apiVersion: networking.istio.io/v1alpha3
kind: Gateway
metadata:
name: ext-host-gwy
spec:
selector:
istio: ingressgateway # use istio default controller
servers:
- port:
number: 443
name: https
protocol: HTTPS
hosts:
- ext-host.example.com
tls:
mode: SIMPLE
serverCertificate: /tmp/tls.crt
privateKey: /tmp/tls.key
×
管理服务网格中的流量
使用 Red Hat OpenShift 服务网格,您可以控制服务之间流量和 API 调用的流程。服务网格中的一些服务可能需要在网格内通信,而其他服务可能需要隐藏。您可以管理流量以隐藏特定的后端服务、公开服务、创建测试或版本部署,或在一组服务上添加安全层。
使用网关
您可以使用网关来管理网格的入站和出站流量,以指定要进入或离开网格的流量。网关配置应用于在网格边缘运行的独立 Envoy 代理,而不是与服务工作负载一起运行的 Sidecar Envoy 代理。
与其他控制进入系统的流量的机制(例如 Kubernetes Ingress API)不同,Red Hat OpenShift 服务网格网关使用流量路由的全部功能和灵活性。
Red Hat OpenShift 服务网格网关资源可以使用第 4-6 层负载均衡属性(例如端口)来公开和配置 Red Hat OpenShift 服务网格 TLS 设置。您可以将常规 Red Hat OpenShift 服务网格虚拟服务绑定到网关,并像管理服务网格中的任何其他数据平面流量一样管理网关流量,而不是将应用程序层流量路由 (L7) 添加到同一 API 资源。
网关主要用于管理入口流量,但您也可以配置出口网关。出口网关允许您为离开网格的流量配置专用出口节点。这使您可以限制哪些服务可以访问外部网络,从而为您的服务网格添加安全控制。您也可以使用网关配置纯内部代理。
网关示例
网关资源描述在网格边缘运行的负载均衡器,接收传入或传出的 HTTP/TCP 连接。规范描述了一组应公开的端口、要使用的协议类型、负载均衡器的 SNI 配置等等。
以下示例显示了外部 HTTPS 入口流量的样本网关配置
此网关配置允许来自 `ext-host.example.com` 的 HTTPS 流量在端口 443 上进入网格,但不指定任何流量路由。
要指定路由并使网关按预期工作,您还必须将网关绑定到虚拟服务。您可以使用虚拟服务的 gateways 字段来执行此操作,如下例所示
apiVersion: networking.istio.io/v1alpha3
kind: VirtualService
metadata:
name: virtual-svc
spec:
hosts:
- ext-host.example.com
gateways:
- ext-host-gwy然后,您可以使用路由规则配置虚拟服务的外部流量。
管理入口流量
在 Red Hat OpenShift 服务网格中,入口网关使监控、安全和路由规则等功能能够应用于进入集群的流量。使用服务网格网关来公开服务网格外部的服务。
确定入口 IP 和端口
入口配置取决于您的环境是否支持外部负载均衡器。外部负载均衡器会在集群的入口 IP 和端口中设置。要确定集群的 IP 和端口是否配置了外部负载均衡器,请运行以下命令。在此示例中,istio-system 是服务网格控制平面项目的名称。
$ oc get svc istio-ingressgateway -n istio-system该命令将返回命名空间中每个项目的名称、类型、集群IP、外部IP、端口和年龄。
如果设置了EXTERNAL-IP值,则您的环境具有可用于入口网关的外部负载均衡器。
如果EXTERNAL-IP值为<none>或持续为<pending>,则您的环境不为入口网关提供外部负载均衡器。
使用负载均衡器确定入口端口
如果您的环境具有外部负载均衡器,请按照以下说明操作。
步骤
-
运行以下命令设置入口 IP 和端口。此命令将在您的终端中设置一个变量。
$ export INGRESS_HOST=$(oc -n istio-system get service istio-ingressgateway -o jsonpath='{.status.loadBalancer.ingress[0].ip}') -
运行以下命令设置入口端口。
$ export INGRESS_PORT=$(oc -n istio-system get service istio-ingressgateway -o jsonpath='{.spec.ports[?(@.name=="http2")].port}') -
运行以下命令设置安全入口端口。
