我希望在我正在试验的集群中使用 Istio Ingress,但是我不确定如何在 Istio 中解决(或者今天是否可以解决)的一个突出项目是能够将子域的所有权委托给给定的命名空间,这样就不用担心两个竞争项目/命名空间可以声称拥有bar.foo.com。
我能找到的最好的例子是Heptio Contour,它允许您定义一个根IngressRoute,将子域的责任委托给特定的命名空间。
https://github.com/heptio/contour/blob/master/docs/ingressroute.md#across-namespaces
这在 Istio 中可能吗? 我还没有在文档中找到有关此类设置的任何内容。
尽管 Istio 和 Heptio Contour 是由 Envoy 代理提供支持的,但它们代表了某种不同的方法以及如何执行特定流量管理任务的方式。与 Heptio Contour 不同,Istio 设计有一组强定义的内部 Istio 资源,这些资源由特定的 CRD 组成,这些 CRD 不基于原生 Kubernetes Ingress API。
根据官方的 Istio 文档,入口资源在 Istio 网关配置中表示。因此,Istio 通过 VirtualService 资源管理流量路由,并在同一命名空间内声明路由规则,没有例外将路径路由委托给驻留在单独命名空间上的底层对象。
因此,从概念上讲,Istio 被设计为边缘网关,但与 Heptio Contour 相比,它在身份验证和授权方面代表了更复杂的方式。