Buat gateway egress untuk mengonsentrasikan traffic outbound - Alibaba Cloud Service Mesh

Jika aplikasi Anda memerlukan egress terpusat untuk lalu lintas Internet atau jaringan internal, Anda dapat menerapkan gateway egress Service Mesh (ASM) di kluster Kubernetes. Sebagai egress terpusat, gateway egress menyederhanakan pengelolaan dan pengarahan lalu lintas layanan eksternal dalam kluster.

Prasyarat

Kluster Container Service for Kubernetes (ACK) telah ditambahkan ke instance ASM Anda. Untuk informasi lebih lanjut, lihat The cluster is added to the ASM instance..

Prosedur

Masuk ke Konsol ASM. Di panel navigasi kiri, pilih Service Mesh > Mesh Management.
Di halaman Mesh Management, klik nama instance ASM. Di panel navigasi kiri, pilih ASM Gateways > Egress Gateway.

Di halaman Egress Gateway, klik Create. Di halaman Buat, konfigurasikan parameter gateway egress.

Tabel berikut menjelaskan parameter tersebut. Anda juga dapat mengklik Create from YAML di halaman Egress Gateway untuk mendefinisikan gateway egress. Untuk informasi lebih lanjut, lihat Buat dan kelola gateway egress menggunakan API Kubernetes.

Parameter	Deskripsi
Name	Nama gateway egress.
Cluster	Kluster tempat Anda ingin menerapkan gateway ingress.
Port Mapping	Port yang perlu diekspos oleh layanan. Atur Protocol dan Service Port. Catatan Secara default, dua port yang sering digunakan muncul di konsol. Anda dapat mempertahankan atau menghapus port default ini atau menambahkan port sesuai kebutuhan.
Resources Limits	Spesifikasi CPU dan memori untuk pod gateway ingress.
Gateway instances	Jumlah replika pod untuk gateway egress.

(Opsional) Klik Advanced Options dan konfigurasikan parameter yang dijelaskan dalam tabel berikut.

Parameter	Deskripsi
HPA	Menentukan apakah akan mengaktifkan fitur Horizontal Pod Autoscaler (HPA). Jika Anda memilih HPA untuk mengaktifkan fitur ini, konfigurasikan parameter berikut: metrics: Atur Monitoring items dan Threshold. Jika nilai metrik melebihi ambang batas yang ditentukan, jumlah replika pod bertambah untuk gateway ingress. Jika nilai metrik berada di bawah ambang batas yang ditentukan, jumlah replika pod berkurang untuk gateway ingress. Jika Anda menentukan ambang batas untuk utilisasi CPU dan penggunaan memori, kedua ambang batas tersebut berlaku. Dalam kasus ini, jika utilisasi CPU atau penggunaan memori melebihi atau berada di bawah ambang batas yang ditentukan, gateway egress diperbesar atau diperkecil sesuai dengan itu. Maximum replicas: jumlah maksimum replika pod untuk gateway ingress. Minimum number of replicas: jumlah minimum replika pod untuk gateway ingress. Catatan Fitur ini hanya tersedia untuk instance ASM Edisi Enterprise atau Ultimate Edition.
Rolling Upgrade	Menentukan apakah akan mengaktifkan fitur pembaruan bertahap. Jika Anda memilih Rolling Upgrade untuk mengaktifkan fitur ini, konfigurasikan parameter berikut: Maximum number of unavailable instances: jumlah maksimum replika pod yang dapat tidak tersedia selama pembaruan bertahap. Ini memastikan sejumlah pod tetap dapat memberikan layanan selama pembaruan. Exceeding the desired number of instances: jumlah maksimum replika pod yang dapat dibuat melebihi jumlah replika pod yang diharapkan selama pembaruan bertahap. Misalnya, jika Anda mengatur parameter ini ke 25%, jumlah replika pod selama pembaruan bertahap tidak dapat melebihi 125% dari jumlah replika pod yang diharapkan.
Deploy ASM Gateway replicas as widely as possible	Ketika `podAntiAffinity` diatur untuk gateway ingress, pod gateway diprioritaskan untuk diterapkan di node yang berbeda.
Custom Deployment Policy	Anda dapat mengonfigurasi bidang `nodeSelector`, `tolerations`, dan `affinity` untuk gateway ASM. Untuk informasi lebih lanjut tentang bidang-bidang ini, lihat Bidang CRD untuk gateway ASM.
Support two-way TLS authentication	Jika Anda memilih Support two-way TLS authentication, proxy sidecar yang disuntikkan ke pod layanan dan gateway egress saling mengotentikasi menggunakan TLS. Ini meningkatkan keamanan. Anda dapat mengonfigurasi kebijakan akses untuk lalu lintas keluar berdasarkan kebijakan otorisasi dan identitas yang diverifikasi menggunakan mutual TLS. Penting Pod yang tidak disuntik dengan proxy sidecar tidak dapat mengakses layanan eksternal menggunakan gateway egress.

