Gateway: istio的一种资源类型,Istio Gateway告诉k8s的istio-ingressgateway pods可以打开哪些主机和端口(如下的80是 ingressgateway pod容器中的端口)
gateway是定义了哪些的hosts可以到达ingress pod。
apiVersion: networking.istio.io/v1alpha3 kind: Gateway metadata: name: galaxygateway spec: selector: istio: ingressgateway servers: - port: number: 80 name: http protocol: HTTP hosts: - "*"
(A) selector:
istio: ingressgateway , 这个label是在ingressgateway的pod中定义的。 用如下命令可以查到
(B) 如下的port 80, 不是指主机的端口,而是ingressgateway 的pod中容器的80端口。
servers:
- port:
number: 80
name: http
protocol: HTTP
(C) hosts:
"*"
这就在Istio的ingress网关上开辟了一个端口,但是只是接受访问和流量输入,当流量到达这个网关时,它还不知道发送到哪里去。
现在我们的网关已准备好接收流量,我们必须告知它将收到的流量发往何处,Istio使用名为“VirtualService”类型配置流量发往何处。
将一个网关列表配置给VirtualService,然后Istio使用VirtualService配置中定义的路由再配置那些网关.
URI路径前缀匹配/env的将发往指定目标.(注意: 如果有多个virtualservice文件,后面的会覆盖前面的,所以要把所有的路由信息都配置到一个virtualservice)
apiVersion: networking.istio.io/v1alpha3 kind: VirtualService metadata: name: flaskapp spec: hosts: - "*" gateways: - galaxygateway http: - match: - uri: prefix: /env route: - destination: host: flaskapp.default.svc.cluster.local # 服务的全限量名称 格式是 服务名.namespace 名称.svc.cluster.local port: number: 80 # 服务对外暴露的端口。
(A)gateways: - galaxygateway
注意: 这里Virtualservice配置的规则针对galaxygateway其作用,而其属于网格外部的流量,对于网格内部流量不起作用,如果也想对网格内部的流量也其作用,这里需要把
mesh也加上。
(B) “*”
如果:A:external-IP有值,说明环境中配置了负载均衡器,可以供ingress gateway使用。
B: external-IP的值是none 或者pending,说明环境汇中没有负载均衡器,这种情况如果想直接访问gateway,就需要使用服务的node port
Kubernetes的三种外部访问方式:NodePort、LoadBalancer和Ingress
$ export INGRESS_PORT=$(kubectl -n istio-system get service istio-ingressgateway -o jsonpath='{.spec.ports[?(@.name=="http2")].nodePort}')
$ export SECURE_INGRESS_PORT=$(kubectl -n istio-system get service istio-ingressgateway -o jsonpath='{.spec.ports[?(@.name=="https")].nodePort}')
NodePort 是31380,这个值可以改,但是范围只能是30000 - 32767。
If routing to your application is required to run on 443/80, your Kubernetes cluster must have an external load balancer deployed.
If one is not present, the traffic will be routed to the ingress node port.
如果你的引用需要在443/80端口上跑,那么k8s集群必须有外部的负载均衡器,或者要使用node port。
如何从外部访问呢:
http://XXXXXXXXXXXXX.com:31380/env/version ()
curl 9.42.18.65:31380/env/version 用IP地址:port的方式访问,从这个来看,相当于L4的负载均衡器。
curl -I -H Host:<域名>.com http://9.42.18.65:31380/env/version # 在header里加上Host 伪装成gateway需要的HOSTS
http://9.42.18.65:31380/env/version # 必须指定ingress service 对外暴露的端口 31380
总结:
我上面的例子中,gateway 可以把指定的URL 告诉 ingress pod处理。 virtualservice对指定URL进行 service 调用
1. Gateway: Istio Gateway是负责打开k8s上相关Istio的pods(pod!pod!pod!)上的端口并接收主机的流量,是接收流量与路由之间的关键链接。
2. VirtualService: Istio VirtualService是“附加”到Gateway上的,并负责定义Gateway应实现的路由。可以将多个VirtualServices连接到Gateway,但不适用于同一个域。