使用 Istio API 安装和升级网关
Cloud Service Mesh 提供了将网关部署和管理为 您的服务网格网关描述了在边缘运行的负载均衡器 并接收传入或传出的 HTTP/TCP 连接。网关包括 这些网关主要用于管理入站流量 管理其他类型的流量
出站流量网关:通过出站流量网关,您可以配置专用退出节点 让您可以限制哪些服务可以或应该允许哪些服务离开网格 访问外部网络,或实现对出站流量的安全控制,以便将 保障您的网格安全
入站流量网关:通过入站流量网关,您可以配置 来接收传入的 HTTP/TCP 连接。
东西网关:东西流量的代理,允许服务工作负载在不同网络上的多主网格中的集群边界之间通信。默认情况下,此网关在互联网上为公开。
本页面介绍了部署和升级网关的最佳实践
以及配置您自己的 istio-ingressgateway
和
istio-egressgateway
个网关代理。
您可以通过不同的方式部署网关,并且可以使用 同一集群中的一个拓扑。请参阅 网关部署拓扑 以详细了解这些拓扑。
部署网关的最佳做法
部署网关的最佳实践取决于您使用的是代管式数据平面还是非代管式数据平面。
代管式数据平面的最佳实践
- 启用代管式数据平面。
- 向命名空间添加代管式修订版本标签。
- 单独部署和管理控制层面和网关。
- 为保证安全性,我们建议您在与控制层面不同的命名空间中部署网关。
- 使用自动边车注入(又称“自动注入”)为网关注入代理配置,具体做法类似于为服务注入边车代理。
最佳做法包括:
- 确保代管式网关能够自动更新为采用最新的增强功能和安全更新措施。
- 将网关实例的管理和维护工作交给 Cloud Service Mesh 代管式数据平面来处理。
非代管式数据平面的最佳实践
- 单独部署和管理控制层面和网关。
- 为保证安全性,我们建议您在与控制层面不同的命名空间中部署网关。
- 使用自动边车注入(又称“自动注入”)为网关注入代理配置,具体做法类似于为服务注入边车代理。
最佳做法包括:
- 您的命名空间管理员无需对整个集群授予较高权限,即可管理网关。
- 让您的管理员使用与管理 Kubernetes 应用相同的部署工具或机制来部署和管理网关。
- 使管理员能够完全控制网关 Deployment,并简化操作。当新升级可用或配置更改时,管理员只需重启网关即可更新它们。这个 使网关 Deployment 的运行体验与 为您的服务运行 Sidecar 代理。
部署示例网关
为了支持用户使用现有部署工具,Cloud Service Mesh 支持
部署网关的方法
Istio:
IstioOperator
、Helm 和 Kubernetes YAML。每种方法都会产生相同的结果。虽然您可以选择自己最熟悉的方法,
建议您使用 Kubernetes YAML 方法
并且您可以在源代码控制系统中存储水合清单
以下步骤展示了如何部署示例网关。
为网关创建命名空间(如果您还没有命名空间)。将
GATEWAY_NAMESPACE
替换为您的命名空间名称。kubectl create namespace GATEWAY_NAMESPACE
启用用于注入的命名空间。具体步骤取决于您的控制平面实现。
受管理 (TD)
- 将默认注入标签应用于命名空间:
kubectl label namespace GATEWAY_NAMESPACE \ istio.io/rev- istio-injection=enabled --overwrite
代管式 (Istiod)
建议:运行以下命令,将默认注入标签应用于命名空间:
kubectl label namespace GATEWAY_NAMESPACE \ istio.io/rev- istio-injection=enabled --overwrite
如果您是使用 Managed Istiod 控制平面的现有用户: 我们建议您使用默认注入,但基于修订版本的注入 支持。请按照以下说明操作:
运行以下命令查找可用的发布渠道:
kubectl -n istio-system get controlplanerevision
