全部产品
Search

搜索本产品

    Alibaba Cloud Service Mesh:Konfigurasikan pengaturan untuk mengizinkan trafik melewati proxy sidecar

    文档中心

    Alibaba Cloud Service Mesh:Konfigurasikan pengaturan untuk mengizinkan trafik melewati proxy sidecar

    更新时间:Jul 02, 2025

    Proxy sidecar digunakan untuk meningkatkan keamanan jaringan, keandalan, dan observabilitas panggilan layanan. Namun, dalam skenario di mana trafik tidak harus melewati proxy sidecar, Anda dapat mengonfigurasi pengaturan dengan berbagai metode untuk mengizinkan trafik melewati proxy sidecar. Topik ini menjelaskan cara mengonfigurasi pengaturan untuk mengizinkan trafik arah masuk, arah keluar, atau trafik yang diteruskan ke blok CIDR tertentu melewati proxy sidecar.

    Prasyarat

    Konfigurasikan pengaturan untuk mengizinkan trafik arah masuk dan arah keluar melewati proxy sidecar

    Dalam beberapa skenario, performa tinggi diperlukan, dan fitur seperti otentikasi mutual transport layer security (mTLS) serta analisis pelacakan yang disediakan oleh Service Mesh (ASM) tidak diperlukan. Dalam skenario ini, Anda dapat menentukan apakah akan mengizinkan trafik arah masuk dan arah keluar melewati proxy sidecar. Contoh ini menunjukkan cara mengonfigurasi pengaturan agar trafik arah masuk melalui port 7001, 7002, dan 7005 melewati proxy sidecar, serta trafik arah keluar melewati proxy sidecar. Ini mengurangi sumber daya yang dibutuhkan oleh proxy sidecar istio-proxy dan meningkatkan performa keseluruhan. Trafik arah keluar tetap harus melewati proxy sidecar untuk memanfaatkan kemampuan seperti load balancing dari ASM.

    Konfigurasi Kebijakan Intersepsi Sidecar pada Tingkat Namespace

    Metode 1: Konfigurasikan kebijakan pemblokiran untuk proxy sidecar di konsol ASM

    Contoh ini menggunakan namespace default. Anda dapat mengonfigurasi kebijakan pemblokiran untuk proxy sidecar di namespace default dengan menentukan parameter berikut: Ports on Which Outbound Traffic Redirected to Sidecar Proxy dan Ports on Which Inbound Traffic Not Redirected to Sidecar Proxy.

    1. Masuk ke Konsol ASM.

    2. Di panel navigasi di sebelah kiri, pilih Service Mesh > Mesh Management.

    3. Pada halaman Mesh Management, temukan instance ASM yang ingin dikonfigurasi. Klik nama instance tersebut atau pilih Manage di kolom Actions.

    4. Pada halaman detail instance ASM, pilih Data Plane Component Management > Sidecar Proxy Setting di panel navigasi di sebelah kiri.

    5. Pada halaman Sidecar Proxy Setting, klik tab Namespace.

    6. Pilih default dari daftar drop-down Namespace, klik ikon Istio代理 di sebelah kiri Enable/Disable Sidecar Proxy by Ports or IP Addresses, konfigurasikan parameter yang dijelaskan dalam tabel berikut, lalu klik Update Settings.

      Parameter

      Deskripsi

      Ports on Which Outbound Traffic Redirected to Sidecar Proxy

      Port tempat Anda ingin agar trafik arah keluar melewati proxy sidecar. Dalam contoh ini, atur parameter ini ke 7001,7002,7005.

      Ports on Which Inbound Traffic Not Redirected to Sidecar Proxy

      Port tempat Anda ingin agar trafik arah masuk melewati proxy sidecar. Dalam contoh ini, atur parameter ini ke 7001,7002,7005.

    7. Mulai ulang pod agar pengaturan proxy sidecar diterapkan.

      1. Masuk ke Konsol ACK. Di panel navigasi di sebelah kiri, klik Clusters.

      2. Pada halaman Clusters, temukan cluster yang diinginkan dan klik namanya. Di panel sebelah kiri, pilih Workloads > Pods.

