Alauda Service Mesh v2 Docs
  • Русский

    • Направление исходящего трафика через шлюз

    Вы можете настроить прокси-шлюзы, установленные с помощью gateway injection, для управления трафиком, покидающим mesh, и направления его к внешним сервисам.

    Содержание

    Egress gatewayНастройка исходящего трафикаМаршрутизация egress в ambient modeСсылки

    Egress gateway

    Egress gateway служит выделенной точкой выхода для исходящего трафика, покидающего сервисную сетку. Он работает как форвард-прокси, обрабатывая запросы от рабочих нагрузок mesh, направленные к сервисам за пределами mesh. Развертывание egress gateway решает две распространённые задачи безопасности:

    • Ограничения трафика: В средах, где политики безопасности требуют, чтобы весь исходящий трафик проходил через контролируемый набор узлов, egress gateway централизует этот поток трафика через назначенные egress-узлы.
    • Применение сетевых политик: Когда сетевые политики не позволяют подам приложений напрямую обращаться к внешним сервисам, egress gateway обеспечивает внешнюю связность от их имени.

    В обоих случаях прокси-шлюзы запускаются на выделенных egress-узлах, которые имеют необходимые разрешения для доступа к внешним сервисам. Эти узлы могут находиться под более тщательным контролем или подчиняться более строгим сетевым политикам для усиления общей безопасности.

    Настройка исходящего трафика

    Вы можете настроить шлюз, установленный через gateway injection, чтобы направлять исходящий трафик, комбинируя следующие ресурсы Istio:

    • Используйте ресурс ServiceEntry для определения свойств внешнего сервиса. После определения внешний сервис регистрируется в реестре сервисов Istio, что позволяет применять функции Istio, такие как мониторинг и правила маршрутизации, к исходящему трафику, направленному к этому сервису.
    • Используйте ресурсы Gateway, VirtualService и DestinationRule для установления правил маршрутизации, которые направляют трафик от рабочих нагрузок mesh к внешнему сервису через прокси-шлюз.

    Маршрутизация egress в ambient mode

    Если ваше развертывание использует ambient mode, маршрутизация egress должна настраиваться с помощью Kubernetes Gateway API, а не ресурсов Istio Gateway и VirtualService. Gateway API предлагает стандартизированный, нативный для Kubernetes подход к определению того, как трафик покидает mesh и достигает внешних целей.

    Вы можете использовать ресурсы Gateway и HTTPRoute (или GRPCRoute) для управления маршрутизацией трафика mesh к назначениям за пределами кластера. Gateway API полностью поддерживается в ambient mode и также может использоваться с развертываниями на основе sidecar, обеспечивая единообразную модель конфигурации как для входящего, так и для исходящего маршрутизации.

    Ссылки