集成 Envoy Gateway 作为 Istio 服务网格中的入口网关

最新推荐文章于 2025-06-27 09:01:33 发布
最新推荐文章于 2025-06-27 09:01:33 发布
阅读量1k 收藏 27
点赞数 12
CC 4.0 BY-SA版权
文章标签: gateway istio linux 服务器 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_38754564/article/details/141204228

本文介绍了如何将 Envoy Gateway 作为 Istio 服务网格中的入口网关集成,增强应用的安全性和可访问性。

阅读原文请转到:https://jimmysong.io/blog/envoy-gateway-integration-istio-mesh/

Istio 提供了对入口网关的强大而灵活的支持,利用 Envoy 代理在其 sidecar 模式下运行。尽管 Istio 专注于管理集群内服务之间的通信,Envoy Gateway 旨在将应用程序暴露给外部世界,处理用户请求,并支持高级功能,如 OIDC 单点登录。通过结合 Istio 服务网格的功能和 Envoy Gateway 的高级网关功能,可以增强整体应用程序的可访问性和安全性。

下图显示了 Istio 网格中入口网关的流量路径。

54d32d0391197718bd2fbed2580151a2.png

下一个图表显示了在引入 Envoy Gateway 后,流量如何从 Istio 网格的边缘流入内部网络。

bf8393f8527cb32a31b34b3399bc5888.png

准备 Envoy Gateway 与 Istio 之间的互操作性

要将 Envoy Gateway 用作 Istio 的入口网关,请考虑以下关键点:

  • • 在 Istio 安装期间避免启用入口网关。我们将手动安装并配置 Envoy Gateway 作为入口网关。

  • • 由于 Istio 和 Envoy Gateway 都使用 Envoy 作为代理,确保 Istio 将 Envoy sidecar 注入到 Envoy Gateway 的网关 Pod 中,以允许与 Istio 的数据平面安全通信。

  • • 配置由 Envoy Gateway 创建的 Envoy 代理的路由类型为 Service 而不是 Endpoint,以确保正确路由。

按照 快速启动文档 安装 Envoy Gateway。标记 Envoy Gateway 的命名空间以确保数据平面获得 Istio sidecar 注入:

kubectl label namespace envoy-gateway-system --overwrite=true istio-injection=enabled

配置 Envoy Gateway 的 sidecar 以不拦截进入网关的流量。注入的 sidecar 确保 Envoy Gateway 的组件及其创建的代理被包含在 Istio 网格中,并安装正确的证书以进行安全通信。

control-plane-tls.yaml

spec:
  ports:
  - port: 18000
    appProtocol: tls

应用补丁:

kubectl patch service -n envoy-gateway-system envoy-gateway --type strategic --patch-file control-plane-tls.yaml

配置 Envoy Gateway 不拦截入站流量:

teg-sidecars-no-inbound.yaml

apiVersion: gateway.envoyproxy.io/v1alpha1
kind: EnvoyProxy
metadata:
  name: data-plane-sidecars
  namespace: en
最低0.47元/天 解锁文章

