写点什么

Kubernetes 上的 Service Mesh 实践:用 EnvoyFilter 扩展 Istio

  • 2019-11-08
  • 本文字数:3762 字

    阅读完需:约 12 分钟

Kubernetes上的Service Mesh实践:用EnvoyFilter扩展Istio

KUN(中文名鲲)是 UCloud 面向内部的基于 Kubernetes 的资源交付平台,提供监控告警、CI/CD、网络双栈、Service Mesh 等能力。在践行 Service Mesh 理念的过程中,面对 Istio 的不足,团队针对其源码做了大量改进,包括给网络子系统 Pilot 下的资源做隔离,对 EnvoyFilter 做深度优化等,使其能在生产环境稳定运行,并提供强大的扩展能力。截止目前,KUN 平台上已有 175 个应用通过 Istio 提供服务。本文将分享我们在这方面的实践经验。

Istio 流量管理策略

Istio 中的流量管理策略是通过 Pilot 统一管理下发给 Envoy 的,Envoy 作为数据面,对外提供 XDS 接口。为了保证最终一致性,Pilot 实现了 Envoy 提供的 ADS(Aggregated Discovery Service)接口,执行顺序为:CDS, EDS, LDS, RDS。Pilot 本身是无状态的,所有的资源配置全部以 CRD 实例的形式保存在 Kubernetes 集群上,Envoy 和 Pilot 连接建立完成以后,Pilot 以事件通知的形式触发推送,Envoy 配置更新生效。



统一的配置管理简化了运维成本,同时也意味着定制化能力的缺失。享受 Pilot 通用配置管理所带来的便利化的同时,又要针对具体的 sidecar 流量管理做微调,如何才能做到两者兼顾呢?这就涉及今天要介绍的主题:EnvoyFilter

Envoy 架构

EnvoyFilter 是 Istio 中自定义的一种网络资源对象,用来更新配置 Envoy 中的 filter,为服务网格控制面提供了更强大的扩展能力,使 Envoy 中 filter chain 具备自定义配置的能力。


我们先来看下 Envoy 的整体架构:



从上图中我们可以看到 Envoy 中包含两种类型的 filter:L4 filter(即 network filter)和 L7 filter。EnvoyFilter 中可以自定义配置的 filter 即为这两种 filter。从下面的监听器配置可以看到 filter 所处的具体位置。


listener:  filter_chains:  - filters:  // L4 filter    - name: {L4-filter-name}    - name: envoy.http_connection_manager      config:        http_filters: // L7 filter        - name: {L7-filter-name}
复制代码


L4 filter 主要包括:HTTP connection manager, MySQL proxy, Rate limit, RBAC, Redis proxy, TCP proxy 等。L7 filter 是 L4 filter 中 HTTP connection manager 下面定义的 filter, 主要包括:CORS, External Authorization, Fault Injection, Health check, JWT Authentication, Lua, Rate limit, Router 等。无论 L4 还是 L7 的 filter 都是按照指定的次序执行,Istio 中使用的 istio-proxy 也是在 envoy 的基础上额外编译进了 istio_authn,mixer 等 filter,以实现 Istio 中的 policy 和 telemetry 等功能。

更近一步:EnvoyFilter 案例分析

假设现在有一个需求,在调用 REST 接口时候如果 header 中含有 Key/Value 为“foo:bar”的请求要求返回 444。 那么我们可以通过 EnvoyFilter 实现,在 sidecar 的 inbound 链中修改监听器配置,在 httpconnectionmanager 的第一个位置插入 envoy.fault 这样一个 filter。


apiVersion: networking.istio.io/v1alpha3kind: EnvoyFiltermetadata:  name: simple-envoy-filterspec:  workloadLabels:    app: helloworld  filters:  - listenerMatch:      listenerType: SIDECAR_INBOUND      listenerProtocol: HTTP    insertPosition:      index: FIRST    filterType: HTTP    filterName: envoy.fault    filterConfig:      abort:        percentage:          numerator: 100          denominator: HUNDRED        httpStatus: 444      headers:        name: foo        exactMatch: bar
复制代码


配置完成后我们看下 XDS 接口生成的动态监听器配置:


dynamic_active_listeners:    - listener:        filter_chains:        - filters:          - name: envoy.http_connection_manager            config:              http_filters:              - name: envoy.fault                config:                  abort:                    percentage:                      denominator: HUNDRED                      numerator: 100                    httpStatus: 444                  headers:                     name: bar                    exactMatch: foo              - name: istio_authn              - name: mixer
复制代码


