envoy 链路追踪-日志收集-网格安全

已于 2023-09-25 10:34:00 修改
阅读量132 收藏
点赞数
分类专栏: 云原生 文章标签: 安全 github
于 2022-08-13 17:57:00 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/huningfei/article/details/133001992
版权

一 日志收集

https://github.com/iKubernetes/servicemesh_in_practise/tree/MageEdu_N66/Monitoring-and-Tracing #日志和链路追踪实例代码

1.1 accesslog-with-efk

环境描述

7个Service:
front-envoy:Front Proxy,地址为172.31.76.10
3个后端服务,仅是用于提供测试用的上游服务器
service_blue
service_red
service_green
三个日志服务
elasticsearch,地址为172.31.76.15,绑定宿主机的9200端口
kibana,地址为172.31.76.16,绑定宿主机的5601端口
filebeat

特殊要求

目录logs/envoy/下的日志文件front-envoy-access.log的属主需要修改为envoy容器中运行envoy进程的用户envoy,其UID和GID默认分别为100和101,否则,front-envoy进程将日志写入到该文件时,将显示为“Permission Denied.”
chown 100.101 logs/envoy/front-envoy-access.log

运行并测试
启动服务

docker-compose up

文本日志

先使用类似如下命令向Front-Envoy发起请求,以便持续生成访问日志;

while true; do curl 172.31.76.10/service/colors; sleep 0.$RANDOM; done

查看是否已经存在由filebeat生成的索引;

curl 172.31.76.15:9200/_cat/indices

命令返回的索引中包含类似如下内容,即表示filebeat已经生成相应的索引

image

访问kibanahttp://192.168.24.241:5601/

image

1.2 monitoring #监控

环境描述

10个Service:
front-envoy:Front Proxy,地址为172.31.70.10
6个后端服务
service_a_envoy和service_a:对应于Envoy中的service_a集群,会调用service_b和service_c;
service_b_envoy和service_b:对应于Envoy中的service_b集群;
service_c_envoy和service_c:对应于Envoy中的service_c集群;
1个statsd_exporter服务
1个prometheus服务
1个grafana服务

启动服务

docker-compose build
docker-compose up

访问测试

向Front-Envoy发起请求,下面的命令模拟间隔1秒之内的随机时长进行请求;

while true; do curl 172.31.70.10; sleep 0.$RANDOM; done

grafnan界面

image

1.3 monitoring-and-accesslog #监控和日志结合

环境描述

10个Service:
front-envoy:Front Proxy,地址为172.31.79.10
6个后端服务
service_a_envoy和service_a:对应于Envoy中的service_a集群,会调用service_b和service_c;
service_b_envoy和service_b:对应于Envoy中的service_b集群;
service_c_envoy和service_c:对应于Envoy中的service_c集群;
Prometheus指标监控相关的服务3个
statsd_exporter
prometheus
grafana
EFK日志相关的服务3个 
elaistchsearch
kibana
filebeat

特殊要求

目录logs/envoy/下的日志文件front-envoy-access.log的属主需要修改为envoy容器中运行envoy进程的用户envoy,其UID和GID默认分别为100和101,否则,front-envoy进程将日志写入到该文件时,将显示为“Permission Denied.”
chown 100.101 logs/envoy/*

启动服务

docker-compose build
docker-compose up

访问测试

向Front-Envoy发起请求,下面的命令模拟间隔1秒之内的随机时长进行请求;

while true; do curl 172.31.79.10; sleep 0.$RANDOM; done

查看promethes和grafna

image

查看kibana

image

查看es索引

image

二 链路追踪

2.1 zipkin-tracing-basics

服务描述:

Front-Proxy:前端代理,监听端口8000/tcp
2个后端服务
service1:接收Front-Envoy的请求,并会请求service2
service2:接收service1的请求
追踪服务zipkin,监听端口9411

