Istio Egress Gateway 与外部服务访问控制（TLS Origination、SNI 与出口策略）

Istio Egress Gateway 与外部服务访问控制（TLS Origination、SNI 与出口策略）概述Egress Gateway 将集群对外访问集中经过网关，实现可观测与安全合规。TLS Origination 在网关处终止并开启到外部的 TLS。关键实践与参数出口策略：`meshConfig.outboundTrafficPolicy` 与 `ServiceEntry` 明确允许的外部域与端口。TLS Origination：`VirtualService` 到 Egress Gateway，再由 `DestinationRule` 配置到外部的 TLS。SNI：设置外部域名的 SNI；证书校验与 CA 配置。配置示例（片段）apiVersion: networking.istio.io/v1alpha3

kind: ServiceEntry

spec:

hosts: ["api.external.com"]

ports: [{ number: 443, name: https, protocol: TLS }]

location: MESH_EXTERNAL

---

kind: VirtualService

spec:

hosts: ["api.external.com"]

gateways: ["istio-egressgateway"]

tls:

- match: [{ sniHosts: ["api.external.com"] }]

route: [{ destination: { host: istio-egressgateway.istio-system.svc.cluster.local, port: { number: 443 } } }]

---

kind: DestinationRule

spec:

host: istio-egressgateway.istio-system.svc.cluster.local

trafficPolicy:

tls:

mode: ISTIO_MUTUAL

验证方法通过网关访问外部服务并抓包/日志验证 SNI 与 TLS 行为。审计允许列表命中与拒绝事件；对比稳定性与延迟。故障演练：证书更新与失效、外部不可用时的降级。注意事项严格的允许清单与审计；避免外连扩散。证书与 CA 管理；自动更新与告警。与出口 NAT 与网络策略一致，避免冲突。