istio-ingress/egress

最新推荐文章于 2025-06-18 09:07:24 发布
最新推荐文章于 2025-06-18 09:07:24 发布
阅读量4.1k 收藏 5
点赞数 3
CC 4.0 BY-SA版权
分类专栏: K8S
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/jinyidong/article/details/80419845
本文介绍如何在Kubernetes与Istio环境中配置Ingress和Egress规则,实现服务的内外部访问。包括使用istio-ingress暴露内部服务及通过EgressRule允许集群内的服务访问外部URL。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

1、ingress

        在k8s+istio环境中,可以通过istio-ingress(类似于OpenResty、Nginx)允许将集群内部服务暴露出去,注意namespace

apiVersion: extensions/v1beta1
kind: Ingress
metadata:
  name: product
  namespace: product
  annotations:
    kubernetes.io/ingress.class: "istio"
spec:
  rules:
  - http:
      paths:
      - path: /sz/.*
        backend:
          serviceName: productdetail
          servicePort: 8081

2、egress

        默认情况下,有istio管理的服务不能访问集群外部url,原因是istio所管理的服务的流量均走sidercar代理envoy,而该代理默认只会转发集群内部流量(如遇到connection refused...被这问题困扰了好久...),所以,若想与集群外部服务交互,需进行配置egress,目前支持http、https、tcp协议。

2.1、http egress

apiVersion: config.istio.io/v1alpha2
kind: EgressRule
metadata:
  name: baidu-egress-rule
spec:
  destination:
    service: www.baidu.com
  ports:
    - port: 80
      protocol: http

2.2、https egress

apiVersion: config.istio.io/v1alpha2
kind: EgressRule
metadata:
  name: https-baidu-egress-rule
spec:
  destination:
    service: www.baidu.com
  ports:
    - port: 443
      protocol: https

2.3、tcp egress

apiVersion: config.istio.io/v1alpha2
kind: EgressRule
metadata:
  name: tcp-logservice-egress-rule
spec:
  destination:
    service: 10.0.0.111
  ports:
    - port: 8080
      protocol: tcp

2.4、其他

        除此之外,我们可以在启用istioctl注入相关yaml文件时加上,--includeIPRanges=10.0.0.1/24,IP为集群内IP。        

istioctl kube-inject -f  k8s.yaml  --includeIPRanges=10.0.0.1/24> k8s-istio.yaml
kubectl apply -f k8s-istio.yaml

