Skip to content

Networking & Service Mesh

Visão Geral

Os ambientes HML e NOX compartilham uma cadeia de rede e exposição baseada em quatro blocos principais:

  1. ExternalDNS cria e reconcilia os registros públicos no OCI DNS.
  2. Istio + Gateway API recebem o tráfego das aplicações expostas por HTTPRoute.
  3. cert-manager emite e renova os certificados TLS usados no Gateway e nos Ingresses.
  4. Kiali oferece observabilidade da malha, mas é exposto separadamente por NGINX Ingress.

Essa documentação existe para concentrar um tema que hoje é transversal aos ambientes e aos módulos do pipeline. A fonte de verdade da implementação fica no repositório ads-oci-infra-pipeline, principalmente nos módulos:

  • infrastructure/modules/oke-extras
  • infrastructure/modules/istio

Fluxo ponta a ponta

flowchart LR
    APP[Chart / App] --> ROUTE[HTTPRoute ou Ingress]
    ROUTE --> DNSANN[Annotation external-dns.enabled]
    DNSANN --> EDNS[ExternalDNS]
    EDNS --> OCIDNS[OCI DNS]
    OCIDNS --> PUBLICIP[IP publico de borda]
    PUBLICIP --> NAT[NAT / Firewall]
    NAT --> ILB[Load Balancer interno OCI]
    ILB --> GW[Gateway do Istio]
    GW --> SVC[Service / Workload]

No fluxo acima, o ponto mais importante é que o endereço publicado no DNS pode não ser o IP privado do balanceador interno criado pelo Gateway. Quando existe firewall ou NAT na borda, o lb_publlic_ip passa a representar o IP público externo que recebe o tráfego e encaminha para o balanceador interno do cluster.

Dois caminhos de exposição

Aplicações tenant-scoped

O padrão das aplicações usa:

  • HTTPRoute
  • Gateway API
  • wildcard *.nox.app.br
  • ExternalDNS observando gateway-httproute

Kiali

O Kiali é uma exceção operacional importante:

  • não usa o Gateway wildcard principal
  • é publicado por NGINX Ingress
  • recebe DNS e TLS automaticamente com external-dns.enabled: "true" e cert-manager.io/cluster-issuer

Onde configurar

HML

  • config/hml/oke-extras/config.hcl
  • config/hml/istio/config.hcl

NOX

  • config/nox/oke-extras/config.hcl
  • config/nox/istio/config.hcl

Páginas desta seção

  • DNS Automático: como o ExternalDNS decide o que criar e como a zona OCI é atualizada.
  • Istio & Gateway API: como o Gateway, TLS wildcard e lb_publlic_ip se conectam.
  • Kiali: instalação, URL, autenticação OIDC e origem das configurações.