第 3 章 通过网关直接出站流量

出口网关被配置为离开服务网格的流量的退出点，充当发送到外部服务的请求的转发代理。您可以配置出口网关来满足安全要求：

在这些情况下，网关代理部署到可以访问外部服务的专用出口节点上。然后，这些节点可以受到严格的网络策略强制或额外的监控以增强安全性。

您可以通过网关注入配置安装网关，通过组合以下 Istio 资源来指示出口流量：

如果您的部署使用 ambient 模式，则必须使用 Kubernetes 网关 API 配置出口路由，而不是 Istio 网关和 VirtualService 资源。Kubernetes Gateway API 提供了一个标准化的、Kubernetes 原生的方法，用于定义流量退出网格和到达外部服务的方式。

您可以使用 Gateway 和 HTTPRoute （或 GRPCRoute）资源来控制网格流量如何路由到集群外的目的地。Gateway API 在 ambient 模式中被完全支持，也可以用于基于 sidecar 的部署，为入口和出口路由提供一致的配置模型。