openyurt之yurthub数据过滤框架解析

已于 2022-03-30 19:24:06 修改
阅读量841 收藏
点赞数
分类专栏: openyurt 文章标签: docker kubernetes 云原生
于 2022-03-22 19:02:03 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_22543991/article/details/123668090
版权

背景介绍

OpenYurt是业界首个非侵入的边缘计算云原生开源项目,通过边缘自治,云边协同,边缘单元化,边缘流量闭环等能力为用户提供云边一体化的使用体验。在openyurt里边缘网络可以使用数据过滤框架在不同节点池里实现边缘流量闭环能力。

yurthub数据过滤框架解析

yurthub本质上是一层kube-apiserver的代理,在代理的基础上加了一层cache,一来保证边缘节点离线的情况下可以使用本地cache保证业务稳定性,有效的解决了边缘自治的问题。二来可以降低大量的list & watch操作对云上api产生一定的负载。

yurthub的数据过滤通过节点上的pod以及kubelet的请求通过Load Balancer 发送给kube-apiserver,代理接收到响应消息进行数据过滤处理,之后再将过滤后的数据返回给请求方。如果节点是边缘节点会根据请求类型对响应请求体中的资源进行本地缓存,如果是云端节点考虑到网络状态良好不进行本地缓存。

yurthub的过滤框架实现原理图:

yurthub目前包含四种过滤规则,通过addons请求的user-agent,resource,verb判断经过那个过滤器进行相应的数据过滤。

四种过滤规则功能及实现如下:

ServiceTopologyFilter:

主要针对EndpointSlice资源进行数据过滤, 但Endpoint Slice特性需要在Kubernetes v1.18或以上版本才能支持,如果在1.18版本以下建议使用endpointsFilter过滤器。 当经过该过滤器首先通过kubernetes.io/service-name找到endpointSlice资源所对应的services资源,之后判断servces资源是否存在openyurt.io/topologyKeys这个Annotations,如果存在那么通过这个Annotations的值判断数据过滤规则,最后更新response data返回给addons。

Annotations的值分为两大类:

  1. kubernetes.io/hostname: 只过滤出相同节点的endpoint ip
  2. openyurt.io/nodepool或者kubernetes.io/zone: 通过这个Annotations获取对应节点池,最后遍历endpointSlice资源,通过endpointSlice里的topology字段中的kubernetes.io/hostname字段在endpointSlice对象里找到对应的Endpoints,之后重组endpointSlice里的Endpoints后返回给addons。

 代码实现:

func (fh *serviceTopologyFilterHandler) reassembleEndpointSlice(endpointSlice *discovery.EndpointSlice) *discovery.EndpointSlice {
   var serviceTopologyType string
   // get the service Topology type
   if svcName, ok := endpointSlice.Labels[discovery.LabelServiceName]; ok {
      svc, err := fh.serviceLister.Services(endpointSlice.Namespace).Get(svcName)
      if err != nil {
         klog.Infof("skip reassemble endpointSlice, failed to get service %s/%s, err: %v", endpointSlice.Namespace, svcName, err)
         return endpointSlice
      }

      if serviceTopologyType, ok = svc.Annotations[AnnotationServiceTopologyKey]; !ok {
         klog.Infof("skip reassemble endpointSlice, service %s/%s has no annotation %s", endpointSlice.Namespace, svcName, AnnotationServiceTopologyKey)
         return endpointSlice
      }
   }