可以看到 envoy.fault 添加到了 envoy.httpconnectionmanager 这个 L4 下面的 http_filters 链中第一条规则,符合预期,同时请求结果生效。


EnvoyFilter 的更多具体配置,可以参考社区

追本溯源:缺少隔离

了解 EnvoyFilter 的基本使用之后,我们将深入分析 Pilot(1.1.2)源码,来探究 EnvoyFilter 的工作原理和隔离性不足的根源。下图展示了构建 Envoy 监听器的主要工作流程。



InsertUserFilter 是在监听器配置完成之后执行的,用于向 Envoy filter chain 中插入用户自定义的 filter。insertUserFilter 会调用下图中的 getUserFiltersForWorkload 函数,在整个集群范围内查找满足条件的 EnvoyFilter,把获取到的 filter 合并后插入到监听器的 filter chain 中。


func getUserFiltersForWorkload(in *plugin.InputParams) *networking.EnvoyFilter {    env := in.Env    // collect workload labels    workloadInstances := in.ProxyInstances
var workloadLabels model.LabelsCollection for _, w := range workloadInstances { workloadLabels = append(workloadLabels, w.Labels) }
f := env.EnvoyFilter(workloadLabels) // 集群范围查找 if f != nil { return f.Spec.(*networking.EnvoyFilter) } return nil}
复制代码


这就会产生一个严重的问题。因为用户之间的行为是不可感知的,在集群范围内查找 EnvoyFilter 会导致用户行为的不可控,什么意思呢?让我们通过下图来具体说明:



如果图中的两个用户 user1 和 user2,分别在对应的 namespace 下面部署两个具有相同标签的 pod,绑定不同的 EnvoyFilter,返回码应该分别为 555(user1)和 444(user2)。但 user2 访问/hello 得到的最终返回码是 555,与预期 444 不符,其行为被 user1 干扰了。原因就在于缺少 namespace 级别的隔离。

解决:namespace 级别隔离

EnvoyFilter 为什么不做 namespace 级别的隔离?针对这个问题,笔者曾向 Istio 社区寻求答案,但没有得到合理的答复。基于此,KUN 团队针对 Istio1.1.2 中 EnvoyFilter 做了 namespace 级别的隔离,使其影响范围控制在单一的 namespace 下,让普通用户具备可以修改 Envoy filter chain 的能力而不会相互干扰。



下图我们可以看到 EnvoyFilter 的作用域被控制在了 namespace 级别。



截止目前为止,KUN 平台上共有 175 个应用通过 Istio 提供服务,除了 EnvoyFilter,KUN 同时针对其他网络资源也做了严格的隔离,以此来保证不同用户的服务的稳定性。基于此,不同用户可以根据具体需求在自定义 namespace 下创建 EnvoyFilter,为自己的服务做功能扩展。

持续改进:校验

除了隔离之外,如果用户在 EnvoyFilter 中配置的 filter 没有被编译进 Envoy,那么 Pilot 下发给 Envoy 的配置会直接导致 Envoy 出错,如下:


[2019-08-08 02:03:44.048][19][warning][config] [external/envoy/source/common/config/grpc_mux_subscription_impl.cc:73] gRPC config for type.googleapis.com/envoy.api.v2.Listener rejected: Error adding/updating listener(s) 172.17.0.13_80: Didn't find a registered implementation for name: 'envoy.filters.unknown'
复制代码


KUN 团队为了提升整个服务网格的容错性和可用性,对 EnvoyFilter 的创建做了进一步的校验,这涉及到 istio-galley。


istio-galley 的作用之一是实现了 kubernetes 中 validating webhook 的功能,用户在创建 EnvoyFilter 的时候 apiserver 会调用 istio-galley 做校验,如果校验失败则直接返回,该实例不会持久化到集群。于是我们修改了 istio-galley 源码, 将 Envoy 中的原生支持的 filter 及 istio-proxy 编译的 filter 作为基准进行校验。


#kubectl -n foo create -fapiVersion: networking.istio.io/v1alpha3kind: EnvoyFiltermetadata:  name: network-filterspec:  workloadLabels:    version: v1  filters:  - listenerMatch:      listenerType: SIDECAR_INBOUND      listenerProtocol: HTTP    insertPosition:      index: LAST    filterType: NETWORK    filterName: envoy.filters.unknown    filterConfig:      key: value
复制代码