启动服务

docker-compose build
docker-compose up

请求代理服务

curl -v 172.31.81.10:8000/trace/1

# 该命令会收到类似如下响应
*   Trying 172.31.81.10:8000...
* TCP_NODELAY set
* Connected to 172.31.81.10 (172.31.81.10) port 8000 (#0)
> GET /trace/1 HTTP/1.1
> Host: 172.31.81.10:8000
> User-Agent: curl/7.68.0
> Accept: */*
> 
* Mark bundle as not supporting multiuse
< HTTP/1.1 200 OK
< content-type: text/html; charset=utf-8
< content-length: 90
< server: envoy
< date: Wed, 03 Nov 2021 09:59:59 GMT
< x-envoy-upstream-service-time: 11
< x-b3-traceid: 103b7d704f28aafe
< x-request-id: 59960a6f-74fe-92f8-aba5-b4e7af7c249f
< 
Hello from behind Envoy (service 1)! hostname: 7ec5c840997d resolvedhostname: 172.31.81.2

可多次反复发起请求,以便于后面在UI中了解追踪的结果。
访问zipkin

image

2.2 zipkin-tracing

环境描述

8个Service:
front-envoy:Front Proxy,地址为172.31.85.10
6个后端服务
service_a_envoy和service_a:对应于Envoy中的service_a集群,会调用service_b和service_c;
service_b_envoy和service_b:对应于Envoy中的service_b集群;
service_c_envoy和service_c:对应于Envoy中的service_c集群;
zipkin:Zipkin服务

启动服务

docker-compose build
docker-compose up

访问测试

向Front-Envoy发起请求

curl -vv 172.31.85.10


* About to connect() to 172.31.85.10 port 80 (#0)
*   Trying 172.31.85.10...
* Connected to 172.31.85.10 (172.31.85.10) port 80 (#0)
> GET / HTTP/1.1
> User-Agent: curl/7.29.0
> Host: 172.31.85.10
> Accept: */*
> 
< HTTP/1.1 200 OK
< date: Sat, 13 Aug 2022 08:40:02 GMT
< content-length: 85
< content-type: text/plain; charset=utf-8
< x-envoy-upstream-service-time: 4
< server: envoy
< x-b3-traceid: c86a1e9192a64f39
< x-request-id: fb84155c-65ae-933c-a15f-24b87179eb4f
< 
Calling Service B: Hello from service B.
Hello from service A.
Hello from service C.
* Connection #0 to host 172.31.85.10 left intact

image

2.3 jaeger-tracing

环境描述

8个Service:
front-envoy:Front Proxy,地址为172.31.88.10
6个后端服务
service_a_envoy和service_a:对应于Envoy中的service_a集群,会调用service_b和service_c;
service_b_envoy和service_b:对应于Envoy中的service_b集群;
service_c_envoy和service_c:对应于Envoy中的service_c集群;
zipkin:Jaeger all-in-one服务

启动服务

docker-compose build
docker-compose up

访问测试

向Front-Envoy发起一次请求

curl -vv 172.31.88.10

* About to connect() to 172.31.88.10 port 80 (#0)
*   Trying 172.31.88.10...
* Connected to 172.31.88.10 (172.31.88.10) port 80 (#0)
> GET / HTTP/1.1
> User-Agent: curl/7.29.0
> Host: 172.31.88.10
> Accept: */*
> 
< HTTP/1.1 200 OK
< date: Sat, 13 Aug 2022 08:44:34 GMT
< content-length: 85
< content-type: text/plain; charset=utf-8
< x-envoy-upstream-service-time: 8
< server: envoy
< x-b3-traceid: 70948d1d41a58074
< x-request-id: a9858fbb-2e6c-9acb-957c-a276e9b1d7b3
< 
Calling Service B: Hello from service B.
Hello from service A.
Hello from service C.
* Connection #0 to host 172.31.88.10 left intact

Jaeger会记录到该请求相关的Trace。访问宿主机的16686端口,即可通过浏览器访问Jaeger UI。

image

image

三 安全

https://github.com/iKubernetes/servicemesh_in_practise/tree/MageEdu_N66/Envoy-TLS #实例

3.1 https-https-proxy

环境描述

五个Service:
envoy:Front Proxy,地址为172.31.8.2,监听于8443端口
webserver01:第一个后端服务
webserver01-sidecar:第一个后端服务的Sidecar Proxy,地址为172.31.8.11,监听于443端口
webserver02:第二个后端服务
webserver02-sidecar:第二个后端服务的Sidecar Proxy,地址为172.31.8.12, 监听于443端口