   var newEps []discovery.Endpoint
   // if type of service Topology is 'kubernetes.io/hostname'
   // filter the endpoint just on the local host
   if serviceTopologyType == AnnotationServiceTopologyValueNode {
      for i := range endpointSlice.Endpoints {
         if endpointSlice.Endpoints[i].Topology[v1.LabelHostname] == fh.nodeName {
            newEps = append(newEps, endpointSlice.Endpoints[i])
         }
      }
      endpointSlice.Endpoints = newEps
   } else if serviceTopologyType == AnnotationServiceTopologyValueNodePool || serviceTopologyType == AnnotationServiceTopologyValueZone {
      // if type of service Topology is openyurt.io/nodepool
      // filter the endpoint just on the node which is in the same nodepool with current node
      currentNode, err := fh.nodeGetter(fh.nodeName)
      if err != nil {
         klog.Infof("skip reassemble endpointSlice, failed to get current node %s, err: %v", fh.nodeName, err)
         return endpointSlice
      }
      if nodePoolName, ok := currentNode.Labels[nodepoolv1alpha1.LabelCurrentNodePool]; ok {
         nodePool, err := fh.nodePoolLister.Get(nodePoolName)
         if err != nil {
            klog.Infof("skip reassemble endpointSlice, failed to get nodepool %s, err: %v", nodePoolName, err)
            return endpointSlice
         }
         for i := range endpointSlice.Endpoints {
            if inSameNodePool(endpointSlice.Endpoints[i].Topology[v1.LabelHostname], nodePool.Status.Nodes) {
               newEps = append(newEps, endpointSlice.Endpoints[i])
            }
         }
         endpointSlice.Endpoints = newEps
      }
   }
   return endpointSlice
}

EndpointsFilter

针对endpoints资源进行相应的数据过滤,首先判断endpoint是否存在对应的service,通过node的label: apps.openyurt.io/nodepool 获取节点池,之后获取节点池下的所有节点,遍历endpoints.Subsets下的资源 找出同一个节点池的Ready pod address以及NotReady pod address重组成新的endpoints之后返回给addons。

func (fh *endpointsFilterHandler) reassembleEndpoint(endpoints *v1.Endpoints) *v1.Endpoints {
   svcName := endpoints.Name
   _, err := fh.serviceLister.Services(endpoints.Namespace).Get(svcName)
   if err != nil {
      klog.Infof("skip reassemble endpoints, failed to get service %s/%s, err: %v", endpoints.Namespace, svcName, err)
      return endpoints
   }
   // filter the endpoints on the node which is in the same nodepool with current node
   currentNode, err := fh.nodeGetter(fh.nodeName)
   if err != nil {
      klog.Infof("skip reassemble endpoints, failed to get current node %s, err: %v", fh.nodeName, err)
      return endpoints
   }
   if nodePoolName, ok := currentNode.Labels[nodepoolv1alpha1.LabelCurrentNodePool]; ok {
      nodePool, err := fh.nodePoolLister.Get(nodePoolName)
      if err != nil {
         klog.Infof("skip reassemble endpoints, failed to get nodepool %s, err: %v", nodePoolName, err)
         return endpoints
      }
      var newEpSubsets []v1.EndpointSubset
      for i := range endpoints.Subsets {
         endpoints.Subsets[i].Addresses = filterValidEndpointsAddr(endpoints.Subsets[i].Addresses, nodePool)
         endpoints.Subsets[i].NotReadyAddresses = filterValidEndpointsAddr(endpoints.Subsets[i].NotReadyAddresses, nodePool)
         if endpoints.Subsets[i].Addresses != nil || endpoints.Subsets[i].NotReadyAddresses != nil {
            newEpSubsets = append(newEpSubsets, endpoints.Subsets[i])
         }
      }
      endpoints.Subsets = newEpSubsets
      if len(endpoints.Subsets) == 0 {
         // this endpoints has no nodepool valid addresses for ingress controller, return nil to ignore it
         return nil
      }
   }
   return endpoints
}

MasterServiceFilter

针对services下的域名进行ip以及端口替换,这个过滤器的场景主要在于边缘端的pod无缝使用InClusterConfig访问集群资源。

func (fh *masterServiceFilterHandler) ObjectResponseFilter(b []byte) ([]byte, error) {
   list, err := fh.serializer.Decode(b)
   if err != nil || list == nil {
      klog.Errorf("skip filter, failed to decode response in ObjectResponseFilter of masterServiceFilterHandler, %v", err)
      return b, nil
   }

   // return data un-mutated if not ServiceList
   serviceList, ok := list.(*v1.ServiceList)
   if !ok {
      return b, nil
   }

