来自 网络 2021-12-16 14:15 的文章

cdn防御_ddos盾机_限时优惠

cdn防御_ddos盾机_限时优惠

在我的前一篇文章中,我们了解了Istio网关、虚拟服务资源、Citrix Istio适配器,以及如何将Citrix ADC的各种外形元素部署为Istio服务网格中的入口网关。在这里,我们将了解如何为各种应用程序配置Citrix ADC入口网关。现在您知道了如何部署资源,使Citrix ADC能够充当入口网关。但是对于需要通过入口网关设备公开的每个应用程序,必须在应用程序命名空间中创建网关和虚拟服务资源。VirtualService应在"gateways"字段中提及相关的网关资源名称,临时高防cdn,Gateway应在选择器字段中提及"app:citrix ingressgateway",以便citrix ADC按预期配置。您可以部署基于HTTP的应用程序或基于TCP的应用程序。在这两种情况下,DDoS攻击的防御策略,您都可以配置入口网关以向最终用户流量公开应用程序。而且这个应用程序可以以安全和常规的方式公开。换句话说,美国高防cdn云加速,Citrix ADC可以公开使用HTTP和/或HTTPS的基于HTTP的应用程序,以及使用TCP和/或SSL-TCP的基于TCP的应用程序。为HTTP应用程序配置网关例如,我们将通过Citrix ADC将bookinfo公开为Istio入口网关。我们将研究如何创建安全(HTTPS)和不安全(HTTP)入口网关。您需要网关和VirtualService来公开应用程序。下面是通过Citrix ADC公开bookinfo应用程序所需的YAML文件片段。网关这个YAML文件在同一个文件中公开bookinfo应用程序的HTTP和HTTPS端点。您可以将这些文件拆分为单独的文件。#来源:bookinfo citrix ingres/templates/bookinfo_https_网关.YAMLAPI版本:网络.istio.io/v1alpha3种类:网关元数据:名称:bookinfo网关规格:选择器:SGATEWAY公司服务器:-端口:编号:443名称:https协议:HTTPStls:模式:简单服务器证书:/etc/istio/ingresgateway certs/tls.crt公司私钥:/etc/istio/ingresgateway certs/tls.键主持人:    - "www.bookinfo.com网站"-端口:数量:80名称:http协议:HTTP主持人:    - "www.bookinfo.com网站"虚拟服务网关与VirtualService单独工作是不够的。Citrix ADC配置为仅在创建网关和VirtualService之后才公开bookinfo应用程序。VirtualService提供了一种在服务网格内配置流量管理的方法,白名单防御ddos,包括请求路由、流量转移和故障注入。下面的YAML文件创建了一个VirtualService,并将其与前面创建的"bookinfogateway"相关联。这里的交通命中注定网站,"http[s]://vserverIP/productpage"或"http[s]://vserverIP"将转到productpage服务。Productpage是bookinfo应用程序的前端服务。#来源:bookinfo citrix Ingres/templates/productpage_对YAMLAPI版本:网络.istio.io/v1alpha3种类:虚拟服务元数据:名称:产品页规格:主持人:  - "www.bookinfo.com网站"网关:-图书信息网关http地址:-匹配:-uri:精确:/productpage-uri:前缀:/路线:-目的地:主机:productpage除了网关和虚拟服务资源外,您还可以添加目标规则资源,以便更好地控制网格中的流量管理。您可以通过在将流量发送到最终目标服务之前应用诸如LB算法、会话关联性、最大连接数或其他策略来实现这一点。为多个主机配置安全网关上面的示例显示了如何为发往bookinfo应用程序URL的端口80和443的流量创建网关。您可以使用Citrix ADC上的服务器名称指示(SNI)支持公开部署在同一个集群中的多个应用程序。在这种情况下,您应该为每个应用程序创建一个单独的网关。另外,您应该使用每个应用程序的证书重新部署Istio入口网关服务。