访问外部服务

    这个任务向你展示了三种访问外部服务的方法:

    1. 允许 Envoy 代理将请求传递到未在网格内配置过的服务。
    2. 配置 service entries 以提供对外部服务的受控访问。
    3. 对于特定范围的 IP,完全绕过 Envoy 代理。
    • 根据中的命令设置 Istio。 使用 configuration profile或者 。

    • 部署 sleep 这个示例应用,用作发送请求的测试源。 如果你启用了,使用以下的命令来部署示例应用:

      Zip

      否则,在部署 sleep 应用前,使用以下命令手动注入 sidecar:

      1. $ kubectl apply -f <(istioctl kube-inject -f @samples/sleep/sleep.yaml@)

      您可以使用任何安装了 curl 的 pod 作为测试源。

    • 设置环境变量 SOURCE_POD,值为你的源 pod 的名称:

      1. $ export SOURCE_POD=$(kubectl get pod -l app=sleep -o jsonpath={.items..metadata.name})

    Envoy 转发流量到外部服务

    Istio 有一个, global.outboundTrafficPolicy.mode,它配置 sidecar 对外部服务(那些没有在 Istio 的内部服务注册中定义的服务)的处理方式。如果这个选项设置为 ALLOW_ANY,Istio 代理允许调用未知的服务。如果这个选项设置为 REGISTRY_ONLY,那么 Istio 代理会阻止任何没有在网格中定义的 HTTP 服务或 service entry 的主机。ALLOW_ANY 是默认值,不控制对外部服务的访问,方便你快速地评估 Istio。你可以稍后再配置对外部服务的访问

    1. 要查看这种方法的实际效果,你需要确保 Istio 的安装配置了 meshConfig.outboundTrafficPolicy.mode 选项为 ALLOW_ANY。它在默认情况下是开启的,除非你在安装 Istio 时显式地将它设置为 REGISTRY_ONLY

      运行以下命令以确认meshConfig.outboundTrafficPolicy.mode设置为ALLOW_ANY或被省略:

      1. $ kubectl get istiooperator installed-state -n istio-system -o jsonpath='{.spec.meshConfig.outboundTrafficPolicy.mode}'
      2. ALLOW_ANY

      您应该看到ALLOW_ANY或没有任何输出(默认为ALLOW_ANY

      如果你显式地设置了 REGISTRY_ONLY 模式,例如,通过使用更改后的设置重新运行原始的istioctl install命令:

      1. $ istioctl install <flags-you-used-to-install-Istio> --set meshConfig.outboundTrafficPolicy.mode=ALLOW_ANY
    2. SOURCE_POD 向外部 HTTPS 服务发出两个请求,确保能够得到状态码为 200 的响应:

      1. $ kubectl exec "$SOURCE_POD" -c sleep -- curl -sSI https://www.google.com | grep "HTTP/"; kubectl exec "$SOURCE_POD" -c sleep -- curl -sI https://edition.cnn.com | grep "HTTP/"
      2. HTTP/2 200
      3. HTTP/2 200

    恭喜!你已经成功地从网格中发送了 egress 流量。

    这种访问外部服务的简单方法有一个缺点,即丢失了对外部服务流量的 Istio 监控和控制;比如,外部服务的调用没有记录到 Mixer 的日志中。下一节将介绍如何监控和控制网格对外部服务的访问。

    使用 Istio ServiceEntry 配置,你可以从 Istio 集群中访问任何公开的服务。本节将向你展示如何在不丢失 Istio 的流量监控和控制特性的情况下,配置对外部 HTTP 服务() 和外部 HTTPS 服务(www.google.com) 的访问。

    为了演示如何控制对外部服务的访问,你需要将 global.outboundTrafficPolicy.mode 选项,从 ALLOW_ANY模式 改为 REGISTRY_ONLY 模式。

