Направление исходящего трафика через gateway
API Istio позволяют настроить прокси gateway, установленные с помощью gateway injection, для маршрутизации трафика, предназначенного для внешнего сервиса.
Gateway, установленный через gateway injection, может быть настроен как точка выхода для трафика, покидающего mesh. В такой конфигурации gateway функционирует как форвард-прокси для запросов, направленных к сервисам за пределами mesh.
Настройка gateway для исходящего трафика помогает соответствовать требованиям безопасности. Например, egress gateway полезен в средах, где политики трафика требуют, чтобы весь трафик, покидающий mesh, проходил через определённый набор узлов. Аналогично, gateway может использоваться, когда сетевые политики блокируют прямой доступ узлов приложений к внешним сервисам. В таких случаях прокси gateway размещаются на выделенных egress-узлах, которым разрешён доступ к внешним сервисам. Эти узлы можно более тщательно контролировать или применять к ним более строгие сетевые политики для повышения безопасности.
Для настройки gateway, установленного с помощью gateway injection для направления исходящего трафика следует использовать комбинацию ресурсов Istio: ServiceEntry, Gateway, VirtualService и DestinationRule. Ресурс ServiceEntry используется для указания свойств внешнего сервиса, который затем добавляется в реестр сервисов Istio mesh. Это позволяет применять функции Istio, такие как мониторинг и правила маршрутизации, к трафику, покидающему mesh для этого внешнего сервиса. Ресурсы Gateway, VirtualService и DestinationRule используются для настройки правил, направляющих трафик изнутри mesh к внешнему сервису через прокси gateway.
Содержание
Ссылки
- Egress gateways (документация Istio)
- Introduction (документация Gateway API)