Wildcard 主机的 egress

假定您想要为 Istio 中所有语种的 wikipedia.org 站点开启 egress 流量。每个语种的 wikipedia.org 站点均有自己的主机名，譬如：英语和德语对应的主机分别为 en.wikipedia.org 和 de.rikipedia.org。您希望通过通用配置项开启所有 Wikipedia 站点的 egress 流量，无需单独配置每个语种的站点。

使用 demo 配置文件安装 Istio 以及默认阻止出站流量策略：

您可以在 demo 配置文件以外的 Istio 配置上运行此任务，只要您确保。开启 Envoy 的访问日志和在您的安装步骤中。您还需要使用自己的 IstioOperator CR 代替使用SNI代理设置出口网关中显示。
部署示例应用程序，以用作发送请求的测试源。如果您开启了自动 sidecar 注入，运行以下命令以部署示例应用程序：
```
$ kubectl apply -f @samples/sleep/sleep.yaml@
```
否则，在使用以下命令部署 sleep 应用程序之前，手动注入 sidecar：
```
$ kubectl apply -f <(istioctl kube-inject -f @samples/sleep/sleep.yaml@)
```
您可以在任意 pod 上使用 curl 作为测试源。

将 SOURCE_POD 环境变量设置为您的源 Pod 的名称：

$ export SOURCE_POD=$(kubectl get pod -l app=sleep -o jsonpath={.items..metadata.name})

访问通用域中一组主机的第一个也是最简单的方法，是使用一个 wildcard 主机配置一个简单的 ServiceEntry，直接从 sidecar 调用服务。当直接调用服务时（譬如：不是通过一个 egress 网关），一个 wildcard 主机的配置与任何其他主机（如：全域名主机）没有什么不同，只是当通用域中有许多台主机时，这样比较方便。

请注意，恶意应用程序很容易绕过以下配置。为了实现安全的出口流量控制，可以通过出口网关引导流量。

请注意，DNS 解析不能用于通配符主机。这就是为什么NONE分辨率（因为它是默认）用于以下服务条目。

为 *.wikipedia.org 定义一个 ServiceEntry 以及相应的 VirtualSevice：

$ kubectl exec -it $SOURCE_POD -c sleep -- sh -c 'curl -s https://en.wikipedia.org/wiki/Main_Page | grep -o "<title>.*</title>"; curl -s https://de.wikipedia.org/wiki/Wikipedia:Hauptseite | grep -o "<title>.*</title>"'
<title>Wikipedia, the free encyclopedia</title>
<title>Wikipedia – Die freie Enzyklopädie</title>

$ kubectl delete serviceentry wikipedia

单一 hosting 服务器的 Wildcard 配置

当一台唯一的服务器为所有 wildcard 主机提供服务时，基于 egress 网关访问 wildcard 主机的配置与普通主机类似，除了：配置的路由目标不能与配置的主机相同，如：wildcard 主机，需要配置为通用域集合的唯一服务器主机。

为 \.wikipedia.org* 创建一个 egress Gateway、一个目标规则以及一个虚拟服务，来引导请求通过 egress 网关并从 egress 网关访问外部服务。

$ kubectl apply -f - <<EOF
apiVersion: networking.istio.io/v1alpha3
kind: Gateway
metadata:
  name: istio-egressgateway
spec:
  selector:
    istio: egressgateway
  - port:
      number: 443
      name: https
    hosts:
    - "*.wikipedia.org"
    tls:
      mode: PASSTHROUGH
---
apiVersion: networking.istio.io/v1alpha3
kind: DestinationRule
metadata:
  name: egressgateway-for-wikipedia
spec:
  host: istio-egressgateway.istio-system.svc.cluster.local
  subsets:
    - name: wikipedia
---
apiVersion: networking.istio.io/v1alpha3
kind: VirtualService
metadata:
  name: direct-wikipedia-through-egress-gateway
spec:
  hosts:
  - "*.wikipedia.org"
  gateways:
  - mesh
  - istio-egressgateway
  tls:
  - match:
    - gateways:
      - mesh
      port: 443
      - "*.wikipedia.org"
    route:
        host: istio-egressgateway.istio-system.svc.cluster.local
        subset: wikipedia
        port:
          number: 443
      weight: 100
  - match:
    - gateways:
      - istio-egressgateway
      port: 443
      sniHosts:
      - "*.wikipedia.org"
    route:
    - destination:
        host: www.wikipedia.org
        port:
          number: 443
      weight: 100
EOF

为目标服务器创建一个 ServiceEntry。

发送请求至 https://en.wikipedia.org 和：

$ kubectl exec -it $SOURCE_POD -c sleep -- sh -c 'curl -s https://en.wikipedia.org/wiki/Main_Page | grep -o "<title>.*</title>"; curl -s https://de.wikipedia.org/wiki/Wikipedia:Hauptseite | grep -o "<title>.*</title>"'
<title>Wikipedia, the free encyclopedia</title>
<title>Wikipedia – Die freie Enzyklopädie</title>

检查 egress 网关代理访问 \.wikipedia.org* 的计数器统计值。如果 Istio 部署在 istio-system 命名空间中，打印输出计数器的命令为：

$ kubectl exec -it $(kubectl get pod -l istio=egressgateway -n istio-system -o jsonpath='{.items[0].metadata.name}') -c istio-proxy -n istio-system -- pilot-agent request GET clusters | grep '^outbound|443||www.wikipedia.org.*cx_total:'
outbound|443||www.wikipedia.org::208.80.154.224:443::cx_total::2

清除单点服务器的 wildcard 配置

$ kubectl delete serviceentry www-wikipedia
$ kubectl delete gateway istio-egressgateway
$ kubectl delete virtualservice direct-wikipedia-through-egress-gateway
$ kubectl delete destinationrule egressgateway-for-wikipedia

关闭服务 sleep：