访问外部服务

由于默认情况下,来自 Istio-enable Pod 的所有出站流量都会重定向到其 Sidecar 代理,集群外部 URL 的可访问性取决于代理的配置。默认情况下,Istio 将 Envoy 代理配置为允许传递未知服务的请求。尽管这为入门 Istio 带来了方便,但是,通常情况下, 配置更严格的控制是更可取的。

这个任务向您展示了三种访问外部服务的方法:

  1. 允许 Envoy 代理将请求传递到未在网格内配置过的服务。
  2. 配置 Service Entry 以提供对外部服务的受控访问。
  3. 对于特定范围的 IP,完全绕过 Envoy 代理。

开始之前

  • 根据安装指南中的命令设置 Istio。 使用 demo 安装配置文件或者 启用 Envoy 的访问记录

  • 部署 sleep 这个示例应用,用作发送请求的测试源。 如果您启用了自动注入 Sidecar, 使用以下的命令来部署示例应用:

    Zip
    $ kubectl apply -f @samples/sleep/sleep.yaml@
    

    否则,在部署 sleep 应用前,使用以下命令手动注入 Sidecar:

    Zip
    $ kubectl apply -f <(istioctl kube-inject -f @samples/sleep/sleep.yaml@)
    
  • 设置环境变量 SOURCE_POD,值为您的源 Pod 的名称:

    $ export SOURCE_POD=$(kubectl get pod -l app=sleep -o jsonpath='{.items..metadata.name}')
    

Envoy 转发流量到外部服务

Istio 有一个安装选项global.outboundTrafficPolicy.mode,它配置 Sidecar 对外部服务(那些没有在 Istio 的内部服务注册中定义的服务)的处理方式。如果这个选项设置为 ALLOW_ANY, Istio 代理允许调用未知的服务。如果这个选项设置为 REGISTRY_ONLY,那么 Istio 代理会阻止任何没有在网格中定义的 HTTP 服务或 Service Entry 的主机。ALLOW_ANY 是默认值,不控制对外部服务的访问,方便您快速地评估 Istio。 您可以稍后再配置对外部服务的访问

  1. 要查看这种方法的实际效果,您需要确保 Istio 的安装配置了 meshConfig.outboundTrafficPolicy.mode 选项为 ALLOW_ANY。它在默认情况下是开启的,除非您在安装 Istio 时显式地将它设置为 REGISTRY_ONLY

    如果您不确定,可以运行以下命令来显示您的网格配置:

    $ kubectl get configmap istio -n istio-system -o yaml
    

    除非您看到 meshConfig.outboundTrafficPolicy.mode 的值被显式设置为 REGISTRY_ONLY, 否则您可以确定该选项被设置为 ALLOW_ANY,这是唯一可能的值,也是默认值。

  2. SOURCE_POD 向外部 HTTPS 服务发出两个请求,确保能够得到状态码为 200 的响应:

    $ kubectl exec "$SOURCE_POD" -c sleep -- curl -sSI https://www.google.com | grep  "HTTP/"; kubectl exec "$SOURCE_POD" -c sleep -- curl -sI https://edition.cnn.com | grep "HTTP/"
    HTTP/2 200
    HTTP/2 200
    

恭喜!您已经成功地从网格中发送了出口流量。

这种访问外部服务的简单方法有一个缺点,即丢失了对外部服务流量的 Istio 监控和控制; 比如,外部服务的调用没有记录到 Mixer 的日志中。下一节将介绍如何监控和控制网格对外部服务的访问。

控制对外部服务的访问

使用 Istio ServiceEntry 配置,您可以从 Istio 集群中访问任何公开的服务。 本节将向您展示如何在不丢失 Istio 的流量监控和控制特性的情况下,配置对外部 HTTP 服务(httpbin.org)和外部 HTTPS 服务(www.google.com) 的访问。

更改为默认的封锁策略

为了演示如何控制对外部服务的访问,您需要将 global.outboundTrafficPolicy.mode 选项,从 ALLOW_ANY 模式改为 REGISTRY_ONLY 模式。

  1. 执行以下命令来将 global.outboundTrafficPolicy.mode 选项改为 REGISTRY_ONLY

    如果您使用 IstioOperator CR 安装 Istio,请在配置中添加以下字段:

    spec:
      meshConfig:
        outboundTrafficPolicy:
          mode: REGISTRY_ONLY
    

