因语雀与csdn markdown 格式有区别，请查看原文：
https://www.yuque.com/dycloud/pss8ys

一、Egress Listener 流量策略

前面学习了 sidecar 自动注入原理、inbound Listener、outbound Listener 等概念，也知道了 EgressListener 的流量策略是有两个：ALLOW_ANY 和 REGISTRY_ONLY，这里来详细的学习一下这两种策略的区别

1.1 ALLOW_ANY 和 REGISTRY_ONLY 定义

ALLOW_ANY（默认模式）：允许 Pod 访问任何外部服务（不管是否在服务注册表中），对于未注册的目标，Sidecar 执行透传（Passthrough），但这些外部目标流量无法纳入到治理体系中，实施如retry、timeout和fault injection一类的功能。
REGISTRY_ONLY（限制模式）：只允许访问明确注册的服务（Kubernetes Service 或 ServiceEntry），拒绝所有未注册的外部服务（返回 HTTP 502 或者 TCP 连接错误）。

1.2 查看当前策略

Egress Listener 流量的策略配置由 Istio 的全局配置 MeshConfig 控制，配置在 istio-system 命名空间的 istio ConfigMap 中

查看当前全局策略：

[root@k8s-master01 ~]# kubectl get configmap istio -n istio-system  -o yaml 
...
outboundTrafficPolicy:mode: ALLOW_ANYegressProxy: # 可选出口代理配置
...

查看 Sidecar 级别的策略：

[root@k8s-master01 ~]# kubectl get sidecar -n app client -o yaml | grep outboundTrafficPolicy{"apiVersion":"networking.istio.io/v1beta1","kind":"Sidecar","metadata":{"annotations":{},"name":"client","namespace":"app"},"spec":{"egress":[{"hosts":["./*"],"port":{"name":"frontend","number":80,"protocol":"HTTP"}}],"outboundTrafficPolicy":{"mode":"REGISTRY_ONLY"},"workloadSelector":{"labels":{"app":"client"}}}}outboundTrafficPolicy:

1.3 修改策略配置

全局策略修改：

[root@k8s-master01 ~]# kubectl edit configmap istio -n istio-system
data:mesh: |-outboundTrafficPolicy:mode: REGISTRY_ONLY  # 修改此处
[root@k8s-master01 ~]# kubectl get configmap istio -n istio-system -o jsonpath='{.data.mesh}' | grep -A 2 outboundTrafficPolicy
outboundTrafficPolicy:mode: REGISTRY_ONLY  
accessLogFile: /dev/stdout

命名空间级覆盖

apiVersion: networking.istio.io/v1
kind: Sidecar
metadata:annotations:kubectl.kubernetes.io/last-applied-configuration: |{"apiVersion":"networking.istio.io/v1beta1","kind":"Sidecar","metadata":{"annotations":{},"name":"client","namespace":"app"},"spec":{"egress":[{"hosts":["./*"],"port":{"name":"frontend","number":80,"protocol":"HTTP"}}],"outboundTrafficPolicy":{"mode":"REGISTRY_ONLY"},"workloadSelector":{"labels":{"app":"client"}}}}creationTimestamp: "2025-08-05T07:41:14Z"generation: 2name: clientnamespace: appresourceVersion: "7432144"uid: 05872ea2-2a25-432a-b2d4-1402e555bf3c
spec:egress:- hosts:- ./*port:name: frontendnumber: 80protocol: HTTPoutboundTrafficPolicy:mode: REGISTRY_ONLYworkloadSelector:labels:app: client

1.4 ALLOW_ANY 模式详解

1.4.1 处理流程

业务容器 发起请求 external.com:80。
iptables 把流量重定向到本地 Envoy 代理（15001端口）。
Envoy 检查注册表（即 Istio 下发的集群、服务路由规则）。
- 如果目标已在注册表中（如有 ServiceEntry 或 K8s Service），走“智能路由”（可做流控、灰度、限流等）。
- 如果目标未注册，则创建 ORIGINAL_DST 集群，即透明代理：Envoy 将请求直接转发到原IP:Port（sidecar不干预，全部经过 passthrough）。
响应路径反向返回给业务容器。

这里设计到几个概念，ORIGINAL_DST 集群、TCP 协议透传，下面来学习下

1.4.2 透传（Passthrough）

当 Sidecar 代理到未注册的外部目标时，直接使用原始请求转发而不进行任何处理。

特点：

不修改请求内容（TCP 转发）
不应用任何流量策略（如重试、超时、负载均衡等）
不收集应用层指标（仅基础 TCP 指标）
类似于网络中的透明代理，只负责转发，不干预内容。
在 ORIGINAL_DST 模式下，原始报文中的 IP 和端口信息会被完整保留。

信息元素	是否保留	说明
源 IP 地址	✅ 完全保留	Pod 的实际 IP 地址
源端口	✅ 完全保留	应用程序分配的原始端口
目标 IP 地址	✅ 完全保留	应用程序指定的目标 IP
目标端口	✅ 完全保留	应用程序指定的目标端口
协议类型	✅ 完全保留	TCP/UDP 等传输层协议

透传的触发条件：

仅在 **ALLOW_ANY** 模式下生效
目标服务**未**在Istio服务注册表中注册（即不是Kubernetes Service或ServiceEntry）

1.4.3 ORIGINAL_DST 集群

**ORIGINAL_DST** 是Envoy支持的一种特殊集群类型。
当使用这种集群时，Envoy会将流量转发到**原始目标地址**（即未被iptables重定向前的目标地址）。
在Istio中，它用于处理未注册外部流量的透传。

特性	说明
目标获取	通过Linux内核的 `<font style="color:#DF2A3F;">SO_ORIGINAL_DST</font>`选项获取原始目标
负载均衡	无负载均衡，每个请求直连原始目标
协议处理	仅TCP层转发，不解析应用层协议
连接管理	不应用连接池、健康检查等高级功能

[root@k8s-master01 ~]# istioctl  proxy-config route frontend-7c55c868cf-6mpj7 -n app  --name 8080  -o yaml 
...- '*'includeRequestAttemptCount: truename: allow_anyroutes:- match:prefix: /name: allow_anyroute:cluster: PassthroughClustermaxGrpcTimeout: 0stimeout: 0s

