ...
✓ Ensuring node image (kindest/node:v1.22.2) 🖼 
✓ Preparing nodes 📦 📦 📦 📦 
✓ Writing configuration 📜 
✓ Starting control-plane 🕹️ 
✓ Installing CNI 🔌 
✓ Installing StorageClass 💾 
✓ Joining worker nodes 🚜 
Set kubectl context to "kind-kind"
You can now use your cluster with:
kubectl cluster-info --context kind-kind
Not sure what to do next? 😅 Check out https://kind.sigs.k8s.io/docs/user/quick-start/

第二步:部署 Istio

在 Kubernetes 集群创建完毕后,我们来进行 Istio 的相关部署。

这里先创建一个名为 apisix-istio的目录,进入该目录后进行如下操作。

(MoeLove) ➜ mkdir apisix-istio
(MoeLove) ➜ cd apisix-istio
(MoeLove) ➜ curl -sL https://istio.io/downloadIstio | sh -
Downloading istio-1.12.1 from https://github.com/istio/istio/releases/download/1.12.1/istio-1.12.1-linux-amd64.tar.gz ...
Istio 1.12.1 Download Complete!
Istio has been successfully downloaded into the istio-1.12.1 folder on your system.
Next Steps:
See https://istio.io/latest/docs/setup/install/ to add Istio to your Kubernetes cluster.
To configure the istioctl client tool for your workstation,
add the /root/apisix-istio/istio-1.12.1/bin directory to your environment path variable with:
export PATH="$PATH:/root/apisix-istio/istio-1.12.1/bin"
Begin the Istio
最低0.47元/天 解锁文章
高可用架构
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
保姆级教程,从概念到实践帮你快速上手 Apache APISIX Ingress
weixin_45583158的博客
10-15 701
作者:张晋涛,Apache APISIX Committer、Kubernetes Ingress Nginx Reviewer,多个云原生开源项目的贡献者。Apache APISIX I...
借助 APISIX Ingress实现与注册中心的无缝集成
ApacheAPISIX的博客
02-17 547
作者张晋涛,API7.ai 云原生技术专家,Apache APISIX PMC 成员,Apache APISIX Ingress Controller 项目维护者。 原文链接 云原生场景下是否需要服务发现 背景 微服务架构是当前最为流行的应用架构之一。 应用被拆分为多个服务组件,通过相互配合共同完成业务的具体逻辑和功能。 随着应用规模的增加和微服务拆分粒度的不同,一套系统内会包含很多个服务组件。 要让这些组件之间可以很好的协同,并且能彼此识别到,通常都需要引入服务注册和发现组件。 之前我们写了一篇文章专
apisix-ingress-controller:K8的入口控制器
04-01
适用于Kubernetes的Apache APISIX 使用进行Kubernetesapisix-ingress-controller中的所有配置都是使用Kubernetes CRD(自定义资源定义)定义的。 例如Apache APISIX中的configure ,针对上游的支持服务注册发现机制,负载平衡等。 apisix-ingress-controller是Apache APISIX控制平面组件。 目前,它适用于Kubernetes集群。 将来,我们计划将子模块分开以适应更多的部署模式,例如虚拟机集群。 apisix-ingress-controller的技术架构: 地位 该项目目前被认为是实验性的。 特征 使用具有最小学习曲线的k8s yaml结构,对具有自定义资源定义(CRD)的Apache APISIX进行声明式配置。 适用于Yaml期间的热重装。 本机Ku
APISIX教程(一):怎么在kubernetes中安装apisix-ingress-controller
专注于输出具有实用价值的软件运维经验及教程
06-16 303
一、apisix简介一款云原生声明式网关!以下简介摘自官方:Apache APISIX 是 Apache 软件基金会下的顶级项目,由 API7.ai 开发并捐赠。它是一个具有动态、实时、高性能等特点的云原生 API 网关。你可以使用 APISIX 网关作为所有业务的流量入口,它提供了动态路由、动态上游、动态证书、A/B 测试、灰度发布(金丝雀发布)、蓝绿部署、限速、防攻击、收集指标、监控报警、可观...