      3. Pada halaman Pods, temukan pod yang ingin dihapus dan pilih More > Delete di kolom Actions.

      4. Di kotak dialog yang muncul, klik OK.

        Tunggu hingga pod dimulai ulang. Pengaturan akan diterapkan setelah pod dimulai ulang.

    Metode 2: Konfigurasikan kebijakan pemblokiran untuk proxy sidecar di konsol ACK

    Deployment digunakan dalam contoh ini. Anotasi ditambahkan ke file YAML pod untuk mengonfigurasi kebijakan pemblokiran untuk proxy sidecar. Untuk informasi lebih lanjut, lihat Konfigurasikan Proxy Sidecar dengan Menambahkan Anotasi Sumber Daya.

    1. Masuk ke Konsol ACK. Di panel navigasi di sebelah kiri, klik Clusters.

    2. Pada halaman Clusters, temukan cluster yang ingin dikelola dan klik namanya. Di panel sebelah kiri, pilih Workloads > Deployments.

    3. Pada halaman Deployments, temukan aplikasi yang ingin dikelola dan klik Details di kolom Actions.

    4. Di pojok kanan atas halaman detail aplikasi, klik View in YAML.

    5. Di kotak dialog Edit YAML, tambahkan konten berikut ke parameter spec.template.metadata dan klik Update.

      annotations:
  traffic.sidecar.istio.io/excludeInboundPorts: '7001,7002,7005'
  traffic.sidecar.istio.io/includeOutboundPorts: '7001,7002,7005'

      Annotation

    6. Mulai ulang pod agar pengaturan proxy sidecar diterapkan.

      1. Masuk ke Konsol ACK. Di panel navigasi di sebelah kiri, klik Clusters.

      2. Pada halaman Clusters, temukan cluster yang diinginkan dan klik namanya. Di panel sebelah kiri, pilih Workloads > Pods.

      3. Pada halaman Pods, temukan pod yang ingin dihapus dan pilih More > Delete di kolom Actions.

      4. Di kotak dialog yang muncul, klik OK.

        Tunggu hingga pod dimulai ulang. Pengaturan akan diterapkan setelah pod dimulai ulang.

    Konfigurasikan pengaturan untuk mengizinkan trafik yang diteruskan ke blok CIDR tertentu melewati proxy sidecar

    Dalam contoh ini, trafik yang diteruskan ke blok CIDR 47.XX.XX.144/32 diizinkan melewati proxy sidecar. Anda dapat menggunakan metode berikut sesuai kebutuhan:

    Metode 1: Konfigurasikan kebijakan pemblokiran untuk proxy sidecar di konsol ASM

    1. Masuk ke Konsol ASM.

    2. Di panel navigasi di sebelah kiri, pilih Service Mesh > Mesh Management.

    3. Pada halaman Mesh Management, temukan instance ASM yang ingin dikonfigurasi. Klik nama instance tersebut atau pilih Manage di kolom Actions.

    4. Pada halaman detail instance ASM, pilih Data Plane Component Management > Sidecar Proxy Setting di panel navigasi di sebelah kiri.

    5. Konfigurasikan kebijakan pemblokiran untuk proxy sidecar di tingkat global atau namespace.

      • Global level

        1. Pada halaman Sidecar Proxy Setting, klik tab global.

        2. Klik ikon Istio代理 di sebelah kiri Enable/Disable Sidecar Proxy by Ports or IP Addresses, atur parameter Addresses to Which External Access Is Not Redirected to Sidecar Proxy menjadi 47.XX.XX.144/32, lalu klik Update Settings.

      • Namespace level

        1. Pada halaman Sidecar Proxy Setting, klik tab Namespace.

        2. Di tab Namespace, pilih default dari daftar drop-down Namespace. Klik ikon Istio代理 di sebelah kiri Enable/Disable Sidecar Proxy by Ports or IP Addresses, atur parameter Addresses to Which External Access Is Not Redirected to Sidecar Proxy menjadi 47.XX.XX.144/32, lalu klik Update Settings.