备考ICA----Istio实验14---出向流量管控Egress Gateways实验
Q先生
03-29 727
为 edition.cnn.com 创建一个出口,端口 80,并为定向到出口网关的流量创建一个目标规则metadata:spec:selector:servers:- port:number: 80name: httphosts:---metadata:spec:subsets:部署。
Istio Egress Gateway出口流量管理
weixin_33967071的博客
10-25 2325
缺省状态下,Istio服务网格内的Pod,由于其iptables将所有外发流量都透明的转发给了sidecar,所以这些集群内的服务无法访问集群之外的 URL,而只能处理集群内部的目标。 控制出口流量描述了如何通过ServiceEntry将外部服务暴露给集群内的客户端 本文则通过一个官方的用例解释如何通过Egress Gateway配置Istio的出口流量...
IstioIngressEgress网关
Micky_Yang的博客
07-03 6821
一、认识Ingress   在Istio的流量控制中,Ingress可以理解为前端应用的一个代理网格,当被转发到代理容器的流量到达服务前,会先经过该服务的Ingress Gateway,之后;再有Ingress Gateway转发至后端的VirtualService资源对象上。    二、Ingress实验 1)部署httpbin服务 ➜ cat ../../samples/httpbin/httpbin.yaml # Copyright Istio Authors # # Licensed und
六, 跨语言微服务框架 - Istio IngressEgress详解(解决Istio无法外网访问问题)
weixin_33696106的博客
12-07 1011
2019独角兽企业重金招聘Python工程师标准>>> ...
如何用K8s+Istio进行云原生开发?
软件行业技术文化交流。
06-18 1028
本文介绍了基于Kubernetes和Istio的云原生开发全流程。从环境准备(K8s集群部署、Istio安装)到应用容器化部署(Dockerfile编写、K8s资源定义),再到流量管理(动态路由、灰度发布)和安全监控(mTLS加密、Prometheus集成)。文章还涵盖了开发流程优化(CI/CD集成)和生产运维(弹性伸缩、故障排查)等环节,展示了如何通过K8s容器编排和Istio服务网格实现自动化部署、精细化治理和统一化安全管理,有效提升系统弹性和开发效率。
Istio 入门(七):出入口网关 - 负载均衡和熔断等一系列功能
dotNET跨平台
10-27 576
本教程已加入 Istio 系列:https://istio.whuanle.cn目录5,出入口网关子版本部署服务配置 Gatewayistio-ingressgatewayistio-egressgateway5,出入口网关Istio 可以管理集群的出入口流量,当客户端访问集群内的应用时, Istio 可以将经过 istio-ingressgateway 的流量实现负载均衡和熔断等一系列功能。可是...
20-istio-【流量管理】-Ingress gateway】Istio ingress gateway
qq_42303254的博客
02-18 3035
这里以istio 1.6.0为例 不同版本的istio安装步骤参考官网:Istio / Ingress Gateways istio ingress gateway是进入集群的大门; istio egress gateway是出去集群的大门。 istio ingress gateway和 istio 中自己定义的gateway资源的关系: 可以把istio ingress gateway理解为:k8s中的traefik ingress controller或nginx ingre.
k8s——安装istio
m0_74752717的博客
06-01 460
【代码】k8s——安装istio
istio安全模块之网格内流量与网关入站流量
a605692769的博客
04-23 885
本文使用istio版本为v1.9.2。 Istio安全架构图如下: 从图中可知安全方面主要集中在以下几个方面: 终端用户基于JWT的身份认证方案; 经网关(ingress/egress)的流量安全; 网格内部的流量安全(认证,授权); Istio自身的安全方案; 一、 网格内部流量 1. 自动双向TLS 除非显示的指定,否则通过官方的配置(default/demo等)安装的istio,均默认开启了双向TLS认证(mtls, mutual TLS),正如"I
Istio源码分析-部分
远方雪的专栏
09-04 1085
Istio 通过其控制平面和数据平面的设计,提供了一个强大的服务网格解决方案,使得微服务之间的通信更加安全、可控和高效。通过 Envoy 代理的使用,Istio 能够在运行时动态地管理和配置微服务之间的交互,而无需修改应用程序的代码。此外,Istio 的设计还考虑了易用性和可操作性,通过提供 Istio Operator 和丰富的配置管理功能,简化了服务网格的部署和管理过程。每个组件都在 Istio 的 GitHub 仓库中有对应的文件夹,可以在这些文件夹中找到相关的代码和文档。
IstioIngress灰度发布对比
一叶封天的博客
09-23 2974