    你可以向已经在 ALLOW_ANY 模式下的可访问服务添加访问控制。通过这种方式,你可以在一些外部服务上使用 Istio 的特性,而不会阻止其他服务。一旦你配置了所有服务,就可以将模式切换到 REGISTRY_ONLY 来阻止任何其他无意的访问。

    1. 执行以下命令来将 global.outboundTrafficPolicy.mode 选项改为 REGISTRY_ONLY

      如果您使用 IstioOperator CR 安装 Istio,请在配置中添加以下字段:

      1. spec:
      2. meshConfig:
      3. outboundTrafficPolicy:
      4. mode: REGISTRY_ONLY

      否则,将等效设置添加到原始 istioctl install 命令中,例如:

      1. $ istioctl install <flags-you-used-to-install-Istio> \
      2. --set meshConfig.outboundTrafficPolicy.mode=REGISTRY_ONLY
    2. SOURCE_POD 向外部 HTTPS 服务发出几个请求,验证它们现在是否被阻止:

      1. command terminated with exit code 35
      2. command terminated with exit code 35

    访问一个外部的 HTTP 服务

    1. 创建一个 ServiceEntry,以允许访问一个外部的 HTTP 服务:

      DNS 解析在下面的服务条目中用作安全措。将解析设置为 NONE会开启了攻击的可能。恶意客户端在真正连接到其他IP时,可能会伪装设置 HOST 头信息为 httpbin.org(与 httpbin.org 不相关)。Istio sidecar 代理将信任 HOST 头信息,并错误地允许通信,甚至将其传递到其他主机的 IP 地址。 该主机可能是恶意的站点,或者网格安全策略禁止的站点。

      使用 DNS 解析,Sidecar 代理将忽略原始目标 IP 地址并引导流量到 httpbin.org,并执行 DNS 查询以获取 httpbin.org 的IP地址。

    2. SOURCE_POD 向外部的 HTTP 服务发出一个请求:

      1. {
      2. "headers": {
      3. "Accept": "*/*",
      4. "Connection": "close",
      5. "Host": "httpbin.org",
      6. ...
      7. "X-Envoy-Decorator-Operation": "httpbin.org:80/*",
      8. }
      9. }

      注意由 Istio sidecar 代理添加的 headers: X-Envoy-Decorator-Operation

    3. 检查 SOURCE_POD 的 sidecar 代理的日志:

      1. $ kubectl logs $SOURCE_POD -c istio-proxy | tail
      2. [2019-01-24T12:17:11.640Z] "GET /headers HTTP/1.1" 200 - 0 599 214 214 "-" "curl/7.60.0" "17fde8f7-fa62-9b39-8999-302324e6def2" "httpbin.org" "35.173.6.94:80" outbound|80||httpbin.org - 35.173.6.94:80 172.30.109.82:55314 -

      注意与 HTTP 请求相关的 httpbin.org/headers.

    访问外部 HTTPS 服务

    1. 创建一个 ServiceEntry,允许对外部服务的访问。

      1. $ kubectl apply -f - <<EOF
      2. apiVersion: networking.istio.io/v1alpha3
      3. kind: ServiceEntry
      4. metadata:
      5. name: google
      6. spec:
      7. hosts:
      8. - www.google.com
      9. ports:
      10. - number: 443
      11. name: https
      12. protocol: HTTPS
      13. resolution: DNS
      14. location: MESH_EXTERNAL
      15. EOF
    2. SOURCE_POD 往外部 HTTPS 服务发送请求:

      1. $ kubectl exec -it $SOURCE_POD -c sleep -- curl -I https://www.google.com | grep "HTTP/"
      2. HTTP/2 200
    3. 检查 SOURCE_POD 的 sidecar 代理的日志:

      1. $ kubectl logs $SOURCE_POD -c istio-proxy | tail
      2. [2019-01-24T12:48:54.977Z] "- - -" 0 - 601 17766 1289 - "-" "-" "-" "-" "172.217.161.36:443" outbound|443||www.google.com 172.30.109.82:59480 172.217.161.36:443 172.30.109.82:59478 www.google.com

