全部产品
Search

搜索本产品

    Alibaba Cloud Service Mesh:Ikhtisar manajemen trafik egress

    文档中心

    Alibaba Cloud Service Mesh:Ikhtisar manajemen trafik egress

    更新时间:Dec 02, 2025

    Service Mesh (ASM) menyediakan solusi fleksibel dan efisien untuk manajemen trafik egress yang menjamin keamanan, observabilitas, dan keandalan aplikasi. Topik ini menjelaskan fitur manajemen trafik egress ASM serta manfaat penggunaan egress gateway ASM.

    Kemampuan manajemen traffic egress yang lengkap

    ASM menyediakan berbagai fitur untuk mengelola trafik egress Lapisan 7 yang terkait dengan routing trafik, observabilitas, dan keamanan. Anda dapat mengonfigurasi fitur-fitur tersebut sesuai kebutuhan.

    Catatan

    Jika aplikasi langsung memulai Permintaan HTTPS, proxy sidecar hanya dapat memprosesnya sebagai trafik TLS normal, sehingga fitur Lapisan 7 ASM tidak akan berlaku. Oleh karena itu, pastikan permintaan yang dikirim oleh aplikasi adalah permintaan teks biasa HTTP. ASM secara otomatis meneruskan permintaan HTTP ke layanan eksternal atau mengonversinya menjadi permintaan HTTPS berdasarkan konfigurasi Anda.

    Pengalihan Trafik

    Untuk mengakses layanan HTTP di luar kluster, Anda perlu mengonfigurasi entri layanan yang sesuai dalam service mesh. Hal ini memungkinkan Anda memanfaatkan fitur-fitur lanjutan dalam virtual service, seperti traffic mirroring egress dan routing trafik egress berdasarkan rasio. Jika Anda mengakses layanan yang menggunakan protokol HTTPS, Anda juga harus mengonfigurasi DestinationRule. Fitur routing trafik ini tidak memerlukan egress gateway ASM.

    Pengamatan Trafik Egress

    Untuk permintaan teks biasa, Anda dapat mengamati trafik egress menggunakan log, metrik, dan analisis tracing tanpa konfigurasi tambahan. Jika trafik permintaan harus dienkripsi, Anda hanya perlu mengonfigurasi entri layanan dan DestinationRule. Saat aplikasi memulai permintaan teks biasa, sidecar secara otomatis mengenkripsi trafik sebelum meneruskannya, sehingga Anda dapat memanfaatkan kemampuan observabilitas penuh dari mesh. Fitur ini tidak memerlukan egress gateway ASM.

    Autentikasi/otorisasi traffic egress

    ASM juga menyediakan kemampuan autentikasi dan otorisasi yang kuat untuk trafik egress. Anda dapat menerapkan fitur keamanan lanjutan di ASM, seperti memverifikasi Token Web JSON (JWT) dari trafik egress dan membatasi akses dari klien tertentu berdasarkan metadata permintaan Lapisan 7 atau Lapisan 4. Fitur-fitur ini memerlukan egress gateway ASM. Untuk informasi selengkapnya, lihat Model keamanan untuk trafik egress.

    Model keamanan untuk trafik egress

    Untuk trafik TCP murni (trafik non-HTTP dan non-TLS), Anda dapat menggunakan kebijakan jaringan Kubernetes native untuk meningkatkan keamanan.

    Tindakan default

    Tindakan default adalah ALLOW_ANY, yang berarti proxy sidecar tidak memberlakukan batasan apa pun pada trafik egress. Dalam hal ini, perilaku trafik egress sepenuhnya tidak terkendali, dengan tingkat keamanan paling rendah.

    REGISTRY_ONLY

    Jika Anda mengaktifkan REGISTRY_ONLY, aplikasi hanya dapat mengakses layanan yang telah didaftarkan melalui entri layanan.

    Karena pemilik aplikasi memiliki izin untuk mengubah konfigurasi pod aplikasi, mereka dapat menggunakan berbagai metode untuk membuat trafik egress melewati proxy sidecar. Jika suatu permintaan melewati proxy sidecar, pembatasan akses REGISTRY_ONLY menjadi tidak berlaku, sehingga aplikasi dapat mengakses layanan eksternal tanpa batasan. Oleh karena itu, REGISTRY_ONLY tidak dianggap sebagai kebijakan keamanan yang valid.

    Selain itu, solusi ini hanya dapat membatasi akses ke layanan eksternal untuk beban kerja dalam namespace tertentu dan tidak dapat memberikan kontrol detail halus untuk beban kerja tertentu.

