36、深入探讨Istio：从VM集成到请求路径扩展

深入探讨Istio：从VM集成到请求路径扩展

1. 网格扩展至虚拟机

当我们将服务网格扩展到虚拟机（VM）时，若能收到成功响应，则表明流量已从集群路由至论坛工作负载。这一过程验证了从集群服务到工作负载条目的流量流动。同时，此例展示了Istio如何避免将流量发送到未准备好接收的工作负载，即通过不将该工作负载的端点配置到数据平面。在生产集群中，这一特性可避免客户端向返回错误的实例发送流量，而是仅将流量路由到健康实例。

为了提高安全性，我们可以利用Istio的丰富功能对集成到网格中的VM进行配置。例如，创建一个 PeerAuthentication 策略来强制进行相互认证的流量传输。当前，由于VM的8080端口已暴露，任何能够连接到该端口的用户都可以获得请求服务，包括未经授权的用户。我们可以通过以下步骤验证并解决此问题：
1. 从本地计算机（未集成到网格中）向VM发起请求，验证当前的访问情况：

curl -is $VM_IP:8080/api/users | grep HTTP

预期输出为 HTTP/1.1 200 OK ，表明请求已被处理。
2. 配置服务网格，应用一个全网范围的策略，仅允许相互认证的流量：

kubectl apply -f ch13/strict-peer-auth.yaml

等待一段时间，让策略分发到数据平面。
3. 再次验证非相互认证的流量是否被禁止：