$ export SECURE_INGRESS_PORT=$(oc -n istio-system get service istio-ingressgateway -o jsonpath='{.spec.ports[?(@.name=="https")].port}') -
运行以下命令设置 TCP 入口端口。
$ export TCP_INGRESS_PORT=$(kubectl -n istio-system get service istio-ingressgateway -o jsonpath='{.spec.ports[?(@.name=="tcp")].port}')
|
在某些环境中,负载均衡器可以使用主机名而不是 IP 地址公开。在这种情况下,入口网关的 在这种情况下,请使用以下命令更正 |
$ export INGRESS_HOST=$(oc -n istio-system get service istio-ingressgateway -o jsonpath='{.status.loadBalancer.ingress[0].hostname}')在没有负载均衡器的情况下确定入口端口
如果您的环境没有外部负载均衡器,请确定入口端口并改用节点端口。
步骤
-
设置入口端口。
$ export INGRESS_PORT=$(oc -n istio-system get service istio-ingressgateway -o jsonpath='{.spec.ports[?(@.name=="http2")].nodePort}') -
运行以下命令设置安全入口端口。
$ export SECURE_INGRESS_PORT=$(oc -n istio-system get service istio-ingressgateway -o jsonpath='{.spec.ports[?(@.name=="https")].nodePort}') -
运行以下命令设置 TCP 入口端口。
$ export TCP_INGRESS_PORT=$(kubectl -n istio-system get service istio-ingressgateway -o jsonpath='{.spec.ports[?(@.name=="tcp")].nodePort}')
配置入口网关
入口网关是在网格边缘运行的负载均衡器,它接收传入的 HTTP/TCP 连接。它配置公开的端口和协议,但不包含任何流量路由配置。入口流量的流量路由与内部服务请求的流量路由方式相同,都是使用路由规则配置的。
以下步骤演示如何创建一个网关并配置一个VirtualService,以将Bookinfo示例应用程序中的服务公开给外部流量,路径为/productpage和/login。
步骤
-
创建一个网关来接受流量。
-
创建一个YAML文件,并将以下YAML复制到其中。
网关示例 gateway.yamlapiVersion: networking.istio.io/v1alpha3 kind: Gateway metadata: name: bookinfo-gateway spec: selector: istio: ingressgateway servers: - port: number: 80 name: http protocol: HTTP hosts: - "*" -
应用YAML文件。
$ oc apply -f gateway.yaml
-
-
创建一个
VirtualService对象来重写主机头。-
创建一个YAML文件,并将以下YAML复制到其中。
虚拟服务示例apiVersion: networking.istio.io/v1alpha3 kind: VirtualService metadata: name: bookinfo spec: hosts: - "*" gateways: - bookinfo-gateway http: - match: - uri: exact: /productpage - uri: prefix: /static - uri: exact: /login - uri: exact: /logout - uri: prefix: /api/v1/products route: - destination: host: productpage port: number: 9080 -
应用YAML文件。
$ oc apply -f vs.yaml
-
-
测试网关和VirtualService是否已正确设置。
-
设置网关URL。
export GATEWAY_URL=$(oc -n istio-system get route istio-ingressgateway -o jsonpath='{.spec.host}') -
设置端口号。在此示例中,
