Istio 常见问题 - 集群内无法访问外部服务

原文：https://makeoptim.com/istio-faq/accessing-external-services

现象
原因
方法
- 方法一
- 方法二
  - 允许访问外部 HTTP 服务
  - 允许访问外部 HTTPS 服务
  - 管理到外部服务的流量
- 方法三
  - 直接访问外部服务
    - 确定平台内部的 IP 范围
      - 阿里云（AKS）
      - IBM Cloud Private
      - IBM Cloud Kubernetes Service
      - Google Container Engine (GKE)
      - Azure Container Service(ACS)
      - Minikube, Docker For Desktop, Bare Metal
    - 配置代理绕行
    - 访问外部服务
总结
参考

现象

集群内无法访问外部服务。

在集群中部署 sleep

kubectl apply -f samples/sleep/sleep.yaml

设置环境变量

export SOURCE_POD=$(kubectl get pod -l app=sleep -o jsonpath={.items..metadata.name})

访问外网服务

$ kubectl exec -it $SOURCE_POD -c sleep -- curl http://www.baidu.com

$ kubectl exec -it $SOURCE_POD -c sleep -- curl -I https://www.baidu.com | grep  "HTTP/"
command terminated with exit code 35

进入 sleep 容器，执行 curl http://www.baidu.com，无数据返回；执行 curl -I https://www.baidu.com 也访问失败。这种现象就是集群内无法访问外部服务。

原因

由于默认情况下，来自 Istio-enable Pod 的所有出站流量都会重定向到其 Sidecar 代理，群集外部 URL 的可访问性取决于代理的配置。默认情况下，Istio 将 Envoy 代理配置为允许传递未知服务的请求。但这不是 Istio 推荐的做法，因此，服务商或者其他安装配置可能会修改默认设置为不允许传递未知服务的请求。

当遇到集群内无法访问外部服务时，可运行以下命令检查 Sidecar 的代理配置，查看是否允许传递未知服务的请求。

$ kubectl get configmap istio -n istio-system -o yaml | grep -o "mode: ALLOW_ANY"
mode: ALLOW_ANY
mode: ALLOW_ANY

# 或者

$ kubectl get configmap istio -n istio-system -o yaml | grep -o "mode: REGISTRY_ONLY"
mode: REGISTRY_ONLY
mode: REGISTRY_ONLY

如果命令输出有 mode: ALLOW_ANY 表示 Istio 代理允许调用未知的服务；如果命令输出有 mode: REGISTRY_ONLY 那么 Istio 代理会阻止任何没有在网格中定义的 HTTP 服务或 service entry 的主机。

方法

如果是因为 Istio 的配置项为 mode: REGISTRY_ONLY 而导致集群内无法访问外部服务。可有以下三种访问外部服务的方法：

方法一：修改配置为 mode: ALLOW_ANY 以允许 Sidecar 将请求传递到未在网格内配置过的服务。
方法二：配置 ServiceEntry 以提供对外部服务的受控访问。
方法三：对于特定范围的 IP，完全绕过 Envoy 代理。

方法一

运行以下命令，修改配置为 mode: ALLOW_ANY

$ kubectl get configmap istio -n istio-system -o yaml | sed 's/mode: REGISTRY_ONLY/mode: ALLOW_ANY/g' | kubectl replace -n istio-system -f -
configmap/istio replaced

验证配置

$ kubectl get configmap istio -n istio-system -o yaml | grep -o "mode: ALLOW_ANY"
mode: ALLOW_ANY
mode: ALLOW_ANY

重启部署

$ kubectl rollout restart deployment sleep
deployment.extensions/sleep restarted

访问外部服务

$ export SOURCE_POD=$(kubectl get pod -l app=sleep -o jsonpath={.items..metadata.name})

$ kubectl exec -it $SOURCE_POD -c sleep -- curl http://www.baidu.com

......
京ICP证030173号

$ kubectl exec -it $SOURCE_POD -c sleep -- curl http://httpbin.org/headers { "headers": { "Accept": "*/*", "Content-Length": "0", "Host": "httpbin.org", "User-Agent": "curl/7.64.0", "X-Amzn-Trace-Id": "Root=1-5e89e3ba-e22faf007e305d9897cddf1e", "X-B3-Sampled": "1", "X-B3-Spanid": "338f3faa38eb194e", "X-B3-Traceid": "d0ff4841f30240b2338f3faa38eb194e", "X-Envoy-Decorator-Operation": "httpbin.org:80/*", "X-Envoy-Peer-Metadata": "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", "X-Envoy-Peer-Metadata-Id": "sidecar~10.1.0.245~sleep-c69d96c9c-2fxzd.default~default.svc.cluster.local" } }