    REGISTRY_ONLY dan gateway egress

    Egress gateway dapat berfungsi sebagai batas keamanan yang ideal. Sebagai penerapan terpisah, egress gateway sepenuhnya dikendalikan oleh administrator mesh. Pemilik aplikasi tidak dapat mengontrol egress gateway atau kebijakan keamanannya secara langsung.

    Selain itu, Anda harus memastikan bahwa hanya node tempat egress gateway diterapkan yang dapat mengakses layanan eksternal, sedangkan node lain tidak dapat. Pod aplikasi tidak boleh mengakses internet secara langsung. Agar trafik berhasil dikirim ke layanan eksternal, pemilik aplikasi harus memastikan bahwa trafik egress aplikasi diproses oleh proxy sidecar lalu diteruskan ke egress gateway.

    Setelah trafik diteruskan secara transparan ke gateway egress:

    1. Anda dapat mengonfigurasi kebijakan otorisasi pada gateway egress untuk mengimplementasikan otorisasi granular atau otorisasi kustom.

    2. Jika layanan yang ingin Anda akses adalah layanan HTTPS, Anda dapat mengonfigurasi peningkatan HTTP-to-HTTPS pada gateway egress. Gateway egress secara otomatis mengelola koneksi HTTPS dan dapat memultiplex koneksi HTTPS di seluruh beban kerja untuk meningkatkan kinerja.

    Penggunaan bersama Cloud Firewall

    Saat Anda menggunakan Cloud Firewall untuk membatasi secara ketat trafik outbound dari VPC atau NAT Gateway, Anda harus menetapkan rentang alamat IP tetap dan dapat diprediksi untuk pod egress gateway ASM, lalu menambahkan rentang alamat IP tersebut ke daftar putih dalam kebijakan firewall.

    Untuk mencapai hal ini, pastikan pod egress gateway menggunakan segmen alamat IP independen dan eksklusif. Di kluster Alibaba Cloud ACK, Anda dapat menggunakan salah satu dari dua metode berikut:

    1. Gunakan Terway Container Network Interface (CNI) untuk menetapkan alamat IP tetap ke pod (Direkomendasikan).

      Jika kluster ACK Anda menggunakan mode jaringan Terway, Anda dapat memanfaatkan kemampuan natifnya untuk menetapkan alamat IP tetap ke pod egress gateway serta mengaitkannya dengan virtual switch dan security group independen. Ini merupakan solusi yang paling langsung dan ringkas. Untuk informasi selengkapnya, lihat Konfigurasikan alamat IP tetap, virtual switch independen, dan security group untuk pod.

    2. Gunakan jaringan host (HostNetwork) untuk menetapkan alamat IP tetap ke pod secara tidak langsung.

      Jika Anda tidak dapat menggunakan metode pertama, ikuti langkah-langkah berikut untuk menetapkan alamat IP node secara tidak langsung ke pod egress gateway:

      • Buat kelompok node eksklusif: Buat kelompok node khusus untuk egress gateway. Pastikan rentang alamat IP kelompok node ini tidak tumpang tindih dengan rentang alamat IP pod aplikasi lain di kluster. Untuk informasi selengkapnya, lihat Buat dan kelola kelompok node.

      • Tambahkan taint node: Tambahkan taint ke semua node dalam kelompok node ini untuk mencegah pod lain dijadwalkan ke node tersebut.

      • Konfigurasikan egress gateway: Ubah konfigurasi penerapan egress gateway untuk:

        • Mengaktifkan mode jaringan host (hostNetwork: true).

        • Menambahkan toleransi yang sesuai untuk mencocokkan taint dari kelompok node khusus.

        • Mengonfigurasi afinitas untuk memastikan pod dijadwalkan ke kelompok node eksklusif ini.

        Setelah konfigurasi ini selesai, pod egress gateway menggunakan alamat IP nodenya sebagai alamat IP egress. Selanjutnya, Anda dapat menambahkan segmen alamat IP kelompok node eksklusif tersebut ke daftar putih Cloud Firewall.

    Referensi

    Gunakan kebijakan trafik egress yang disediakan oleh ASM untuk dengan cepat mengonfigurasi aturan trafik guna menggunakan gateway egress untuk mengakses layanan di luar kluster. Untuk informasi lebih lanjut, lihat Gunakan Kebijakan Trafik Egress untuk Mengelola Trafik Egress.