istio-system是服务网格控制平面项目的名称。export TARGET_PORT=$(oc -n istio-system get route istio-ingressgateway -o jsonpath='{.spec.port.targetPort}') -
测试已明确公开的页面。
curl -s -I "$GATEWAY_URL/productpage"预期结果为
200。
-
了解自动路由
|
Istio OpenShift 路由 (IOR) 是一个已弃用的功能。OpenShift Dedicated 中仍然包含已弃用的功能,并将继续受到支持;但是,它将在该产品的未来版本中删除,不建议用于新部署。 有关 OpenShift Dedicated 中已弃用或删除的主要功能的最新列表,请参阅 OpenShift Dedicated 发行说明中的“已弃用和删除的功能”部分。 |
服务网格中会自动管理网关的 OpenShift 路由。每当在服务网格内创建、更新或删除 Istio 网关时,都会创建、更新或删除 OpenShift 路由。
|
从 Service Mesh 2.5 开始,默认情况下,对于 |
带有子域的路由
Red Hat OpenShift Service Mesh 会创建带有子域的路由,但必须配置 OpenShift Dedicated 才能启用它。子域(例如*.domain.com)受支持,但不是默认设置。在配置通配符主机网关之前,请配置 OpenShift Dedicated 通配符策略。
创建子域路由
以下示例在 Bookinfo 示例应用程序中创建网关,这将创建子域路由。
apiVersion: networking.istio.io/v1alpha3
kind: Gateway
metadata:
name: gateway1
spec:
selector:
istio: ingressgateway
servers:
- port:
number: 80
name: http
protocol: HTTP
hosts:
- www.bookinfo.com
- bookinfo.example.comGateway 资源将创建以下 OpenShift 路由。您可以使用以下命令检查路由是否已创建。在此示例中,istio-system 是服务网格控制平面项目的名称。
$ oc -n istio-system get routes预期输出
NAME HOST/PORT PATH SERVICES PORT TERMINATION WILDCARD
gateway1-lvlfn bookinfo.example.com istio-ingressgateway <all> None
gateway1-scqhv www.bookinfo.com istio-ingressgateway <all> None如果删除网关,Red Hat OpenShift Service Mesh 将删除路由。但是,Red Hat OpenShift Service Mesh 永远不会修改手动创建的路由。
路由标签和注释
有时 OpenShift 路由需要特定的标签或注释。
对于这种情况和其他用例,Red Hat OpenShift Service Mesh 将将 Istio 网关资源中存在的所有标签和注释(以kubectl.kubernetes.io开头的注释除外)复制到托管的 OpenShift 路由资源中。
如果 OpenShift 路由需要 Service Mesh 创建的特定标签或注释,请在 Istio 网关资源中创建它们,它们将被复制到 Service Mesh 管理的 OpenShift 路由资源中。
禁用自动路由创建
默认情况下,ServiceMeshControlPlane 资源会自动将 Istio 网关资源与 OpenShift 路由同步。禁用自动路由创建可以让您更灵活地控制路由,如果您有特殊情况或更喜欢手动控制路由。
为特定情况禁用自动路由创建
如果要为特定 Istio 网关禁用 OpenShift 路由的自动管理,则必须将注释maistra.io/manageRoute: false添加到网关元数据定义中。Red Hat OpenShift Service Mesh 将忽略具有此注释的 Istio 网关,同时保持其他 Istio 网关的自动管理。
为所有情况禁用自动路由创建
您可以禁用网格中所有网关的 OpenShift 路由的自动管理。
通过将ServiceMeshControlPlane字段gateways.openshiftRoute.enabled设置为false来禁用 Istio 网关和 OpenShift 路由之间的集成。例如,请参阅以下资源片段。
apiVersion: maistra.io/v1alpha1
kind: ServiceMeshControlPlane
metadata:
namespace: istio-system
spec:
gateways:
openshiftRoute:
enabled: false了解服务条目
