Implantar gateways de entrada para o complemento de malha de serviço Istio para o Serviço Kubernetes do Azure

Este artigo mostra como implantar entradas externas ou internas para o complemento de malha de serviço Istio para cluster do Serviço Kubernetes do Azure (AKS).

Pré-requisitos

Este guia pressupõe que você seguiu a documentação para habilitar o complemento Istio em um cluster AKS, implantar um aplicativo de exemplo e definir variáveis de ambiente.

Habilitar gateway de entrada externo

Use az aks mesh enable-ingress-gateway para habilitar uma entrada do Istio acessível externamente em seu cluster AKS:

az aks mesh enable-ingress-gateway --resource-group $RESOURCE_GROUP --name $CLUSTER --ingress-gateway-type external

Use kubectl get svc para verificar o serviço mapeado para o gateway de entrada:

kubectl get svc aks-istio-ingressgateway-external -n aks-istio-ingress

Observe a partir da saída que o endereço IP externo do serviço é acessível ao público:

NAME                                TYPE           CLUSTER-IP    EXTERNAL-IP     PORT(S)                                      AGE
aks-istio-ingressgateway-external   LoadBalancer   10.0.10.249   <EXTERNAL_IP>   15021:30705/TCP,80:32444/TCP,443:31728/TCP   4m21s

Os aplicativos não são acessíveis de fora do cluster por padrão depois de habilitar o gateway de entrada. Para tornar um aplicativo acessível, mapeie a entrada da implantação de exemplo para o gateway de entrada do Istio usando o seguinte manifesto:

kubectl apply -f - <<EOF
apiVersion: networking.istio.io/v1beta1
kind: Gateway
metadata:
  name: bookinfo-gateway-external
spec:
  selector:
    istio: aks-istio-ingressgateway-external
  servers:
  - port:
      number: 80
      name: http
      protocol: HTTP
    hosts:
    - "*"
---
apiVersion: networking.istio.io/v1beta1
kind: VirtualService
metadata:
  name: bookinfo-vs-external
spec:
  hosts:
  - "*"
  gateways:
  - bookinfo-gateway-external
  http:
  - match:
    - uri:
        exact: /productpage
    - uri:
        prefix: /static
    - uri:
        exact: /login
    - uri:
        exact: /logout
    - uri:
        prefix: /api/v1/products
    route:
    - destination:
        host: productpage
        port:
          number: 9080
EOF

Definir variáveis de ambiente para portas e host de entrada externo:

export INGRESS_HOST_EXTERNAL=$(kubectl -n aks-istio-ingress get service aks-istio-ingressgateway-external -o jsonpath='{.status.loadBalancer.ingress[0].ip}')
export INGRESS_PORT_EXTERNAL=$(kubectl -n aks-istio-ingress get service aks-istio-ingressgateway-external -o jsonpath='{.spec.ports[?(@.name=="http2")].port}')
export GATEWAY_URL_EXTERNAL=$INGRESS_HOST_EXTERNAL:$INGRESS_PORT_EXTERNAL

Recupere o endereço externo do aplicativo de exemplo:

echo "http://$GATEWAY_URL_EXTERNAL/productpage"

Navegue até a URL a partir da saída do comando anterior e confirme se a página do produto do aplicativo de exemplo é exibida. Como alternativa, você também pode usar curl para confirmar que o aplicativo de exemplo está acessível. Por exemplo:

curl -s "http://${GATEWAY_URL_EXTERNAL}/productpage" | grep -o "<title>.*</title>"

Confirme se a página do produto do aplicativo de exemplo está acessível. O resultado esperado é:

<title>Simple Bookstore App</title>

Habilitar gateway de entrada interno

Use az aks mesh enable-ingress-gateway para habilitar uma entrada interna do Istio em seu cluster AKS:

az aks mesh enable-ingress-gateway --resource-group $RESOURCE_GROUP --name $CLUSTER --ingress-gateway-type internal

Use kubectl get svc para verificar o serviço mapeado para o gateway de entrada:

kubectl get svc aks-istio-ingressgateway-internal -n aks-istio-ingress

Observe a partir da saída que o endereço IP externo do serviço não é acessível publicamente e, em vez disso, é apenas acessível localmente:

NAME                                TYPE           CLUSTER-IP    EXTERNAL-IP     PORT(S)                                      AGE
aks-istio-ingressgateway-internal   LoadBalancer   10.0.182.240  <IP>      15021:30764/TCP,80:32186/TCP,443:31713/TCP   87s

Depois de habilitar o gateway de entrada, os aplicativos precisam ser expostos por meio do gateway e as regras de roteamento precisam ser configuradas de acordo. Use o manifesto a seguir para mapear a entrada da implantação de exemplo para o gateway de entrada do Istio:

kubectl apply -f - <<EOF
apiVersion: networking.istio.io/v1beta1
kind: Gateway
metadata:
  name: bookinfo-internal-gateway
spec:
  selector:
    istio: aks-istio-ingressgateway-internal
  servers:
  - port:
      number: 80
      name: http
      protocol: HTTP
    hosts:
    - "*"
---
apiVersion: networking.istio.io/v1beta1
kind: VirtualService
metadata:
  name: bookinfo-vs-internal
spec:
  hosts:
  - "*"
  gateways:
  - bookinfo-internal-gateway
  http:
  - match:
    - uri:
        exact: /productpage
    - uri:
        prefix: /static
    - uri:
        exact: /login
    - uri:
        exact: /logout
    - uri:
        prefix: /api/v1/products
    route:
    - destination:
        host: productpage
        port:
          number: 9080
EOF