    否则,将等效设置添加到原始 istioctl install 命令中,例如:

    $ istioctl install <flags-you-used-to-install-Istio> \
                       --set meshConfig.outboundTrafficPolicy.mode=REGISTRY_ONLY
    
  2. SOURCE_POD 向外部 HTTPS 服务发出几个请求,验证它们现在是否被阻止:

    $ kubectl exec "$SOURCE_POD" -c sleep -- curl -sI https://www.google.com | grep  "HTTP/"; kubectl exec "$SOURCE_POD" -c sleep -- curl -sI https://edition.cnn.com | grep "HTTP/"
    command terminated with exit code 35
    command terminated with exit code 35
    

访问一个外部的 HTTP 服务

  1. 创建一个 ServiceEntry,以允许访问一个外部的 HTTP 服务:

    $ kubectl apply -f - <<EOF
    apiVersion: networking.istio.io/v1
    kind: ServiceEntry
    metadata:
      name: httpbin-ext
    spec:
      hosts:
      - httpbin.org
      ports:
      - number: 80
        name: http
        protocol: HTTP
      resolution: DNS
      location: MESH_EXTERNAL
    EOF
    
  2. SOURCE_POD 向外部的 HTTP 服务发出一个请求:

    $ kubectl exec "$SOURCE_POD" -c sleep -- curl -sS http://httpbin.org/headers
    {
      "headers": {
        "Accept": "*/*",
        "Host": "httpbin.org",
        ...
        "X-Envoy-Decorator-Operation": "httpbin.org:80/*",
        ...
      }
    }
    

    注意由 Istio Sidecar 代理添加的头信息:X-Envoy-Decorator-Operation

  3. 检查 SOURCE_POD 的 Sidecar 代理的日志:

    $ kubectl logs "$SOURCE_POD" -c istio-proxy | tail
    [2019-01-24T12:17:11.640Z] "GET /headers HTTP/1.1" 200 - 0 599 214 214 "-" "curl/7.60.0" "17fde8f7-fa62-9b39-8999-302324e6def2" "httpbin.org" "35.173.6.94:80" outbound|80||httpbin.org - 35.173.6.94:80 172.30.109.82:55314 -
    

    注意与 HTTP 请求相关的 httpbin.org/headers

访问外部 HTTPS 服务

  1. 创建一个 ServiceEntry,允许对外部服务的访问。

    $ kubectl apply -f - <<EOF
    apiVersion: networking.istio.io/v1
    kind: ServiceEntry
    metadata:
      name: google
    spec:
      hosts:
      - www.google.com
      ports:
      - number: 443
        name: https
        protocol: HTTPS
      resolution: DNS
      location: MESH_EXTERNAL
    EOF
    
  2. SOURCE_POD 往外部 HTTPS 服务发送请求:

    $ kubectl exec "$SOURCE_POD" -c sleep -- curl -sSI https://www.google.com | grep  "HTTP/"
    HTTP/2 200
    
  3. 检查 SOURCE_POD 的 Sidecar 代理的日志:

    $ kubectl logs "$SOURCE_POD" -c istio-proxy | tail
    [2019-01-24T12:48:54.977Z] "- - -" 0 - 601 17766 1289 - "-" "-" "-" "-" "172.217.161.36:443" outbound|443||www.google.com 172.30.109.82:59480 172.217.161.36:443 172.30.109.82:59478 www.google.com
    

    请注意与您对 www.google.com 的 HTTPS 请求相关的条目。

管理到外部服务的流量

与集群间请求类似,可以为使用 ServiceEntry 配置访问的外部服务设置路由规则。 在本示例中,您将设置对 httpbin.org 服务访问的超时规则。

  1. 从用作测试源的 Pod 内部,向外部服务 httpbin.org/delay endpoint 发出 curl 请求:

    $ kubectl exec "$SOURCE_POD" -c sleep -- time curl -o /dev/null -sS -w "%{http_code}\n" http://httpbin.org/delay/5
    200
    real    0m5.024s
    user    0m0.003s
    sys     0m0.003s
    

