Istio Ingress流量入口配置原理

Istio现在是一项热门技术。谷歌和IBM等巨头已经将整个工程师团队投入到项目中，从而将其推向生产准备阶段，最近自从1.0发布以来，这里介绍Istio是如何利用Kubernetes的Ingress控制器和服务负载平衡器。

本文介绍Istio的核心概念，就是如何让外部流量进入你的集群，需要以下技术：

Minikube 0.28.0
Kubernetes 1.10
Istio 1.0.1

Istio的Gateway类型
Istio有一种名为“Gateway”的资源类型，Istio Gateway告诉k8s的istio-ingressgateway pods可以打开哪些主机和端口，它这是通过使用Kubernetes创造的标签选择器( label selector)模式来实现，让我们看一下Istio文档中的httpbin网关配置：


apiVersion: networking.istio.io/v1alpha3
kind: Gateway
metadata:
  name: httpbin-gateway
spec:
  selector:
    istio: ingressgateway
  servers:
  - port:
      number: 80
      name: http
      protocol: HTTP
    hosts:
    - "*"

配置中selector的值是istio: ingressgateway，这里很有趣，K8s的istio-ingresgateway pod被标记为“istio = ingressgateway”的标签，这样可以使用kubectl轻松找到它们：


$ kubectl get pod -n istio-system -l istio = ingressgateway -o name

得到结果：
pod/istio-ingressgateway-6fd6575b8b-xls7g
因此，该pod将接收网关配置并最终公开打开相应端口，因为它正好与与Istio Gateway标签选择器匹配。太好了！让我们亲眼看看。

Istio会配置Envoy这个主机来接受并路由转发流量的，Envoy还附带了一个非常简单的管理功能，可以直接访问，Istio是配置Envoy侦听为15000端口用于管理，这意味着我们可以使用kubectl轻松访问它：


$ kubectl -n istio-system port-forward istio-ingressgateway-6fd6575b8b-tfc7z 15000

一旦启动，我们就可以打开http:// localhost:15000/listeners并查看已添加到此pod的监听器。

这就在Istio的ingress网关上开辟了一个端口，但是只是接受访问和流量输入，当流量到达这个网关时，它还不知道发送到哪里去。

Istio的“VirtualService”类型
现在我们的网关已准备好接收流量，我们必须告知它将收到的流量发往何处，Istio使用名为“VirtualService”类型配置流量发往何处。将一个网关列表配置给VirtualService，然后Istio使用VirtualService配置中定义的路由再配置那些网关，例如，以再次使用httpbin示例：


apiVersion：networking.istio.io/v1alpha3 
kind：VirtualService 
metadata：
  name：httpbin 
spec：
  hosts：
  - “*” 
  gateways：
  -  httpbin-gateway
   http：
  -  match：
    -  uri：
        prefix：/status 
    -  uri：
        prefix：/delay 
    route：
    -  destination：
        port：
          number：8000 
        host：httpbin

配置中gateways定义为 httpbin-gateway，这就是将VirtualService配置到指定的网关上，然后，URI路径前缀匹配/status的将发往指定目标，URI路径前缀匹配/delay将发往指定目标。

当我们使用此功能时，可以使用Envoy管理功能反复查看此情况。打开http:// localhost:15000/config_dump在输出的JSON中查找“routes”部分，如果找到相关定义：

说明Istio已采用我们的VirtualService定义并将其应用于与名称匹配的网关pod。成功！

通过这一切设置，我们可以使用一个简单的清单在我们的Kubernetes集群中安装HTTPBin项目。配置文件在github，我们还可以在kubectl上使用方便的port-forward命令来公开我们的httpbin网关：

$ kubectl -n istio-system port-forward istio-ingressgateway-6fd6575b8b-tfc7z 80

注意：可能需要使用sudo运行它。

运行此选项后，打开另一个终端选项卡并尝试curl访问：


$ curl -v localhost/status/200
*   Trying ::1...
* TCP_NODELAY set
* Connected to localhost (::1) port 80 (#0)
> GET /status/200 HTTP/1.1
> Host: localhost
> User-Agent: curl/7.54.0
> Accept: */*
>
< HTTP/1.1 200 OK
< server: envoy
< date: Fri, 31 Aug 2018 16:25:31 GMT
< content-type: text/html; charset=utf-8
< access-control-allow-origin: *
< access-control-allow-credentials: true
< content-length: 0
< x-envoy-upstream-service-time: 2
<
* Connection #0 to host localhost left intact

成功！我们的httpbin项目已通过我们的Istio Gateway和VirtualService公开。

总结
1. Gateway： Istio Gateway是负责打开k8s上相关Istio的pods上的端口并接收主机的流量，是接收流量与路由之间的关键链接。

2. VirtualService： Istio VirtualService是“附加”到Gateway上的，并负责定义Gateway应实现的路由。可以将多个VirtualServices连接到Gateway，但不适用于同一个域。

Understanding Istio Ingress – FireHydrant – Medium