istio :安装参数之outboundTrafficPolicy.mode

最新推荐文章于 2025-09-03 00:28:09 发布
原创 最新推荐文章于 2025-09-03 00:28:09 发布 · 884 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文介绍了Istio mesh中的outboundTrafficPolicy配置选项,用于管理sidecar如何处理外部服务的访问。默认的ALLOW_ANY模式允许对未知服务的直接访问,而REGISTRY_ONLY则会阻止未在服务注册表中定义的服务。当设置为REGISTRY_ONLY时,需要创建ServiceEntry以允许特定外部服务的访问,例如`httpbin.org`。配置ServiceEntry后,外部服务的访问恢复正常。

背景:

Istio有一个安装选项meshConfig.outboundTrafficPolicy.mode,用于配置外部服务的sidecar处理,即那些未在Istio的内部服务注册表中定义的服务。如果此选项设置为ALLOW_ANY,则Istio代理允许对未知服务的调用通过。如果该选项设置为REGISTRY_ONLY,那么Istio代理将阻止没有在mesh中定义HTTP服务或服务条目的任何主机。ALLOW_ANY是默认值,无需控制对外部服务的访问。
在这里插入图片描述

实验

ALLOW_ANY情况下允许外部服务直接访问

在这里插入图片描述

REGISTRY_ONLY会down掉请求

在这里插入图片描述

此时需要创建serviceentry

apiVersion: networking.istio.io/v1alpha3
kind: ServiceEntry
metadata:
  name: httpbin-ext
spec:
  hosts:
  - httpbin.org
  ports:
  - number: 80
    name: http
    protocol: HTTP
  resolution: DNS
  location: MESH_EXTERNAL