    这个请求大约在 5 秒内返回 200 (OK)。

  2. 使用 kubectl 设置调用外部服务 httpbin.org 的超时时间为 3 秒。

$ kubectl apply -f - <<EOF
apiVersion: networking.istio.io/v1
kind: VirtualService
metadata:
  name: httpbin-ext
spec:
  hosts:
  - httpbin.org
  http:
  - timeout: 3s
    route:
    - destination:
        host: httpbin.org
      weight: 100
EOF
  1. 几秒后,重新发出 curl 请求:

    $ kubectl exec "$SOURCE_POD" -c sleep -- time curl -o /dev/null -sS -w "%{http_code}\n" http://httpbin.org/delay/5
    504
    real    0m3.149s
    user    0m0.004s
    sys     0m0.004s
    

    这一次,在 3 秒后出现了 504 (Gateway Timeout)。Istio 在 3 秒后切断了响应时间为 5 秒的 httpbin.org 服务。

清理对外部服务的受控访问

$ kubectl delete serviceentry httpbin-ext google
$ kubectl delete virtualservice httpbin-ext --ignore-not-found=true

直接访问外部服务

如果要让特定范围的 ​​IP 完全绕过 Istio,则可以配置 Envoy Sidecar 以防止它们拦截外部请求。要设置绕过 Istio,请更改 global.proxy.includeIPRangesglobal.proxy.excludeIPRanges 配置参数, 并使用 kubectl apply 命令更新 istio-sidecar-injector 配置。 也可以通过设置相应的注解)在 Pod 上进行配置, 例如 traffic.sidecar.istio.io / includeOutboundIPRangesistio-sidecar-injector 配置的更新,影响的是新部署应用的 Pod。

排除所有外部 IP 重定向到 Sidecar 代理的一种简单方法是将 global.proxy.includeIPRanges 配置选项设置为内部集群服务使用的 IP 范围。这些 IP 范围值取决于集群所在的平台。

确定平台内部的 IP 范围

根据您的集群的提供者,设置参数 global.proxy.includeIPRanges

IBM Cloud Private

  1. IBM Cloud Private 的配置文件 cluster/config.yaml 中获取您的 service_cluster_ip_range

    $ grep service_cluster_ip_range cluster/config.yaml
    

    以下是输出示例:

    service_cluster_ip_range: 10.0.0.1/24
    
  2. 使用 --set global.proxy.includeIPRanges="10.0.0.1/24"

IBM Cloud Kubernetes Service

若要查看集群中使用了哪个 CIDR,可以使用 ibmcloud ks cluster get -c <CLUSTER-NAME> 并查看 Service Subnet

$ ibmcloud ks cluster get -c my-cluster | grep "Service Subnet"
Service Subnet:                 172.21.0.0/16

然后使用 --set values.global.proxy.includeIPRanges="172.21.0.0/16"

Google Kubernetes Engine (GKE)

范围是不固定的,您需要运行 gcloud container clusters describe 命令来确定要使用的范围。 举个例子:

$ gcloud container clusters describe XXXXXXX --zone=XXXXXX | grep -e clusterIpv4Cidr -e servicesIpv4Cidr
clusterIpv4Cidr: 10.4.0.0/14
servicesIpv4Cidr: 10.7.240.0/20

使用 --set global.proxy.includeIPRanges="10.4.0.0/14\,10.7.240.0/20"

Azure Kubernetes Service (AKS)

Kubenet

想要查看集群中使用了哪些 Service CIDR 和 Pod CIDR, 请使用 az aks show 并查找 serviceCidr

$ az aks show --resource-group "${RESOURCE_GROUP}" --name "${CLUSTER}" | grep Cidr
    "podCidr": "10.244.0.0/16",
    "podCidrs": [
    "serviceCidr": "10.0.0.0/16",
    "serviceCidrs": [

然后使用 --set values.global.proxy.includeIPRanges="10.244.0.0/16\,10.0.0.0/16"

Azure CNI

如果将 Azure CNI 与非覆盖网络模式结合使用,请按照以下步骤操作。 如果将 Azure CNI 与覆盖网络结合使用,请遵循 Kubenet 说明。 有关详细信息,请参阅 Azure CNI Overlay 文档

想要查看集群中使用了哪个 Service CIDR, 请使用 az aks show 并查找 serviceCidr

$ az aks show --resource-group "${RESOURCE_GROUP}" --name "${CLUSTER}" | grep serviceCidr
    "serviceCidr": "10.0.0.0/16",
    "serviceCidrs": [

