我的书签
添加书签
移除书签使用外部 HTTPS 代理
此示例演示如何启用对外部 HTTPS 代理的访问。由于应用程序使用 HTTP CONNECT 方法与 HTTPS 代理建立连接,因此配置流量到外部 HTTPS 代理不同于将流量配置为外部 HTTP 和 HTTPS 服务。
按照中的说明安装 Istio。
如果您安装的安装配置,则将启用 Egress Gateway和访问日志。
将 示例应用程序部署为发送请求的测试源。 如果您启用了自动 sidecar 注入,运行以下命令部署示例应用程序:
否则,在使用以下命令部署
sleep应用程序之前,手动注入 sidecar:$ kubectl apply -f <(istioctl kube-inject -f @samples/sleep/sleep.yaml@)
您可以使用任何安装了
curl的 pod 作为测试源。为了发送请求,您需要创建
SOURCE_POD环境变量来存储源 pod 的名称:$ export SOURCE_POD=$(kubectl get pod -l app=sleep -o jsonpath={.items..metadata.name})
本例中为了模拟传统代理,在集群内部署了一个 HTTPS 代理。此外,为了模拟在集群外运行的更真实的代理,通过代理的 IP 地址而不是 Kubernetes 服务的域名来寻址代理的 pod。本例使用的是 squid,但是您可以使用任何支持 HTTP CONNECT 连接的 HTTPS 代理。
-
$ kubectl create namespace external
为 Squid 代理创建配置文件。
$ cat <<EOF > ./proxy.confhttp_port 3128acl SSL_ports port 443acl CONNECT method CONNECThttp_access deny CONNECT !SSL_portshttp_access allow localhost managerhttp_access deny managerhttp_access allow allcoredump_dir /var/spool/squidEOF
创建 Kubernetes 以保存代理的配置:
$ kubectl create configmap proxy-configmap -n external --from-file=squid.conf=./proxy.conf
使用 Squid 部署容器:
$ kubectl apply -f - <<EOFapiVersion: apps/v1kind: Deploymentmetadata:name: squidnamespace: externalreplicas: 1selector:app: squidtemplate:metadata:labels:app: squidspec:volumes:- name: proxy-configconfigMap:name: proxy-configmapcontainers:- name: squidimage: sameersbn/squid:3.5.27imagePullPolicy: IfNotPresentvolumeMounts:- name: proxy-configmountPath: /etc/squidreadOnly: trueEOF
在
external命名空间中部署 sleep 示例,以测试到代理的通信量,而不进行 Istio 流量控制。获取代理 pod 的 IP 地址并定义
PROXY_IP环境变量来存储它:$ export PROXY_IP=$(kubectl get pod -n external -l app=squid -o jsonpath={.items..podIP})
定义
PROXY_PORT环境变量以存储代理的端口。本例子中 Squid 使用 3128 端口。$ export PROXY_PORT=3128
从
external命名空间中的 sleep pod 通过代理向外部服务发送请求:$ kubectl exec -it $(kubectl get pod -n external -l app=sleep -o jsonpath={.items..metadata.name}) -n external -- sh -c "HTTPS_PROXY=$PROXY_IP:$PROXY_PORT curl https://en.wikipedia.org/wiki/Main_Page" | grep -o "<title>.*</title>"<title>Wikipedia, the free encyclopedia</title>
检查您请求的代理的访问日志:
$ kubectl exec -it $(kubectl get pod -n external -l app=squid -o jsonpath={.items..metadata.name}) -n external -- tail -f /var/log/squid/access.log1544160065.248 228 172.30.109.89 TCP_TUNNEL/200 87633 CONNECT en.wikipedia.org:443 - HIER_DIRECT/91.198.174.192 -
现在,您在没有 Istio 的情况下完成了以下任务:
- 您部署了 HTTPS 代理。
- 您使用 curl 通过代理访问 wikipedia.org 外部服务。
下一步,您必须配置 Istio 启用的 pod 的流量到 HTTPS 代理。
-
apiVersion: networking.istio.io/v1alpha3kind: ServiceEntrymetadata:name: proxyspec:hosts:- my-company-proxy.com # ignoredaddresses:- $PROXY_IP/32ports:- number: $PROXY_PORTname: tcpprotocol: TCPlocation: MESH_EXTERNALEOF
从
external命名空间中的 sleep pod 发送请求。因为 sleep pod 有 Sidecar,可以让 Istio 控制其流量。$ kubectl exec -it $SOURCE_POD -c sleep -- sh -c "HTTPS_PROXY=$PROXY_IP:$PROXY_PORT curl https://en.wikipedia.org/wiki/Main_Page" | grep -o "<title>.*</title>"<title>Wikipedia, the free encyclopedia</title>
查看您的请求的 Istio SideCar 代理的日志:
查看您请求的代理的访问日志:
$ kubectl exec -it $(kubectl get pod -n external -l app=squid -o jsonpath={.items..metadata.name}) -n external -- tail -f /var/log/squid/access.log1544160065.248 228 172.30.109.89 TCP_TUNNEL/200 87633 CONNECT en.wikipedia.org:443 - HIER_DIRECT/91.198.174.192 -
在本例中,您采取了以下步骤:
- 部署了一个 HTTPS 代理来模拟外部代理。
- 创建了一个 TCP 服务入口,用作引导 Istio 控制的流量 到外部代理。
请注意,您不能为通过外部代理访问的外部服务创建服务入口,例如 wikipedia.org。这是因为从 Istio 的角度来看,请求只发送到外部代理;Istio 并不知道外部代理会进一步转发请求。
关闭 sleep 服务:
$ kubectl delete -f @samples/sleep/sleep.yaml@
关闭
external命名空间中的 sleep 服务:$ kubectl delete -f @samples/sleep/sleep.yaml@ -n external
关闭 Squid 代理,删除 ConfigMap 和配置文件:
$ kubectl delete -n external deployment squid$ kubectl delete -n external configmap proxy-configmap$ rm ./proxy.conf
删除
external命名空间:$ kubectl delete namespace external
-
$ kubectl delete serviceentry proxy