200万优质内容无限畅学
网易基于 Envoy 的云原生网关实践
jinggege_795的博客
10-20 510
简介:Envoy 是由 Lyft 开源的高性能网络代理软件。相比于 Nginx、HAProxy 等经典代理软件,Envoy 具备丰富的可观察性和灵活的可扩展性,并且引入了基于 xDS API 的动态配置方案。目前,Envoy 被广泛应用于新兴微服务网关服务网格之中作为核心数据面。而本次分享将从网易数帆实践出发,介绍网易数帆是如何基于开源 Envoy 构建高性能、易扩展、可观察的云原生微服务网关函谷(Hango)的。 函谷开源地址: github.com/hango-io/hango-gateway ..
Envoy实现.NET架构的网关(一)静态配置与文件动态配置
dotNET跨平台
10-30 1898
什么是Gateway在微服务体系结构中,如果每个微服务通常都会公开一组精细终结点,这种情况可能会有以下问题如果没有 API 网关模式,客户端应用将与内部微服务相耦合。在客户端应用中,单个页...
Envoy Gateway 快速入门指南:5分钟搭建云原生API网关
gitblog_00536的博客
06-27 335
Envoy Gateway 快速入门指南:5分钟搭建云原生API网关 前言 Envoy Gateway是基于Envoy代理构建的Kubernetes原生API网关解决方案,它通过Gateway API标准提供强大的流量管理能力。本文将手把手带您完成Envoy Gateway的快速部署和基础功能验证。 环境准备 在开始之前,请确保您已具备以下环境: 一个正常运行中的Kubernetes集群(建议版...
Envoy Gateway:开源应用网关的强大选择
gitblog_00200的博客
09-24 562
Envoy Gateway:开源应用网关的强大选择 项目介绍 Envoy Gateway 是一个开源项目,旨在将 Envoy Proxy 作为独立或基于 Kubernetes 的应用网关进行管理。通过使用 Gateway API 资源,Envoy Gateway 能够动态地配置和管理 Envoy Proxy,使其成为现代微服务架构中的关键组件。 Envoy Gateway 不仅简化了 Envoy ...
Envoy-Gateway-Sample
03-07
特使网关样本 怎么跑 git clone [email protected]:EnisMulic/Envoy-Gateway-Sample.git cd Envoy-Gateway-Sample 生成API的证书 dotnet dev-certs https -ep .aspnet\https\Api01.pfx -p <some> dotnet dev-certs https -ep .aspnet\https\Api01.pfx -p <some> 设置secrets.json cd Api01 dotnet user-secrets set "Kestrel:Certificates:Development:Password" "<some>" cd .. cd Api02 dotnet user-secrets set
使用istio服务网格作为api网关
Go与Python双剑合一
05-26 928
API网关作为客户端访问后端的入口由来已久,主要是管理“南北”流量,近几年开始流行Service Mesh架构,主要是管理内部系统,(即“东西”流量),而像 Istio 这样的服务网格也有内置网关,可以将系统内外的流量置于统一控制之下。这通常会给 Istio 的初次用户带来困惑。Service Mesh 和 API Gateway 是什么关系?Istio网关是如何工作的?在 Istio 网格中暴露服务的方式有哪些?这篇文章给你答案。
Istio 服务网格进阶实战.pdf
12-26
最佳实践方面,Istio推荐用户在部署服务网格时,为服务网格选择合适的入口网关(Ingress Gateway),这能够帮助实现对服务网格流量的统一入口控制,简化服务网格的访问和路由管理。 文档构建工具***的使用也提及于...
「前所未有!」服务网格Envoy Gateway,客户端可用性和弹性双提升,完美演绎 IT 新时代!
CDB3399的博客
04-19 728
因此,限制系统的行为非常重要:不仅可以减少用户可能遇到的最坏延迟,还可以避免太多请求导致的资源消耗(当请求超时时,Envoy 可以选择执行关闭到服务器的连接等操作,表示应该停止请求“浪费”的工作)。由于我们能够隔离我们的故障域,结合智能的客户端行为,我们可以使请求的失败“看起来”是不相关的。当你的服务是无状态服务时,通常情况下,你不需要引入速率限制及其所需要的额外机制就能达到很好的效果(无状态服务具有较好的伸缩性,如果一个实例被过多的请求所淹没,你可以在短时间内简单地增配更多实例)。
Istio服务网格中的XDS通信
a605692769的博客
12-30 2929
本文就服务网格Istio中如何与Envoy进行XDS协议通信为主体内容进行讲解
Envoy 作为 Kubernetes 的 API 网关
weixin_34160277的博客
06-19 686
2019独角兽企业重金招聘Python工程师标准>>> ...
latex如何使节标题居左_为使节构建控制平面的指南第3部分-特定于域的配置API...