Apache APISIX Ingress Controller 首个 GA 版本 v1.0 正式发布!
k8s 生态
06-18 630
关于 Apache APISIX Ingress ControllerApache APISIX Ingress Controller 是一个使用 Apache APISIX 作为数据面承...
Apache APISIX Ingress Controller 正式加入 ASF
k8s 生态
12-08 3536
云原生时代,Ingress 作为Kubernetes集群中服务的入口,已经被大家所接受。除了Kubernetes默认的NGINX Ingress Controller(基于原生 NGIN...
ingress-istio-controller:通过Ingress对象创建和配置Istio Virtual Services对象使用Kubernetes Ingress作为定义创建和配置Istio VirtualServices
04-22
入口Istio控制器从Ingress对象配置Istio虚拟服务对象。 基于如何贡献参见执照除非另有说明,否则该项目的源代码受加拿大政府官方版权保护,并根据。 与该分布相关的加拿大文字商标和相关图形受商标法和版权法保护。 ...
Istio实践(2)- 流量控制及服务间调用.doc
07-13
在本篇文档中,我们将深入探讨如何利用Istio的VirtualService组件进行流量控制,并通过部署客户端进行服务调用。 首先,我们关注流量控制。Istio的VirtualService允许我们精确地定义服务路由规则,以实现不同版本...
kustomize 实现ingress 示例
最新发布
06-18
使用 kustomize 实现ingress 示例,语法覆盖: 覆盖,变量,嵌套等
kubernetes 服务发现 ingress
03-11
kubernetes 服务发现 ingress文件
Apisix-Ingress服务发现详解
m0_47495420的博客
10-11 1123
apisixApache APISIX 是一个基于微服务 API 网关,其不仅可以处理南北向的流量,也可以处理东西向的流量即服务之间的流量。Apache APISIX 集成了控制面板和数据面,与其他 API 网关相比,Apache APISIX 的上游、路由、插件全是动态的,修改这些东西时都不用重启。并且 Apache APISIX 的插件也是热加载,可以随时插拔、修改插件。Apache APIS...
Go 开源说第六期:基于Apache APISIX构建的Kubernetes Ingress
Go中国
03-31 1095
点击蓝字关注我们本文由“GO开源说”第六期 《基于Apache APISIX构建的Kubernetes Ingress》直播内容修改整理而成,视频内容较长,本文内容有所删减和重构。1.什么...
lua 多条件_ingress控制器那么多,到底该选哪一个?累觉不爱。
weixin_39613744的博客
11-21 458
Kubernetes中,service IP和Pod IP主要供集群内部访问使用,对于集群外部是不可见的。如果要从集群外部访问,常用是的以下3种方式。(1)通过NodePort方式如下图:我们忽略具体的实现细节,通过NodePort的方式会在所有的Node节点上映射一个端口,端口范围默认是30000-32767。然后用户通过任意主机+映射端口来访问集群内部。这种方式的优点是实现方式比较简单,缺点...
APISIX Ingress 控制器的安装及原理
starcross_2022的博客
06-09 564
APISIX 是动态、实时、高性能的 API 网关。它提供丰富的流量管理功能,比如负载均衡、动态上游、金丝雀发布、熔断、认证、可观测性等。既可以使用 APISIX API 网关处理传统的南北向流量,也可以使用它处理服务间的东西向流量。同时,它也可被用作 Kubernetes Ingress 控制器。APISIX Ingress 控制器提供 Helm 安装方式,但是使用原生 YAML 安装,更加有助于理解其原理。使用原生 YAML 安装 APISIX 和 APISIX Ingress 控制器。
运维开发实践 - 服务网关 - apisix部署
Yuan_xii的博客
12-17 690
(2) 若apisix-ingresscontroller无法连接上apisix-gateway,但是apisix-gateway服务都是正常状态, 检查 apisix-ingresscontroller config 中。是一个动态,实时,高性能的云原生API网关,提供负载均衡,动态上游,灰度发布,服务熔断,身份认证,可观测性等丰富的流量管理功能;(1) 需要检查apisix-dashboard configmap中。(3) etcd 维护起来有些难度,需要自行斟酌,可以参考。一项,并确保该值包括。
APISIX Ingress 如何使用 Cert Manager 管理证书
ApacheAPISIX的博客
02-07 689
Apache APISIX Ingress Controller 是一款以 Apache APISIX 作为数据面的 Kubernetes Ingress Controller 开源工具,目前已经更新到 v1.3 版本,实现了如证书管理、负载均衡、金丝雀发布等功能。 长久以来,证书管理都不是一件简单的事情,虽然 Apache APISIX Ingress Controller 支持从 Kubernetes Secrets 资源中提取证书和私钥,并转换为 Apache APISIX 可识别的 SSL 对象,但
Istio 将应用暴露到互联网
小楼一夜听春雨,深巷明朝卖杏花
07-19 603
因为没有为其指定应用的域名,所以会转到后端的httpbin和nginx这两个应用,这是不行的。在配置gateway和虚拟服务的时候,里面hosts没有明确的定义是哪一个服务的,都是用*来表示。那么这样就创建了3个80端口,同时是http这样一个gateway。所以要将istio网格这边的服务暴露到集群外部来,前面加上负载均衡器,然后根据域名去分流。在实际部署中,K8s集群一般部署在内网,为了将暴露到互联网,会在前面加一层负载均衡器(公有云LB产品、Nginx、LVS等),用于流量入口,将用户访问的域名传递
Apache APISIX Ingress 为何成为又拍云打造容器网关的新选择?