1 2 $ kubectl logs $SOURCE_POD -c istio-proxy | tail [2020-04-05T13:57:13.948Z] "GET /headers HTTP/1.1" 200 - "-" "-" 0 1117 629 628 "-" "curl/7.64.0" "d94cc283-11ef-949c-8ba0-d948ad5785ab" "httpbin.org" "52.202.2.199:80" outbound|80||httpbin.org 10.1.0.245:48116 34.230.193.231:80 10.1.0.245:56246 - default

$ kubectl exec -it $SOURCE_POD -c sleep -- curl -I https://httpbin.org/headers HTTP/2 200 date: Sun, 05 Apr 2020 14:10:25 GMT content-type: application/json content-length: 173 server: gunicorn/19.9.0 access-control-allow-origin: * access-control-allow-credentials: true

$ kubectl logs $SOURCE_POD -c istio-proxy | tail [2020-04-05T14:10:23.939Z] "- - -" 0 - "-" "-" 941 5597 1695 - "-" "-" "-" "-" "3.232.168.170:443" outbound|443||httpbin.org 10.1.0.245:36844 3.232.168.170:443 10.1.0.245:36838 httpbin.org -

$ kubectl delete serviceentry baidu-ext httpbin-ext httpbin-https-ext serviceentry.networking.istio.io "baidu-ext" deleted serviceentry.networking.istio.io "httpbin-ext" deleted serviceentry.networking.istio.io "httpbin-https-ext" deleted $ kubectl delete virtualservice httpbin-ext --ignore-not-found=true virtualservice.networking.istio.io "httpbin-ext" deleted

$ kubectl delete deployment sleep deployment.extensions "sleep" deleted $ kubectl apply -f samples/sleep/sleep.yaml serviceaccount/sleep unchanged service/sleep unchanged deployment.apps/sleep created

$ export SOURCE_POD=$(kubectl get pod -l app=sleep -o jsonpath={.items..metadata.name}) $ kubectl exec -it $SOURCE_POD -c sleep curl http://httpbin.org/headers { "headers": { "Accept": "*/*", "Host": "httpbin.org", "User-Agent": "curl/7.64.0", "X-Amzn-Trace-Id": "Root=1-5e89f4e2-524fd7a41c99025a43c403ce" } }

总结

本文先介绍了集群内无法访问外部服务的现象，然后阐述了该现象的原因，最后提供了三个方法供大家选用。

方法一通过修改 Istio sidecar 代理配置为 mode: ALLOW_ANY 以允许访问外部服务。使用这种方法时，你将无法监控对外部服务的访问或无法利用 Istio 的流量控制功能。

方法二通过添加 ServiceEntry，以允许访问外部服务。可以让你使用 Istio 服务网格所有的功能去调用集群内或集群外的服务，这是官方推荐的方法。

方法三直接绕过了 Istio Sidecar 代理，使你的服务可以直接访问任意的外部服务。但是，以这种方式配置代理需要了解集群提供商相关知识和配置。与方法一类似，你也将失去对外部服务访问的监控，并且无法将 Istio 功能应用于外部服务的流量。

方法二的做法类似于“白名单”，不但能达到访问外部服务的目的，并且可以像集群内部服务一样对待（可使用 Istio 的流量控制功能）。另外，即使服务受到入侵，由于“白名单”的设置入侵者也无法（或较难）将流量回传到入侵机器，进一步保证了服务的安全性。因此，强烈推荐大家使用方法二。

最后，特别提醒一下大家。某些教程，如Istio 服务无法访问外网，开放外网权限将 includeOutboundIPRanges 设置为空是有问题的，这相当于将所有的服务都配置代理绕行，那 sidecar 就没起作用了，没了 sidecar 的 Istio 就没有灵魂了。。

Istio 常见问题 - 集群内无法访问外部服务

现象

原因

方法

方法一

方法二

允许访问外部 HTTP 服务

允许访问外部 HTTPS 服务

管理到外部服务的流量

方法三

直接访问外部服务

确定平台内部的 IP 范围

阿里云（AKS）

IBM Cloud Private

IBM Cloud Kubernetes Service

Google Container Engine (GKE)

Azure Container Service(ACS)

Minikube, Docker For Desktop, Bare Metal

配置代理绕行

访问外部服务

总结

参考

你可能感兴趣的:(Istio 常见问题 - 集群内无法访问外部服务)