1

(使用 Istio 0.5.1,kubectl 1.9.1/1.9.0 用于客户端/服务器,minikube 0.25.0)

我正在尝试让 Istio EgressRules 与 Kubernetes 服务一起使用,但遇到了一些麻烦。

我尝试通过 3 种方式设置 EgressRules:

  1. 指向另一个域(如 www.google.com)的 ExternalName 服务
  2. 没有选择器但有关联的端点对象的服务(对于有 IP 地址但没有 DNS 名称的服务)
  3. (用于比较)没有 Kubernetes 服务,只是一个 EgressRule

ext-service.default.svc.cluster.local我想我可以使用Kubernetes服务的 FQDN 作为基于 HTTP 的 EgressRule 目标服务(如

对于前者,我创建了以下yaml文件:

kind: Service
apiVersion: v1
metadata:
  name: ext-service
spec:
  type: ExternalName
  externalName: www.google.com
---
apiVersion: config.istio.io/v1alpha2
kind: EgressRule
metadata:
  name: ext-egress-rule
spec:
  destination:
    service: ext-service.default.svc.cluster.local
  ports:
    - port: 443
      protocol: https

对于后者,我创建了这个yaml文件(我只是 ping 了 google 并获取了 IP 地址):

kind: Endpoints
apiVersion: v1
metadata:
  name: ext-service
subsets:
  - addresses:
      - ip: 216.58.198.78
    ports:
      - port: 443
---
kind: Service
apiVersion: v1
metadata:
  name: ext-service
spec:
  ports:
  - protocol: TCP
    port: 443
    targetPort: 443
---
apiVersion: config.istio.io/v1alpha2
kind: EgressRule
metadata:
  name: ext-service-egress-rule
spec:
  destination:
    service: ext-service.default.svc.cluster.local
  ports:
    - port: 443
      protocol: https

在这两种情况下,在应用程序代码中,我访问:

http://ext-service.default.svc.cluster.local:443

我的假设是流量会像这样流动:

[[ app -> envoy proxy -> (tls origination) -> kubernetes service ]] -> external service

[[ ... ]]服务网格(以及 Kubernetes 集群)的边界在哪里

结果:

  • ExternalName服务几乎按预期工作,但它把我带到了谷歌的 404 页面(有时响应似乎是空的,不知道如何具体复制一个或另一个)

  • 带有 Endpoint 对象的服务不起作用,而是打印此消息(通过 Golang 发出请求时,但我认为这并不重要):

    获取http://ext-service.default.svc.cluster.local:443:EOF

    这有时也会给出空洞的回应。

我想使用 Kubernetes 服务(即使它用于外部流量)有几个原因:

  1. 您不能将 IP 地址用于 EgressRule 的目标服务。从出口规则配置:“出口规则的目的地......可以是完全限定或通配符域名”。
  2. 对于没有域名的外部服务(一些没有 DNS 名称的本地遗留/单体服务),我希望应用程序能够不是通过 IP 地址而是通过 kube-dns(或Istio 相关的类似)名称。
  3. (与上一个相关)我喜欢 Kubernetes 服务提供的额外抽象层,因此我可以在不更改 EgressRule 的情况下更改底层目标(除非我弄错了,这不是构建它的正确方法)。EgressRule 是否旨在完全替换 Kubernetes 服务以处理外部流量,而不创建额外的 Kubernetes 服务?

在应用程序代码中使用https://不是一个选项,因为这样请求将不得不禁用 TLS 验证,因为 kube-dns 名称与证书上的任何名称都不匹配。它也不会被观察到。

如果我使用以下 EgressRule(没有任何 Kubernetes 服务),通过访问 Google 可以http://www.google.com:443正常工作,获得我期望的准确 html 表示:

apiVersion: config.istio.io/v1alpha2
kind: EgressRule
metadata:
  name: google-egress-rule
spec:
  destination:
    service: www.google.com
  ports:
    - port: 443
      protocol: https

我看到有一个 TCP EgressRule,但我宁愿不必为每个 IP 块指定规则。从TCP 出口:“在 TCP 出口规则中,与基于 HTTP 的出口规则相反,目的地由 IP 或 CIDR 表示法中的 IP 块指定。”。

此外,我仍然希望来自 L7 而不是 L4 的基于 HTTP 的可观察性,所以我更喜欢基于 HTTP 的出口。(使用 TCP Egresses,“应用程序产生的 HTTPS 流量将被 Istio 视为不透明的 TCP”)。

任何帮助将 Kubernetes 服务作为 EgressRule 的“目标服务”(或帮助理解为什么在这种情况下这不是必需的)都值得赞赏。谢谢!

4

1 回答 1

1

解决方案是:

  1. 定义一个 Kubernetes ExternalName 服务指向 www.google.com
  2. 不要定义任何 EgressRules
  3. 创建一个 RouteRule 来设置 Host 标头。

在您的情况下,使用端口和协议定义一个 ExternalName 服务:

kind: Service
apiVersion: v1
metadata:
  name: ext-service
spec:
  type: ExternalName
  externalName: www.google.com
   ports:
   - port: 80
   # important to set protocol name
   name: http
---

定义一个 HTTP 重写路由规则来设置 Host 头:

apiVersion: config.istio.io/v1alpha2
kind: RouteRule
metadata:
  name: externalgoogle-rewrite-rule
  #namespace: default
spec:
  destination:
    name: ext-service
  rewrite:
    authority: www.google.com
---

然后使用 访问它curl,例如:curl ext-service

如果没有路由规则,请求将到达 google.com,Host 标头为ext-service. 由于 google.com 没有这样的虚拟主机,因此 Web 服务器不知道将此类请求转发到何处。这是你所经历的:

它把我带到了谷歌的 404 页面

于 2018-03-14T03:22:10.543 回答