   // mutate master service
   for i := range serviceList.Items {
      if serviceList.Items[i].Namespace == MasterServiceNamespace && serviceList.Items[i].Name == MasterServiceName {
         serviceList.Items[i].Spec.ClusterIP = fh.host
         for j := range serviceList.Items[i].Spec.Ports {
            if serviceList.Items[i].Spec.Ports[j].Name == MasterServicePortName {
               serviceList.Items[i].Spec.Ports[j].Port = fh.port
               break
            }
         }
         klog.V(2).Infof("mutate master service into ClusterIP:Port=%s:%d for request %s", fh.host, fh.port, util.ReqString(fh.req))
         break
      }
   }

   // return the mutated serviceList
   return fh.serializer.Encode(serviceList)
}

DiscardCloudService

该过滤器针对两种service资源 其中一种是LoadBalancer类型,因为边缘端无法访问LoadBalancer类型的资源,所以该过滤器会将这种类型的资源直接过滤掉。另外一种是针对kube-system名称空间下的x-tunnel-server-internal-svc,这个services主要存在cloud节点用于访问yurt-tunnel-server,对于edge节点会直接过滤掉该service。

func (fh *discardCloudServiceFilterHandler) ObjectResponseFilter(b []byte) ([]byte, error) {
   list, err := fh.serializer.Decode(b)
   if err != nil || list == nil {
      klog.Errorf("skip filter, failed to decode response in ObjectResponseFilter of discardCloudServiceFilterHandler %v", err)
      return b, nil
   }

   serviceList, ok := list.(*v1.ServiceList)
   if ok {
      var svcNew []v1.Service
      for i := range serviceList.Items {
         nsName := fmt.Sprintf("%s/%s", serviceList.Items[i].Namespace, serviceList.Items[i].Name)
         // remove lb service
         if serviceList.Items[i].Spec.Type == v1.ServiceTypeLoadBalancer {
            if serviceList.Items[i].Annotations[filter.SkipDiscardServiceAnnotation] != "true" {
               klog.V(2).Infof("load balancer service(%s) is discarded in ObjectResponseFilter of discardCloudServiceFilterHandler", nsName)
               continue
            }
         }

         // remove cloud clusterIP service
         if _, ok := cloudClusterIPService[nsName]; ok {
            klog.V(2).Infof("clusterIP service(%s) is discarded in ObjectResponseFilter of discardCloudServiceFilterHandler", nsName)
            continue
         }

         svcNew = append(svcNew, serviceList.Items[i])
      }
      serviceList.Items = svcNew
      return fh.serializer.Encode(serviceList)
   }

   return b, nil
}

过滤框架现状

目前的过滤框架比较僵硬,将资源过滤硬编码至代码中,只能是已注册的资源才能进行相应的过滤,为了解决这个问题,需要对过滤框架进行相应的改造。

解决方案

方案一:

使用参数或者环境变量的形式自定义过滤配置,但是这种方式有以下弊端:

  1. 配置复杂需要将所以需要自定义的配置写入到启动参数或者读取环境变量 例如下格式: 
    --filter_serviceTopology=coredns/endpointslices#list,kube-proxy/services#list;watch --filter_endpointsFilter=nginx-ingress-controller/endpoints#list;watch
  2. 无法热更新,每次修改配置都需要重启yurthub生效

方案二:

  1. 使用configmap的形式自定义过滤配置降低配置复杂度 配置格式(user-agent/resource#list,watch) 多个资源通过逗号隔开。如下所示: 
    filter_endpoints: coredns/endpoints#list;watch,test/endpoints#list;watch
filter_servicetopology: coredns/endpointslices#list;watch
filter_discardcloudservice: ""
filter_masterservice: ""
  2. 利用Informer机制保证配置实时生效

综合以上两点在OpenYurt中我们选择了解决方案二

开发过程中遇到的问题

在边缘端Informer watch的api地址是yurthub的代理地址,那么yurthub在启动代理端口之前都是无法保证configmap的数据是正常的。 如果在启动完成之后addons的请求先于configmap数据更新 这个时候会导致数据在没有过滤的情况下就返回给了addons,这样会导致很多预期以外的问题。