一、首先简单介绍下服务网格的概念: 服务网格能够通过一组网络代理来做到消除在分布式软件系统中管理所有服务到服务通信的责任,本质上,服务之间的请求是通过与服务一起运行但位于基础结构层之外的代理路由的,这些代理基本上为服务创建了一个网状网络--因此,名称为服务网格。通过这些代理,服务网格能够控制服务到服务通信的各个方面。 Istio 提供了一个完整的服务网格解决方案,通过为整个服务网格提供行为洞察和操作控制来满足微服务应用程序的多样化需求,该服务网格具有负载均衡、服务间认证、监控等功能,只需要对服务的.
7-4 NetworkPolicy网络策略简介与IngressEgress案例
分享云原生,容器,运维等干货知识
09-25 1182
NetworkPolicy网络策略可以在 IP 地址或端口层面(OSI 第 3 层或第 4 层)控制网络流量。NetworkPolicy 是一种以应用为中心的结构,允许你设置如何允许 Pod 与网络上的各类网络“实体”通信。NetworkPolicies 适用于一端或两端与 Pod 的连接,与其他连接无关。其他被允许的 Pods(例外:Pod 无法阻塞对自身的访问)被允许的名字空间IP 组块(例外:与 Pod 运行所在的节点的通信总是被允许的, 无论 Pod 或节点的 IP 地址)
在K8S中,关于ingressEgress的关系和区别如何?
努力变的更强
11-02 1568
IngressEgress是网络流量管理中的两个重要概念,尤其在网络服务如Kubernetes等容器编排系统中,这两个术语有着明确的定义和用途。
【kubernetes系列】Kubernetes之Ingress
margu_168的博客
07-14 1280
从前面的学习,我们可以了解到Kubernetes暴露服务的方式目前常见的只有三种:LoadBlancer Service、NodePort Service、Ingress;Kubernetes 具有强大的副本控制能力,能保证在任意副本(Pod)挂掉时自动启动一个新的,还可以进行动态扩容等。那么自然随着 Pod 的销毁和创建,Pod IP 也会动态变化;那么通过Pod IP去访问某个服务的话是不现实的,而且如果是多个pod实例,怎么做到负载均衡呢?
Ingress企业实战:部署多个Ingress控制器篇
云原生运维
09-10 1504
本文介绍了Kubernetes集群内部署多个Ingress控制器的应用场景,并通过实际案例的方式讲解,下一章将讲解Ingress更多企业级实战,请敬请期待!
kubernetes安装ingress-nginx详细步骤
vampiresuper的专栏
12-20 1万+
在kubernetes 1.22版本中,安装ingress-nginx的详细步骤,适合刚刚接触k8s的同学
Kubernetes Ingress Nginx常用配置参数设置
热门推荐
weixin_43855694的博客
06-24 1万+
Ingress-Nginx Deployment containers: - name: nginx-ingress-controller image: quay.io/kubernetes-ingress-controller/nginx-ingress-controller:0.30.0 args: - /nginx-ingress-controller - --configmap=.
k8s ingressistio网关
yanchendage的博客
12-16 8039
k8s ingress ingress 三大组件 1负载均衡器 nginx,Haproxy之类的 2ingress controller ngress Controller实质上可以理解为是个监视器,Ingress Controller通过不断地跟Kubernetes API打交道,实时的感知后端Service、Pod等变化,然后更新反向代理负载均衡器。 3ingress 配置文件,哪个域名对应哪个服务。 apiVersion: extensions/v1beta1 kind: Ingress metad
kubernetes- ingress-gateway-istio_gateway的区别
博然的宝藏库
03-25 1249
Kubernetes Ingress:Kubernetes Gateway:Istio Gateway:简而言之:以下是三个对象的比较表:使用场景:
Istio Egress Gateway 在架构中的目的是什么?
最新发布
07-26
<think>嗯,用户这次转向了服务网格领域,询问Istio Egress Gateway的功能定位。结合用户提供的四段引用材料,核心需要提炼Egress Gateway在服务网格架构中的不可替代性。 用户引用的材料[1]和[2]已经明确指出了关键点:Egress Gateway本质是服务网格的"边界守卫",专门治理出向流量。这让我想起TiDB里PD作为中央协调器的角色——虽然领域不同,但都是系统中承担特定关键功能的组件。不同的是,Egress Gateway采用代理模式而非PD的集中式管理。 特别注意到引用[3]提到的设计哲学:Gateway将L4-L6配置与L7配置解耦。这种分层设计很像网络协议栈,Egress Gateway相当于在传输层做统一拦截,再通过VirtualService绑定应用层路由规则。用户提供的材料[4]虽然偏重学习资源,但提到的Envoy Proxy正是Egress Gateway的技术底座。 用户可能隐含的深层需求是:为什么不能直接让Pod访问外部服务,非要加一层网关?这需要从三个维度解释:安全方面(集中策略实施点)、运维方面(统一流量观测点)、架构方面(屏蔽基础设施差异)。