1.5 REGISTRY_ONLY 模式详解

1.5.1 处理流程

1. **App 发起出站请求 **unregistered.com

流量被 iptables 劫持到本地 Envoy（sidecar）。

2. Envoy 检查本地服务注册表缓存

Envoy 在内存中缓存了 Istiod 下发的服务注册数据（如集群、目标域名/IP）。
分两种情况：
- 已缓存且目标注册：直接正常路由出站
- 已缓存但目标未注册：立刻返回 502 错误，不再向 Istiod 查询

3. 缓存未命中——Envoy 请求 Istiod 服务发现（xDS接口）

Envoy 没见过这个目标，向 Istiod 发起 xDS 查询，请求目标主机的配置

4. Istiod 检查 **ServiceEntry**/K8s Service

如果注册表中有目标（unregistered.com已登记）：
- 返回目标的集群信息，Envoy补全本地缓存，进入正常路由流程
如目标未注册：
- Istiod 返回“空配置”（无可达目标），Envoy 依照标准处理

5. Envoy 依实际配置处理请求

目标未注册：Envoy 返回 502（Bad Gateway）给应用层
目标已注册：Envoy 按配置发送请求，响应正常

1.5.2 BlackHoleCluster 集群

BlackHoleCluster 是 Envoy 代理中的一种特殊集群类型，在 Istio REGISTRY_ONLY 模式下有以下功能：

丢弃所有发送到该集群的流量
实现严格的出口流量控制
当目标未在 Istio 注册表中注册时才会触发。

特性	BlackHoleCluster	标准集群
端点数量	0 (空列表)	≥1
流量处理	立即丢弃	正常路由
响应类型	协议感知拒绝	成功响应
配置方式	动态生成	静态/动态
监控指标	明确拒绝计数	成功/失败统计

1.5.3 协议特定的拒绝行为

协议类型	拒绝信号	客户端表现	Wireshark 特征
HTTP/1.x	502 Bad Gateway	`<font style="color:rgb(251, 71, 135);">curl: (52) Empty reply</font>`	[RST] 包
HTTP/2	GOAWAY 帧	`<font style="color:rgb(251, 71, 135);">curl: (92) HTTP/2 stream 0 was not closed</font>`	HTTP/2 GOAWAY
HTTPS	TLS Alert	`<font style="color:rgb(251, 71, 135);">curl: (35) OpenSSL SSL_connect: SSL_ERROR_SYSCALL</font>`	TLS Alert 21
gRPC	UNAVAILABLE	`<font style="color:rgb(251, 71, 135);">status=14 UNAVAILABLE</font>`	gRPC 状态码
Raw TCP	Connection reset	`<font style="color:rgb(251, 71, 135);">connect: connection reset by peer</font>`	[RST, ACK] 包

二、ServiceEntry

2.1 ServiceEntry 定义

ServiceEntry 是将外部服务注册到 Istio 服务网格中的 CRD 资源，他可以扩展服务网格的发现范围、定义外部服务的协议和端口特性、控制网格对外部服务的访问策略等等。

ServiceEntry CR就用于向Istio内部维护的服务注册表（Registry）上手动添加注册项（即Entry）从而将那些未能自动添加至网格中的服务，以手动形式添加至网格中
向Istio的服务注册表添加一个ServiceEntry后，网格中的Envoy可以流量发送给该Service，其行为与访问网格中原有的服务并无本质上的不同；
有了ServiceEntry，用户也就能像治理网格内部流量一样来治理那些访问到网格外部的服务的流量。

2.2 ServiceEntry 功能介绍

重定向和转发访问外部目标的流量，例如哪些访问网格外部的传统服务的流量
可以为外部目标添加高级流量治理功能，如 retry（重试）、timeout（超时）、fault injection（故障注入）和 circuit breaker（熔断）等一类功能。
可以将 VM 添加到网格中，从而能够在 VM 上运行网格的服务。
可以将不同集群中的服务添加到网格中，让 k8s 配置多集群的 istio 网格。

这里需要注意点是，访问外部服务时，之前学习的 Sidecar Envoy 本身就可以支持将这些外部的流量直接通过 Passthrough 到外部的端点上，所以 ServiceEntry 并不是一个必须添加的资源。

使用 ServiceEntry 是为了能够更好的对外部流量进行 Istio 自带的高级流量治理功能，具体的治理机制还是要靠之前学习的 VirtualService 和 DestinationRule 来实现。

2.3 ServiceEntry 处理的服务类型

ServiceEntry 主要解决两类服务的集成问题：

MESH_EXTERNAL：网格外部的服务
- Kubernetes 集群外部的服务（虚拟机、物理机）
- 非 Istio 管理的 Kubernetes 命名空间中的服务
MESH_INTERNAL：网格内部但没有自动注册的服务
- 网格内运行但未注册到 istio 服务注册表的服务
- 需要特殊处理的服务端点

2.4 ServiceEntry CR 资源定义

ServiceEntry本身用于描述要引入的外部服务的属性，主要包括服务的DNS名称、IP地址、端口、协议和相关的端点等；

端点的获取方式有三种：
- DNS名称解析
- 静态指定：直接指定要使用端点
- 使用**workloadSelector**：基于标签选择器匹配Kubernetes Pod，或者由**WorkloadEntry** CR引入到网格中的外部端点

apiVersion: networking.istio.io/v1beta1
kind: ServiceEntry
metadata:name: external-service
spec:hosts:- api.external.com # 关键标识符location: MESH_EXTERNAL # 或 MESH_INTERNALports:- number: 443name: httpsprotocol: HTTPSresolution: DNS # 端点解析方式endpoints: # 静态端点列表- address: 192.168.1.10ports:https: 8443workloadSelector: # 动态端点选择器labels:app: legacy-backend

2.4.1 `hosts` 字段

作用：服务标识符，用于 VirtualService 和 DestinationRule 匹配
协议特定行为：
- HTTP 流量：匹配 Host/Authority 头
- TLS 流量：匹配 SNI（Server Name Indication）
- TCP 流量：仅通过端口匹配

示例：

hosts:
- "*.example.com" # 通配符支持
- "api.external.com"

2.4.2 `location` 类型

类型	场景	流量特征
`<font style="color:rgb(251, 71, 135);">MESH_EXTERNAL</font>`	外部API、云服务	出口流量，通常需要加密
`<font style="color:rgb(251, 71, 135);">MESH_INTERNAL</font>`	网格内未注册服务	内部流量，可应用完整网格策略

