Azure AKS 托管 Istio 入口网关定制化能力解析

Azure AKS 托管 Istio 入口网关定制化能力解析

AKS Azure Kubernetes Service 项目地址: https://gitcode.com/gh_mirrors/ak/AKS

背景介绍

在 Azure Kubernetes Service (AKS) 中，Istio 服务网格作为托管组件提供，简化了服务网格的部署和管理。然而，用户在实际生产环境中经常需要对入口网关进行深度定制，以满足特定的网络和安全需求。

当前能力现状

目前 AKS 托管的 Istio 组件允许用户启用内部和外部入口网关，但存在以下限制：

1. 无法在集群创建时直接指定内部入口网关的子网
2. 不支持为外部负载均衡器配置静态 IP 或使用现有 IP
3. 缺乏通过 IaC 工具（如 Terraform）进行配置的原生支持

现有解决方案

Azure 团队近期增加了通过 Kubernetes 服务注解来定制入口网关的能力，支持的注解包括：

• 内部子网绑定：service.beta.kubernetes.io/azure-load-balancer-internal-subnet
• 共享安全规则：service.beta.kubernetes.io/azure-shared-securityrule
• 允许的服务标签：service.beta.kubernetes.io/azure-allowed-service-tags
• 静态 IPv4 地址：service.beta.kubernetes.io/azure-load-balancer-ipv4
• 跨资源组公共 IP：service.beta.kubernetes.io/azure-load-balancer-resource-group
• 公共 IP 名称：service.beta.kubernetes.io/azure-pip-name

技术实现考量

Azure 团队表示，虽然用户期望通过 API 直接配置这些参数，但出于以下原因选择了当前方案：

1. 未来将主要通过 Gateway API 提供 IP 地址配置能力
2. 注解方式支持更广泛的定制场景
3. 避免在 API 中维护大量可能的配置选项

高级定制需求

部分用户提出了更复杂的定制需求，包括：

1. 多集群配置（meshId、clusterName 等）
2. 资源请求和限制调整
3. HPA 自动伸缩配置
4. 拓扑分布约束
5. DNS 配置优化

对于这些需求，Azure 团队建议：

• 通过 MeshConfig 和 Telemetry API 进行部分配置
• 使用 HPA 定制功能调整自动伸缩行为
• 对于多集群场景，团队正在规划更完善的解决方案

最佳实践建议

1. 对于基础网络定制，优先使用服务注解方式
2. 监控 Azure 官方文档中关于 Gateway API 集成的更新
3. 复杂场景可考虑混合使用托管组件和自定义配置
4. 定期检查 Helm 值以了解默认配置

未来展望

Azure 团队正在积极开发以下能力：

1. 基于 Gateway API 的更灵活入口管理
2. 多集群服务网格支持方案
3. 托管控制平面架构
4. 更丰富的配置 API

对于需要深度定制的用户，建议持续关注这些功能的发布进度，并根据业务需求选择合适的部署模式。

AKS Azure Kubernetes Service 项目地址: https://gitcode.com/gh_mirrors/ak/AKS