服务条目会在 Red Hat OpenShift Service Mesh 在内部维护的服务注册表中添加一个条目。添加服务条目后,Envoy 代理会将流量发送到该服务,就好像它是网格中的服务一样。服务条目允许您执行以下操作
-
管理在服务网格外部运行的服务的流量。
-
重定向和转发外部目标(例如,从 Web 消费的 API)或传统基础设施中服务的流量。
-
为外部目标定义重试、超时和故障注入策略。
-
通过将虚拟机 (VM) 添加到您的服务网格中,在虚拟机 (VM) 中运行服务网格。
|
将来自不同集群的服务添加到服务网格中,以在 Kubernetes 上配置多集群 Red Hat OpenShift Service Mesh 服务网格。 |
服务条目示例
以下示例是一个网格外部服务条目,它将ext-resource外部依赖项添加到 Red Hat OpenShift Service Mesh 服务注册表。
apiVersion: networking.istio.io/v1alpha3
kind: ServiceEntry
metadata:
name: svc-entry
spec:
hosts:
- ext-svc.example.com
ports:
- number: 443
name: https
protocol: HTTPS
location: MESH_EXTERNAL
resolution: DNS使用hosts字段指定外部资源。您可以完全限定它,也可以使用通配符前缀域名。
您可以配置虚拟服务和目标规则来控制服务条目的流量,方法与配置网格中任何其他服务的流量相同。例如,以下目标规则配置流量路由以使用双向 TLS 来保护与使用服务条目配置的ext-svc.example.com外部服务的连接。
apiVersion: networking.istio.io/v1alpha3
kind: DestinationRule
metadata:
name: ext-res-dr
spec:
host: ext-svc.example.com
trafficPolicy:
tls:
mode: MUTUAL
clientCertificate: /etc/certs/myclientcert.pem
privateKey: /etc/certs/client_private_key.pem
caCertificates: /etc/certs/rootcacerts.pem使用 VirtualServices
您可以通过 Red Hat OpenShift Service Mesh 使用虚拟服务动态地将请求路由到微服务的多个版本。使用虚拟服务,您可以:
-
通过单个虚拟服务处理多个应用程序服务。例如,如果您的服务网格使用 Kubernetes,您可以配置虚拟服务来处理特定命名空间中的所有服务。虚拟服务使您可以将单体应用程序转换为由具有无缝用户体验的不同微服务组成的服务。
-
结合网关配置流量规则以控制入口和出口流量。
配置 VirtualServices
请求通过虚拟服务路由到服务网格内的服务。每个虚拟服务都包含一组按顺序评估的路由规则。Red Hat OpenShift Service Mesh 将每个给定的请求与虚拟服务匹配到网格内的特定实际目标。
如果没有虚拟服务,Red Hat OpenShift Service Mesh 将使用最少请求负载均衡在所有服务实例之间分配流量。使用虚拟服务,您可以为一个或多个主机名指定流量行为。虚拟服务中的路由规则告诉 Red Hat OpenShift Service Mesh 如何将虚拟服务的流量发送到相应的目标。路由目标可以是同一服务的不同版本,也可以是完全不同的服务。
步骤
-
使用以下示例创建一个 YAML 文件,以根据连接到应用程序的用户来将请求路由到 Bookinfo 示例应用程序服务的不同版本。
VirtualService.yaml 示例apiVersion: networking.istio.io/v1alpha3 kind: VirtualService metadata: name: reviews spec: hosts: - reviews http: - match: - headers: end-user: exact: jason route: - destination: host: reviews subset: v2 - route: - destination: host: reviews subset: v3 -
运行以下命令以应用
VirtualService.yaml,其中VirtualService.yaml是文件的路径。$ oc apply -f <VirtualService.yaml>
VirtualService 配置参考
| 参数 | 描述 |
|---|---|
spec: hosts: |
|
spec: http: - match: |
|
spec:
http:
- match:
- destination: |
路由部分中的 |
