我已经使用 Helm 在我的 AKS 集群中安装了 Istio Ingress Gateway(图表使用的istio/base、istio/istiod、istio/gateway来自https://istio-release.storage.googleapis.com/charts)。
现在我想安装一个Istio Egress Gateway,但我不知道是否还有另一个 Helm 图表,或者我是否必须再次安装 istio/gateway 并将其配置为 Egress。
有人可以帮助我吗,因为 istio 文档中没有使用 Helm 的清晰安装指南?
我应该安装和配置什么来通过此 Egress Gateway 路由所有集群流量并限制每个工作负载对特定主机的访问。例如
apiVersion: networking.istio.io/v1
kind: ServiceEntry
metadata:
name: external-svc-https
namespace: testing
spec:
hosts:
- api.dropboxapi.com
- www.googleapis.com
- api.facebook.com
location: MESH_EXTERNAL
exportTo: "."
ports:
- number: 443
name: https
protocol: TLS
resolution: NONE
我已经找到了一种方法,使用 ServiceEntry 仅允许每个命名空间访问特定主机,并将以下配置更改为 istiod 安装。
meshConfig:
outboundTrafficPolicy:
mode: REGISTRY_ONLY
我找到了一个解决方法。我按照本指南将流量路由到出口网关。要限制访问只能通过此网关,必须应用网络策略。
注意:本指南介绍如何使用 istioctl 安装 istio 网关。您可以使用以下命令进行安装。