为了解决这个问题 我们需要在apporve中加入WaitForCacheSync保证数据同步完成之后才能返回相应的过滤数据,但是在apporve中加入WaitForCacheSync也直接导致configmap进行watch的时候也会被阻塞,所以需要在WaitForCacheSync之前加入一个白名单机制,当yurthub使用watch/list访问configmap的时候我们直接不进行数据过滤,相应的代码逻辑如下:

func (a *approver) Approve(comp, resource, verb string) bool {
   if a.isWhitelistReq(comp, resource, verb) {
      return false
   }
   if ok := cache.WaitForCacheSync(a.stopCh, a.configMapSynced); !ok {
      panic("wait for configMap cache sync timeout")
   }
   a.Lock()
   defer a.Unlock()
   for _, requests := range a.nameToRequests {
      for _, request := range requests {
         if request.Equal(comp, resource, verb) {
            return true
         }
      }
   }
   return false
}

总结

  1. 通过上述的扩展能力可以看出,YurtHub不仅仅是边缘节点上的带有数据缓存能力的反向代理。而是对 Kubernetes 节点应用生命周期管理加了一层新的封装,提供边缘计算所需要的核心管控能力。
  2. YurtHub不仅仅适用于边缘计算场景,其实可以作为节点侧的一个常备组件,适用于使用kubernetes的任意场景。相信这也会驱动YurtHub向更高性能,更高稳定性发展。

