アプリケーションがインターネットまたは内部ネットワーク トラフィックの集中型出口を必要とする場合は、Kubernetes クラスタにサービスメッシュ(ASM)出口ゲートウェイをデプロイできます。集中型出口として、出口ゲートウェイはクラスタ内の外部サービス トラフィックの管理とルーティングを簡素化できます。
前提条件
コンテナサービス Kubernetes 版(ACK)クラスタが ASM インスタンスに追加されています。詳細については、「ASM インスタンスへのクラスタの追加」をご参照ください。
手順
ASM コンソール にログインします。左側のナビゲーション ペインで、 を選択します。
[メッシュ管理] ページで、ASM インスタンスの名前をクリックします。左側のナビゲーション ペインで、 を選択します。
[出口ゲートウェイ] ページで、[作成] をクリックします。作成ページで、出口ゲートウェイのパラメータを設定します。
次の表でパラメータについて説明します。[出口ゲートウェイ] ページで [YAML から作成] をクリックして、出口ゲートウェイを定義することもできます。詳細については、「Kubernetes API を使用して出口ゲートウェイを作成および管理する」をご参照ください。
パラメータ
説明
名前
出口ゲートウェイの名前。
クラスタ
イングレス ゲートウェイをデプロイするクラスタ。
ポートマッピング
サービスが公開する必要のあるポート。[プロトコル] と [サービスポート] を設定します。
説明デフォルトでは、コンソールに一般的に使用される 2 つのポートが表示されます。必要に応じて、デフォルトのポートを保持または削除したり、ポートを追加したりできます。
リソース制限
イングレス ゲートウェイのポッドの CPU とメモリの仕様。
ゲートウェイインスタンス
出口ゲートウェイのポッド レプリカの数。
(オプション)[詳細オプション] をクリックし、次の表に記載されているパラメータを設定します。
パラメータ
説明
HPA
Horizontal Pod Autoscaler(HPA)機能を有効にするかどうかを指定します。[HPA] を選択してこの機能を有効にする場合は、次のパラメータを設定します。
metrics:[監視項目] と [しきい値] を設定します。メトリック値が指定されたしきい値を超えると、イングレス ゲートウェイのポッド レプリカの数が増加します。メトリック値が指定されたしきい値を下回ると、イングレス ゲートウェイのポッド レプリカの数が減少します。
CPU 使用率としきい値の使用量にしきい値を指定した場合、両方のしきい値が有効になります。この場合、CPU 使用率またはメモリの使用量が指定されたしきい値を超えるか下回ると、出口ゲートウェイのサイズがそれに応じて変更されます。
最大レプリカ数:イングレス ゲートウェイのポッド レプリカの最大数。
最小レプリカ数:イングレス ゲートウェイのポッド レプリカの最小数。
説明この機能は、Enterprise Edition または Ultimate Edition の ASM インスタンスでのみ使用できます。
ローリングアップグレード
ローリング アップデート機能を有効にするかどうかを指定します。[ローリングアップグレード] を選択してこの機能を有効にする場合は、次のパラメータを設定します。
使用不可インスタンスの最大数:ローリング アップデート中に使用不可にすることができるポッド レプリカの最大数。これにより、アップデート中に一定数のポッドがサービスを提供できるようになります。
必要なインスタンス数を超過:ローリング アップデート中に、想定されるポッド レプリカ数を超えて作成できるポッド レプリカの最大数。たとえば、このパラメータを 25% に設定すると、ローリング アップデート中のポッド レプリカの数は、想定されるポッド レプリカ数の 125% を超えることはできません。
ASM ゲートウェイレプリカをできるだけ広くデプロイする
イングレス ゲートウェイに
podAntiAffinityが設定されている場合、ゲートウェイ ポッドは優先的に異なるノードにデプロイされます。カスタムデプロイメントポリシー
ASM ゲートウェイの
nodeSelector、tolerations、affinityフィールドを設定できます。これらのフィールドの詳細については、「ASM ゲートウェイの CRD フィールド」をご参照ください。双方向 TLS 認証をサポート
