網站提供 https 安全連線服務 - Istio 範例

前面兩篇文章，都是以 nginx ingress 為範例，今日來簡略說明 Istio 面向的 HTTPS 範例。

憑證管理

在 Istio 預設範疇中，也是使用Cert-Manager方式管理、申請憑證( Let’s Encrypt )。觀念與設定方面皆與此篇憑證管理大致相同。 透過定義Certificate yaml進行憑證申請，但在 Istio ingress 使用上有一點要注意，就是憑證的儲存名稱：secretName: istio-ingressgateway-certs 如果沒遵循此約定，則 Istio ingress 無法直接存取此憑證。

Certificate yaml

apiVersion: certmanager.k8s.io/v1alpha1
kind: Certificate
metadata:
  name: cert-demo-web.com
  namespace: istio-system
spec:
  acme:
    config:
    - dns01:
        provider: gcp-dns
      domains:
      - '*.demo-web.com'
      - demo-web.com
  commonName: '*.demo-web.com'
  dnsNames:
  - demo-web.com
  issuerRef:
    kind: ClusterIssuer
    name: letsencrypt
  secretName: istio-ingressgateway-certs

Istio ingress

Istio 安裝後，預設的ingress名稱是：istio-ingressgateway 此Ingress resource實現 Istio 管理入口路由、規則、監控等面向的流量流入內部Service。 Istio 實現上分成兩部分：Gateway、VirtualService

Gateway yaml

此部分定義了網站的入口閘道，相關的域名與https服務。 有關於https服務中，Istio 透過 File Mount 方式讀取憑證(預設名稱：istio-ingressgateway-certs)，實現HTTPS服務入口閘道。

apiVersion: networking.istio.io/v1alpha3
kind: Gateway
metadata:
  name: httpbin-gateway
spec:
  selector:
    istio: ingressgateway # use istio default ingress gateway
  servers:
  - port:
      number: 443
      name: https
      protocol: HTTPS
    tls:
      mode: SIMPLE
      serverCertificate: /etc/istio/ingressgateway-certs/tls.crt
      privateKey: /etc/istio/ingressgateway-certs/tls.key
    hosts:
    - "httpbin.example.com"

VirtualService yaml

此部分定義了網站的入口路由。

apiVersion: networking.istio.io/v1alpha3
kind: VirtualService
metadata:
  name: httpbin
spec:
  hosts:
  - "httpbin.example.com"
  gateways:
  - httpbin-gateway
  http:
  - match:
    - uri:
        prefix: /status
    - uri:
        prefix: /delay
    route:
    - destination:
        port:
          number: 8000
        host: httpbin

以上兩項istio ingress resource賦予了網站入口的使命，缺一不可。