在kubernetes环境中,kubernetes Ingress Resource常用来指定应该暴露给集群外部的服务。在一个Istio的服务网格中,最好的办法就是使用不同的配置模型,也就是Istio Gateway。一个gateway允许Istio的功能,比如监控和路由规则去应用到进入集群的流量 。

本小节描述如何配置Istio去暴露服务到服务网格的外部。

1. 准备工作

  • 如果开启了sidecar的自动注入,那么执行如下
  1. $ kubectl apply -f samples/httpbin/httpbin.yaml
  • 否则使用如下命令手工注入sidecar
  1. $ kubectl apply -f <(istioctl kube-inject -f samples/httpbin/httpbin.yaml)

2. 确定Ingress的IP和端口

  • 执行下面命令,查看你的istio-ingressgateway服务是不是使用负载均衡器
  1. $ kubectl get svc istio-ingressgateway -n istio-system
  • 使用以下命令查看端口和IP
  1. $ export INGRESS_HOST=$(kubectl -n istio-system get service istio-ingressgateway -o jsonpath='{.status.loadBalancer.ingress[0].ip}')
  2. $ export INGRESS_PORT=$(kubectl -n istio-system get service istio-ingressgateway -o jsonpath='{.spec.ports[?(@.name=="http2")].port}')
  3. $ export SECURE_INGRESS_PORT=$(kubectl -n istio-system get service istio-ingressgateway -o jsonpath='{.spec.ports[?(@.name=="https")].port}')

3. 使用Istio gateway配置ingress

入口网关描述了一个运行在网格边缘的负载均衡器,它接收传入的HTTP/TCP连接。它配置暴露的端口、协议等,但与Kubernetes进入资源不同,它不包含任何流量路由配置。入口流量的流量路由是使用Istio路由规则配置的,其方式与内部服务请求完全相同。

  1. 创建Istio Gateway:
  1. $ kubectl apply -f - <<EOF
  2. apiVersion: networking.istio.io/v1alpha3
  3. kind: Gateway
  4. metadata:
  5. name: httpbin-gateway
  6. spec:
  7. selector:
  8. istio: ingressgateway # use Istio default gateway implementation
  9. servers:
  10. - port:
  11. number: 80
  12. name: http
  13. protocol: HTTP
  14. hosts:
  15. - "httpbin.example.com"
  16. EOF
  1. 通过gateway配置进入的流量
  1. $ kubectl apply -f - <<EOF
  2. apiVersion: networking.istio.io/v1alpha3
  3. kind: VirtualService
  4. metadata:
  5. name: httpbin
  6. spec:
  7. hosts:
  8. - "httpbin.example.com"
  9. gateways:
  10. - httpbin-gateway
  11. http:
  12. - match:
  13. - uri:
  14. prefix: /status
  15. - uri:
  16. prefix: /delay
  17. route:
  18. - destination:
  19. port:
  20. number: 8000
  21. host: httpbin
  22. EOF
  1. 使用curl访问httpbin的服务
  1. $ curl -I -HHost:httpbin.example.com http://$INGRESS_HOST:$INGRESS_PORT/status/200

在这里-H选项是设置主机的HTTP报头为httpbin.example.com

  1. 访问其它的URL,应该会看到一个HTTP 404错误。
  1. $ curl -I -HHost:httpbin.example.com http://$INGRESS_HOST:$INGRESS_PORT/headers

4. 使用浏览器访问ingress服务

[warning]由于没有配置针对域名和IP相对应的DNS服务,所以当用浏览器访问 https://httpbin.example.com/status/200 时可能无法访问。为了能够使基于IP的能够工作,特配置如下:

  1. kubectl apply -f - <<EOF
  2. apiVersion: networking.istio.io/v1alpha3
  3. kind: Gateway
  4. metadata:
  5. name: httpbin-gateway
  6. spec:
  7. selector:
  8. istio: ingressgateway # use Istio default gateway implementation
  9. servers:
  10. - port:
  11. number: 80
  12. name: http
  13. protocol: HTTP
  14. hosts:
  15. - "*"
  16. ---
  17. apiVersion: networking.istio.io/v1alpha3
  18. kind: VirtualService
  19. metadata:
  20. name: httpbin
  21. spec:
  22. hosts:
  23. - "*"
  24. gateways:
  25. - httpbin-gateway
  26. http:
  27. - match:
  28. - uri:
  29. prefix: /headers
  30. route:
  31. - destination:
  32. port:
  33. number: 8000
  34. host: httpbin
  35. EOF
  • 测试结果如下所示:
    1. Ingress Gateway - 图1

网关配置资源允许外部流量进入Istio服务网格,使Istio的流量管理和策略特性可用于边缘服务。

5. 排错

  1. 检查INGRESS_HOSTINGRESS_PORT环境变量,根据下面命令的输出,确认一下你是否有有效的值。
  1. $ kubectl get svc -n istio-system
  2. $ echo INGRESS_HOST=$INGRESS_HOST, INGRESS_PORT=$INGRESS_PORT
  1. 确保在相同的端口上你没有其它的Istio ingress gateways的定义
  1. $ kubectl get gateway --all-namespaces
  1. 检查你没有在相同的IP和端口上定义其它的kubernetes Ingress资源
  1. $ kubectl get ingress --all-namespaces

6. 清空本节课程实验

  1. $ kubectl delete gateway httpbin-gateway
  2. $ kubectl delete virtualservice httpbin
  3. $ kubectl delete --ignore-not-found=true -f samples/httpbin/httpbin.yaml