2.4.3 `resolution` 解析方式

模式	工作原理	适用场景	Envoy 等效模式
`<font style="color:rgb(251, 71, 135);">NONE</font>`	假设地址已解析	已有负载均衡器	ORIGINAL_DST
`<font style="color:rgb(251, 71, 135);">STATIC</font>`	使用endpoints字段中指定的静态IP地址作为与服务关系的实例	固定IP服务	STATIC
`<font style="color:rgb(251, 71, 135);">DNS</font>`	通过异步查询DNS来解析IP地址；类似于Envoy Cluster发现Endpoint的`<font style="color:#DF2A3F;">STRICT_DNS</font>`	动态DNS服务	STRICT_DNS
`<font style="color:rgb(251, 71, 135);">DNS_ROUND_ROBIN</font>`	通过异步查询DNS来解析IP地址，但与前者不同的是，仅在需要启动新连接时使用返回的第一个IP地址，而不依赖于DNS解析的完整结果；类似于Envoy Cluster发现Endpoint的`<font style="color:#DF2A3F;">LOGICAL_DNS</font>`	大型服务	LOGICAL_DNS

2.4.3 三种端点发现机制

静态端点示例：

endpoints:
- address: 192.168.1.10ports:https: 8443 # 覆盖服务级端口labels:env: prod
- address: 192.168.1.11ports:https: 8444

workloadSelector 示例

workloadSelector:labels:app: legacy-appenv: prod

2.5 ServiceEntry 的集成机制

2.5.1 配置生成流程

ServiceEntry之于Istio来说，其功能类似于自动发现并注册的Service对象，主要负责于网格中完成如下功能：

基于指定的端口创建Listener，若已存在相应的侦听器，则于侦听器上基于hosts的定义，生成VirtualHost
基于解析（resolution）得到的端点创建Cluster
生成Route Rule，设定侦听器将接收到的发往相应VirtualHost的流量，路由至生成的Cluster

2.5.1.1 Listener 生成

基于 ports 创建新监听器
或扩展现有监听器的 VirtualHost
示例配置：

{"name": "0.0.0.0_443","filter_chains": [{"filters": [{"name": "envoy.filters.network.http_connection_manager","typed_config": {"route_config": {"virtual_hosts": [{"name": "api.external.com:443","domains": ["api.external.com"]}]}}}]}]
}

2.5.1.2 Cluster 生成

基于 resolution 和端点信息创建

{"name": "outbound|443||api.external.com","type": "STRICT_DNS","load_assignment": {"cluster_name": "api.external.com","endpoints": [{"lb_endpoints": [{"endpoint": {"address": {"socket_address": {"address": "api.external.com","port_value": 443}}}}]}]}
}

2.5.1.3 Route 生成

将流量路由到生成的 Cluster

{"name": "api.external.com","domains": ["api.external.com"],"routes": [{"match": {"prefix": "/"},"route": {"cluster": "outbound|443||api.external.com"}}]
}

2.5.2 自定义流量管理

可自定义VirtualService修改ServiceEntry默认生成的Routes
- 通过指定的hosts（主机名）适配到要修改的Route的位置
- 路由目标配置等可按需进行定义，包括将流量路由至其它目标
可自定义DestinationRule修改ServiceEntry默认生成的Cluster
- 通过指定的hosts（主机名）适配到要修改的Cluster
- 常用于集群添加各种高级设定，例如subset、circuit breaker、 traffic policy等；

2.5.2.1 VirtualService 定制管理示例

apiVersion: networking.istio.io/v1beta1
kind: VirtualService
metadata:name: custom-api-routing
spec:hosts:- api.external.com # 匹配ServiceEntry的hostshttp:- match:- headers:x-env: exact: canaryroute:- destination:host: api.external.comsubset: canary- route:- destination:host: api.external.comsubset: stable

2.5.2.2 DestinationRule 增强示例

apiVersion: networking.istio.io/v1beta1
kind: DestinationRule
metadata:name: api-policy
spec:host: api.external.comtrafficPolicy:loadBalancer:simple: ROUND_ROBINconnectionPool:tcp:maxConnections: 100subsets:- name: canarylabels:version: v2trafficPolicy:loadBalancer:simple: LEAST_CONN- name: stablelabels:version: v1

2.6 ServiceEntry 配置案例

这里有一个详细的案例，包括多个Nginx服务部署在Docker Compose中）和一个Kubernetes集群中的客户端。客户端通过Istio的ServiceEntry访问外部Nginx服务

2.6.1 案例环境准备

1. Docker Compose 配置

运行三个Nginx服务，每个服务：

使用特定版本的Nginx镜像（1.25-alpine或1.26-alpine）
挂载自定义HTML目录（显示不同内容）
在Docker网络nginx_net（172.31.201.0/24）中有固定IP
关键：将容器80端口映射到宿主机的特定IP和端口（如 10.122.24.139:8091）

注意：宿主机的IP（10.122.24.x）是Kubernetes节点能访问的IP。

2. Kubernetes 客户端配置

Deployment：创建一个Pod，添加hostAliases将nginx.dujie.com和nginx解析到172.29.1.201（注意：这里只写了一个IP，但ServiceEntry会覆盖这个解析）
Service：为客户端Pod创建ClusterIP服务（非必须，本案例中客户端不需要被访问）

2.6.2 创建命名空间并添加自动注入

kubectl create ns entry 
kubectl label namespace entry istio-injection=enabled

2.6.3 创建 Client 资源

apiVersion: apps/v1
kind: Deployment
metadata:labels:app: clientname: clientnamespace: entry
spec:replicas: 1selector:matchLabels:app: clientversion: v1.2template:metadata:labels:app: clientversion: v1.2spec:hostAliases:- hostnames: ["nginx.dujie.com", "nginx"]ip: '172.29.1.201'containers:- image: ikubernetes/admin-box:v1.2name: admin-boxcommand: ['/bin/sh', '-c', 'sleep INFINITE']
---
apiVersion: v1
kind: Service
metadata:labels:app: clientname: clientnamespace: entry
spec:ports:- name: http-80appProtocol: httpport: 80protocol: TCPtargetPort: 80selector:app: clientversion: v1.2type: ClusterIP