输出类似于以下内容:
NAME AGE asm-managed-rapid 6d7h
注意:如果上述列表中显示了两个控制平面修订版本,请移除其中一个。不支持在集群中拥有多个控制平面通道。
在输出中,
NAME
列的值是与 Cloud Service Mesh 版本可用的发布版本对应的修订版本标签。将修订版本标签应用于命名空间:
kubectl label namespace GATEWAY_NAMESPACE \ istio-injection- istio.io/rev=REVISION_LABEL --overwrite
集群内
建议:运行以下命令,将默认注入标签应用于命名空间:
kubectl label namespace GATEWAY_NAMESPACE \ istio.io/rev- istio-injection=enabled --overwrite
我们建议您使用默认注入,但也支持基于修订版本的注入:请按照以下说明操作:
使用以下命令查找
istiod
的修订版本标签:kubectl get deploy -n istio-system -l app=istiod -o \ jsonpath={.items[*].metadata.labels.'istio\.io\/rev'}'{"\n"}'
将修订版本标签应用于命名空间。在以下命令中,
REVISION_LABEL
是您在上一步中记下的istiod
修订版本标签的值。kubectl label namespace GATEWAY_NAMESPACE \ istio-injection- istio.io/rev=REVISION_LABEL --overwrite
将目录更改为
samples
目录。如需确保您位于正确的目录中,请运行ls
命令以列出目录内容,然后确认存在gateways
目录(您将在下一步中访问该目录)和online-boutique
目录。部署入站或出站流量网关。这些位于
samples/gateways/
目录,或根据需要进行修改。入站
kubectl apply -n GATEWAY_NAMESPACE -f samples/gateways/istio-ingressgateway
出站流量
kubectl apply -n GATEWAY_NAMESPACE -f samples/gateways/istio-egressgateway
创建部署后,验证新服务是否正常运行:
kubectl get pod,service -n GATEWAY_NAMESPACE
验证输出是否类似如下所示:
NAME READY STATUS RESTARTS AGE pod/istio-ingressgateway-856b7c77-bdb77 1/1 Running 0 3s NAME TYPE CLUSTER-IP EXTERNAL-IP PORT(S) AGE service/istio-ingressgateway LoadBalancer 10.24.5.129 34.82.157.6 80:31904/TCP 3s
像管理任何其他 Kubernetes 应用一样管理网关资源。中的示例
anthos-service-mesh-packages
代码库旨在提供指导和
快速入门。您可以根据需要进行自定义设置。
网关选择器
将网关配置应用于 istio-ingressgateway
和 istio-egressgateway
代理,以管理网格的入站和出站流量,从而指定要进入或离开网格的流量。网关部署的 Pod 上的标签供网关配置资源使用,因此,您的网关选择器必须与这些标签匹配。
例如,在上述部署中,istio=ingressgateway
是在网关 Pod 上设置的。如需将网关配置应用于这些部署,您需要选择相同的标签:
apiVersion: networking.istio.io/v1beta1
kind: Gateway
metadata:
name: gateway
spec:
selector:
istio: ingressgateway
...