Klik Create.
Jika status gateway ingress adalah Running, gateway ingress telah dibuat. Service address adalah alamat IP gateway egress.

Operasi terkait

Setelah gateway egress dibuat, Anda dapat masuk ke Konsol ASM untuk mengelola gateway egress atau masuk ke Konsol ACK untuk melihatnya.

Masuk ke konsol ASM untuk mengelola gateway egress

Setelah gateway egress dibuat, Anda dapat masuk ke Konsol ASM untuk melihat, mengedit, atau menghapus gateway egress.

Masuk ke Konsol ASM. Di panel navigasi kiri, pilih Service Mesh > Mesh Management.
Di halaman Mesh Management, klik nama instance ASM. Di panel navigasi kiri, pilih ASM Gateways > Egress Gateway.

Di halaman Egress Gateway, kelola gateway egress sesuai kebutuhan.

Operasi	Deskripsi
Lihat atau edit gateway egress	Metode 1: Temukan gateway egress dan klik View Details. Di halaman Gateway Details, klik ikon di samping parameter yang ingin Anda ubah, modifikasi pengaturan parameter, lalu klik Submit. Metode 2: Temukan gateway egress dan klik YAML. Di kotak dialog Edit, modifikasi konfigurasi YAML, lalu klik OK.
Hapus gateway egress	Temukan gateway egress, klik Delete. Di pesan yang muncul, klik OK. Penting Setelah gateway egress dihapus, layanan internal instance ASM tidak dapat mengakses layanan eksternal menggunakan gateway egress. Berhati-hatilah saat melakukan operasi ini.

Masuk ke konsol ACK untuk melihat gateway egress

Lihat informasi dasar tentang gateway egress.
1. Masuk ke Konsol ACK. Di panel navigasi kiri, klik Clusters.
2. Di halaman Clusters, temukan kluster yang diinginkan dan klik namanya. Di panel kiri, pilih Network > Services.
3. Di bagian atas halaman Services, pilih istio-system dari daftar drop-down Namespace.
  Anda dapat melihat informasi dasar tentang gateway egress. Anda juga dapat mengklik nama gateway egress untuk melihat informasi detail.
Lihat informasi pod gateway egress.
1. Di panel navigasi kiri halaman detail, pilih Workloads > Pods.
2. Di bagian atas halaman Pods, pilih istio-system dari daftar drop-down Namespace.
3. Klik pod tujuan untuk melihat detail pod gateway egress.

Referensi

Untuk informasi lebih lanjut tentang cara membuat gateway egress dengan memanggil operasi API, lihat CreateASMGateway.
Anda dapat menggunakan gateway egress sebagai egress terpusat untuk layanan eksternal. Selain itu, Anda dapat menggunakan kemampuan observabilitas dan keamanan yang disediakan oleh ASM pada gateway untuk mengelola lalu lintas keluar lebih efisien. Untuk informasi lebih lanjut, lihat Konfigurasikan gateway egress untuk merutekan semua lalu lintas keluar di ASM, Observabilitas, dan Keamanan lalu lintas dan pemuatan sertifikat dinamis.
Anda dapat menggunakan bidang CustomResourceDefinition (CRD) ASMEgressTrafficPolicy untuk menyesuaikan cara mengelola lalu lintas keluar menggunakan gateway egress. Untuk informasi lebih lanjut, lihat Gunakan kebijakan lalu lintas egress untuk mengelola lalu lintas egress.
Untuk informasi lebih lanjut tentang fitur gateway ASM, lihat Ikhtisar gateway ASM.