---

title: Istio Egress Gateway 与外部服务访问控制（TLS Origination、SNI 与出口策略）

keywords:

• Istio
• Egress Gateway
• TLS Origination
• SNI
• 出口策略

description: 通过 Istio Egress Gateway 管控外部访问，配置 TLS Origination 与 SNI、出口策略与审计，确保合规与稳定并提供验证方法。

date: 2025-11-26

categories:

• 文章资讯
• 技术教程

---

Istio Egress Gateway 与外部服务访问控制（TLS Origination、SNI 与出口策略）

概述

Egress Gateway 将集群对外访问集中经过网关，实现可观测与安全合规。TLS Origination 在网关处终止并开启到外部的 TLS。

关键实践与参数

• 出口策略：meshConfig.outboundTrafficPolicy 与 ServiceEntry 明确允许的外部域与端口。
• TLS Origination：VirtualService 到 Egress Gateway，再由 DestinationRule 配置到外部的 TLS。
• SNI：设置外部域名的 SNI；证书校验与 CA 配置。

配置示例（片段）

apiVersion: networking.istio.io/v1alpha3
kind: ServiceEntry
spec:
  hosts: ["api.external.com"]
  ports: [{ number: 443, name: https, protocol: TLS }]
  location: MESH_EXTERNAL
---
kind: VirtualService
spec:
  hosts: ["api.external.com"]
  gateways: ["istio-egressgateway"]
  tls:
    - match: [{ sniHosts: ["api.external.com"] }]
      route: [{ destination: { host: istio-egressgateway.istio-system.svc.cluster.local, port: { number: 443 } } }]
---
kind: DestinationRule
spec:
  host: istio-egressgateway.istio-system.svc.cluster.local
  trafficPolicy:
    tls:
      mode: ISTIO_MUTUAL

验证方法

• 通过网关访问外部服务并抓包/日志验证 SNI 与 TLS 行为。
• 审计允许列表命中与拒绝事件；对比稳定性与延迟。
• 故障演练：证书更新与失效、外部不可用时的降级。

注意事项

• 严格的允许清单与审计；避免外连扩散。
• 证书与 CA 管理；自动更新与告警。
• 与出口 NAT 与网络策略一致，避免冲突。