2.6.4 ServiceEntry 资源配置

apiVersion: networking.istio.io/v1beta1
kind: ServiceEntry
metadata:name: nginx-externalnamespace: entry
spec:hosts:- nginx.dujie.com- nginxaddresses:  # 定义服务的虚拟IP列表- "10.122.24.139"# Service Portports:- number: 80name: httpprotocol: HTTPlocation: MESH_EXTERNALresolution: STATICendpoints:- address: "10.122.24.139"ports:http: 8091- address: "10.122.24.139"ports:http: 8092- address: "10.122.24.139"ports:http: 8093

**addresses** 字段

****定义该服务的虚拟IP地址（VIP）列表
覆盖DNS解析：当应用访问 nginx.dujie.com 时，Istio 会强制解析为这些IP（而不是真实DNS记录）
流量劫持：Envoy Sidecar 会拦截目标为这些IP的流量

为什么需要：

如果外部服务有多个IP，但DNS只返回一个（如轮询解析），用此字段确保所有IP都被识别
避免DNS污染：即使客户端缓存了旧IP，流量也会被正确劫持

**endpoints** 字段

作用：定义服务的实际后端实例（Endpoint）列表
关键属性：
address：后端实例的真实IP
ports：实例暴露的实际端口（可不同于服务的虚拟端口）

2.6.5 DestinationRule 配置

apiVersion: networking.istio.io/v1beta1
kind: DestinationRule
metadata:name: nginx-externalnamespace: entry
spec:host: nginx.dujie.comtrafficPolicy:loadBalancer:consistentHash:httpHeaderName: x-userconnectionPool:tcp:maxConnections: 10000connectTimeout: 10mstcpKeepalive:time: 7200sinterval: 75shttp:http2MaxRequests: 1000maxRequestsPerConnection: 10outlierDetection:maxEjectionPercent: 50consecutive5xxErrors: 5interval: 2mbaseEjectionTime: 1mminHealthPercent: 40

2.6.6 VirtualService 配置准备

apiVersion: networking.istio.io/v1beta1
kind: VirtualService
metadata:name: nginx-externalnamespace: entry
spec:hosts:- nginx.dujie.comhttp:- name: falut-injectionmatch:- headers:X-Testing:exact: "true"route:- destination:host: nginx.dujie.comfault:delay:percentage:value: 5fixedDelay: 2sabort:percentage:value: 5httpStatus: 555- name: nginx-externalroute:- destination:host: nginx.dujie.com

2.6.6 Docker-compose 配置

version: '3.3'services:nginx2501:image: nginx:1.25-alpinevolumes:- ./html/nginx2501:/usr/share/nginx/html/networks:nginx_net:ipv4_address: 172.31.201.11aliases:- nginxexpose:- "80"ports:- "10.122.24.139:8091:80"nginx2502:image: nginx:1.25-alpinevolumes:- ./html/nginx2502:/usr/share/nginx/html/networks:nginx_net:ipv4_address: 172.31.201.12aliases:- nginxexpose:- "80"ports:- "10.122.24.139:8092:80"nginx2601:image: nginx:1.26-alpinevolumes:- ./html/nginx2601:/usr/share/nginx/html/networks:nginx_net:ipv4_address: 172.31.201.13aliases:- nginx- canaryexpose:- "80"ports:- "10.122.24.139:8093:80"networks:nginx_net:driver: bridgeipam:config:- subnet: 172.31.201.0/24

docker-compose 中每个容器都会挂在不同的 index 目录

[root@k8s-master01 /usr/local/src]# cat nginx2501/index.html 
<title>nginx.dujie.com</title>
Nginx 2501 ~~
[root@k8s-master01 /usr/local/src]# cat nginx2502/index.html 
<title>nginx.dujie.com</title>
Nginx 2502 ~~
[root@k8s-master01 /usr/local/src]# cat nginx2601/index.html 
<title>nginx.dujie.com</title>
Nginx 2601 ~~

2.6.7 测试

2.6.7.1 测试基本访问

会轮流返回

[root@k8s-master01 /usr/local/src]# kubectl get pods -n entry 
NAME                      READY   STATUS    RESTARTS   AGE
client-78c98df4f6-2x6lk   2/2     Running   0          86m
[root@k8s-master01 /usr/local/src]# kubectl exec -it -n entry  client-78c98df4f6-2x6lk  -- bash 
root@client-78c98df4f6-2x6lk /# while true; do CONTENT=$(curl -s -H "x-canary: true" nginx.dujie.com); echo $CONTENT; sleep 0.$RANDOM; done
<title>nginx.dujie.com</title> Nginx 2501 ~~
<title>nginx.dujie.com</title> Nginx 2601 ~~
<title>nginx.dujie.com</title> Nginx 2501 ~~
<title>nginx.dujie.com</title> Nginx 2502 ~~
<title>nginx.dujie.com</title> Nginx 2601 ~~
<title>nginx.dujie.com</title> Nginx 2501 ~~
<title>nginx.dujie.com</title> Nginx 2601 ~~
<title>nginx.dujie.com</title> Nginx 2501 ~~
<title>nginx.dujie.com</title> Nginx 2502 ~~
<title>nginx.dujie.com</title> Nginx 2501 ~~
<title>nginx.dujie.com</title> Nginx 2502 ~~

2.6.7.2 测试会话保持

可以看到请求头中携带 x-user 字段的请求都会被转发到同一台后端节点

root@client-78c98df4f6-2x6lk /# while true; do CONTENT=$(curl -s -H "x-user: dujie" nginx.dujie.com); echo $CONTENT; sleep 0.$RANDOM; done
<title>nginx.dujie.com</title> Nginx 2601 ~~
<title>nginx.dujie.com</title> Nginx 2601 ~~
<title>nginx.dujie.com</title> Nginx 2601 ~~
<title>nginx.dujie.com</title> Nginx 2601 ~~
<title>nginx.dujie.com</title> Nginx 2601 ~~
<title>nginx.dujie.com</title> Nginx 2601 ~~
<title>nginx.dujie.com</title> Nginx 2601 ~~
<title>nginx.dujie.com</title> Nginx 2601 ~~
<title>nginx.dujie.com</title> Nginx 2601 ~~
<title>nginx.dujie.com</title> Nginx 2601 ~~

