我目前正在GKE上通过两个Ingress网关使用Istio 1.2.2。
我想知道控制目的地(例如RBAC,白名单,NetworkPolicy等)流量的最佳/推荐方式是与GKE群集和命名空间相同:
Public Users(0.0.0.0/0) —> GCP_TPC_LB_01(external-ip-01) —> GKE Cluster —> Istio_GW_01 —> VirtualService_SVC_01 —> K8S_SVC_01
Private Users(1.2.3.4/28) —> GCP_TPC_LB_02(external-ip-02) —> GKE Cluster —> Istio_GW_02 —> VirtualService_SVC_02 —> K8S_SVC_02
如果我在GCP_TPC_LB_01上创建允许0.0.0.0/0进入的防火墙规则,它也会允许GCP_TPC_LB_02。
我想念什么?
我使用头盔模板进行安装:
helm template install/kubernetes/helm/istio --name istio
–set grafana.enabled=true
–set prometheus.enabled=true
–set tracing.enabled=true
–set kiali.enabled=true
–set “kiali.dashboard.jaegerURL=xyz.com”
–set “kiali.dashboard.grafanaURL=xyz.com”
–set gateways.istio-ingressgateway.sds.enabled=true
–set gateways.istio-ingressgateway.loadBalancerIP=“my external ip”
–set gateways.istio-ingressgateway.loadBalancerSourceRanges={“0.0.0.0/0”}
–set global.proxy.accessLogFile="/dev/stdout"
–namespace istio-system
–values …istio-ingressgateway02.yaml > output.yaml