第3章 ゲートウェイ経由で送信トラフィックを誘導する

ゲートウェイインジェクションを使用してインストールされたゲートウェイを、サービスメッシュから出るトラフィックの出口ポイントとして設定できます。この設定では、ゲートウェイはメッシュ外部のサービスに送信されるリクエストのフォワードプロキシーとして機能します。

Egress トラフィック用のゲートウェイを設定すると、セキュリティー要件を満たすのに役立ちます。たとえば、トラフィック制限により、メッシュから出るすべてのトラフィックが専用のノードセットを通過する必要がある環境では、Egress ゲートウェイを使用できます。同様に、ネットワークポリシーによってアプリケーションノードが外部サービスに直接アクセスできない場合は、ゲートウェイを使用できます。このようなシナリオでは、ゲートウェイプロキシーは、外部サービスにアクセスできる専用の Egress ノードにデプロイされます。これらのノードは、その後、セキュリティー強化のために厳格なネットワークポリシーの適用や追加のモニタリングを受けることができます。

ゲートウェイインジェクションを使用してインストールされたゲートウェイを設定して Egress トラフィックを誘導するには、Istio ServiceEntry、Gateway、VirtualService、および DestinationRule リソースの組み合わせを使用します。ServiceEntry リソースを使用して、外部サービスのプロパティーを定義します。外部サービスはメッシュの Istio サービスレジストリーに追加されます。これにより、メッシュを出て外部サービスに向かうトラフィックに対して、モニタリングやルーティングルールなどの Istio 機能を適用できます。Gateway、VirtualService、および DestinationRule リソースを使用し、ゲートウェイプロキシーを使用してメッシュから外部サービスにトラフィックをルーティングするルールをセットアップします。