2.6.7.3 测试故障注入

可以看到下面的会有 5%的请求被返回 555，5%的请求会延迟 2 秒

root@client-78c98df4f6-2x6lk /# while true; do CONTENT=$(curl -s -H "X-Testing: true" nginx.dujie.com); echo $CONTENT; sleep 0.$RANDOM; done
<title>nginx.dujie.com</title> Nginx 2501 ~~<title>nginx.dujie.com</title> Nginx 2502 ~~
<title>nginx.dujie.com</title> Nginx 2502 ~~
<title>nginx.dujie.com</title> Nginx 2601 ~~
<title>nginx.dujie.com</title> Nginx 2501 ~~
<title>nginx.dujie.com</title> Nginx 2502 ~~
<title>nginx.dujie.com</title> Nginx 2501 ~~
<title>nginx.dujie.com</title> Nginx 2502 ~~
<title>nginx.dujie.com</title> Nginx 2501 ~~
<title>nginx.dujie.com</title> Nginx 2501 ~~
<title>nginx.dujie.com</title> Nginx 2501 ~~
<title>nginx.dujie.com</title> Nginx 2502 ~~
<title>nginx.dujie.com</title> Nginx 2501 ~~
<title>nginx.dujie.com</title> Nginx 2601 ~~
<title>nginx.dujie.com</title> Nginx 2601 ~~
<title>nginx.dujie.com</title> Nginx 2601 ~~
<title>nginx.dujie.com</title> Nginx 2501 ~~
<title>nginx.dujie.com</title> Nginx 2501 ~~
<title>nginx.dujie.com</title> Nginx 2502 ~~
fault filter abort
<title>nginx.dujie.com</title> Nginx 2501 ~~
<title>nginx.dujie.com</title> Nginx 2502 ~~
<title>nginx.dujie.com</title> Nginx 2501 ~~
<title>nginx.dujie.com</title> Nginx 2501 ~~
<title>nginx.dujie.com</title> Nginx 2501 ~~
<title>nginx.dujie.com</title> Nginx 2501 ~~

2.6.7.4 查看端点信息

这里也可以看到三个节点已经被 istio 的 endpoint 管理了

[root@k8s-master01 ~]# istioctl  proxy-config endpoint client-78c98df4f6-2x6lk  --cluster "outbound|80||nginx.dujie.com" -n entry 
ENDPOINT               STATUS      OUTLIER CHECK     CLUSTER
10.122.24.139:8091     HEALTHY     OK                outbound|80||nginx.dujie.com
10.122.24.139:8092     HEALTHY     OK                outbound|80||nginx.dujie.com
10.122.24.139:8093     HEALTHY     OK                outbound|80||nginx.dujie.com

三、WorkloadEntry 和 WorkloadGroup

上面已经通过 ServiceEntry 可以实现将服务网格外的应用通过 Istio 服务网格来管理了，而 ServiceEntry 他有一些局限性：

静态配置：端点（IP）变更需要手动更新
无实例管理：无法感知端点健康状态
无身份：难以对端点实施mTLS
不适合VM接入：无法将VM作为网格内服务提供者

痛点总结：ServiceEntry 适合访问外部服务，但不适合将外部工作负载（如VM）作为网格内服务提供者。
所以 Istio 提供了 WorkloadEntry 来解决以上 ServiceEntry 无法处理的痛点。

特性	ServiceEntry	WorkloadEntry
目标	定义外部服务	注册工作负载实例
层级	服务级别	端点级别
使用场景	访问外部API/DB	将VM纳入网格
关联关系	独立存在	需关联Service
动态性	静态配置	支持动态注册

3.1 WorkloadEntry 定义及资源规范

workloadEntry 是用于标识非 Kubernetes 工作负载的 Istio 资源对象。他可以将虚拟机、物理机或者外部服务等**非容器化工作负载**注册到 Istio 服务网格中的端点上。

将 VM/物理机作为服务端点集成到服务网格
使非容器工作负载能参与服务发现
应用相同的流量管理策略（路由、负载均衡、熔断）
实施一致的安全策略（mTLS、RBAC）
实现统一监控（指标、日志、追踪）

资源规范：

apiVersion: networking.istio.io/v1beta1
kind: WorkloadEntry
metadata:name: vm-nginx  # 资源名称namespace: prod # 必须与关联Service相同
spec:# --- 核心配置 ---address: 192.168.1.100  # 工作负载IP（必需）labels:                 # 标签用于服务选择（必需）app: nginxenv: prodversion: v1# --- 高级配置 ---serviceAccount: nginx-sa   # 服务账户（用于mTLS）network: "cloud-vpc"       # 网络标识（多网络场景）ports:                     # 端口别名映射http: 8080https: 8443locality: us-west1/zone1   # 地理位置（地域感知）weight: 1                  # 流量权重（默认1）

字段	必填	说明
`<font style="color:rgb(251, 71, 135);">address</font>`	是	工作负载的 IP 地址
`<font style="color:rgb(251, 71, 135);">labels</font>`	是	用于服务选择的标签
`<font style="color:rgb(251, 71, 135);">serviceAccount</font>`	推荐	身份标识（用于 mTLS）
`<font style="color:rgb(251, 71, 135);">ports</font>`	可选	端口别名映射（如 http:8080）
`<font style="color:rgb(251, 71, 135);">network</font>`	多网络必需	网络标识（需与网格配置匹配）
`<font style="color:rgb(251, 71, 135);">locality</font>`	推荐	地域信息（格式：region/zone）
`<font style="color:rgb(251, 71, 135);">weight</font>`	可选	流量权重（默认1）

3.2 WorkloadGroup 定义及资源规范

WorkloadGroup 是 WorkloadEntry 的模板和分组机制，用于自动化管理一组相似的非容器工作负载。它定义了工作负载的公共配置，并支持通过 istioctl 自动配置工作负载。

批量管理：统一配置一组相似工作负载
自动注册：通过 istioctl 自动生成配置文件
配置标准化：确保工作负载配置一致性
健康检查：定义统一健康检查标准
简化运维：减少手动配置错误

资源规范：

apiVersion: networking.istio.io/v1alpha3
kind: WorkloadGroup
metadata:name: nginx-vms  # 工作组名称namespace: prod  # 命名空间
spec:# --- 公共元数据 ---metadata:labels:        # 应用到所有工作负载的标签app: nginxenv: prodannotations:   # 应用到所有工作负载的注解backup: "daily"# --- WorkloadEntry 模板 ---template:serviceAccount: nginx-sanetwork: "cloud-vpc"ports:http: 8080locality: us-west1/zone1# --- 健康检查配置 ---probe:periodSeconds: 10       # 检查间隔initialDelaySeconds: 5  # 初始延迟httpGet:                # HTTP检查port: 8080path: /healthz# tcpSocket:            # TCP检查（替代方案）#   port: 3306