      请注意与您对 www.google.com 的 HTTPS 请求相关的条目。

    与集群内的请求相似,也可以为使用 ServiceEntry 配置访问的外部服务设置 。在本示例中,你将设置对 httpbin.org 服务访问的超时规则。

    1. 从用作测试源的 pod 内部,向外部服务 httpbin.org/delay endpoint 发出 curl 请求:

      1. $ kubectl exec "$SOURCE_POD" -c sleep -- time curl -o /dev/null -sS -w "%{http_code}\n" http://httpbin.org/delay/5
      2. 200
      3. real 0m5.024s
      4. user 0m0.003s

      这个请求大约在 5 秒内返回 200 (OK)。

    2. 退出测试源 pod,使用 kubectl 设置调用外部服务 httpbin.org 的超时时间为 3 秒。

      1. $ kubectl apply -f - <<EOF
      2. apiVersion: networking.istio.io/v1alpha3
      3. kind: VirtualService
      4. metadata:
      5. name: httpbin-ext
      6. spec:
      7. hosts:
      8. http:
      9. - timeout: 3s
      10. route:
      11. - destination:
      12. host: httpbin.org
      13. weight: 100
      14. EOF
    3. 几秒后,重新发出 curl 请求:

      1. $ kubectl exec -it $SOURCE_POD -c sleep sh
      2. $ time curl -o /dev/null -s -w "%{http_code}\n" http://httpbin.org/delay/5
      3. 504
      4. real 0m3.149s
      5. user 0m0.004s
      6. sys 0m0.004s

      这一次,在 3 秒后出现了 504 (Gateway Timeout)。Istio 在 3 秒后切断了响应时间为 5 秒的 httpbin.org 服务。

    清理对外部服务的受控访问

    直接访问外部服务

    如果要让特定范围的 ​​IP 完全绕过 Istio,则可以配置 Envoy sidecars 以防止它们拦截外部请求。要设置绕过 Istio,请更改 global.proxy.includeIPRangesglobal.proxy.excludeIPRanges ,并使用 kubectl apply 命令更新 istio-sidecar-injector 配置。也可以通过设置相应的注解)在pod上进行配置,例如traffic.sidecar.istio.io / includeOutboundIPRangesistio-sidecar-injector 配置的更新,影响的是新部署应用的 pod。

    与 不同,后者使用 ALLOW_ANY 流量策略来让 Istio sidecar 代理将调用传递给未知服务, 该方法完全绕过了 sidecar,从而实质上禁用了指定 IP 的所有 Istio 功能。你不能像 ALLOW_ANY 方法那样为特定的目标增量添加 service entries。 因此,仅当出于性能或其他原因无法使用边车配置外部访问时,才建议使用此配置方法。

    排除所有外部 IP 重定向到 Sidecar 代理的一种简单方法是将 global.proxy.includeIPRanges 配置选项设置为内部集群服务使用的 IP 范围。这些 IP 范围值取决于集群所在的平台。

    确定平台内部的 IP 范围

    根据你的集群的提供者,设置参数 global.proxy.includeIPRanges

    IBM Cloud Private

    1. IBM Cloud Private 的配置文件 cluster/config.yaml 中获取你的 service_cluster_ip_range:

      1. $ grep service_cluster_ip_range cluster/config.yaml

      以下是输出示例:

      1. service_cluster_ip_range: 10.0.0.1/24

    IBM Cloud Kubernetes Service

    使用 --set global.proxy.includeIPRanges="172.30.0.0/16\,172.21.0.0/16\,10.10.10.0/24"

    Google Container Engine (GKE)

    范围是不固定的,你需要运行 gcloud container clusters describe 命令来确定要使用的范围。举个例子:

    1. $ gcloud container clusters describe XXXXXXX --zone=XXXXXX | grep -e clusterIpv4Cidr -e servicesIpv4Cidr
    2. clusterIpv4Cidr: 10.4.0.0/14
    3. servicesIpv4Cidr: 10.7.240.0/20