最佳 Java 编程
07-06 533
latex如何使节标题居左 这是探索为Envoy Proxy构建控制平面的系列文章的第3部分。 在本博客系列中,我们将研究以下领域: 采用一种机制来动态更新Envoy的路由,服务发现和其他配置 确定哪些组件构成了控制平面,包括后备存储,服务发现API,安全组件等。 等 建立最适合您的用例和组织的任何特定于域的配置对象和API (此条目) 考虑如何最好地使控制平面可在需要的...
Envoy实现.NET架构的网关(四)集成IdentityServer4实现OAuth2认证
dotNET跨平台
11-02 582
.NET网关Gateway实战-Envoy与kong课程什么是OAuth2认证简单说,OAuth 就是一种授权机制。数据的所有者告诉系统,同意授权第三方应用进入系统,获取这些数据。系统从...
跟我学EnvoyGatewayEnvoy Gateway资源概述
进击的Blazor
12-02 588
在Kubernetes中,有多种资源可用于满足入口流量处理需求。本文将简要介绍相关资源。
基于envoy的分布式网关-contour
yevvzi的博客
05-28 1758
contour Contour是开源的Kubernetes入口控制器, 为Envoy边缘和服务代理提供控制平面. Contour支持动态配置更新和多团队入口委托,同时保持轻量级配置文件。 特点 内置envoy Contour是基于Envoy,高性能L7代理和负载均衡器的控制平面 灵活的架构 轮廓可以部署为Kubernetes部署或守护程序集 TLS证书授权 管理员可以安全地委派通配符证书访问 架构原理 Envoy,提供高性能的反向代理。 Contour,充当Envoy的管理服务器并为其提供配置
跟我学EnvoyGateway:HTTP路由管理
进击的Blazor
12-03 1176
HTTPRoute资源允许用户通过匹配HTTP流量并将其转发到Kubernetes后端来配置HTTP路由。目前,Envoy Gateway唯一支持的后端是Service资源。本文将展示如何基于主机、标头和路径字段路由流量,并将流量转发到不同的Kubernetes服务。如需深入了解HTTP路由,请参考Gateway API文档。
envoy api 网关_在边缘,作为网关或在网格中构建控制平面以管理Envoy代理的指南...
最佳 Java 编程
07-05 953
envoy api 网关 最近, Envoy已成为流行的网络组件。 马特·克莱因( Matt Klein )在几年前写了一个博客,内容涉及Envoy的动态配置API,以及它如何成为Envoy的采用曲线向右移的部分原因。 他称该博客为“通用数据平面API”。 由于有许多其他项目采用Envoy作为其产品的核心组件,因此可以说“ Envoy已成为应用程序/ L7网络解决方案的云原生体系结构中的通用数...
Istio使用Envoy配置网关
ycloud
05-06 1185
使用Envoy代理来配置网关,以实现对服务流量的管理和控制。而为了能在对外提供服务的同时,不向客户端暴露整个服务网格
使用Envoy构建.NET架构的网关代理GRPC
library_git106的博客
09-16 145
通过使用Envoy作为.NET架构的网关代理,我们可以实现灵活、高性能的GRPC服务代理。本文介绍了如何使用Envoy配置和启动代理,并提供了一个简单的.NET GRPC客户端示例代码。在上面的配置文件中,我们定义了一个名为grpc_listener的监听器,它会监听本地的50051端口。然后,我们定义了一个名为grpc_cluster的集群,它将转发请求到指定的GRPC服务器地址和端口。在此示例中,我们将使用C#和Grpc.Net.Client库来实现一个简单的GRPC客户端。如有任何问题,请随时提问。
Istio Egress Gateway 在架构中的目的是什么?
最新发布
07-26
<think>嗯,用户这次转向了服务网格领域,询问Istio Egress Gateway的功能定位。结合用户提供的四段引用材料,核心需要提炼Egress Gateway服务网格架构中的不可替代性。 用户引用的材料[1]和[2]已经明确指出了关键点:Egress Gateway本质是服务网格的"边界守卫",专门治理出向流量。这让我想起TiDB里PD作为中央协调器的角色——虽然领域不同,但都是系统中承担特定关键功能的组件。不同的是,Egress Gateway采用代理模式而非PD的集中式管理。 特别注意到引用[3]提到的设计哲学:Gateway将L4-L6配置与L7配置解耦。这种分层设计很像网络协议栈,Egress Gateway相当于在传输层做统一拦截,再通过VirtualService绑定应用层路由规则。用户提供的材料[4]虽然偏重学习资源,但提到的Envoy Proxy正是Egress Gateway的技术底座。 用户可能隐含的深层需求是:为什么不能直接让Pod访问外部服务,非要加一层网关?这需要从三个维度解释:安全方面(集中策略实施点)、运维方面(统一流量观测点)、架构方面(屏蔽基础设施差异)。引用[2]提到的"无公网IP节点访问外部"就是典型场景。 突然意识到用户之前研究过TiDB集群故障影响,或许对高可用设计敏感。