再次访问服务正常

在这里插入图片描述

最低0.47元/天 解锁文章
9、Istio 管理出口流量与应用弹性实践
pluto的博客
07-24 62
本文详细介绍了如何使用 Istio 管理服务网格的出口流量,并通过故障注入、超时和重试、负载均衡、速率限制以及断路器等机制提升微服务架构的应用弹性。内容涵盖具体的实践步骤和配置示例,帮助用户提高系统的安全性和可靠性。
9、使用Istio管理应用流量与提升应用弹性
CAT789的专栏
07-08 32
本文详细介绍了如何使用Istio管理微服务架构中的应用流量,并通过多种机制提升应用的弹性。内容涵盖了Istio的出口流量管理,包括ServiceEntry和Egress网关的配置;故障注入、超时与重试机制的实现;以及负载均衡、速率限制、断路器和异常检测等关键技术。通过这些方法,可以有效提高系统的稳定性和可靠性,确保服务在异常情况下的持续可用。
istio 熔断器 trafficPolicy 学习
MaoVazquez的博客
12-13 1078
Tip:多次触发熔断会导致服务不可用,通过以下命令测试服务是否可用:kubectl -n mm-rongduan exec fortio-deploy-7dcd84c469-ghkkk -c fortio – /usr/bin/fortio curl -quiet http://httpbin:8000/get。当并发的连接和请求数超过一个,在 istio-proxy 进行进一步的请求和连接时,后续请求或连接将被阻止。总结:通过调整这三个参数,都可以提高并发情况下请求的成功率。
第四章 Istio出口流量管理
爱情码头的博客
10-17 548
例如,集群管理员可以配置防火墙来拒绝所有非来自出口网关的流量。与Envoy 直通外部服务(使用ALLOW_ANY流量策略指示 Istio sidecar 代理直通未知服务的调用)不同,这种方法完全绕过了 sidecar,实质上禁用了指定 IP 的所有 Istio 功能。用于配置外部服务的 sidecar 处理,如果此选项设置为ALLOW_ANY,Istio 代理将允许对未知服务的调用通过。允许在Istio的内部服务注册表中添加额外的服务记录,以便网格中自动发现的服务可以访问或路由到这些手动指定的服务。
Istio配置热更新:动态配置变更与生效机制
最新发布
gitblog_00045的博客
09-03 1015
在现代微服务架构中,配置的动态更新能力是服务网格(Service Mesh)的核心竞争力之一。Istio作为业界领先的服务网格解决方案,提供了强大的配置热更新机制,允许运维人员在不停机的情况下动态调整流量管理、安全策略和可观测性配置。本文将深入解析Istio配置热更新的实现原理、工作机制和最佳实践。 ## 配置热更新架构 Istio的配置热更新机制基于XDS(Envoy Discovery S...
Istio中的流量管理
JosephThatwho的博客
03-14 945
流量管理用于控制服务之间的流量和接口调用。使用istio可以轻松配置服务级别的属性,比如断路器、超时时间和重试策略。并且可以轻松的执行A/B测试、金丝雀发布以及按百分比流量分割的策略发布等任务。 istio的流量管理模型基于Enovy,和每个服务一起部署。所有网格服务发送和接收的流量(即数据面板中的流量)都会通过Envoy代理,有助于在服务变动时定向或管理网格间的流量。 概述 为了在网格间定向流量,Istio需要知道系统中的endponit(在k8s中,endpoint记录服务对应的pod的访问地址,存储在
彻底解决!Azure AKS中Istio出站流量策略配置实战指南
gitblog_07936的博客
06-14 369
在Azure Kubernetes Service(AKS)中部署Istio服务网格后,你的团队是否遭遇过: - 外部API调用间歇性失败,日志中充斥`503 Service Unavailable` - 微服务间通信正常但无法访问互联网资源 - 安全审计要求限制Pod出站流量却不知从何下手 - 配置`outboundTrafficPolicy: REGISTRY_ONLY`后服务完全断网 本文...
Istio 流量劫持
叶康铭的博客
09-21 1848
不用修改本身应用的任何代码,就可以实现重试、重试、注册、发现、故障注入等等的能力,而且对开发语言、框架都是没有任何限定统一的技术栈的,那么为什么服务网格那么厉害可以做到那么透明呢,我们一起了解一下吧!
Istio安全基础:在零可信网络上运行微服务
Docker的专栏
10-27 986
在完全不可信Istio提供了大量的功能,来支持在零信任网络上安全地运行微服务的能力。零信任模型是建立在网络和基础设施可能被恶意代码、错误配置或其他不利因素所渗透的可能性之...
Istio是一个开源的基于 envoy proxy 的服务网格工具,它通过提供应用层面的流量管理和安全保障能力,帮助企业构建一个完整的服务网络体系
AI天才研究院
08-05 1488
容器编排工具通常都提供微服务架构,其中包括服务注册与发现、负载均衡、流量控制和熔断等功能。随着云计算的普及,越来越多的人开始使用这些容器编排工具,包括Docker Swarm、Kubernetes、Mesos等。除了提供容器集群管理之外,许多容器编排工具还提供了其他功能如日志、监控和追踪等。服务网格也被很多工具所采用,其主要目的是提供一种更加统一的服务治理方式。目前,服务网格技术可以分成两大类,即服务代理和Sidecar代理模式。
24【istio】-【流量管理】-【Engress gateway】访问外部的服务
qq_42303254的博客
02-19 1106
这里以istio 1.6.0为例 不同版本的istio安装步骤参考官网:Istio / Ingress Gateway without TLS Termination 注:这里只给出相关步骤参考,在实践时,结合该博客、官网一起看。 ​ 一、准备工作 ​ 二、pod【启用了istio的pod】访问外部服务的方式一:Envoy透传(穿过)到外部服务【默认方式】 vvv vvv ...
外部依赖项很多未定义标识符_Istio中访问外部服务
weixin_39846378的博客
11-28 365
默认情况下,来自启用Istio的Pod的所有出站流量都会重定向到其Sidecar代理,因此集群外部URL的可访问性取决于代理的配置。网格中的工作负载想要访问网格外的服务时,有以下三种方法: 允许Envoy代理将请求透传到未在网格内部配置的服务。配置 ServiceEntries 以提供对外部服务的受控访问。对于特定范围的IP,完全绕过Envoy代理。默认Istio将Envoy代理配置为透传对未知服...
带你玩转Istio-第2篇---原理篇
坚持的道路注定孤独
09-26 1421
