Preserve Original Source Address within Istio

文档《Preserve Original Source Address within Istio》主要探讨了在Istio中如何保留原始源地址，特别是在TCP和HTTP通信中的应用。以下是核心内容和关键信息的总结： ### 1. **背景与用例** - **用例**： - **粘性会话**：基于IP哈希，确保来自同一客户端的流量被转发到同一后端。 - **安全策略**：设置白名单/黑名单。 - **访问日志与统计**：记录和监控流量。 - **特定场景**：如SIP Trunking的入站监听器。 ### 2. **TCP原始源地址保留** - **配置**：通过设置注解`sidecar.istio.io/interceptionMode: TPROXY`，Istio会自动配置原始源地址过滤器和iptables规则。 - **实现步骤**： 1. 配置原始源地址过滤器：启用`IP_TRANSPARENT`并将上游数据包标记为1337。 2. 确保响应数据包重定向回Envoy：通过iptables规则标记连接和恢复标记。 3. 启用本地网络路由：`echo 1 > /proc/sys/net/ipv4/conf/eth0/route_localnet`。 ### 3. **HTTP原始源地址保留** - **配置**：在服务`svcA`中启用`X-Forwarded-For` HTTP头，以保留原始源地址。 - **示例**：在`svcA`和`svcB`之间，Envoy会通过`X-Forwarded-For`头传递原始源地址。 ### 4. **作者介绍** - **Zhonghu Xu**：华为云的开源工程师，Istio指导委员会成员，Istio核心维护者和贡献者，曾积极参与Kubernetes和Volcano项目。 ### 5. **总结** - 通过Istio的TPROXY模式和`X-Forwarded-For`头，可以有效保留TCP和HTTP通信中的原始源地址，满足粘性会话、安全策略、日志记录等需求。 文档内容简洁明了，重点突出，逻辑清晰，便于理解。