Defina variáveis de ambiente para portas e host de entrada interno:

export INGRESS_HOST_INTERNAL=$(kubectl -n aks-istio-ingress get service aks-istio-ingressgateway-internal -o jsonpath='{.status.loadBalancer.ingress[0].ip}')
export INGRESS_PORT_INTERNAL=$(kubectl -n aks-istio-ingress get service aks-istio-ingressgateway-internal -o jsonpath='{.spec.ports[?(@.name=="http2")].port}')
export GATEWAY_URL_INTERNAL=$INGRESS_HOST_INTERNAL:$INGRESS_PORT_INTERNAL

Recupere o endereço do aplicativo de exemplo:

echo "http://$GATEWAY_URL_INTERNAL/productpage"

Navegue até a URL a partir da saída do comando anterior e confirme se a página do produto do aplicativo de exemplo NÃO é exibida. Como alternativa, você também pode usar curl para confirmar que o aplicativo de exemplo NÃO está acessível. Por exemplo:

curl -s "http://${GATEWAY_URL_INTERNAL}/productpage" | grep -o "<title>.*</title>"

Use kubectl exec para confirmar se o aplicativo está acessível de dentro da rede virtual do cluster:

kubectl exec "$(kubectl get pod -l app=ratings -o jsonpath='{.items[0].metadata.name}')" -c ratings -- curl -sS  "http://$GATEWAY_URL_INTERNAL/productpage"  | grep -o "<title>.*</title>"

Confirme se a página do produto do aplicativo de exemplo está acessível. O resultado esperado é:

<title>Simple Bookstore App</title>

Personalizações do serviço de gateway de entrada

Anotações

As seguintes anotações podem ser adicionadas ao serviço Kubernetes para os gateways de entrada externos e internos:

• external-dns.alpha.kubernetes.io/hostname: para especificar o domínio para os registros DNS do recurso. Para obter mais informações, consulte external-dns.
• service.beta.kubernetes.io/azure-allowed-ip-ranges: para especificar uma lista de intervalos de IP permitidos separados por vírgulas.
• service.beta.kubernetes.io/azure-allowed-service-tags: para especificar de quais tags de serviço o gateway de entrada pode receber solicitações.
• service.beta.kubernetes.io/azure-disable-load-balancer-floating-ip: defina para true para desativar o endereço IP flutuante na regra do balanceador de carga.
• service.beta.kubernetes.io/azure-load-balancer-internal-subnet: nome da sub-rede à qual vincular o gateway de entrada interno. Essa sub-rede deve existir na mesma rede virtual que a malha.
• service.beta.kubernetes.io/azure-load-balancer-ipv4: para configurar um endereço IPv4 estático.
• service.beta.kubernetes.io/azure-load-balancer-disable-tcp-reset: para controlar se o Azure Load Balancer habilita a Redefinição de TCP.
• service.beta.kubernetes.io/azure-load-balancer-resource-group: para especificar o grupo de recursos de um IP público em um grupo de recursos diferente do cluster.
• service.beta.kubernetes.io/azure-load-balancer-tcp-idle-timeout: para configurar o tempo limite de ociosidade TCP em minutos para conexões por meio do Balanceador de Carga do Azure.
• service.beta.kubernetes.io/azure-pip-ip-tags: para especificar uma lista de IpTags separadas por vírgulas.
• service.beta.kubernetes.io/azure-pip-name: para especificar o nome de um endereço IP público.
• service.beta.kubernetes.io/azure-shared-securityrule: para expor o gateway de entrada por meio de uma regra de segurança aumentada.

O complemento suporta anotações de teste de integridade para as portas 80 e 443. Saiba mais sobre o uso de portas aqui.

Política de tráfego externo

O complemento suporta a personalização de .spec.externalTrafficPolicy no serviço Kubernetes para o gateway de ingress. Definir .spec.externalTrafficPolicy para Local preserva o IP de origem do cliente no gateway de entrada do Istio e evita uma segunda passagem no caminho de tráfego para os pods de gateway de entrada de back-end.

kubectl patch service aks-istio-ingressgateway-external -n aks-istio-ingress --type merge --patch '{"spec": {"externalTrafficPolicy": "Local"}}'

Eliminar recursos

Se você quiser limpar os gateways de entrada externos ou internos do Istio, mas deixar a malha habilitada no cluster, execute o seguinte comando:

az aks mesh disable-ingress-gateway --ingress-gateway-type <external/internal> --resource-group ${RESOURCE_GROUP} --name ${CLUSTER}

Se você quiser limpar a malha de serviço do Istio e as entradas (deixando para trás o cluster), execute o seguinte comando:

az aks mesh disable --resource-group ${RESOURCE_GROUP} --name ${CLUSTER}

Se você quiser limpar todos os recursos criados a partir dos documentos de orientação de instruções do Istio, execute o seguinte comando:

az group delete --name ${RESOURCE_GROUP} --yes --no-wait

Próximos passos

• Gateway de entrada seguro para o complemento de malha de serviço Istio
• Configurar Gateway de Entrada Horizontal Pod Autoscaler (HPA)
• Implantar gateways de saída para o complemento de malha de serviço Istio