Istio与服务网格 业界比较认同的是William Morgan关于服务网格(Service Mesh)的一段定义,这里提取和解释该定义中的几个关键字来讲解服务网格的特点。 ◎ 基础设施:服务网格是一种处理服务间通信的基础设施层。 ◎ 云原生:服务网格尤其适用于在云原生场景下帮助应用程序在复杂的服务拓扑间可靠地传递请求。 ◎ 网络代理:在实际使用中,服务网格一般是通过一组轻量级网络代理来执行...
ensp模拟traffic-policy在vlan视图下的inbound outbound
netlive的专栏
05-31 6120
先说结论: 限制vlan b访问 vlan a的某个地址,只能在vlan b的inbound 方向上做策略,或者在vlan a的视图下做inbound,outbound无论是在vlan a或者vlan b视图下,都不起作用。 以下是测试的过程: 最近工作中用到了traffic-policy ,之前用traffic-filter的时候在Inbound和outbound 的时候,在哪个方向上应用,没有迷惑,可是在用traffic-policy 的时候,发现只有在in...
Istio系列学习(八)----Istio的目标规则:DestinationRule
我在深圳的这些日子的博客
01-24 2855
一、destinationRule 和 VirtualService的联系和区别 1)两者之间的关系 在讲解virtualService中,路由目标对象destination中会包含Service子集的subset字段,这个服务子集就是通过DestinationRule定义的。 两者都是用于流量治理,那应用场景有什么区别? virtualService是一个虚拟的service,描述的是满足什么条件的流量被那个后端处理。类似于根据路径去匹配方法,是更开放的match条件。 DestinationRule描
Istio学习之CRD3⃣️:ServiceEntry
sHuXnHs
03-29 524
Istio学习之CRD3⃣️:ServiceEntry 服务网格中的工作负载想要访问网格外的服务时,有以下三种方法: 允许Envoy代理将请求透传到未在网格内部配置的服务(默认,通常情况下配置更严格的控制是更可取的) 配置 ServiceEntry以提供对外部服务的受控访问。 对于特定范围的IP,使用global.proxy.includeIPRanges配置完全绕过Envoy代理。 本篇主要来介绍一下OutboundTrafficPolicy.Mode的设置,ServiceEntry的使用与概念。 介
12.基于Istio的高级流量管理
niwoxiangyu的博客
02-28 299
1.理解基于TCP/UDP协议的Kubernetes Service的局限性 2.理解Kubernetes入站流量管理的场景和原生方案 3.理解原生方案的局限性和社区的方向 4.深入理解Envoy的服务发现机制、线程模型以及扩展机制 5.理解如何基于Istio实现入站、出站流量管理以及服务网格管理 ...
istioctl看istio生成的envoy xds配置(一)
weixin_42574058的博客
09-09 1161
首先理解envoy配置需要理解listener,router,cluster,endpoint这些概念,对应lds,rds,cds,eds统称xds。本文使用istio自带的bookinfo sample来展示底层envoy具体的配置情况。
kubernetes中无法访问集群外数据库问题分析及解决
quyingzhe0217的博客
07-20 783
数据库连接超时问题定位,Istio 服务网格内连接外部 MySQL 数据库
apiVersion: networking.istio.io/v1beta1 kind: Gateway metadata: name: test-gw namespace: test spec: selector: istio: ingressgateway servers: - hosts: - istio-test.tplinknbu.com port: name: https number: 10143 protocol: HTTPS --- apiVersion: networking.istio.io/v1beta1 kind: VirtualService metadata: name: test-vs namespace: test spec: gateways: - test-gw hosts: - istio-test.tplinknbu.com http: - match: - port: 10143 uri: prefix: /api/v1/* route: - destination: host: test.test.svc.cluster.lcaol port: number: 80 subnets: v1 --- apiVersion: networking.istio.io/v1beta1 kind: DestinationRule metadata: name: test-dr namespace: test spec: host: test.test.svc.cluster.local trafficPolicy: tls: mode: DISABLE subnets: - name: v1 labels: version: 1.1.1 --- apiVersion: v1 kind: Service metadata: labels: app.kubernetes.io/name: test name: test-service namespace: test spec: ports: - name: grpc port: 8850 protocol: TCP targetPort: grpc - name: http port: 8080 protocol: TCP targetPort: http selector: app.kubernetes.io/name: test version: 1.1.0 type: ClusterIP --- apiVersion: apps/v1 kind: Deployment metadata: labels: version: 1.1.0 app.kubernetes.io/name: test name: test namespace: test spec: selector: matchLabels: app.kubernetes.io/name: test app.kubernetes.io/version: 1.1.0 template: metadata: labels: app.kubernetes.io/name: test version: 1.1.0 spec: containers: - name: test ports: - containerPort: 8850 protocol: TCP - containerPort: 8080 protocol: TCP