字段	必填	说明
`<font style="color:rgb(251, 71, 135);">metadata.labels</font>`	是	工作负载公共标签
`<font style="color:rgb(251, 71, 135);">metadata.annotations</font>`	可选	工作负载注解
`<font style="color:rgb(251, 71, 135);">template</font>`	是	WorkloadEntry 模板配置
`<font style="color:rgb(251, 71, 135);">probe</font>`	推荐	健康检查配置

3.3 WorkloadEntry 案例

基于上面 ServiceEntry 的 docker-compose 案例，现在创建两个 workloadEntry，客户端请求时首先通过 vituralService 路由到 ServiceEntry，再由 ServiceEntry 通过标签选择器选择 WorkloadEntry，将请求指向 10.122.24.139:8091、8092、8093 端口，最终到达容器内部，架构图如下：

3.3.1 WorkloadEntry 准备

将 Docker 服务注册为 Istio 的端点

apiVersion: networking.istio.io/v1beta1
kind: WorkloadEntry
metadata:name: workload-nginx2501namespace: entrylabels:version: v1.25
spec:address: "10.122.24.139"ports:http: 8091labels:app: nginxversion: v1.25instance-id: Nginx2501
---
apiVersion: networking.istio.io/v1beta1
kind: WorkloadEntry
metadata:name: workload-nginx2502namespace: entrylabels:version: v1.25
spec:address: "10.122.24.139"ports:http: 8092labels:app: nginxversion: v1.25instance-id: Nginx2502

3.3.2 创建 ServiceEntry

定义逻辑服务nginx.dujie.com，通过workloadSelector关联WorkloadEntry：

apiVersion: networking.istio.io/v1beta1
kind: ServiceEntry
metadata:name: nginx-externalnamespace: entry
spec:hosts:- nginx.dujie.comports:- number: 80name: httpprotocol: HTTPtargetPort: 8091location: MESH_EXTERNAL# NONE, STATIC, DNS, DNS_ROUND_ROBINresolution: STATICworkloadSelector:  # 这里通过标签选择workloadEntrylabels:app: nginx

3.3.3 创建 DestinationRule

配置服务级别的流量策略

apiVersion: networking.istio.io/v1beta1
kind: DestinationRule
metadata:name: nginx-externalnamespace: entry
spec:host: nginx.dujie.comtrafficPolicy:loadBalancer:simple: RANDOM   # 随机负载均衡connectionPool:  # 连接池设置tcp:maxConnections: 10000connectTimeout: 10mstcpKeepalive:time: 7200sinterval: 75shttp:http2MaxRequests: 1000maxRequestsPerConnection: 10outlierDetection:  # 熔断设置 maxEjectionPercent: 50consecutive5xxErrors: 5  # 5次5xx错误触发熔断interval: 2mbaseEjectionTime: 1mminHealthPercent: 40

3.3.4 创建 VirtualService

定义路由规则和故障注入：

apiVersion: networking.istio.io/v1beta1
kind: VirtualService
metadata:name: nginx-externalnamespace: entry
spec:hosts:- nginx.dujie.comhttp:- name: falut-injectionroute:- destination:host: nginx.dujie.comfault:delay:percentage:value: 20fixedDelay: 2sabort:percentage:value: 20httpStatus: 555

3.3.5 测试验证

查看服务部署情况

[root@k8s-master01 ~]# kubectl -n entry get serviceentry,workloadentry,destinationrule,virtualservice
NAME                                              HOSTS                 LOCATION        RESOLUTION   AGE
serviceentry.networking.istio.io/nginx-external   ["nginx.dujie.com"]   MESH_EXTERNAL   STATIC       165mNAME                                                   AGE     ADDRESS
workloadentry.networking.istio.io/workload-nginx2501   2m58s   10.122.24.139
workloadentry.networking.istio.io/workload-nginx2502   2m58s   10.122.24.139NAME                                                 HOST              AGE
destinationrule.networking.istio.io/nginx-external   nginx.dujie.com   165mNAME                                                GATEWAYS   HOSTS                 AGE
virtualservice.networking.istio.io/nginx-external              ["nginx.dujie.com"]   165m

3.3.5.1 测试基础连通性

root@client-78c98df4f6-2x6lk /# while true; do CONTENT=$(curl -s  nginx.dujie.com); echo $CONTENT; sleep 0.$RANDOM; done
<title>nginx.dujie.com</title> Nginx 2501 ~~
<title>nginx.dujie.com</title> Nginx 2502 ~~
<title>nginx.dujie.com</title> Nginx 2502 ~~
<title>nginx.dujie.com</title> Nginx 2501 ~~
<title>nginx.dujie.com</title> Nginx 2502 ~~
<title>nginx.dujie.com</title> Nginx 2501 ~~
<title>nginx.dujie.com</title> Nginx 2501 ~~
<title>nginx.dujie.com</title> Nginx 2502 ~~
<title>nginx.dujie.com</title> Nginx 2501 ~~
<title>nginx.dujie.com</title> Nginx 2501 ~~
<title>nginx.dujie.com</title> Nginx 2502 ~~
<title>nginx.dujie.com</title> Nginx 2501 ~~

请求成功返回 200 OK
响应内容包含正确的 Nginx 版本信息
流量在 8091 和 8092 之间轮询

3.3.5.2 故障注入测试

[root@k8s-master01 ~]# kubectl exec -it  -n entry client-78c98df4f6-2x6lk  bash 
root@client-78c98df4f6-2x6lk /# for i in {1..20}; do   echo -n "Request $i: ";   curl -s -o /dev/null -w "%{http_code} %{time_total}s\n"   -H "Host: nginx.dujie.com"   http://nginx.dujie.com;   sleep 0.5; done
Request 1: 555 0.000795s
Request 2: 200 0.001916s
Request 3: 200 2.002204s
Request 4: 200 0.001498s
Request 5: 200 0.001286s
Request 6: 200 0.001315s
Request 7: 200 0.001337s
Request 8: 200 0.001338s
Request 9: 200 2.001179s
Request 10: 555 0.000843s
Request 11: 200 0.001459s
Request 12: 200 0.001397s
Request 13: 200 0.001349s
Request 14: 200 0.001397s
Request 15: 555 0.000790s
Request 16: 200 0.001291s
Request 17: 200 2.001349s
Request 18: 200 0.001508s
Request 19: 200 0.001303s
Request 20: 200 0.001340s