[双方向 TLS 認証をサポート] を選択すると、サービス ポッドに挿入されたサイドカー プロキシと出口ゲートウェイが TLS を使用して相互に認証します。これにより、セキュリティが向上します。相互 TLS を使用して検証された ID と承認ポリシーに基づいて、送信トラフィックのアクセス ポリシーを設定できます。
重要サイドカー プロキシが挿入されていないポッドは、出口ゲートウェイを使用して外部サービスにアクセスできません。
[作成] をクリックします。
イングレス ゲートウェイのステータスが [実行中] の場合、イングレス ゲートウェイが作成されます。[サービスアドレス] は、出口ゲートウェイの IP アドレスです。
関連操作
出口ゲートウェイが作成された後、ASM コンソールにログインして出口ゲートウェイを管理できます。また、ACK コンソールにログインして出口ゲートウェイを表示することもできます。
ASM コンソールにログインして出口ゲートウェイを管理する
出口ゲートウェイが作成された後、ASM コンソールにログインして、出口ゲートウェイを表示、編集、または削除できます。
ASM コンソール にログインします。左側のナビゲーション ペインで、 を選択します。
[メッシュ管理] ページで、ASM インスタンスの名前をクリックします。左側のナビゲーション ペインで、 を選択します。
[出口ゲートウェイ] ページで、必要に応じて出口ゲートウェイを管理します。
操作
説明
出口ゲートウェイの表示または編集
方法 1:
出口ゲートウェイを見つけて、[詳細の表示] をクリックします。
[ゲートウェイの詳細] ページで、変更するパラメータの横にある
アイコンをクリックし、パラメータ設定を変更して、[送信] をクリックします。
方法 2:
出口ゲートウェイを見つけて、[YAML] をクリックします。
[編集] ダイアログ ボックスで、YAML 設定を変更し、[OK] をクリックします。
出口ゲートウェイの削除
出口ゲートウェイを見つけて、[削除] をクリックします。表示されるメッセージで、[OK] をクリックします。
重要出口ゲートウェイが削除されると、ASM インスタンスの内部サービスは、出口ゲートウェイを使用して外部サービスにアクセスできなくなります。この操作を実行する際は注意してください。
ACK コンソールにログインして出口ゲートウェイを表示する
出口ゲートウェイに関する基本情報を表示します。
ACK コンソール にログインします。左側のナビゲーション ペインで、[クラスタ] をクリックします。
[クラスタ] ページで、管理するクラスタを見つけて、その名前をクリックします。左側のペインで、 を選択します。
[サービス] ページの上部にある [名前空間] ドロップダウン リストから [istio-system] を選択します。
出口ゲートウェイに関する基本情報を表示できます。出口ゲートウェイの名前をクリックして詳細情報を表示することもできます。
出口ゲートウェイのポッド情報を表示します。
詳細ページの左側のナビゲーション ペインで、 を選択します。
[ポッド] ページの上部にある [名前空間] ドロップダウン リストから [istio-system] を選択します。
宛先ポッドをクリックして、出口ゲートウェイ ポッドの詳細を表示します。
参考資料
API 操作を呼び出して出口ゲートウェイを作成する方法の詳細については、「CreateASMGateway」をご参照ください。
外部サービスの集中型出口として出口ゲートウェイを使用できます。さらに、ゲートウェイで ASM によって提供される可観測性とセキュリティ関連の機能を使用して、送信トラフィックをより効率的に管理できます。詳細については、「ASMですべての送信トラフィックをルーティングするように出口ゲートウェイを設定する」、「可観測性」、および「トラフィックセキュリティと動的証明書のロード」をご参照ください。
ASMEgressTrafficPolicy CustomResourceDefinition(CRD)フィールドを使用して、出口ゲートウェイを使用して送信トラフィックを管理する方法をカスタマイズできます。詳細については、「出口トラフィックポリシーを使用して出口トラフィックを管理する」をご参照ください。
ASM ゲートウェイの機能の詳細については、「ASM ゲートウェイの概要」をご参照ください。