理解目标规则
目标规则在评估虚拟服务路由规则后应用,因此它们适用于流量的实际目标。虚拟服务将流量路由到目标。目标规则配置该目标处发生的流量。
默认情况下,Red Hat OpenShift Service Mesh 使用最少请求负载均衡策略,其中活动连接最少的池中的服务实例接收请求。Red Hat OpenShift Service Mesh 还支持以下模型,您可以在目标规则中为特定服务或服务子集的请求指定这些模型。
-
随机:请求随机转发到池中的实例。
-
加权:根据特定百分比将请求转发到池中的实例。
-
最少请求:请求转发到请求最少的实例。
目标规则示例
以下目标规则示例为my-svc目标服务配置了三个不同的子集,并具有不同的负载均衡策略。
apiVersion: networking.istio.io/v1alpha3
kind: DestinationRule
metadata:
name: my-destination-rule
spec:
host: my-svc
trafficPolicy:
loadBalancer:
simple: RANDOM
subsets:
- name: v1
labels:
version: v1
- name: v2
labels:
version: v2
trafficPolicy:
loadBalancer:
simple: ROUND_ROBIN
- name: v3
labels:
version: v3理解网络策略
Red Hat OpenShift Service Mesh 会自动在服务网格控制平面和应用程序命名空间中创建和管理多个NetworkPolicies资源。这是为了确保应用程序和控制平面可以相互通信。
例如,如果您已将 OpenShift Dedicated 集群配置为使用 SDN 插件,Red Hat OpenShift Service Mesh 将在每个成员项目中创建一个NetworkPolicy资源。这允许从其他网格成员和控制平面到网格中所有 Pod 的入口流量。这也将入口流量限制为仅成员项目。如果您需要来自非成员项目的入口流量,则需要创建一个NetworkPolicy以允许该流量通过。如果您从服务网格中删除命名空间,则此NetworkPolicy资源将从项目中删除。
禁用自动 NetworkPolicy 创建
如果您想禁用NetworkPolicy资源的自动创建和管理,例如为了执行公司安全策略或允许直接访问网格中的 Pod,您可以这样做。您可以编辑ServiceMeshControlPlane并将spec.security.manageNetworkPolicy设置为false。
|
禁用 |
先决条件
-
已安装 Red Hat OpenShift Service Mesh Operator 版本 2.1.1 或更高版本。
-
ServiceMeshControlPlane资源已更新到 2.1 或更高版本。
步骤
-
在 OpenShift Dedicated Web 控制台中,单击**运算符**→**已安装的运算符**。
-
从**项目**菜单中选择您安装服务网格控制平面的项目,例如
istio-system。 -
单击 Red Hat OpenShift Service Mesh Operator。在**Istio 服务网格控制平面**列中,单击您的
ServiceMeshControlPlane的名称,例如basic-install。 -
在**创建 ServiceMeshControlPlane 详情**页面上,单击
YAML以修改您的配置。 -
将
ServiceMeshControlPlane字段spec.security.manageNetworkPolicy设置为false,如本例所示。apiVersion: maistra.io/v2 kind: ServiceMeshControlPlane spec: security: manageNetworkPolicy: false -
单击**保存**。
配置 sidecar 以进行流量管理
默认情况下,Red Hat OpenShift Service Mesh 会配置每个 Envoy 代理以接受与其关联工作负载的所有端口上的流量,并在转发流量时到达网格中的每个工作负载。您可以使用 sidecar 配置来执行以下操作:
-
微调 Envoy 代理接受的端口和协议集。
-
限制 Envoy 代理可以访问的服务集。
|
为了优化服务网格的性能,请考虑限制 Envoy 代理配置。 |
在 Bookinfo 示例应用程序中,配置一个 Sidecar,以便所有服务都可以访问在同一命名空间和控制平面中运行的其他服务。此 Sidecar 配置是使用 Red Hat OpenShift Service Mesh 策略和遥测功能所必需的。
步骤
-
使用以下示例创建一个 YAML 文件,以指定要将 sidecar 配置应用于特定命名空间中的所有工作负载。否则,请使用