想要查看集群中使用了哪个 Pod CIDR,请使用 az CLI 检查 vnet

$ az aks show --resource-group "${RESOURCE_GROUP}" --name "${CLUSTER}" | grep nodeResourceGroup
  "nodeResourceGroup": "MC_user-rg_user-cluster_region",
  "nodeResourceGroupProfile": null,
$ az network vnet list -g MC_user-rg_user-cluster_region | grep name
    "name": "aks-vnet-74242220",
        "name": "aks-subnet",
$ az network vnet show -g MC_user-rg_user-cluster_region -n aks-vnet-74242220 | grep addressPrefix
    "addressPrefixes": [
      "addressPrefix": "10.224.0.0/16",

然后使用 --set values.global.proxy.includeIPRanges="10.244.0.0/16\,10.0.0.0/16"

Minikube, Docker For Desktop, Bare Metal

默认值为 10.96.0.0/12,但不是固定的。使用以下命令确定您的实际值:

$ kubectl describe pod kube-apiserver -n kube-system | grep 'service-cluster-ip-range'
      --service-cluster-ip-range=10.96.0.0/12

使用 --set global.proxy.includeIPRanges="10.96.0.0/12"

配置代理绕行

使用平台的 IP 范围更新 istio-sidecar-injector 的配置。比如,如果 IP 范围是 10.0.0.1/24,则使用以下命令:

$ istioctl install <flags-you-used-to-install-Istio> --set values.global.proxy.includeIPRanges="10.0.0.1/24"

安装 Istio 命令的基础上增加 --set values.global.proxy.includeIPRanges="10.0.0.1/24"

访问外部服务

由于绕行配置仅影响新的部署,因此您需要按照开始之前部分中的说明重新部署 sleep 程序。

在更新 istio-sidecar-injector configmap 和重新部署 sleep 程序后, Istio Sidecar 将仅拦截和管理集群中的内部请求。任何外部请求都会绕过 Sidecar, 并直接到达其预期的目的地。举个例子:

$ kubectl exec "$SOURCE_POD" -c sleep -- curl -sS http://httpbin.org/headers
{
  "headers": {
    "Accept": "*/*",
    "Host": "httpbin.org",
    ...
  }
}

与通过 HTTP 和 HTTPS 访问外部服务不同,您不会看到任何与 Istio Sidecar 有关的请求头, 并且发送到外部服务的请求既不会出现在 Sidecar 的日志中,也不会出现在 Mixer 日志中。 绕过 Istio Sidecar 意味着您不能再监视对外部服务的访问。

清除对外部服务的直接访问

更新配置,以针对各种 IP 停止绕过 Sidecar 代理:

$ istioctl install <flags-you-used-to-install-Istio>

理解原理

在此任务中,您研究了从 Istio 网格调用外部服务的三种方法:

  1. 配置 Envoy 以允许访问任何外部服务。

  2. 使用 Service Entry 将一个可访问的外部服务注册到网格中。这是推荐的方法。

  3. 配置 Istio Sidecar 以从其重新映射的 IP 表中排除外部 IP。

第一种方法通过 Istio Sidecar 代理来引导流量,包括对网格内部未知服务的调用。使用这种方法时, 您将无法监控对外部服务的访问或无法利用 Istio 的流量控制功能。 要轻松为特定的服务切换到第二种方法,只需为那些外部服务创建 Service Entry 即可。 此过程使您可以先访问任何外部服务,然后再根据需要决定是否启用控制访问、流量监控、流量控制等功能。

第二种方法可以让您使用 Istio 服务网格所有的功能区调用集群内或集群外的服务。 在此任务中,您学习了如何监控对外部服务的访问并设置对外部服务的调用的超时规则。

第三种方法绕过了 Istio Sidecar 代理,使您的服务可以直接访问任意的外部服务。 但是,以这种方式配置代理需要了解集群提供商相关知识和配置。 与第一种方法类似,您也将失去对外部服务访问的监控,并且无法将 Istio 功能应用于外部服务的流量。

安全说明

为了以更安全的方式实施出口流量控制,您必须通过 Egress 网关引导出口流量, 并查看其他安全注意事项部分中描述的安全问题。

清理

关闭服务 sleep

Zip
$ kubectl delete -f @samples/sleep/sleep.yaml@
这些信息有用吗?
您是否有更多建议和改进意见?

感谢您的反馈!