Partager via


Entrées externes ou internes Azure Kubernetes Service (AKS) pour le déploiement du module complémentaire de maillage de services Istio

Cet article vous montre comment déployer des entrées externes ou internes pour le module complémentaire de maillage de services Istio pour un cluster Azure Kubernetes Service (AKS).

Remarque

Lors de l’exécution d’une mise à niveau de révision mineure du module complémentaire Istio, un autre déploiement pour les passerelles externes/internes est créé pour la nouvelle révision du plan de contrôle.

Prérequis

Ce guide suppose que vous avez suivi la documentation pour activer le module complémentaire Istio sur un cluster AKS, déployer un exemple d’application et définir les variables d’environnement.

Activer la passerelle d’entrée externe

Utilisez az aks mesh enable-ingress-gateway pour activer une entrée Istio accessible en externe sur votre cluster AKS :

az aks mesh enable-ingress-gateway --resource-group $RESOURCE_GROUP --name $CLUSTER --ingress-gateway-type external

Utilisez kubectl get svc pour vérifier le service mappé à la passerelle d’entrée :

kubectl get svc aks-istio-ingressgateway-external -n aks-istio-ingress

Observez dans la sortie si l’adresse IP externe du service est accessible publiquement :

NAME                                TYPE           CLUSTER-IP    EXTERNAL-IP     PORT(S)                                      AGE
aks-istio-ingressgateway-external   LoadBalancer   10.0.10.249   <EXTERNAL_IP>   15021:30705/TCP,80:32444/TCP,443:31728/TCP   4m21s

Remarque

Les personnalisations de l’adresse IP sur les passerelles internes et externes ne sont pas encore prises en charge. Les personnalisations d’adresses IP sur les spécifications d’entrée sont rétablies par le module complémentaire Istio. Il est prévu d’autoriser ces personnalisations dans l’implémentation de l’API de passerelle pour le module complémentaire Istio.

Par défaut, les applications ne sont pas accessibles depuis l’extérieur du cluster après l’activation de la passerelle d’entrée. Pour rendre une application accessible, mappez l’entrée de l’exemple de déploiement à la passerelle d’entrée Istio en utilisant le manifeste suivant :

kubectl apply -f - <<EOF
apiVersion: networking.istio.io/v1beta1
kind: Gateway
metadata:
  name: bookinfo-gateway-external
spec:
  selector:
    istio: aks-istio-ingressgateway-external
  servers:
  - port:
      number: 80
      name: http
      protocol: HTTP
    hosts:
    - "*"
---
apiVersion: networking.istio.io/v1beta1
kind: VirtualService
metadata:
  name: bookinfo-vs-external
spec:
  hosts:
  - "*"
  gateways:
  - bookinfo-gateway-external
  http:
  - match:
    - uri:
        exact: /productpage
    - uri:
        prefix: /static
    - uri:
        exact: /login
    - uri:
        exact: /logout
    - uri:
        prefix: /api/v1/products
    route:
    - destination:
        host: productpage
        port:
          number: 9080
EOF

Notes

Le sélecteur utilisé dans l’objet Passerelle pointe vers istio: aks-istio-ingressgateway-external, qui se trouve en tant qu’étiquette sur le service mappé à l’entrée externe activée précédemment.

Définissez des variables d’environnement pour l’hôte et les ports d’entrée externes :

export INGRESS_HOST_EXTERNAL=$(kubectl -n aks-istio-ingress get service aks-istio-ingressgateway-external -o jsonpath='{.status.loadBalancer.ingress[0].ip}')
export INGRESS_PORT_EXTERNAL=$(kubectl -n aks-istio-ingress get service aks-istio-ingressgateway-external -o jsonpath='{.spec.ports[?(@.name=="http2")].port}')
export GATEWAY_URL_EXTERNAL=$INGRESS_HOST_EXTERNAL:$INGRESS_PORT_EXTERNAL

Récupérez l’adresse externe de l’exemple d’application :

echo "http://$GATEWAY_URL_EXTERNAL/productpage"

Accédez à l’URL de la sortie de la commande précédente et vérifiez que la page des produits de l’exemple d’application est affichée. Vous pouvez aussi utiliser curl pour vérifier que l’exemple d’application est accessible. Par exemple :

curl -s "http://${GATEWAY_URL_EXTERNAL}/productpage" | grep -o "<title>.*</title>"

Vérifiez que la page des produits de l’exemple d’application est accessible. La sortie attendue est :

<title>Simple Bookstore App</title>

Activer la passerelle d’entrée interne

Utilisez az aks mesh enable-ingress-gateway pour activer une entrée Istio interne sur votre cluster AKS :

az aks mesh enable-ingress-gateway --resource-group $RESOURCE_GROUP --name $CLUSTER --ingress-gateway-type internal

Utilisez kubectl get svc pour vérifier le service mappé à la passerelle d’entrée :

kubectl get svc aks-istio-ingressgateway-internal -n aks-istio-ingress

Observez dans la sortie si l’adresse IP externe du service n’est pas une adresse accessible publiquement et qu’elle est accessible seulement localement :