workloadSelector选择特定工作负载。示例 sidecar.yamlapiVersion: networking.istio.io/v1alpha3 kind: Sidecar metadata: name: default namespace: bookinfo spec: egress: - hosts: - "./*" - "istio-system/*" -
运行以下命令应用
sidecar.yaml,其中sidecar.yaml是文件的路径。$ oc apply -f sidecar.yaml -
运行以下命令验证 sidecar 是否已成功创建。
$ oc get sidecar
路由教程
本指南参考 Bookinfo 示例应用程序,提供示例应用程序中路由的示例。安装Bookinfo 应用程序以了解这些路由示例的工作原理。
Bookinfo 路由教程
Service Mesh Bookinfo 示例应用程序由四个单独的微服务组成,每个微服务都有多个版本。安装 Bookinfo 示例应用程序后,reviews 微服务的三个不同版本会同时运行。
当您在浏览器中访问 Bookinfo 应用程序的/product页面并刷新几次时,有时图书评论输出包含星级评定,有时则不包含。如果没有显式指定要路由到的默认服务版本,Service Mesh 会依次将请求路由到所有可用版本。
本教程将帮助您应用将所有流量路由到微服务的v1(版本 1)的规则。稍后,您可以应用一个规则来根据 HTTP 请求头的值路由流量。
先决条件
-
部署 Bookinfo 示例应用程序以使用以下示例。
应用虚拟服务
在以下步骤中,虚拟服务通过应用设置微服务默认版本的虚拟服务,将所有流量路由到每个微服务的v1。
步骤
-
应用虚拟服务。
$ oc apply -f https://raw.githubusercontent.com/Maistra/istio/maistra-2.6/samples/bookinfo/networking/virtual-service-all-v1.yaml -
要验证您是否已应用虚拟服务,请使用以下命令显示已定义的路由:
$ oc get virtualservices -o yaml该命令将返回
kind: VirtualService的 YAML 格式资源。
您已将 Service Mesh 配置为路由到 Bookinfo 微服务的v1版本,包括reviews服务的版本 1。
测试新的路由配置
通过刷新 Bookinfo 应用程序的/productpage来测试新配置。
步骤
-
设置
GATEWAY_URL参数的值。您可以使用此变量来查找 Bookinfo 产品页面的 URL。在此示例中,istio-system 是控制平面项目的名称。export GATEWAY_URL=$(oc -n istio-system get route istio-ingressgateway -o jsonpath='{.spec.host}') -
运行以下命令以检索产品页面的 URL。
echo "http://$GATEWAY_URL/productpage" -
在浏览器中打开 Bookinfo 站点。
无论您刷新多少次,页面的评论部分都不会显示星级评定。这是因为您已将 Service Mesh 配置为将 reviews 服务的所有流量路由到版本reviews:v1,而此服务版本不会访问星级评定服务。
您的服务网格现在将流量路由到服务的某个版本。
基于用户身份的路由
更改路由配置,以便来自特定用户的全部流量都被路由到特定服务版本。在本例中,来自名为jason的用户的所有流量都将被路由到服务reviews:v2。
Service Mesh 没有任何对用户身份的特殊内置理解。此示例之所以能够实现,是因为productpage服务会向对 reviews 服务的所有出站 HTTP 请求添加自定义end-user标头。
步骤
-
运行以下命令以在 Bookinfo 示例应用程序中启用基于用户的路由。
$ oc apply -f https://raw.githubusercontent.com/Maistra/istio/maistra-2.6/samples/bookinfo/networking/virtual-service-reviews-test-v2.yaml -
运行以下命令以确认规则已创建。此命令将返回
kind: VirtualService的所有 YAML 格式资源。$ oc get virtualservice reviews -o yaml -
在 Bookinfo 应用程序的
/productpage上,以无密码的用户jason身份登录。 -
刷新浏览器。每个评论旁边都会显示星级评定。
-
以其他用户身份登录(选择任何您想要的名字)。刷新浏览器。现在星级消失了。现在,除了 Jason 之外的所有用户的流量都将路由到
reviews:v1。
您已成功配置 Bookinfo 示例应用程序以基于用户身份路由流量。