OpenShift 4 之Istio-Tutorial (11) 控制Egress访问

《OpenShift 4.x HOL教程汇总》
说明：本文已经在OpenShift 4.6环境中验证

Istio缺省是不限制服务网格中的服务对外部访问的，不过我们可以对Egress进行控制，以限制Istio上的服务对外部资源的访问。

环境准备：我们在开始之前先确保环境和完成《OpenShift 4 之Istio-Tutorial (2) 部署三个微服务》一样，只部署了3个微服务和VirtualService、Gateway，没有DestinationRule。

首先把recommendation v1和recommendation v2部署删除，然后部署recommendation v3（这个微服务会访问http://worldclockapi.com/api/json/cet/now外部服务，以获得当前的时间）。

$ oc delete -f recommendation/kubernetes/Deployment-v1.yml
$ oc delete -f recommendation/kubernetes/Deployment-v2.yml
$ oc apply -f recommendation/kubernetes/Deployment-v3.yml
$ oc get pod
NAME                                 READY   STATUS    RESTARTS   AGE
customer-77dc47d7f8-szhd5            2/2     Running   16         2d11h
preference-v1-55476494cf-xm4dq       2/2     Running   0          4d8h
recommendation-v3-57556796f8-qcdl7   2/2     Running   0          151m

此时向customer发测试请求，可以正常访问。

$ curl $INGRESS_GATEWAY/customer
customer => preference => recommendation v3 2020-01-19T11:33+01:00 from '83bbb6d11a7e': 1

执行以下命令，修改Istio缺省的对外访问策略为必须是REGISTRY_ONLY的服务才能通过Egress访问外部服务。

$ oc get configmap istio -n istio-system -o yaml | sed 's/mode: ALLOW_ANY/mode: REGISTRY_ONLY/g' | kubectl replace -n istio-system -f -

此时向customer发测试请求，确认应无法正常访问外部服务。

$ curl $INGRESS_GATEWAY/customer
customer => Error: 503 - preference => Error: 500 - <!doctype html>
...

文件istiofiles/service-entry-egress-worldclockapi.yml定义了ServiceEntry对象允许访问“worldclockapi.com”主机。

apiVersion: networking.istio.io/v1alpha3
kind: ServiceEntry
metadata:name: worldclockapi-egress-rule
spec:hosts:- worldclockapi.comports:- name: http-80number: 80protocol: http

执行命令，创建ServiceEntry对象。

$ create -f istiofiles/service-entry-egress-worldclockapi.yml

此时向customer发测试请求，又可以正常访问了。

$ curl $INGRESS_GATEWAY/customer
customer => preference => recommendation v3 2020-01-19T11:43+01:00 from '83bbb6d11a7e': 4

删除recommendation v3，恢复环境。

$ oc delete -f recommendation/kubernetes/Deployment-v3.yml
$ oc delete -f istiofiles/service-entry-egress-worldclockapi.yml

OpenShift 4 之Istio-Tutorial (11) 控制Egress访问相关推荐

11 控制对象访问：代理模式
1.引入 1.0 联系JAVA知识 Java中的动态代理和静态代理这两个知识点也就是代理模式的知识点. 1.1 需求引入接着第10张状态模式的例子接着向下进行: 糖果机已经可以取得糖果 ...
第十七部分 Istio控制 Egress 流量
简述默认情况下,Istio服务Mesh中的Pod,由于其 iptables 将所有外发流量都透明的转发给了 Sidecar,所以这些集群内的服务无法访问集群之外的 URL,而只能处理集群内部的目标. ...
控制 Egress 流量
原文链接:控制 Egress 流量本文主要内容来自 Istio 官方文档,并对其进行了大量扩展和补充. 缺省情况下,Istio 服务网格内的 Pod,由于其 iptables 将所有外发流量都透明的 ...
iphone控制中心自定义没有计算机,如何在iPhone上自定义iOS 11控制中心功能
苹果最新推出的适用于iPhone和iPad的iOS 11,具有重新设计和模块化的控制中心.这个新的控制中心具有相当多的3D触摸手势,新的动画和可定制性.此外,内置了新的控件,以前在iOS版本下载或使用 ...
云原生周报 | Fluent Bit下载量达到10亿次；对 Istio 1.11的支持已经结束
业界要闻 1. Fluent Bit下载量达到10亿次摘要:如何快速有效地从企业中跨分布式环境创建的大量日志和事件数据中获取情报.这一问题变得越来越困难,随着组织迅速采用分布式.动态.云原生服务,这 ...
JAVA线程并发数量控制_线程同步工具（二）控制并发访问多个资源
声明:本文是< Java 7 Concurrency Cookbook>的第三章, 作者: Javier Fernández González 译者:郑玉婷控制并发访问多个资源在并发访 ...
11.18 Apache用户认证 11.19/11.20 域名跳转 11.21 Apache访问日志
2019独角兽企业重金招聘Python工程师标准>>> 11.18 Apache用户认证 htpasswd命令 >htpasswd命令是Apache的Web服务器内置工具,用于 ...
Semaphore控制同时访问的线程个数countdownlatch等待多个线程执行完本身线程再执行...
Semaphore控制同时访问的线程个数countdownlatch等待多个线程执行完本身线程再执行 Semaphore控制同时访问的线程个数countdownlatch等待多个线程执行完本身线程再执 ...
java安全权限配置_使用Spring安全表达式控制系统功能访问权限问题
一.SPEL表达式权限控制从spring security 3.0开始已经可以使用spring Expression表达式来控制授权,允许在表达式中使用复杂的布尔逻辑来控制访问的权限.Spring ...

OpenShift 4 之Istio-Tutorial (11) 控制Egress访问

OpenShift 4 之Istio-Tutorial (11) 控制Egress访问相关推荐

最新文章

热门文章