运行和测试

docker-compose up

测试
https请求测试

curl -k -v https://172.31.8.2:8443/

下面的命令输出示例,是因为我们在curl命令使用了-v选项所获取到的详细交互过程。

* About to connect() to 172.31.8.2 port 8443 (#0)
*   Trying 172.31.8.2...
* Connected to 172.31.8.2 (172.31.8.2) port 8443 (#0)
* Initializing NSS with certpath: sql:/etc/pki/nssdb
* skipping SSL peer certificate verification
* SSL connection using TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
* Server certificate:
*       subject: CN=www.magedu.com
*       start date: 5月 19 03:56:18 2021 GMT
*       expire date: 5月 17 03:56:18 2031 GMT
*       common name: www.magedu.com
*       issuer: CN=www.magedu.com
> GET / HTTP/1.1
> User-Agent: curl/7.29.0
> Host: 172.31.8.2:8443
> Accept: */*

请求访问admin interface
curl http://172.31.8.2:9901/

huningfei
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Envoy 集成 Jaeger 实现分布式链路追踪
素履独行 | 元培的个人博客
01-16 383
本文内容分布式跟踪Envoy & Jaeger第一个实例本文小结 当我们的应用架构,从单体系统演变为微服务时,一个永远不可能回避的现实是,业务逻辑会被拆分到不同的服务中。因此,微服务实际就是不同服务间的互相请求和调用。更重要的是,随着容器/虚拟化技术的发展,传统的物理服务器开始淡出我们的视野,软件被大量地部署在云服务器或者虚拟资源上。在这种情况下,分布式环境中的运维和诊断变得越来越复杂。如果按照功能来划分,目前主要有 Logging、Metrics 和 Tracing 三个方向,如下图所示,可以注意
使用Envoy代理的微服务模式,第二部分:超时和重试
最佳 Java 编程
06-06 1553
该博客是系列文章的一部分,该系列文章更深入地介绍了Envoy Proxy和Istio.io ,以及它如何实现更优雅的连接和管理微服务的方式。 跟随我@christianposta ,紧跟这些博客文章的发布。 什么是Envoy代理 ,它如何工作? 如何使用Envoy Proxy实现一些基本模式? Istio Mesh如何适合这张照片 Istio Mesh的工作方式,以及如何通...
【云原生 | Kubernetes 系列】--Envoy日志保存
Q先生
10-13 575
Envoy日志保存
【云原生 | Kubernetes 系列】--Envoy分布式跟踪
Q先生
10-13 431
【云原生 | Kubernetes 系列】--Envoy分布式跟踪
envoy日志格式说明
qq_44397993的博客
03-06 604
envoy日志格式参数说明
在Istio中,到底怎么获取 Envoy 访问日志
万猫学社
07-12 1772
httpbin 服务作为接收请求的服务端, sleep 服务作为发送请求的客户端。 还需要开启 Envoy 访问日志,执行以下命令修改 istio 配置:
使用 SkyWalking 和 Envoy 访问日志服务对服务网格进行观察
ServiceMesher
12-10 1391
作者:柯振旭、吴晟Apache Skywalking[1]︰特别为微服务、云原生和容器化(Docker、Kubernetes、Mesos)架构而设计的 APM(应用性能监控)系统。Env...
【云原生 | Kubernetes 系列】--Envoy指标监控
Q先生
10-12 860
【云原生 | Kubernetes 系列】--Envoy指标监控
envoy调整日志级别
qq_44397993的博客
12-09 506
envoy调整日志级别
Envoy微服务实践—简书博客
纸上得来终觉浅,绝知此事要躬行
10-25 3003
转自简书:https://www.jianshu.com/p/90f9ee98ce70 Email:gaulzhw@gmail.com 本文介绍Envoy的一些基本概念以及实践操作,以期通过本文的介绍让读者可以了解到Envoy的原理,帮助读者理解Istio的Data Panel层实现。 写作本文的初衷是源于近期项目中需要做的微服务平台,平台需要针对微服务做控制。在技术选型的过程中比较了En...
