在Istio中，使用网关定义在网格边缘运行的负载均衡器，用于接收传入或传出的HTTP / TCP请求，网关配置适用于在网格边缘运行的独立Envoy代理。

与其他控制进入系统流量的机制（例如Kubernetes Ingress API）不同，Istio网关可以充分利用Istio流量路由的功能和灵活性。Istio的网关资源仅允许配置4-6层负载平衡属性，例如要公开的端口，TLS设置等。没有将应用层流量路由（L7）添加到相同的API资源，而是将Istio 虚拟服务绑定到网关。通过这样的方式呢，就可以像管理Istio网格中的任何其它数据平面流量一样，统一管理网关流量。网关主要用于管理传入的流量，也可以用于配置出口流量的网关。还可以使用网关来配置纯内部代理。Istio提供了一些可以预配置的网关代理部署（istio-ingressgateway和istio-egressgateway）。

表 网关字段

1 服务器

spec.server字段用于设置网关的服务列表，在下面的例子中，定义了一个名称为demo-ingress的网关，此网关通过80端口接收HTTP2协议的流量。

#—–定义名称为demo-ingress的网关—–

apiVersion: networking.istio.io/v1alpha3

kind: Gateway

metadata:

name: demo-ingress

spec:

selector:

app: demo-ingress-gateway

servers:

– port:

number: 80

name: http2

protocol: HTTP2

hosts:

– “*”

表 网关的服务字段

网关中的端口用于设置接收输入流量的监听端口，主要的字段包括，number、protocol和name。

表 网关的端口字段

2 网关示例

在下面的示例中，定义了一个名称为ext-host-gwy的网关。

#——–定义名称为demo-gwy的网关—

apiVersion: networking.istio.io/v1alpha3

kind: Gateway

metadata:

name: demo-gwy

spec:

selector:

app: demo-gateway-controller

servers:

– port:

number: 443

name: https

protocol: HTTPS

hosts:

– demo.example.com

tls:

mode: SIMPLE

serverCertificate: /tmp/tls.crt

privateKey: /tmp/tls.key

此网关允许以HTTPS协议通过443端口访问demo.example.com，但没有为该流量指定任何路由。要指定路由并使网关按预期工作，还必须将网关绑定到虚拟服务。下面的例子创建了一个名称为virtual-svc的虚拟服务，使用虚拟服务的spec.gateways字段将demo-gwy网关与虚拟服务进行了绑定。

#—定义名称为demo-virtual-svc虚拟服务—-

apiVersion: networking.istio.io/v1alpha3

kind: VirtualService

metadata:

  name: demo-virtual-svc

spec:

  hosts:

  – demo.example.com

  # 将名称为demo-gwy的网关绑定到虚拟服务

  gateways:

    – demo-gwy