ApacheAPISIX的博客
11-18 832
项目背景介绍目前市面上可执行 Ingress 的产品项目逐渐丰富了起来,可选择的范围也扩大了很多。这些产品按照架构大概可分为两类,一类像 K8s Ingress、Apache APISIX Ingress,他们是基于 Nginx、OpenResty 等传统代理器,使用 K8s-Client 和 Golang 去做 Controller。还有一类新兴的用 Golang 语言去实现代理和控制器功能,比如 Traefik。又拍云最开始包括现在的大部分业务仍在使用 Ingress-Nginx,整体架构如下。下层为数
使用nginx ingress作为istio的入口,要怎么配置
07-16
如果你希望使用 Nginx Ingress Controller 作为 Istio 的入口,可以按照以下步骤进行配置: 1. 安装 Nginx Ingress Controller:首先,你需要安装 Nginx Ingress Controller。你可以参考 Nginx Ingress Controller 的官方文档进行安装,具体的安装方式可能会根据你的环境而有所不同。 2. 创建 Istio Gateway:在 Istio 中,你需要创建一个 Gateway 对象来配置流量的入口。可以使用类似下面的 YAML 文件来定义一个基本的 Gateway: ```yaml apiVersion: networking.istio.io/v1alpha3 kind: Gateway metadata: name: my-gateway spec: selector: istio: ingressgateway servers: - port: number: 80 name: http protocol: HTTP hosts: - "example.com" ``` 上面的配置中,我们定义了一个 Gateway 对象,将流量导入到 Istioingressgateway 上。`number` 字段指定了监听的端口号,`hosts` 字段指定了要接受流量的域名。 3. 配置 Nginx Ingress Controller:接下来,你需要配置 Nginx Ingress Controller,使其将流量转发到 Istioingressgateway。你可以通过创建一个 Nginx Ingress 的配置文件来实现。以下是一个示例的配置文件: ```yaml apiVersion: extensions/v1beta1 kind: Ingress metadata: name: my-ingress annotations: kubernetes.io/ingress.class: "nginx" spec: rules: - host: example.com http: paths: - path: / backend: serviceName: istio-ingressgateway servicePort: 80 ``` 上述配置中,我们定义了一个 Ingress 对象,将流量转发到 Istioingressgateway 服务。`host` 字段指定了要接受流量的域名,`serviceName` 和 `servicePort` 字段指定了要转发流量的目标服务和端口。 4. 应用配置:最后,你需要将上述配置文件应用到 Kubernetes 集群中: ```shell kubectl apply -f nginx-ingress.yaml kubectl apply -f istio-gateway.yaml ``` 完成上述步骤后,Nginx Ingress Controller 将会作为 Istio 的入口,将流量导入到 Istioingressgateway 中。你可以根据实际需求修改配置文件中的参数,例如指定特定的域名、路径或端口。 请注意,这只是一个基本配置示例,实际配置可能因环境和需求而有所不同。你可以根据自己的情况进行调整和扩展。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值