引用[2]提到的"无公网IP节点访问外部"就是典型场景。 突然意识到用户之前研究过TiDB集群故障影响,或许对高可用设计敏感。Egress Gateway本身支持多副本部署,但需要提醒用户:如果所有Egress Pod同时宕机,会导致外部访问完全中断——这点在架构设计时要考虑冗余。</think>Istio Egress Gateway 是服务网格的关键边界组件,其核心功能与作用可归纳为以下方面: --- ### **一、核心功能** 1. **统一出口流量控制** - 作为**专用出口代理**,强制所有出站流量(如访问外部 API、数据库)必须流经网关,实现集中式管理[^1][^2]。 - 示例配置: ```yaml apiVersion: networking.istio.io/v1alpha3 kind: Gateway metadata: name: istio-egressgateway spec: selector: istio: egressgateway servers: - port: number: 443 name: https protocol: HTTPS hosts: - "*.example.com" tls: mode: MUTUAL ``` 2. **安全策略实施** - **TLS 加密**:网关与外部服务间强制 HTTPS 通信,防止中间人攻击[^1]。 - **身份认证**:支持 mTLS 双向认证,确保外部服务合法性[^3]。 3. **流量监控与审计** - 集成 Prometheus 收集流量指标(如请求成功率、延迟)[^4]。 - 通过 Jaeger 实现出口流量的分布式追踪,定位跨域延迟问题。 --- ### **二、架构作用** #### 1. **解决网络限制问题** - **场景**:集群节点无公网 IP 时 - Egress Gateway 作为**唯一有公网 IP 的节点**,代理内部 Pod 访问外部服务[^2]。 - **场景**:合规性要求 - 满足“所有出口流量必须经专用审查节点”的安全规范[^2]。 #### 2. **解耦网络层与应用层** - **传统负载均衡器模式** 网关分离 L4-L6(端口/TLS)与 L7(HTTP 路由)配置[^3]: ```mermaid graph LR A[L4-L6配置] -->|绑定| B(Gateway) C[L7路由规则] -->|绑定| D(VirtualService) B --> E(外部服务) D --> E ``` - **优势**: - 网络运维人员管理 Gateway(基础设施层) - 开发人员管理 VirtualService(应用层)[^3] #### 3. **提升可观测性** - **统一监控出口流量** Kiali 面板可展示所有外部服务的依赖关系与性能指标[^4]: ![Kiali Egress 监控](https://istio.io/latest/docs/tasks/traffic-management/egress/egress-gateway/kiali-egress-gateway.png) --- ### **三、典型应用场景** | **场景** | **Egress Gateway 作用** | **配置要点** | |--------------------------|--------------------------------------|--------------------------------| | **访问云数据库** | 加密数据库连接 + IP 白名单 | 配置 TLS 终止与 SNI 路由 | | **调用第三方 API** | 限流、重试策略集中管理 | 在 VirtualService 设置超时规则 | | **混合云架构** | 统一管理跨云服务出口点 | 多集群 Gateway 联邦 | | **安全审计合规** | 记录所有出站请求日志 | 启用 AccessLog 并对接 SIEM 系统 | --- ### **四、与 Ingress Gateway 对比** | **特性** | Egress Gateway | Ingress Gateway | |------------------|------------------------------------|----------------------------------| | **流量方向** | 内部 → 外部 | 外部 → 内部 | | **核心目标** | 控制出站安全与可见性 | 管理入站流量路由 | | **典型配置** | `ServiceEntry` + `Gateway` | `Gateway` + `VirtualService` | | **安全重心** | 外部服务认证 + 数据加密 | 用户认证 + DDoS 防护 | > **关键价值总结**:Egress Gateway 通过**集中化出口流量**,实现了服务网格的"零信任安全模型",同时提供网络策略统一管控点,是构建企业级安全网格的必备组件[^1][^4]。 ```mermaid graph TD A[服务网格内 Pod] -->|出站请求| B(Egress Gateway) B -->|加密+审计| C[外部服务] B --> D[Prometheus 监控] B --> E[Jaeger 追踪] B --> F[Kiali 拓扑图] ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值