Маршрутизация исходящего трафика через gateway с помощью Istio APIs

В этом разделе объясняется, как использовать Istio APIs для маршрутизации исходящего HTTP-трафика через gateway, установленный с помощью gateway injection.

Содержание

Предварительные требования Порядок действий

Предварительные требования

Istio gateway должен быть установлен с помощью gateway injection.

Порядок действий

Создайте namespace с именем curl, выполнив следующую команду:
kubectl create namespace curl
Включите sidecar injection для namespace. Если в вашей среде используется стратегия обновления InPlace, выполните эту команду:
kubectl label namespace curl istio-injection=enabled
NOTE
Если вы используете стратегию обновления RevisionBased, выполните следующие команды:
1. Чтобы определить значение <revision-name>, выполните следующую команду:
  kubectl get istiorevisions.sailoperator.io
  Пример вывода:
  NAME NAMESPACE PROFILE READY STATUS IN USE VERSION AGE default istio-system True Healthy True v1.28.6 47h
2. Пометьте namespace с помощью имени revision, чтобы включить sidecar injection:
  kubectl label namespace curl istio.io/rev=default

Разверните приложение curl, выполнив эту команду:

kubectl apply -n curl -f https://raw.githubusercontent.com/istio/istio/refs/heads/master/samples/curl/curl.yaml

Инициализируйте и экспортируйте переменную среды CURL_POD, содержащую имя pod curl:
export CURL_POD=$(kubectl get pod -n curl -l app=curl -o jsonpath='{.items[0].metadata.name}') echo "CURL_POD=$CURL_POD"

Создайте YAML-файл с именем http-se.yaml, чтобы направить трафик из mesh во внешний сервис. В приведенном ниже примере определяется ServiceEntry для конкретного URL.

Пример конфигурации

apiVersion: networking.istio.io/v1
kind: ServiceEntry
metadata:
  name: egress-se
  namespace: curl
spec:
  hosts:
    - docs.alauda.io
  ports:
    - number: 80
      name: http-port
      protocol: HTTP
  location: MESH_EXTERNAL
  resolution: DNS

Примените этот YAML-файл, выполнив команду:
kubectl apply -f http-se.yaml
Убедитесь, что конфигурация ServiceEntry успешно применена. Отправьте HTTP-запрос к хосту, указанному на предыдущем шаге, выполнив эту команду:
kubectl exec "$CURL_POD" -n curl -c curl -- curl -sSL -o /dev/null -D - http://docs.alauda.io
Эта команда должна вернуть коды состояния HTTP, такие как 302 (redirect) или 200 (success), что подтверждает работоспособность соединения.

Создайте YAML-файл с именем http-egress-gw.yaml, который создаст egress Gateway и направит трафик из mesh к хосту, определенному для внешнего сервиса.

Пример конфигурации

apiVersion: networking.istio.io/v1alpha3
kind: Gateway
metadata:
  name: egress-gw
  namespace: <gateway_namespace> # Namespace, в котором развернут egress gateway
spec:
  selector:
    istio: <gateway_name> # Выбирает экземпляр egress-gateway для обработки этого трафика
  servers:
    - port:
        number: 80
        name: http
        protocol: HTTP
      hosts:
        - docs.alauda.io # Хост внешнего сервиса, а не полный URL.
---
apiVersion: networking.istio.io/v1alpha3
kind: DestinationRule
metadata:
  name: egress-dr
  namespace: <gateway_namespace> # Namespace, в котором развернут egress gateway
spec:
  host: <gateway_name>.<gateway_namespace>.svc.cluster.local
  subsets:
    - name: alauda-docs

Примените YAML-файл, выполнив команду:
kubectl apply -f http-egress-gw.yaml

Создайте YAML-файл с именем http-egress-vs.yaml, чтобы настроить VirtualService, который будет управлять потоком трафика от sidecar приложений через egress gateway и далее к внешнему хосту.

Пример конфигурации

apiVersion: networking.istio.io/v1alpha3
kind: VirtualService
metadata:
  name: egress-vs
  namespace: curl # Namespace, в котором выполняется pod curl
spec:
  hosts:
    - docs.alauda.io # Хост внешнего сервиса, а не полный URL.
  gateways:
    - mesh
    - <gateway_namespace>/egress-gw # Имя egress gateway, определенное в файле, использованном на предыдущем шаге.
  http:
    - match:
        - gateways:
            - mesh
          port: 80
      route:
        - destination:
            host: <gateway_name>.<gateway_namespace>.svc.cluster.local
            subset: alauda-docs
            port:
              number: 80
          weight: 100
    - match:
        - gateways:
            - <gateway_namespace>/egress-gw # Имя egress gateway, определенное в файле, использованном на предыдущем шаге.
          port: 80
      route:
        - destination:
            host: docs.alauda.io
            port:
              number: 80
          weight: 100

Примените этот YAML-файл, выполнив следующую команду:
kubectl apply -f http-egress-vs.yaml

Повторно отправьте HTTP-запрос к URL:

kubectl exec "$CURL_POD" -n curl -c curl -- curl -sSL -o /dev/null -D - http://docs.alauda.io

Вывод в терминале должен быть похож на приведенный ниже:

Пример вывода

...
HTTP/1.1 302 Found
server: envoy
...
location: <example_url>
...

HTTP/2 200
Content-Type: text/html; charset=utf-8

Подтвердите, что запрос был маршрутизирован через gateway, выполнив эту команду:

Включить журналирование доступа

Для корректной работы этого шага проверки должно быть включено журналирование доступа. Вы можете включить его, создав следующий ресурс Telemetry.

kubectl apply -f - <<EOF
apiVersion: telemetry.istio.io/v1
kind: Telemetry
metadata:
  name: gateway-access-log
  namespace: <gateway_namespace>
spec:
  selector:
    matchLabels:
      istio: <gateway_name>
  accessLogging:
    - providers:
        - name: envoy
EOF

kubectl logs deployment/<gateway_name> -n <gateway_namespace> | tail -1

В терминале должен отобразиться вывод, похожий на следующий:

Пример вывода

[2025-09-21T07:45:45.331Z] "GET / HTTP/2" 302 - via_upstream - "-" 0 137 107 105 "10.3.0.56" "curl/8.15.0" "1503bbf4-1571-4d16-9d2b-c9817355284e" "docs.alauda.io" "119.28.207.230:80" outbound|80||docs.alauda.io 10.3.0.41:55194 10.3.0.41:80 10.3.0.56:60876 - -

#Маршрутизация исходящего трафика через gateway с помощью Istio APIs

#Содержание

#Предварительные требования

#Порядок действий

Маршрутизация исходящего трафика через gateway с помощью Istio APIs

Содержание

Предварительные требования

Порядок действий