备考ICA----Istio实验11---为多个主机配置TLS Istio Ingress Gateway实验

上海运维Q先生2024-03-31 1:09

备考ICA----Istio实验11---为多个主机配置TLS Istio Ingress Gateway实验

1. 部署应用

bash 复制代码 
kubectl apply -f istio/samples/helloworld/helloworld.yaml -l service=helloworld
kubectl apply -f istio/samples/helloworld/helloworld.yaml -l version=v1

2. 证书准备

接上一个实验,准备第二个证书

bash 复制代码 
openssl req -out example_certs_pana/pana.example.com.csr  -newkey rsa:2048 \
-nodes -keyout example_certs_pana/pana.example.com.key \
-subj "/CN=pana.example.com/O=httpbin organization"

签发证书

bash 复制代码 
openssl x509 -req -sha256 -days 365 -CA example_certs_root/example.com.crt \
-CAkey example_certs_root/example.com.key \
-set_serial 0 -in example_certs_pana/pana.example.com.csr \
-out example_certs_pana/pana.example.com.crt

将证书生成secret

因为后续也是使用istio/ingressgateway所以必须放着istio-system命名空间下

bash 复制代码 
kubectl create secret -n istio-system tls  pana-credential \
--key=example_certs_pana/pana.example.com.key \
--cert=example_certs_pana/pana.example.com.crt

确认secret被正确创建

bash 复制代码 
kubectl get secrets -n istio-system

3. Istio配置

3.1 Gateway配置

这里新的hello服务和上个实验合用mygateway这个gateway对外提供访问,但各自使用各自的TLS证书.

tls-ingress/2-TLS-gateway.yaml

yaml 复制代码 
apiVersion: networking.istio.io/v1beta1
kind: Gateway
metadata:
  name: mygateway
spec:
  selector:
    istio: ingressgateway                       # use istio default ingress gateway
  servers:
  - port:
      number: 443
      name: httpbin
      protocol: HTTPS
    tls:
      mode: SIMPLE
      credentialName: httpbin-credential        # must be the same as secret
    hosts:
    - httpbin.example.com
  - port:
      number: 443
      name: pana
      protocol: HTTPS
    tls:
      mode: SIMPLE
      credentialName: pana-credential   # must be the same as secret
    hosts:
    - pana.example.com

3.2 VirtualService配置

在vs中定义了监听mygateway的hosts是pana.example.com,匹配上uri:/hello后转发给svc helloworld的后端进行响应.

tls-ingress/2-TLS-VirtualService.yaml

yaml 复制代码 
apiVersion: networking.istio.io/v1beta1
kind: VirtualService
metadata:
  name: pana
spec:
  hosts:
  - "pana.example.com"
  gateways:
  - mygateway
  http:
  - match:
    - uri:
        prefix: /hello
    route:
    - destination:
        port:
          number: 5000
        host: helloworld

可以看到2个服务使用了同一个gw,但各自又有自己的Vs

4. 访问测试

4.1 pana.example.com

linux下

bash 复制代码 
curl -v -HHost:pana.example.com --resolve "pana.example.com:443:192.168.126.220" \
 --cacert example_certs_root/example.com.crt "https://pana.example.com:443/hello"

4.2 httpbin.example.com

上一个实验部署的httpbin.example.com

linux下

bash 复制代码 
curl -v -HHost:httpbin.example.com --resolve \
"httpbin.example.com:443:192.168.126.220" \
--cacert example_certs_root/example.com.crt \
"https://httpbin.example.com:443/status/418"

至此为多个主机配置TLS Istio Ingress Gateway实验完成

相关推荐
哈里谢顿1 天前
Kubernetes Operator核心概念、实现原理和实战开发
云原生
阿里云云原生1 天前
你的 OpenClaw 真的在受控运行吗?
云原生
阿里云云原生1 天前
5 分钟零代码改造,让 Go 应用自动获得全链路可观测能力
云原生·go
Shanyoufusu121 天前
RKE2 单节点集群安装 Rancher+ 私有镜像仓库搭建 完整教程
云原生
阿里云云原生1 天前
Dify 官方上架 Higress 插件,轻松接入 AI 网关访问模型服务
云原生
AI攻城狮1 天前
OpenClaw Session 管理完全指南:Context 压缩、重置与持久化
人工智能·云原生·aigc
阿里云云原生5 天前
阿里云获评 Agentic AI 开发平台领导者,函数计算 AgentRun 赢下关键分!
云原生
阿里云云原生6 天前
MSE Nacos Prompt 管理:让 AI Agent 的核心配置真正可治理
微服务·云原生
阿里云云原生6 天前
当 AI Agent 接管手机:移动端如何进行观测
云原生·agent
阿里云云原生6 天前
AI 原生应用开源开发者沙龙·深圳站精彩回顾 & PPT下载
云原生
热门推荐
01GitHub 镜像站点02OpenClaw 使用和管理 MCP 完全指南03OpenClaw + 飞书(Feishu)环境搭建指南04Claude Code + GLM4.7 避坑指南:解决 Unable to connect to Anthropic services05OpenClaw优化飞书API 额度已耗尽问题06Window 10部署openclaw报错node.exe : npm error code 12807小黑课堂计算机二级WPSoffice题库软件下载安装教程(2026年3月最新版)08Clawdbot部署教程:解决‘gateway token missing’授权问题的完整步骤09本地部署 OpenClaw + DeepSeek-R1 完全指南10网站改了域名,如何查找?