    6. Mulai ulang pod agar pengaturan proxy sidecar diterapkan.

      1. Masuk ke Konsol ACK. Di panel navigasi di sebelah kiri, klik Clusters.

      2. Pada halaman Clusters, temukan cluster yang diinginkan dan klik namanya. Di panel sebelah kiri, pilih Workloads > Pods.

      3. Pada halaman Pods, temukan pod yang ingin dihapus dan pilih More > Delete di kolom Actions.

      4. Di kotak dialog yang muncul, klik OK.

        Tunggu hingga pod dimulai ulang. Pengaturan akan diterapkan setelah pod dimulai ulang.

    Metode 2: Konfigurasikan kebijakan pemblokiran untuk proxy sidecar di konsol ACK

    Deployment digunakan dalam contoh ini. Anotasi ditambahkan ke file YAML pod untuk mengonfigurasi kebijakan pemblokiran untuk proxy sidecar. Untuk informasi lebih lanjut, lihat Konfigurasikan Proxy Sidecar dengan Menambahkan Anotasi Sumber Daya.

    1. Masuk ke Konsol ACK. Di panel navigasi di sebelah kiri, klik Clusters.

    2. Pada halaman Clusters, temukan cluster yang ingin dikelola dan klik namanya. Di panel sebelah kiri, pilih Workloads > Deployments.

    3. Pada halaman Deployments, klik nama aplikasi yang ingin dikelola.

    4. Di pojok kanan atas halaman detail aplikasi, klik View in YAML.

    5. Di kotak dialog Edit YAML, tambahkan konten berikut ke parameter spec.template.metadata dan klik Update.

      annotations:
  traffic.sidecar.istio.io/excludeOutboundIPRanges: 47.XX.XX.144/32

      Konfigurasi Blok CIDR Tertentu agar Tidak Melewati Proxy Sidecar

    6. Mulai ulang pod agar pengaturan proxy sidecar diterapkan.

      1. Masuk ke Konsol ACK. Di panel navigasi di sebelah kiri, klik Clusters.

      2. Pada halaman Clusters, temukan cluster yang diinginkan dan klik namanya. Di panel sebelah kiri, pilih Workloads > Pods.

      3. Pada halaman Pods, temukan pod yang ingin dihapus dan pilih More > Delete di kolom Actions.

      4. Di kotak dialog yang muncul, klik OK.

        Tunggu hingga pod dimulai ulang. Pengaturan akan diterapkan setelah pod dimulai ulang.

    Verifikasi hasil

    Anda dapat memilih REGISTRY_ONLY sebagai Outbound Traffic Policy pada halaman Pengaturan Proxy Sidecar. Dengan cara ini, Anda dapat memeriksa apakah trafik melewati proxy sidecar. Dalam mode REGISTRY_ONLY, jika trafik melewati proxy sidecar, akses ke blok CIDR tujuan diblokir. Jika trafik tidak melewati proxy sidecar, akses berhasil.

    1. Masuk ke Konsol ASM. Buka halaman Sidecar Proxy Setting dan klik tab global.

    2. Klik ikon Istio代理 di sebelah kiri Outbound Traffic Policy, pilih REGISTRY_ONLY sebagai Kebijakan Trafik Arah Keluar, lalu klik Update Settings.

    3. Jalankan perintah berikut untuk mengakses URL http://47.XX.XX.144/productpage:

      curl -I http://47.XX.XX.144/productpage

      Output yang diharapkan: Konfigurasi Kebijakan Intersepsi SidecarSetelah Anda mengonfigurasi pengaturan untuk mengizinkan trafik yang diteruskan ke blok CIDR 47.XX.XX.144/32 melewati proxy sidecar, akses ke URL http://47.XX.XX.144/productpage berhasil. Anda dapat menentukan blok CIDR ke mana trafik diteruskan untuk melewati proxy sidecar sesuai dengan kebutuhan bisnis Anda.