08-16
根据提供的配置信息,以下是配置中的错误和修改建议: 1. **Service 端口与 VirtualService 端口不匹配**: - 在 `Service` 中,`http` 端口配置为 `8080`,但在 `VirtualService` 中,`destination` 的端口配置为 `80`。 - **修改建议**:将 `VirtualService` 中的 `destination.port.number` 改为 `8080`。 2. **`subnets` 拼写错误**: - 在 `VirtualService` 中,`subnets` 拼写错误,应该是 `subset`。 - 在 `DestinationRule` 中,`subnets` 拼写错误,应该是 `subsets`。 - **修改建议**:将 `VirtualService` 和 `DestinationRule` 中的 `subnets` 改为 `subset` 和 `subsets`。 3. **`DestinationRule` 的 `host` 域名拼写错误**: - 在 `VirtualService` 中,`destination.host` 配置为 `test.test.svc.cluster.lcaol`,拼写错误。 - **修改建议**:将 `test.test.svc.cluster.lcaol` 改为 `test.test.svc.cluster.local`。 4. **`VirtualService` 的 `match` 条件问题**: - 在 `VirtualService` 中,`match` 条件中的 `port` 和 `uri` 组合可能导致路由不匹配。 - **修改建议**:如果只需要匹配 `uri`,可以移除 `port` 条件;或者确保 `port` 与 `Gateway` 的 `port` 一致。 5. **`Service` 的 `selector` 与 `Deployment` 的 `labels` 不完全匹配**: - `Service` 的 `selector` 使用了 `app.kubernetes.io/name: test` 和 `version: 1.1.0`,但 `Deployment` 的 `template.metadata.labels` 使用了 `app.kubernetes.io/name: test` 和 `version: 1.1.0`(注意 `app.kubernetes.io/version` 和 `version` 的区别)。 - **修改建议**:确保 `Service` 和 `Deployment` 的 `selector` 和 `labels` 完全匹配。 ### 修改后的配置建议: ```yaml apiVersion: networking.istio.io/v1beta1 kind: Gateway metadata: name: test-gw namespace: test spec: selector: istio: ingressgateway servers: - hosts: - istio-test.tplinknbu.com port: name: https number: 10143 protocol: HTTPS --- apiVersion: networking.istio.io/v1beta1 kind: VirtualService metadata: name: test-vs namespace: test spec: gateways: - test-gw hosts: - istio-test.tplinknbu.com http: - match: - uri: prefix: /api/v1/ route: - destination: host: test.test.svc.cluster.local port: number: 8080 subset: v1 --- apiVersion: networking.istio.io/v1beta1 kind: DestinationRule metadata: name: test-dr namespace: test spec: host: test.test.svc.cluster.local trafficPolicy: tls: mode: DISABLE subsets: - name: v1 labels: version: 1.1.0 --- apiVersion: v1 kind: Service metadata: labels: app.kubernetes.io/name: test name: test-service namespace: test spec: ports: - name: grpc port: 8850 protocol: TCP targetPort: grpc - name: http port: 8080 protocol: TCP targetPort: http selector: app.kubernetes.io/name: test version: 1.1.0 type: ClusterIP --- apiVersion: apps/v1 kind: Deployment metadata: labels: app.kubernetes.io/name: test version: 1.1.0 name: test namespace: test spec: selector: matchLabels: app.kubernetes.io/name: test version: 1.1.0 template: metadata: labels: app.kubernetes.io/name: test version: 1.1.0 spec: containers: - name: test ports: - containerPort: 8850 protocol: TCP - containerPort: 8080 protocol: TCP ``` ### 关键修改点: 1. 修正 `VirtualService` 中的 `destination.port.number` 为 `8080`。 2. 修正 `subnets` 为 `subset` 和 `subsets`。 3. 修正 `test.test.svc.cluster.lcaol` 为 `test.test.svc.cluster.local`。 4. 调整 `VirtualService` 的 `match` 条件,移除 `port` 或确保匹配。 5. 确保 `Service` 和 `Deployment` 的 `selector` 和 `labels` 完全匹配。
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值