Egress Gateway本身支持多副本部署,但需要提醒用户:如果所有Egress Pod同时宕机,会导致外部访问完全中断——这点在架构设计时要考虑冗余。</think>Istio Egress Gateway服务网格的关键边界组件,其核心功能与作用可归纳为以下方面: --- ### **一、核心功能** 1. **统一出口流量控制** - 作为**专用出口代理**,强制所有出站流量(如访问外部 API、数据库)必须流经网关,实现集中式管理[^1][^2]。 - 示例配置: ```yaml apiVersion: networking.istio.io/v1alpha3 kind: Gateway metadata: name: istio-egressgateway spec: selector: istio: egressgateway servers: - port: number: 443 name: https protocol: HTTPS hosts: - "*.example.com" tls: mode: MUTUAL ``` 2. **安全策略实施** - **TLS 加密**:网关与外部服务间强制 HTTPS 通信,防止中间人攻击[^1]。 - **身份认证**:支持 mTLS 双向认证,确保外部服务合法性[^3]。 3. **流量监控与审计** - 集成 Prometheus 收集流量指标(如请求成功率、延迟)[^4]。 - 通过 Jaeger 实现出口流量的分布式追踪,定位跨域延迟问题。 --- ### **二、架构作用** #### 1. **解决网络限制问题** - **场景**:集群节点无公网 IP 时 - Egress Gateway 作为**唯一有公网 IP 的节点**,代理内部 Pod 访问外部服务[^2]。 - **场景**:合规性要求 - 满足“所有出口流量必须经专用审查节点”的安全规范[^2]。 #### 2. **解耦网络层与应用层** - **传统负载均衡器模式** 网关分离 L4-L6(端口/TLS)与 L7(HTTP 路由)配置[^3]: ```mermaid graph LR A[L4-L6配置] -->|绑定| B(Gateway) C[L7路由规则] -->|绑定| D(VirtualService) B --> E(外部服务) D --> E ``` - **优势**: - 网络运维人员管理 Gateway(基础设施层) - 开发人员管理 VirtualService(应用层)[^3] #### 3. **提升可观测性** - **统一监控出口流量** Kiali 面板可展示所有外部服务的依赖关系与性能指标[^4]: ![Kiali Egress 监控](https://istio.io/latest/docs/tasks/traffic-management/egress/egress-gateway/kiali-egress-gateway.png) --- ### **三、典型应用场景** | **场景** | **Egress Gateway 作用** | **配置要点** | |--------------------------|--------------------------------------|--------------------------------| | **访问云数据库** | 加密数据库连接 + IP 白名单 | 配置 TLS 终止与 SNI 路由 | | **调用第三方 API** | 限流、重试策略集中管理 | 在 VirtualService 设置超时规则 | | **混合云架构** | 统一管理跨云服务出口点 | 多集群 Gateway 联邦 | | **安全审计合规** | 记录所有出站请求日志 | 启用 AccessLog 并对接 SIEM 系统 | --- ### **四、与 Ingress Gateway 对比** | **特性** | Egress Gateway | Ingress Gateway | |------------------|------------------------------------|----------------------------------| | **流量方向** | 内部 → 外部 | 外部 → 内部 | | **核心目标** | 控制出站安全与可见性 | 管理入站流量路由 | | **典型配置** | `ServiceEntry` + `Gateway` | `Gateway` + `VirtualService` | | **安全重心** | 外部服务认证 + 数据加密 | 用户认证 + DDoS 防护 | > **关键价值总结**:Egress Gateway 通过**集中化出口流量**,实现了服务网格的"零信任安全模型",同时提供网络策略统一管控点,是构建企业级安全网格的必备组件[^1][^4]。 ```mermaid graph TD A[服务网格内 Pod] -->|出站请求| B(Egress Gateway) B -->|加密+审计| C[外部服务] B --> D[Prometheus 监控] B --> E[Jaeger 追踪] B --> F[Kiali 拓扑图] ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值