NAME                                TYPE           CLUSTER-IP    EXTERNAL-IP     PORT(S)                                      AGE
aks-istio-ingressgateway-internal   LoadBalancer   10.0.182.240  <IP>      15021:30764/TCP,80:32186/TCP,443:31713/TCP   87s

Après avoir activé la passerelle d’entrée, les applications doivent être exposées via la passerelle et les règles de routage doivent être configurées en conséquence. Utilisez le manifeste suivant pour mapper l’entrée de l’exemple de déploiement à la passerelle d’entrée Istio :

kubectl apply -f - <<EOF
apiVersion: networking.istio.io/v1beta1
kind: Gateway
metadata:
  name: bookinfo-internal-gateway
spec:
  selector:
    istio: aks-istio-ingressgateway-internal
  servers:
  - port:
      number: 80
      name: http
      protocol: HTTP
    hosts:
    - "*"
---
apiVersion: networking.istio.io/v1beta1
kind: VirtualService
metadata:
  name: bookinfo-vs-internal
spec:
  hosts:
  - "*"
  gateways:
  - bookinfo-internal-gateway
  http:
  - match:
    - uri:
        exact: /productpage
    - uri:
        prefix: /static
    - uri:
        exact: /login
    - uri:
        exact: /logout
    - uri:
        prefix: /api/v1/products
    route:
    - destination:
        host: productpage
        port:
          number: 9080
EOF

Notes

Le sélecteur utilisé dans l’objet Passerelle pointe vers istio: aks-istio-ingressgateway-internal, qui se trouve en tant qu’étiquette sur le service mappé à l’entrée interne activée précédemment.

Définissez des variables d’environnement pour l’hôte et les ports d’entrée internes :

export INGRESS_HOST_INTERNAL=$(kubectl -n aks-istio-ingress get service aks-istio-ingressgateway-internal -o jsonpath='{.status.loadBalancer.ingress[0].ip}')
export INGRESS_PORT_INTERNAL=$(kubectl -n aks-istio-ingress get service aks-istio-ingressgateway-internal -o jsonpath='{.spec.ports[?(@.name=="http2")].port}')
export GATEWAY_URL_INTERNAL=$INGRESS_HOST_INTERNAL:$INGRESS_PORT_INTERNAL

Récupérez l’adresse de l’exemple d’application :

echo "http://$GATEWAY_URL_INTERNAL/productpage"

Accédez à l’URL de la sortie de la commande précédente et vérifiez que la page des produits de l’exemple d’application n’est PAS affichée. Vous pouvez aussi utiliser curl pour vérifier que l’exemple d’application n’est PAS accessible. Par exemple :

curl -s "http://${GATEWAY_URL_INTERNAL}/productpage" | grep -o "<title>.*</title>"

Utilisez kubectl exec pour vérifier que l’application est accessible à partir du réseau virtuel du cluster :

kubectl exec "$(kubectl get pod -l app=ratings -o jsonpath='{.items[0].metadata.name}')" -c ratings -- curl -sS  "http://$GATEWAY_URL_INTERNAL/productpage"  | grep -o "<title>.*</title>"

Vérifiez que la page des produits de l’exemple d’application est accessible. La sortie attendue est :

<title>Simple Bookstore App</title>

Personnalisation des annotations du service de passerelle d’entrée

Les annotations suivantes peuvent être ajoutées au service Kubernetes pour les passerelles d’entrée externes et internes :

  • service.beta.kubernetes.io/azure-load-balancer-internal-subnet : pour lier une passerelle d’entrée interne à un sous-réseau spécifique.
  • service.beta.kubernetes.io/azure-shared-securityrule : pour exposer la passerelle d’entrée via une règle de sécurité augmentée.
  • service.beta.kubernetes.io/azure-allowed-service-tags : pour spécifier quelles étiquettes de service la passerelle d’entrée peuvent recevoir des demandes.
  • service.beta.kubernetes.io/azure-load-balancer-ipv4 : pour configurer une adresse IPv4 statique.
  • service.beta.kubernetes.io/azure-load-balancer-resource-group : pour spécifier le groupe de ressources d’une IP publique dans un groupe de ressources différent du cluster.
  • service.beta.kubernetes.io/azure-pip-name : pour spécifier le nom d’une adresse IP publique.

Supprimer des ressources

Si vous souhaitez nettoyer les passerelles d’entrée externes ou internes Istio, mais laissez le maillage activé sur le cluster, exécutez la commande suivante :

az aks mesh disable-ingress-gateway --ingress-gateway-type <external/internal> --resource-group ${RESOURCE_GROUP} --name ${CLUSTER}

Si vous voulez nettoyer le maillage de services Istio et les entrées (en conservant le cluster), exécutez la commande suivante :

az aks mesh disable --resource-group ${RESOURCE_GROUP} --name ${CLUSTER}

Si vous voulez nettoyer toutes les ressources créées à partir des documents sur les procédures Istio, exécutez la commande suivante :

az group delete --name ${RESOURCE_GROUP} --yes --no-wait

Étapes suivantes

Remarque

En cas de problèmes rencontrés lors du déploiement de la passerelle d’entrée Istio ou de la configuration du routage du trafic d’entrée, reportez-vous à l’article sur la résolution des problèmes liés aux passerelles d’entrée du module complémentaire Istio