如需查看网关配置和虚拟服务的示例,请参阅 Online Boutique 示例应用中的 frontend.yaml。
升级网关
就地升级
对于大多数用例,您应该按照就地升级模式升级网关。由于网关利用 Pod 注入功能,因此创建新网关 Pod 将自动注入最新的配置(包括版本)。
如果要更改网关使用的控制平面修订版本,您可以在网关 Deployment 上设置 istio.io/rev
标签,该标签也将触发滚动重启。
代管式控制平面
由于 Google 负责管理代管式控制平面升级,因此您只需重启网关 Deployment,即可自动注入具有最新配置和版本的新的 Pod。
kubectl rollout restart deployment istio-ingressgateway \
-n GATEWAY_NAMESPACE
集群内控制平面
如需在具有集群内控制平面时将相同的模式应用于网关,您需要更改网关使用的控制平面修订版本。请在网关 Deployment 上设置 istio.io/rev
标签,以触发滚动重启。所需的步骤取决于您是否需要更新命名空间和/或网关 pod 中的修订版本标签。
如果您已为注入的命名空间添加标签,请将命名空间上的
istio.io/rev
标签设置为新的修订版本值:kubectl label namespace GATEWAY_NAMESPACE \ istio-injection- istio.io/rev=REVISION \ --overwrite
如果您只为网关 pod 启用了注入,请将 Deployment 上的
istio.io/rev
标签设置为新的修订版本值,如以下 Kubernetes YAML 文件所示:cat <<EOF > gateway-deployment.yaml apiVersion: apps/v1 kind: Deployment metadata: name: istio-ingressgateway namespace: GATEWAY_NAMESPACE spec: selector: matchLabels: istio: ingressgateway template: metadata: annotations: # This is required to tell Cloud Service Mesh to inject the gateway with the # required configuration. inject.istio.io/templates: gateway labels: istio: ingressgateway istio.io/rev: REVISION spec: containers: - name: istio-proxy image: auto # The image will automatically update each time the pod starts. EOF kubectl apply -f gateway-deployment.yaml
Canary 升级(高级)
如果您使用的是集群内控制平面,并且希望更慢地控制新控制平面修订版本的发布,则可以遵循 Canary 升级模式。您可以运行网关 Deployment 的多个版本,并确保部分流量按预期正常运行。例如,如果要发布新的修订版本 Canary,请创建网关 Deployment 的副本,并将 istio.io/rev=REVISION
标签设置为新修订版本和新名称,例如istio-ingressgateway-canary
:
apiVersion: apps/v1
kind: Deployment
metadata:
name: istio-ingressgateway-canary
namespace: GATEWAY_NAMESPACE
spec:
selector:
matchLabels:
istio: ingressgateway
template:
metadata:
annotations:
inject.istio.io/templates: gateway
labels:
istio: ingressgateway
istio.io/rev: REVISION # Set to the control plane revision you want to deploy
spec:
containers:
- name: istio-proxy
image: auto
创建此 Deployment 后,您将有两个网关版本,这两个版本由同一 Service 选择:
kubectl get endpoints -o
"custom-columns=NAME:.metadata.name,PODS:.subsets[*].addresses[*].targetRef.name"
NAME PODS
istio-ingressgateway istio-ingressgateway-788854c955-8gv96,istio-ingressgateway-canary-b78944cbd-mq2qf
如果您确信应用按预期正常运行,请运行以下命令,通过删除使用旧 istio.io/rev 标签集的 Deployment 来转换为新版本:
kubectl delete deploy/istio-ingressgateway -n GATEWAY_NAMESPACE
如果您在使用新版网关测试应用时遇到问题,请运行以下命令,通过删除使用新 istio.io/rev 标签集的 Deployment,切换回旧版:
kubectl delete deploy/istio-ingressgateway-canary -n GATEWAY_NAMESPACE
高级配置
配置网关的最低 TLS 版本
对于 Cloud Service Mesh,网关服务器的默认最低 TLS 版本为 1.2。您可以使用 minProtocolVersion
字段配置最低 TLS 版本。如需了解详情,请参阅 ServerTLSSettings。
不受支持的功能
如果您有 TRAFFIC_DIRECTOR
控制平面实现
网关中的以下字段或值不受支持:
- 包含
AUTO_PASSTHROUGH
值的 ServerTLSSettings.TLSmode - ServerTLSSettings.verifyCertificateSpki
- ServerTLSSettings.verifyCertificateHash
排查网关问题
未能从 auto
更新网关映像
在您部署或升级网关时,Cloud Service Mesh 会将 auto
作为
占位符(image
字段中)。调用变更网络钩子后,Cloud Service Mesh 会自动将此占位符替换为实际的 Cloud Service Mesh 代理映像。如果对更改型 webhook 的调用失败,auto
占位符保持,但未找到容器。这通常是由命名空间标签不正确引起的。确保您已配置正确的命名空间,然后再次部署或升级网关。