约 20% 请求响应时间 >2 秒
约 20% 请求返回 555 状态码
60% 请求正常响应

3.4 WorkloadEntry 案例 2

基于上面的案例，可以增加一个 WorkloadEntry 作为金丝雀版本

3.4.1 配置 WorloadEntry

apiVersion: networking.istio.io/v1beta1
kind: WorkloadEntry
metadata:name: workload-nginx2501namespace: entry
spec:address: "10.122.24.139"ports:http: 8091labels:app: nginxversion: "v1.25"instance-id: Nginx2501
---
apiVersion: networking.istio.io/v1beta1
kind: WorkloadEntry
metadata:name: workload-nginx2502namespace: entry
spec:address: "10.122.24.139"ports:http: 8092labels:app: nginxversion: "v1.25"instance-id: Nginx2502
---
apiVersion: networking.istio.io/v1beta1
kind: WorkloadEntry
metadata:name: workload-nginx2601namespace: entry
spec:address: "10.122.24.139"ports:http: 8093labels:app: nginxversion: "v1.26"instance-id: Nginx2601

3.4.2 配置 serviceEntry

apiVersion: networking.istio.io/v1beta1
kind: ServiceEntry
metadata:name: nginxnamespace: entry
spec:hosts:- nginx.dujie.comports:- number: 80name: httpprotocol: HTTPlocation: MESH_EXTERNALresolution: STATICworkloadSelector:labels:app: nginx

3.4.3 配置 destinationRule

这里配置了两个子集，一个是版本 v1.25 另一个是 v1.26

apiVersion: networking.istio.io/v1beta1
kind: DestinationRule
metadata:name: nginx-externalnamespace: entry
spec:host: nginx.dujie.comtrafficPolicy:loadBalancer:simple: RANDOMconnectionPool:tcp:maxConnections: 10000connectTimeout: 10mstcpKeepalive:time: 7200sinterval: 75shttp:http2MaxRequests: 1000maxRequestsPerConnection: 10outlierDetection:maxEjectionPercent: 50consecutive5xxErrors: 5interval: 2mbaseEjectionTime: 1mminHealthPercent: 40subsets:- name: v25labels:version: "v1.25"- name: v26labels:version: "v1.26"

3.4.4 修改 VirtualService

这里可以基于权重或标头值进行路由分配，可自行选择

基于权重：

apiVersion: networking.istio.io/v1beta1
kind: VirtualService
metadata:name: nginx-externalnamespace: entry
spec:hosts:- nginx.dujie.comhttp:- name: defaultroute:- destination:host: nginx.dujie.comsubset: v26weight: 5- destination:host: nginx.dujie.comsubset: v25weight: 95

基于标头

apiVersion: networking.istio.io/v1beta1
kind: VirtualService
metadata:name: nginx-externalnamespace: entry
spec:hosts:- nginx.dujie.comhttp:- name: falut-injectionmatch:- headers:x-canary:exact: "true"route:- destination:host: nginx.dujie.comsubset: v26fault:delay:percentage:value: 5fixedDelay: 2s- name: defaultroute:- destination:host: nginx.dujie.comsubset: v25fault:abort:percentage:value: 5httpStatus: 555

3.4.5 测试

3.4.5.1 测试基础连通性

可以看到流量会在 v1.25 版本进行负载均衡

root@client-78c98df4f6-2x6lk /# while true; do CONTENT=$(curl -s  nginx.dujie.com); echo $CONTENT; sleep 0.$RANDOM; done
<title>nginx.dujie.com</title> Nginx 2501 ~~
<title>nginx.dujie.com</title> Nginx 2501 ~~
<title>nginx.dujie.com</title> Nginx 2502 ~~
<title>nginx.dujie.com</title> Nginx 2502 ~~
<title>nginx.dujie.com</title> Nginx 2501 ~~
<title>nginx.dujie.com</title> Nginx 2501 ~~
<title>nginx.dujie.com</title> Nginx 2501 ~~
<title>nginx.dujie.com</title> Nginx 2501 ~~
<title>nginx.dujie.com</title> Nginx 2501 ~~
<title>nginx.dujie.com</title> Nginx 2502 ~~
<title>nginx.dujie.com</title> Nginx 2501 ~~
<title>nginx.dujie.com</title> Nginx 2502 ~~
<title>nginx.dujie.com</title> Nginx 2502 ~~
<title>nginx.dujie.com</title> Nginx 2502 ~~
<title>nginx.dujie.com</title> Nginx 2501 ~~
<title>nginx.dujie.com</title> Nginx 2501 ~~

3.4.5.2 验证金丝雀发布

可以看到在请求头中添加 x-canary: true 之后流量就会全部走向 v1.26 版本了

root@client-78c98df4f6-2x6lk /# while true; do CONTENT=$(curl -s -H "x-canary: true" nginx.dujie.com); echo $CONTENT; sleep 0.$RANDOM; done
<title>nginx.dujie.com</title> Nginx 2601 ~~
<title>nginx.dujie.com</title> Nginx 2601 ~~
<title>nginx.dujie.com</title> Nginx 2601 ~~
<title>nginx.dujie.com</title> Nginx 2601 ~~
<title>nginx.dujie.com</title> Nginx 2601 ~~
<title>nginx.dujie.com</title> Nginx 2601 ~~
<title>nginx.dujie.com</title> Nginx 2601 ~~
<title>nginx.dujie.com</title> Nginx 2601 ~~
<title>nginx.dujie.com</title> Nginx 2601 ~~
<title>nginx.dujie.com</title> Nginx 2601 ~~
<title>nginx.dujie.com</title> Nginx 2601 ~~

四、Egress Gateway

4.1 EgressGateway 介绍

Egress Gateway 是 Istio 中专门管理出站流量的网关组件，作为集群内服务访问外部服务的统一出口。其核心作用类似于企业网络的防火墙出口，所有内部服务访问互联网必须经过此节点。他并不是必须的配置，因为 Istio 内部每个业务 Pod 流量本身就可以直接出去，但有些中大型公司对出口网关有着非常强的合规要求，比如"业务 Pod 不能随便访问互联网"，风险不可控等等，这个时候就可以使用 egress gateway 来强制要求所有流量都必须经过它才能出去。

