Istio Gateway网关

Istio Ingress Gateway

Istio 服务网格中的网关

使用网关为网格来管理入站和出站流量，可以让用户指定要进入或离开网格的流量。

使用网关为网格来管理入站和出站流量，可以让用户指定要进入或离开网格的流量。

网关配置被用于运行在网格内独立 Envoy 代理中，而不是服务工作负载的应用 Sidecar 代理。

Gateway 用于为 HTTP / TCP 流量配置负载均衡器，并不管该负载均衡器将在哪里运行。网格中可以存在任意数量的 Gateway，并且多个不同的 Gateway 实现可以共存。实际上，通过在配置中指定一组工作负载（Pod）标签，可以将 Gateway 配置绑定到特定的工作负载，从而允许用户通过编写简单的 Gateway Controller 来重用现成的网络设备。

Gateway 只用于配置 L4-L6 功能（例如，对外公开的端口，TLS 配置），所有主流的 L7 代理均以统一的方式实现了这些功能。然后，通过在 Gateway 上绑定 VirtualService 的方式，可以使用标准的 Istio 规则来控制进入 Gateway 的 HTTP 和 TCP 流量。

例如，下面这个简单的 Gateway 配置了一个 Load Balancer，以允许访问 host bookinfo.com 的 https 外部流量进入网格中：

apiVersion: networking.istio.io/v1alpha3
kind: Gateway
metadata:
  name: bookinfo-gateway
spec:
  selector:
    app: my-ingress-gateway
  servers:
  - port:
      number: 443
      name: https
      protocol: HTTPS
    hosts:
    - bookinfo.com
    tls:
      mode: SIMPLE
      serverCertificate: /tmp/tls.crt
      privateKey: /tmp/tls.key

要为进入上面的 Gateway 的流量配置相应的路由，必须为同一个 host 定义一个 VirtualService（在下一节中描述），并使用配置中的 gateways 字段绑定到前面定义的 Gateway 上：

apiVersion: networking.istio.io/v1alpha3
kind: VirtualService
metadata:
  name: bookinfo
spec:
  hosts:
    - bookinfo.com
  gateways:
  - bookinfo-gateway # <---- bind to gateway
    http:
  - match:
    - uri:
        prefix: /reviews
    route:
    ...

然后就可以为出口流量配置带有路由规则的虚拟服务。

Gateway 配置信息

Field	Type	Description	Required
servers	Server[]	开放的服务列表	是
selector	map	通过这个Label来找到执行 Gateway 规则的 Envoy	是

Server 配置信息

Field	Type	Description	Required
port	Port	服务对外监听的端口	是
hosts	string[]	Gateway 发布的服务地址，是一个 FQDN 域名，可以支持左侧通配符来进行模糊查询	是
tls	TLSOptions	TLS安全配置	否
defaultEndpoint	string	默认情况下，应将流量转发到的环回IP端点或Unix域套接字	否

Port 配置信息

Field	Type	Description	Required
number	uint32	一个有效的端口号	是
protocol	string	所使用的协议，支持HTTP|HTTPS|GRPC|HTTP2|MONGO|TCP|TLS.	是
name	string	给端口分配一个名称	否

Server.TLSOptions 配置信息

Field	Type	Description	Required
httpsRedirect	bool	是否要做 HTTP 重定向	否
mode	TLSmode	在配置的外部端口上使用 TLS 服务时，可以取 PASSTHROUGH、SIMPLE、MUTUAL、AUTO_PASSTHROUGH 这 4 种模式	否
serverCertificate	string	服务端证书的路径。当模式是 SIMPLE 和 MUTUAL 时必须指定	否
privateKey	string	服务端密钥的路径。当模式是 SIMPLE 和 MUTUAL 时必须指定	否
caCertificates	string	CA 证书路径。当模式是 MUTUAL 时指定	否
credentialName	string	用于唯一标识服务端证书和秘钥。Gateway 使用 credentialName从远端的凭证存储中获取证书和秘钥，而不是使用 Mount 的文件	否
subjectAltNames	string[]	SAN 列表，SubjectAltName 允许一个证书指定多个域名	否
verifyCertificateSpki	string[]	授权客户端证书的SKPI的base64编码的SHA-256哈希值的可选列表	否
verifyCertificateHash	string[]	授权客户端证书的十六进制编码SHA-256哈希值的可选列表	否
minProtocolVersion	TLSProtocol	TLS 协议的最小版本	否
maxProtocolVersion	TLSProtocol	TLS 协议的最大版本	否
cipherSuites	string[]	指定的加密套件，默认使用 Envoy 支持的加密套件	否

Server.TLSOptions.TLSmode 配置信息

Name	Description
PASSTHROUGH	客户端提供的SNI字符串将用作VirtualService TLS路由中的匹配条件，以根据服务注册表确定目标服务
SIMPLE	使用标准TLS语义的安全连接
MUTUAL	通过提供服务器证书进行身份验证，使用双边TLS来保护与下游的连接
AUTO_PASSTHROUGH	与直通模式相似，不同之处在于具有此TLS模式的服务器不需要关联的VirtualService即可从SNI值映射到注册表中的服务。目标详细信息（例如服务/子集/端口）被编码在SNI值中。代理将转发到SNI值指定的上游（Envoy）群集（一组端点）。
ISTIO_MUTUAL	通过提供用于身份验证的服务器证书，使用相互TLS使用来自下游的安全连接

Server.TLSOptions.TLSProtocol 配置信息

Name	Description
TLS_AUTO	自动选择DLS版本
TLSV1_0	TLS 1.0
TLSV1_1	TLS 1.1
TLSV1_2	TLS 1.2
TLSV1_3	TLS 1.3

参考文献

https://preliminary.istio.io/zh/docs/concepts/traffic-management/#gateways

https://preliminary.istio.io/zh//blog/2018/v1alpha3-routing/

https://preliminary.istio.io/zh/docs/reference/config/networking/gateway/#Gateway