使用Envoy 作Sidecar Proxy的微服务模式-3.分布式追踪
weixin_34320159的博客
02-23 266
本博客是深入研究Envoy Proxy和Istio.io 以及它如何实现更优雅的方式来连接和管理微服务系列文章的一部分。 这是接下来几个部分的想法(将在发布时更新链接): 断路器(第一部分) 重试/超时(第二部分) 分布式跟踪(第三部分) Prometheus的指标收集(第四部分) rate limiter(第五部分) 第三部分 - ...
Envoy打印请求和响应Body
z2011415107的博客
11-24 1337
1、添加Lua Filter实现对请求和响应的拦截 参考:https://www.envoyproxy.io/docs/envoy/latest/configuration/http/http_filters/lua_filter#dynamic-metadata-object-api 利用Lua脚本提取请求和响应Body信息,并设置到dynamicMetadata中。Lua脚本内容如下: function envoy_on_request(request_handle) local req.
Envoy 快速入门
weixin_33843947的博客
04-18 2379
在 微服务的服务间通信与服务治理 一文中,我们提到扇贝目前的 Service Mesh 架构是基于 Envoy 来做的。 本文的主角就是这个新秀 Envoy 抛弃了 Nginx, 选择了 Envoy 其实之前扇贝是大量使用 Nginx 的,无论是对于其部署,配置还是调优都更为有经验。如果可以,我们还是倾向于选用 Nginx作为 Service Mesh 的核心方案的。 但是碰到几个绕不开的问题: ...
具有Envoy代理的微服务模式,第三部分:分布式跟踪
danpu0978的博客
04-28 140
该博客是系列文章的一部分,该系列文章更深入地介绍了Envoy Proxy和Istio.io ,以及它如何实现更优雅的连接和管理微服务的方式。 跟随我@christianposta ,紧跟这些博客文章的发布。 什么是Envoy代理 ,它如何工作? 如何使用Envoy Proxy实现一些基本模式? Istio Mesh如何适合这张照片 Istio Mesh的工作方式,以及如何通...
微服务链路追踪_分布式服务链路追踪技术分析及对比
weixin_39828956的博客
12-10 637
1、概述在分布式服务时代,服务之间的请求域调用不再是简单的直连方式,注册中心的出现,让服务治理更加便利,也对服务之间的链路追踪提出了更高的要求。分布式链路追踪就是将一次分布式请求还原成调用链路,将一次分布式请求的调用情况集中展示,比如各个服务节点上的耗时、请求具体到达哪台机器上、每个服务节点的请求状态等等理论支撑。目前比较主流的链路追踪产品都是启发于google发表的Dapper,Dapper阐述...
一文读懂链路追踪
weixin_34054866的博客
06-06 1175
背景介绍 在微服务横行的时代,服务化思维逐渐成为了程序员的基本思维模式,但是,由于绝大部分项目只是一味地增加服务,并没有对其妥善管理,当接口出现问题时,很难从错综复杂的服务调用网络中找到问题根源,从而错失了止损的黄金时机。 而链路追踪的出现正是为了解决这种问题,它可以在复杂的服务调用中定位问题,还可以在新人加入后台团队之后,让其清楚地知道自己所负责的服务在哪一环。 除此之外,如果某个接口突然...
如何用istio实现监控和日志采集
weixin_42538690的博客
12-29 4267
大家都知道istio可以帮助我们实现灰度发布、流量监控、流量治理等一些功能。每一个功能都帮助我们在不同场景中实现不同的业务。那我们Istio是如何帮助我们实现监控和日志采集的呢? 这里我们依然以Bookinfo应用程序作为贯穿此任务的示例程序。首先在集群中安装并部署Istio。 收集遥测数据 创建一个新的YAML文件,用来保存Istio将自动生成和收集的新度量标准和日志流的配置。如下图所示 ...
使用Envoy 作Sidecar Proxy的微服务模式-2.超时和重试
weixin_33946020的博客
02-22 344
本博客是深入研究Envoy Proxy和Istio.io 以及它如何实现更优雅的方式来连接和管理微服务系列文章的一部分。 这是接下来几个部分的想法(将在发布时更新链接): 断路器(第一部分) 重试/超时(第二部分) 分布式跟踪(第三部分) Prometheus的指标收集(第四部分) rate limiter(第五部分) 第一部分 - ...
istio-envoy Bad Gateway
最新发布
04-03
当你在使用Istio和Envoy时,可能会遇到"Bad Gateway"错误。这个错误通常表示Istio代理(Envoy)无法将请求正确地转发到目标服务。 ...4. 查看Istio和Envoy日志,以获取更多关于错误原因的信息。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值