4.2 EgressGateway 使用场景

4.2.1 合规与安全隔离

很多大中型企业（金融/政企/跨云）出网有非常强的合规要求。“业务 pod 随便访问互联网” ：风险不可控
强制所有对外访问都经由 egress gateway，可实现：

统一加密协议（如全链路 mTLS/TLS）
配合防火墙/nat/dlp做敏感数据防泄漏、外联控制
精确控制哪些pod、哪些服务可以访问哪些外部目标

4.2.2 审计与观测

出口监控与日志，可获得：

谁在访问外部什么
访问频率、性能、异常流量实时分析
留痕追责、自动告警、流量快照

4.2.3 细粒度流量治理

通过 egress gateway 可以对所有出口流量实施灰度、熔断、速率限制、出口流量转发、with/without proxy、异常检测等治理措施。

地理路由
协议转换
select 出国出口等

4.2.4 池化出口IP，对VPC/防火墙策略友好

让流量统一出几个出口IP，外部方只要信任少数网关IP就行，减少维护量和受信任面。

4.2.5 支持数据脱敏、协议安全转换

出口网关可以完成加解密、协议规范化处理，把敏感内网数据做脱敏出网等“最后一道关”。

4.3 EgressGateway 安装

因为我这里 istio 是基于 demo 配置安装的，默认会自动安装 egressGateway，而如果使用其他配置安装则需要手动安装

手动安装操作可以查看官网https://istio.io/latest/zh/docs/setup/additional-setup/customize-installation/

需要再 IstioOperator 资源的 components 中指定 egressGateways，将他的 enabled 设置为 true 即可

4.4 EgressGateway 案例

通过WorkloadEntry将非Kubernetes管理的Nginx实例接入Istio网格，并通过Egress Gateway控制出口流量。

4.4.1 workloadEntry 准备

apiVersion: networking.istio.io/v1beta1
kind: WorkloadEntry
metadata:name: workload-nginx2501namespace: entry
spec:address: "10.122.24.139"ports:http: 8091labels:app: nginxversion: "v1.25"instance-id: Nginx2501
---
apiVersion: networking.istio.io/v1beta1
kind: WorkloadEntry
metadata:name: workload-nginx2502namespace: entry
spec:address: "10.122.24.139"ports:http: 8092labels:app: nginxversion: "v1.25"instance-id: Nginx2502
---
apiVersion: networking.istio.io/v1beta1
kind: WorkloadEntry
metadata:name: workload-nginx2601namespace: entry
spec:address: "10.122.24.139"ports:http: 8093labels:app: nginxversion: "v1.26"instance-id: Nginx2601

4.4.2 serviceEntry 准备

apiVersion: networking.istio.io/v1beta1
kind: ServiceEntry
metadata:name: nginxnamespace: entry
spec:hosts:- nginx.dujie.comports:- number: 80name: httpprotocol: HTTPlocation: MESH_EXTERNALresolution: STATICworkloadSelector:labels:app: nginx

4.4.3 destinationRule 准备

apiVersion: networking.istio.io/v1beta1
kind: DestinationRule
metadata:name: nginx-externalnamespace: entry
spec:host: nginx.dujie.comtrafficPolicy:loadBalancer:simple: RANDOMconnectionPool:tcp:maxConnections: 10000connectTimeout: 10mstcpKeepalive:time: 7200sinterval: 75shttp:http2MaxRequests: 1000maxRequestsPerConnection: 10outlierDetection:maxEjectionPercent: 50consecutive5xxErrors: 5interval: 2mbaseEjectionTime: 1mminHealthPercent: 40subsets:- name: v25labels:version: "v1.25"- name: v26labels:version: "v1.26"

4.4.4 egressGateway 准备

在80端口监听HTTP流量
匹配所有主机("*")

apiVersion: networking.istio.io/v1beta1
kind: Gateway
metadata:name: egress-gatewaynamespace: entry
spec:selector:app: istio-egressgatewayservers:- port:number: 80name: httpprotocol: HTTPhosts:- "*"

4.4.5 VirtualService 准备

apiVersion: networking.istio.io/v1beta1
kind: VirtualService
metadata:name: nginx-externalnamespace: entry
spec:hosts:- nginx.dujie.comgateways:- egress-gateway- meshhttp:- match:- gateways:- meshroute:- destination:host: istio-egressgateway.istio-system.svc.cluster.local- match:- gateways:- egress-gatewayroute:- destination:host: nginx.dujie.comsubset: v26weight: 5- destination:host: nginx.dujie.comsubset: v25weight: 95

4.4.6 测试验证

[root@k8s-master01 ~]# istioctl proxy-config endpoints -n entry client-78c98df4f6-2x6lk  --cluster 'outbound|80||nginx.dujie.com' 
ENDPOINT               STATUS      OUTLIER CHECK     CLUSTER
10.122.24.139:8091     HEALTHY     OK                outbound|80||nginx.dujie.com
10.122.24.139:8092     HEALTHY     OK                outbound|80||nginx.dujie.com
10.122.24.139:8093     HEALTHY     OK                outbound|80||nginx.dujie.com

测试流量分配，v1.26 版本出现的概率在 5%

root@client-78c98df4f6-2x6lk /# while true; do CONTENT=$(curl -s  nginx.dujie.com); echo $CONTENT; sleep 0.$RANDOM; done
<title>nginx.dujie.com</title> Nginx 2501 ~~
<title>nginx.dujie.com</title> Nginx 2502 ~~
<title>nginx.dujie.com</title> Nginx 2502 ~~
<title>nginx.dujie.com</title> Nginx 2502 ~~
<title>nginx.dujie.com</title> Nginx 2501 ~~
<title>nginx.dujie.com</title> Nginx 2502 ~~
<title>nginx.dujie.com</title> Nginx 2501 ~~
<title>nginx.dujie.com</title> Nginx 2501 ~~
<title>nginx.dujie.com</title> Nginx 2501 ~~
<title>nginx.dujie.com</title> Nginx 2502 ~~
<title>nginx.dujie.com</title> Nginx 2502 ~~
<title>nginx.dujie.com</title> Nginx 2501 ~~
<title>nginx.dujie.com</title> Nginx 2502 ~~
<title>nginx.dujie.com</title> Nginx 2502 ~~