HashiCorp consur1.8引入了两个新特性，简化了采用服务网格的过程，即终端网关和入口网关。在本博客中，我们将讨论什么是终端网关，以及当组织将应用程序迁移到一个混合服务网格时，它如何使组织受益。»概述许多大型企业通常在多个计算基础设施平台（如裸机、大型机、虚拟机或容器）上的多个地理位置不同的数据中心运行许多应用程序和服务。组织通常采用服务网格来获得跨这些不同环境的一组通用网络功能。服务网格为应用程序环境提供了许多好处，例如：加密服务通信可观测性与度量智能交通路由»服务网底漆将应用程序部署到服务网格中最常见的方法是使用sidecar模式。在这个模型中，代理被部署在网格中的每个应用程序旁边。该应用程序配置为通过代理路由通信，该代理为代理连接提供安全的服务到服务通信、智能流量路由和可观察性。在某些情况下，无法将sidecar代理部署到特定的目标上，例如托管数据库服务（Azure SQL数据库）或本地大型机。一个潜在的解决方案是允许应用程序直接连接到外部服务。然而，这是有问题的几个原因。在Kubernetes等环境中，在给定节点上运行的所有工作负载在退出集群时都将离开同一个IP。无法区分来自"受信任"容器或"不受信任"容器的流量。此外，它还打破了服务网格提供的统一安全模型，因为安全控制也必须在网格之外的系统中实现。通过使mesh能够安全地与外部网关中的服务通信来解决这些难题。»终端网关如何工作终端网关提供了一种将服务网格连接扩展到mesh环境之外的应用程序或服务的方法。它们充当出口代理，参与服务网格，并提供到一个或多个外部目的地的连接。为了使用终端网关路由到mesh之外的目的地，必须首先将外部服务器和应用程序分别作为外部节点和外部服务注册到consur的服务目录中。然后，必须将服务关联为可通过给定的终止网关访问。一旦这些步骤完成，就可以发现服务并将其连接到网格中的任何其他服务。终止网关在网格中创建一个侦听器，该侦听器能够接受多个目标服务的连接。然后，网关将为它所代表的每个服务获取并配置TLS叶证书。当网格中的服务向外部目标发起连接请求时，该请求被路由到终端网关，而不是直接将连接路由到外部应用程序。网关使用TLS服务器名称指示（SNI）来确定目标目的地，并相应地向客户端提供适当的证书，以便与源sidecar代理建立相互TLS（mTLS）会话。终止网关利用源和目标目标服务的身份来强制consur的访问策略、意图。对意图进行评估，以确定是否允许连接。如果允许，网关将把连接转发到目的地-可选地启动第二个mTLS会话到外部服务。终端网关应尽可能靠近目标服务部署，以便通过倒数第二跳确保连接的安全性。通过使用TLS进行身份验证和加密，以及授权意图，操作员有一个管理内部和外部服务的身份验证和授权的通用工作流。»多直流网状扩张采用云的主要优势之一是可以访问云提供商提供的各种托管服务，如数据库、消息队列、对象存储等。组织希望利用这些云管理服务来减少运营开销，提高服务可靠性。组织可能要求这些服务可以从云中和本地的服务网格访问。终端网关可与consur的mesh网关结合使用，以提供从本地数据中心的应用程序到云中运行的托管服务的安全连接。Mesh网关可以提供从云到本地数据中心的应用程序连接，而终端网关提供连接的最后一段，即将流量从Mesh转发到目标服务。»结论终端网关使企业能够实现服务网格的好处，同时仍然保留使用一致的网络和安全模型与mesh环境外的外部系统安全通信的能力。它们使组织能够采用混合应用程序栈，在必要时利用外部服务作为其云本地应用程序部署的一部分。有关终止网关的更多信息，请查看我们的学习网站上的"了解终端网关并将外部服务连接到CONSUR Service Mesh和终端网关指南"。