假设除了服务网格中的bookinfo应用程序之外,您还部署了一个应用程序-"httpbin",并且将使用URL访问它httpbin.example.com. 这个httpbin应用程序也可以使用Citrix ADC的同一个vserverIP端口443公开。在这种情况下,Citrix ADC在握手过程中查看SSL"Client Hello"中指示的主机名,并将适当的证书返回给调用方。一旦这个SSL握手成功完成,请求就被转发到适当的后端服务。单击此处获取有关为多个主机配置网关的更多详细信息。为TCP应用程序配置网关到目前为止,我们已经研究了公开基于HTTP的应用程序的方法。我们还可以以安全和不安全的方式公开基于TCP的应用程序。出于我们这里的目的,您需要假设在Istio服务网格中的端口9000上部署了一个tcp echo服务器。基于TCP的入口网关下面的YAML文件具有网关和VirtualService资源,用于公开在服务网格内运行的tcp echo服务器。在这里,Citrix ADC将在tcp端口8000上接收请求,然后将这些请求转发到端口9000上的tcp echo服务器。API版本:网络.istio.io/v1alpha3种类:网关元数据:名称:tcp回显网关规格:选择器:入口高速公路服务器:-端口:名称:tcp echo数量:8000协议:TCP主持人:    - "*"---API版本:网络.istio.io/v1alpha3种类:虚拟服务元数据:名称:tcp echo规格:主持人:  - "*"网关:-tcp回显网关tcp协议:-匹配:-端口:8000路线:-目的地:主机:tcp echo端口:编号:9000基于TLS的入口网关要以安全的方式公开基于TCP的应用程序,您应该将协议指定为"TLS",并且服务器证书和私钥必须提供给入口网关。Citrix ADC将完成传入请求的TLS终止。如果TLS在服务网格中被禁用,那么Citrix ADC将通过不安全的TCP连接将请求转发到后端服务。如果启用了TLS,请求将通过安全TCP通道转发。API版本:网络.istio.io/v1alpha3种类:网关元数据:名称:tcp回显网关规格:选择器:入口高速公路服务器:-端口:名称:tcp echo数量:8000协议:TLStls:模式:简单服务器证书:/etc/istio/ing certs/tls.crt公司私钥:/etc/istio/ing证书/tls.键主持人:    - "*"---API版本:网络.istio.io/v1alpha3种类:虚拟服务元数据:名称:tcp echo规格:主持人:  - "*"网关:-tcp回显网关tcp协议:-匹配:-端口:8000路线:-目的地:主机:tcp echo端口:编号:9000Citrix ADC支持的其他功能Citrix ADC是一个多功能的应用程序交付控制器,可以支持多种其他功能,同时充当Istio入口网关。其中包括:负载平衡安全入口加权聚类HTTP重写HTTP重定向HTTP故障注入mTLS公司身份验证策略(使用JWT Auth的最终用户身份验证或源站身份验证;使用相互TLS的传输身份验证或服务到服务的身份验证)您可以在这里了解更多这些功能。一言以蔽之我们已经介绍了为HTTP应用程序配置网关,高防cdn和高防服务器对比,以及为多个主机配置安全网关。那么,当一个请求从集群外部到达Citrix ADC入口设备时会发生什么呢?以下是不同资源的交互方式:客户机在入口网关设备上公开的端口上发送请求。如果是Citrix ADC MPX或VPX设备,则请求将在入口网关服务中提到的vserverIP和端口上发送。如果是Citrix ADC CPX,则请求将在Kubernetes集群的任何节点的IP上发送(主节点或工作节点无所谓),以及入口网关服务中提到的nodePort。Citrix ADC将请求转发到Kubernetes服务端口(即网关服务中提到的端口)上的一个工作节点。此服务将请求转发到VirtualService中提到的端口上的应用程序盒。响应以相反的方式遵循相同的路径。了解更多您可以在Citrix Istio适配器github页面上找到Helm图表和从模板YAML生成部署YAML文件的脚本。在那里,您可以找到将Citrix ADC部署为入口网关的详细步骤(以及快速步骤),以及部署bookinfo应用程序并使用Citrix ADC公开它的示例Helm图表。尝试在Istio服务网格中部署Citrix ADC。如果遇到问题,请访问Citrix Istio适配器github页面上链接的讨论区或空闲频道。