    使用 --set global.proxy.includeIPRanges="10.4.0.0/14\,10.7.240.0/20"

    Azure Container Service(ACS)

    使用 --set global.proxy.includeIPRanges="10.244.0.0/16\,10.240.0.0/16

    Minikube, Docker For Desktop, Bare Metal

    默认值为 10.96.0.0/12,但不是固定的。使用以下命令确定您的实际值:

    1. $ kubectl describe pod kube-apiserver -n kube-system | grep 'service-cluster-ip-range'
    2. --service-cluster-ip-range=10.96.0.0/12

    使用 --set global.proxy.includeIPRanges="10.96.0.0/12"

    删除本指南中先前部署的 service entry 和 virtual service。

    使用平台的 IP 范围更新 istio-sidecar-injector 的配置。比如,如果 IP 范围是 10.0.0.1/24,则使用一下命令:

    1. $ istioctl install <flags-you-used-to-install-Istio> --set values.global.proxy.includeIPRanges="10.0.0.1/24"

    安装 Istio 命令的基础上增加 --set values.global.proxy.includeIPRanges="10.0.0.1/24"

    访问外部服务

    由于绕行配置仅影响新的部署,因此您需要按照开始之前部分中的说明重新部署 sleep 程序。

    在更新 istio-sidecar-injector configmap 和重新部署 sleep 程序后,Istio sidecar 将仅拦截和管理集群中的内部请求。 任何外部请求都会绕过 Sidecar,并直接到达其预期的目的地。举个例子:

    1. $ kubectl exec "$SOURCE_POD" -c sleep -- curl -sS http://httpbin.org/headers
    2. {
    3. "headers": {
    4. "Accept": "*/*",
    5. "Host": "httpbin.org",
    6. ...
    7. }
    8. }

    与通过 HTTP 和 HTTPS 访问外部服务不同,你不会看到任何与 Istio sidecar 有关的请求头, 并且发送到外部服务的请求既不会出现在 Sidecar 的日志中,也不会出现在 Mixer 日志中。 绕过 Istio sidecar 意味着你不能再监视对外部服务的访问。

    清除对外部服务的直接访问

    更新配置,以针对各种 IP 停止绕过 sidecar 代理:

    在此任务中,您研究了从 Istio 网格调用外部服务的三种方法:

    1. 配置 Envoy 以允许访问任何外部服务。

    2. 使用 service entry 将一个可访问的外部服务注册到网格中。这是推荐的方法。

    第一种方法通过 Istio sidecar 代理来引导流量,包括对网格内部未知服务的调用。使用这种方法时,你将无法监控对外部服务的访问或无法利用 Istio 的流量控制功能。 要轻松为特定的服务切换到第二种方法,只需为那些外部服务创建 service entry 即可。 此过程使你可以先访问任何外部服务,然后再根据需要决定是否启用控制访问、流量监控、流量控制等功能。

    第二种方法可以让你使用 Istio 服务网格所有的功能区调用集群内或集群外的服务。 在此任务中,你学习了如何监控对外部服务的访问并设置对外部服务的调用的超时规则。

    第三种方法绕过了 Istio Sidecar 代理,使你的服务可以直接访问任意的外部服务。 但是,以这种方式配置代理需要了解集群提供商相关知识和配置。 与第一种方法类似,你也将失去对外部服务访问的监控,并且无法将 Istio 功能应用于外部服务的流量。

    安全说明

    请注意,此任务中的配置示例没有启用安全的出口流量控制。 恶意程序可以绕过 Istio Sidecar 代理并在没有 Istio 控制的情况下访问任何外部服务。

    为了以更安全的方式实施出口流量控制,你必须, 并查看其他安全注意事项部分中描述的安全问题。

    关闭服务 :

    1. $ kubectl delete -f @samples/sleep/sleep.yaml@