當您的應用程式需要統一的公網或內網出口時,可以在Kubernetes叢集中部署ASM出口網關(Egress Gateway)。出口網關作為統一的訪問出口,可以簡化叢集對外部服務流量的管理和路由。
前提條件
操作步驟
登入ASM控制台,在左側導覽列,選擇。
在網格管理頁面,單擊目標執行個體名稱,然後在左側導覽列,選擇。
在出口網關頁面,單擊建立,配置網關的基本資料。
網關配置項說明如下。您也可以在出口網關頁面,單擊使用YAML建立定義出口網關。具體操作,請參見使用KubeAPI管理出口網關。
配置項
說明
名稱
自訂網關的名稱。
部署叢集
選擇網關部署的叢集。
連接埠映射
配置協議和服務連接埠。
說明控制台預設提供2個常用的連接埠。您可以按需進行修改。
資源規格
選擇網關Pod的CPU和記憶體規格。
網關副本數
設定網關副本數。
可選:單擊進階選項,進行相關配置。
配置項
說明
擴縮容HPA
選擇是否啟用擴縮容HPA功能。選中擴縮容HPA後,相關配置項說明如下:
指標:設定監控項和閾值。超過該閾值,將增加網關副本數;低於該閾值,將減少網關副本數。
同時設定CPU和記憶體的閾值,表示只要其中一個高於或低於該閾值,都會進行擴縮容。
最大副本數:網關可擴容的副本數量上限。
最小副本數:網關可縮容的副本數量下限。
說明該功能僅適用於企業版或旗艦版。
滾動升級
選擇是否啟用滾動升級功能。選中滾動升級後,相關配置項說明如下:
不可用最大的副本數量:設定滾動升級時停用最大副本數量,保障升級時有一定數量的Pod可以提供服務。
超到期望的副本數量:設定滾動升級時最多不能超過的副本數量。例如設定為25%,表示滾動升級時副本數量不能超過原來副本的125%。
盡量分散部署網關副本
設定
podAntiAffinity時,Pod優先部署到不同的節點上。自訂部署策略
您可以自訂網關的
nodeSelector、tolerations和affinity。關於欄位的詳細說明,請參見ASM網關CRD說明。支援雙向TLS認證
選中支援雙向TLS認證後,業務(Sidecar)和出口網關之間的流量會使用雙向TLS方式,增強了安全性。您可以基於雙向TLS認證後的身份資訊,結合AuthorizationPolicy進行出口流量存取原則配置。
重要未注入Sidecar的Pod將不能通過出口網關訪問外部服務。
配置完成後,單擊建立。
網關狀態為運行中,表示建立成功。服務地址即為出口網關的IP地址。
相關操作
出口網關建立成功後,您可以登入ASM控制台管理出口網關,也可以登入ACK控制台查看出口網關。
登入ASM控制台管理出口網關
出口網關建立成功後,您可以登入ASM控制台,查看、編輯或刪除出口網關。
登入ASM控制台,在左側導覽列,選擇。
在網格管理頁面,單擊目標執行個體名稱,然後在左側導覽列,選擇。
在出口網關頁面,對出口網關進行管理。
操作
說明
查看或編輯出口網關
方式一:
在目標網關右側,單擊查看詳情。
在網關詳情頁面,單擊修改項右側的
表徵圖,按需修改相關配置項,然後單擊確認。
方式二:
在目標網關右側,單擊查看YAML。
在編輯對話方塊,按需修改相關YAML配置,然後單擊確定。
刪除出口網關
在目標網關右側,單擊刪除,然後在確認對話方塊,單擊確定。
重要出口網關刪除後,ASM內部服務將無法通過該出口網關訪問外部服務,請謹慎操作。
登入ACK控制台查看出口網關
查看出口網關的基本資料。
登入Container Service管理主控台,在左側導覽列單擊叢集。
在叢集列表頁面,單擊目的地組群名稱,然後在左側導覽列,選擇。
在服務頁面,從命名空間下拉式清單中選擇istio-system。
可以看到出口網關的基本資料,您也可以單擊出口網關服務名稱,查看更詳細的資訊。
查看出口網關的Pod資訊。
在叢集管理頁左側導覽列,選擇。
在容器組頁面,從命名空間下拉式清單中選擇istio-system。
單擊目標Pod,查看出口網關的Pod詳細資料。
相關文檔
如果您需要通過API建立出口網關,請參見CreateASMGateway - 建立ASM網關。
您可以使用出口網關作為外部服務的統一出口,在網關上使用ASM提供的可觀測以及安全相關的能力,更加高效地管理出口流量。具體操作,請參見為網格內流量配置統一的出口網關、可觀測效能力和安全支援及認證動態載入。
您可以使用ASMEgressTrafficPolicy CRD,自訂如何通過出口網關來管理和訪問外部流量。具體操作,請參見使用ASMEgressTrafficPolicy管理出口流量。
關於網關的更多功能介紹,請參見ASM網關概述。