Блог

насколько я знаю, когда процесс отправляет пакеты, пакеты должны передавать только ВЫВОД iptables и ПОСЛЕДУЮЩУЮ МАРШРУТИЗАЦИЮ.

но когда я тестировал в pod с введением istio. Я обнаружил, что когда посланник вызывает localhost: xxx , пакеты действительно проходят ПРЕДВАРИТЕЛЬНУЮ МАРШРУТИЗАЦИЮ и ВВОД. почему это происходит?

Как уже упоминалось в скрипте istio iptables.

ВВОД используется для удаления всего входящего трафика, кроме установленных соединений.

ПРЕДВАРИТЕЛЬНАЯ МАРШРУТИЗАЦИЯ используется для обработки входящих портов. Трафик будет перенаправлен на Envoy, который будет обрабатывать и пересылать локальную службу. Если этот параметр не установлен, ни один входящий порт не будет перехвачен istio iptables.

Согласно прокси-перенаправлению на github

Входящие

Правило iptable для перенаправления входящих сообщений является простым, предполагая, что весь трафик должен быть перенаправлен на прокси-сервер. Дополнительные правила необходимы, если входящему трафику необходимо обойти прокси, например ssh.

iptables -t nat -ПРЕДВАРИТЕЛЬНАЯ МАРШРУТИЗАЦИЯ -p ПЕРЕНАПРАВЛЕНИЕ tcp -j —на порт ${ISTIO_PROXY_PORT}

Существует целая схема iptables для istio, так что вы можете на самом деле проверить, что именно делает ПРЕДВАРИТЕЛЬНАЯ МАРШРУТИЗАЦИЯ и ВВОД.

Кроме того, на medium есть блог о понимании того, как Envoy Sidecar перехватывает и направляет трафик в сервисной сетке Istio. Стоит взглянуть, если вы хотите понять весь процесс.