此时,我们可以看到错误的配置直接被拦截在创建时。


Error from server: error when creating "networkfilter.yaml": admission webhook "pilot.validation.istio.io" denied the request: configuration is invalid: envoy filter: unknown
复制代码

总结

Service Mesh 将基础设施下沉,使上层业务只专注于业务本身,在云原生领域具有广阔的应用前景。KUN 团队很早开始跟进 Service Mesh,早在 Istio1.0 版本之前就已在内部试用。团队将始终致力于改革 UCloud 内部研发流程,提升研发效率,并协同社区一同完善 Service Mesh 功能。同时也很欣喜地看到,我们此前做的一些改进工作,如支持 IPv6 环境、资源隔离等,在 Istio 后续版本中也陆续开始支持。


本文转载自公众号 UCloud 技术(ID:ucloud_tech)。


原文链接:


https://mp.weixin.qq.com/s/sQ59WxY6zRyUwDHFsUefrg


2019-11-08 16:391334

评论

发布
暂无评论
发现更多内容

win版 CCleaner(系统优化工具)v6.23绿色便携版

iMac小白

低代码开发:加速工业数智化转型发展

EquatorCoco

低代码 工业 数智化

Lombok注解引发的空指针问题分析

京东科技开发者

低代码开发:引领HR数字化变革新时代

不在线第一只蜗牛

低代码 数字化 HR

重磅发布!华为开发者空间:让每位开发者拥有一台云主机

华为云开发者联盟

华为云 华为云开发者联盟 云空间 企业号2024年6月PK榜

win版StreamFab Downloader(视频下载工具) v6.1.8.4 激活版

iMac小白

智源和港中文联合提出首个多功能3D医学多模态大模型(文本、定位和分割任务)

智源研究院

技术解读数据库如何实现“多租户”?

快乐非自愿限量之名

MySQL 数据库 多租户

大模型助力国际术语专业化,前后联动实现所见即所得

京东科技开发者

独家|GenAI年中回顾,2024网络内容审核的API实战指南

爱AI的猫猫头

人工智能 网络安全 AIGC GenAI UGC

在 Apifox 中如何正确处理经过编码或加密的响应数据?

Apifox

后端 Apifox API 数据加密 数据编码

win版4K Video Downloader Plus(4K视频下载器)特别版

iMac小白

win版Topaz Gigapixel AI(人工智能图片放大工具) v7.2.2 (x64) 特别版

iMac小白

技术干货 | AI驱动工程仿真和设计创新

Altair RapidMiner

人工智能 AI 仿真 设计模型

鸿蒙ArkUI之实现Button点击效果和声效

彭康佳

鸿蒙

通义灵码上线 Visual Studio 插件市场啦!

阿里云云效

阿里云 云原生 通义灵码

Spring高手之路20——深入理解@EnableAspectJAutoProxy的力量

砖业洋__

Java spring 后端

Rust这5个自动验证工具,你知道几个?

伤感汤姆布利柏

小红书 2024 大模型论文分享会来啦,与多位顶会作者在线畅聊!

小红书技术REDtech

acl 大模型 Iclr LLM

通义灵码上线 Visual Studio 插件市场啦!

阿里巴巴云原生

阿里云 云原生 通义灵码

开发做一个欧洲杯直播比分预测平台,只需三步

软件开发-梦幻运营部

win版IDimager Photo Supreme 2024(图片管理软件)激活版

iMac小白

液冷赋能,AI算力锐不可当

GPU算力

AI大模型“行业数据集-场景应用创新计划”启动征集

智源研究院

Aquila-Med LLM:开创性的全流程开源医疗语言模型

智源研究院

大模型技术及趋势总结

京东科技开发者

低代码智能协同办公:开启高效办公新时代

快乐非自愿限量之名

低代码 智能化 协同办公

华为云618营销季来袭,数据灾备方案为云端业务筑牢安全防线

YG科技

大模型时代数据库技术创新

Baidu AICLOUD

向量数据库 数据库 Copilot 数据库智能驾驶舱

Ilya出走记:SSI的超级安全革命

自象限

Kubernetes上的Service Mesh实践:用EnvoyFilter扩展Istio_文化 & 方法_王昌宇_InfoQ精选文章