在谷歌云 Endpoints 服务中安装 Istio
这篇文档展示了如何手动整合 Istio 和现有的谷歌云 Endpoints 服务。
开始之前
如果你没有一个端点服务,但是想尝试它,你可以按照这个指令在 GKE 中创建一个 Endpoints 服务。你可以用下面的命令测试服务。
$ curl --request POST --header "content-type:application/json" --data '{"message":"hello world"}' "http://${EXTERNAL_IP}:80/echo?key=${ENDPOINTS_KEY}"
在 GKE 中安装 Istio,参考在 Google Kubernetes Engine 中快速开始。
HTTP Endpoints 服务
使用
—includeIPRanges
将服务注入到网格中,通过该指令允许出口直接调用外部服务。否则,ESP 将无法接受谷歌云的控制。注入后,发出上面提到的测试命令确保调用 ESP 继续工作。
如果你想通过 Ingress 访问服务,以下是创建 Ingress 的定义:
$ kubectl apply -f - <<EOF
apiVersion: extensions/v1beta1
kind: Ingress
metadata:
name: simple-ingress
annotations:
kubernetes.io/ingress.class: istio
spec:
rules:
- http:
paths:
- path: /echo
backend:
serviceName: esp-echo
servicePort: 80
EOF
- 通过指令获取 Ingress IP 和端口。你可以通过 Ingress 验证 Endpoints 服务:
$ curl --request POST --header "content-type:application/json" --data '{"message":"hello world"}' "http://${INGRESS_HOST}:${INGRESS_PORT}/echo?key=${ENDPOINTS_KEY}"i
使用安全的 Ingress HTTPS Endpoints 服务
安全地访问一个网格 Endpoints 服务推荐的方式是通过配置了双向 TLS 认证的 ingress。
- 在你的网格服务中导出 HTTP 端口。在 ESP 部署参数中添加
"—http_port=8081"
导出 HTTP 端口:
- port: 80
targetPort: 8081
protocol: TCP
name: http
- 通过下面的命令在 Istio 中打开 TLS 双向认证:
$ kubectl edit cm istio -n istio-system
并且取消注释:
authPolicy: MUTUAL_TLS
在此之后,你会发现访问
EXTERNAL_IP
不再生效, 因为 Istio 代理仅接受安全网格链接。通过 Ingress 访问有效是因为 Ingress 使 HTTP 终止。安全访问 Ingress,查看相关说明。
你可以通过安全的 Ingress 访问 Endpoints 服务来验证:
$ curl --request POST --header "content-type:application/json" --data '{"message":"hello world"}' "https://${INGRESS_HOST}/echo?key=${ENDPOINTS_KEY}" -k
在 HTTPS Endpoints 服务中使用 LoadBalancer EXTERNAL_IP
这个方案使用 Istio 代理绕过 TCP。通过 ESP 的流量是安全的。这不是推荐的方法。
- 将 HTTP port 的名字更新为
tcp
- port: 80
targetPort: 8081
protocol: TCP
name: tcp
更新网格服务部署。请参阅 Pods 和 Services 要求中端口命名的规则。
你可以通过安全的 Ingress 访问 Endpoints 服务来验证:
$ curl --request POST --header "content-type:application/json" --data '{"message":"hello world"}' "https://${EXTERNAL_IP}/echo?key=${ENDPOINTS_KEY}" -k