前面兩篇文章,都是以 nginx ingress 為範例,今日來簡略說明 Istio 面向的 HTTPS 範例。
在 Istio 預設範疇中,也是使用Cert-Manager
方式管理、申請憑證( Let’s Encrypt )。觀念與設定方面皆與此篇憑證管理大致相同。
透過定義Certificate yaml
進行憑證申請,但在 Istio ingress 使用上有一點要注意,就是憑證的儲存名稱:secretName: istio-ingressgateway-certs
如果沒遵循此約定,則 Istio ingress 無法直接存取此憑證。
apiVersion: certmanager.k8s.io/v1alpha1
kind: Certificate
metadata:
name: cert-demo-web.com
namespace: istio-system
spec:
acme:
config:
- dns01:
provider: gcp-dns
domains:
- '*.demo-web.com'
- demo-web.com
commonName: '*.demo-web.com'
dnsNames:
- demo-web.com
issuerRef:
kind: ClusterIssuer
name: letsencrypt
secretName: istio-ingressgateway-certs
Istio 安裝後,預設的ingress名稱是:istio-ingressgateway
此Ingress resource
實現 Istio 管理入口路由、規則、監控等面向的流量流入內部Service。
Istio 實現上分成兩部分:Gateway
、VirtualService
此部分定義了網站的入口閘道,相關的域名
與https
服務。
有關於https
服務中,Istio 透過 File Mount 方式讀取憑證(預設名稱:istio-ingressgateway-certs
),實現HTTPS服務入口閘道。
apiVersion: networking.istio.io/v1alpha3
kind: Gateway
metadata:
name: httpbin-gateway
spec:
selector:
istio: ingressgateway # use istio default ingress gateway
servers:
- port:
number: 443
name: https
protocol: HTTPS
tls:
mode: SIMPLE
serverCertificate: /etc/istio/ingressgateway-certs/tls.crt
privateKey: /etc/istio/ingressgateway-certs/tls.key
hosts:
- "httpbin.example.com"
此部分定義了網站的入口路由。
apiVersion: networking.istio.io/v1alpha3
kind: VirtualService
metadata:
name: httpbin
spec:
hosts:
- "httpbin.example.com"
gateways:
- httpbin-gateway
http:
- match:
- uri:
prefix: /status
- uri:
prefix: /delay
route:
- destination:
port:
number: 8000
host: httpbin
以上兩項istio ingress resource
賦予了網站入口的使命,缺一不可。