噜噜噜的博客
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
聊一聊CNCF OpenYurt 的边缘云原生架构落地实践ppt
03-27
云原生和边缘计算联合架构 OpenYurtOpenYurt 核心技术内幕 • OpenYurt 商业实践及落地案例 • 边缘计算背景 • OpenYurt 未来规划
KubernetesOpenYurt 无缝转换(命令式)
阿里巴巴云原生的博客
12-29 199
简单一行命令就可体验 OpenYurt 了,感觉非常方便。稍等!为什么是 convert/revert 而不是 install/uninstall ?这个命令对集群做了什么?看来,在执行它之前有必要搞清楚它到底做了什么。
更灵活的边缘云原生运维:OpenYurt 单元化部署新增 Patch 特性
阿里巴巴云原生的博客
05-12 205
作者 | 张杰(冰羽) 来源 | 阿里巴巴云原生公众号 背景 在正文开始之前,我们先回顾一下单元化部署的概念和设计理念。在边缘计算场景下,计算节点具有很明显的地域分布属性,相同的应用可能需要部署在不同地域下的计算节点上。以 Deployment 为例,如下图所示,传统的做法是先将相同地域的计算节点设置成相同的标签,然后创建多个 Deployment,不同 Deployment 通过 NodeSelectors 选定不同的标签,从而实现将相同的应用部署到不同地域的需求。 但是随着地域分布越来越多,使得运维.
OpenYurt v1.2 新版本深度解读(一): 聚焦边云网络优化
阿里云技术
02-01 194
云原生边缘计算智能开源平台 CNCF OpenYurt 于近期发布了 v1.2 版本。OpenYurt 是业界首个对云原生体系无侵入智能边缘计算平台,具备全方位的“云、边、端一体化”能力,能够快速实现海量边缘计算业务和异构算力的高效交付、运维及管理。
深度解读 OpenYurt:从边缘自治看 YurtHub 的扩展能力
GitChat
07-14 402
本文为系列文章的第三篇,一一介绍了 OpenYurt 中组件 YurtHub 的扩展能力。
OpenYurtYurthub 数据过滤框架解析
阿里云云栖号
04-12 722
简介:OpenYurt 是业界首个非侵入的边缘计算云原生开源项目,通过边缘自治,云边协同,边缘单元化,边缘流量闭环等能力为用户提供云边一体化的使用体验。在 Openyurt 里边缘网络可以使用数据过滤框架在不同节点池里实现边缘流量闭环能力。 作者:应健健,新华智云计算中心 OpenYurt 是业界首个非侵入的边缘计算云原生开源项目,通过边缘自治,云边协同,边缘单元化,边缘流量闭环等能力为用户提供云边一体化的使用体验。在 Openyurt 里边缘网络可以使用数据过滤框架在不同节点池里实现边缘流量闭环能力。
openyurtOpenYurt-将本地Kubernetes扩展到边缘
02-03
1月8日,2021年OpenYurt v0.3.0发布! 请检查以获取详细信息。 8月30日,2020年OpenYurt v0.2.0发布! 请检查以获取详细信息。 5月29日,2020年OpenYurt v0.1.0-beta.1发布! 请检查以获取详细信息。 OpenYurt是...
OpenYurt-将本地Kubernetes扩展到边缘-Golang开发
05-26
OpenYurt是基于原生Kubernetes构建的,目标是对其进行扩展以无缝支持边缘计算。 简而言之,OpenYurt使用户可以管理在边缘基础架构中运行的应用程序,就像它们在云基础架构中运行一样。 有什么新功能! 2020年5月29日...
1-4 基于OpenYurt的边缘Serverless平台建设
02-09
1-4 基于OpenYurt的边缘Serverless平台建设
openyurt:OpenYurt-将本地Kubernetes扩展到边缘(CNCF下的项目)
03-18
openyurtio / openyurt English |有什么新功能! 1月8日,2021年OpenYurt v0.3.0发布!请检查以获取详细信息。 8月30日,2020年OpenYurt v0.2.0发布!请检查以获取详细信息。 5月29日,2020年OpenYurt v0.1.0-beta.1...
使用 Docker 自建一款怀旧游戏之 - 超级马里奥
Toasten
04-25 639
《 超级马里奥 》(Super Mario)是任天堂公司创造的一款经典游戏系列,是世界上最知名、最成功的游戏之一。这个系列由日本设计师宫本茂于 1985 年创造,最初的游戏名为《超级马里奥兄弟》(Super Mario Bros.),推出后风靡全球。
Docker consul的容器服务更新与发现
最新发布
YUEAwb的博客
04-29 509
consul是google开源的一个使用go语言开发的服务管理软件。支持多数据中心、分布式高可用的、服务发现和配置共享。采用Raft算法,用来保证服务的高可用。内置了服务注册与发现框架、分布一致性协议实现、健康检查、Key/Value存储、多数据中心方案,不再需要依赖其他工具(比如ZooKeeper等)。服务部署简单,只有一个可运行的二进制的包。每个节点都需要运行agent,他有两种运行模式server 和 client。
Docker单独安装xiaoya-alist
wbsu2004的博客
04-29 988
小雅是资源聚合站,通过自己的阿里云盘中转缓存资源,可以实现大量的资源在线播放。
[docker] docker 安全知识 - docker 系统性简介
GoldenaArcher的博客
04-27 890
今年的 security training 选的 topic 就是 docker 了,为了过这个 training 于是先把 docker 过了一遍(笑死之前干啃的时候确实觉得不太能看下去,不过走了一遍实践之后发现就比较好理解。
DockerDocker的网络与资源控制
Mo_nor的博客
04-26 914
直接使用bridge模式,是无法支持指定IP运行docker的,例如执行以下命令就会报错可以先定义网络,再使用指定IP运行docker#docker1 为执行 ifconfig -a 命令时,显示的网卡名,如果不使用 --opt 参数指定此名称,那你在使用 ifconfig -a 命令查看网络信息时,看到的是类似 br-110eb56a0b22 这样的名字,这显然不怎么好记。#mynetwork 为执行 docker network list 命令时,显示的bridge网络模式名称。
记录k8s以docker方式安装Kuboard v3 过程
weixin_67727883的博客
04-28 183
记录k8s以docker方式安装Kuboard v3 过程
华纳云:如何使用Docker进行有效的日志管理?
YOKEhn的博客
04-25 267
3.使用日志转发器:如果您的应用程序需要将日志发送到外部日志收集器或分析系统(如 Elasticsearch、Logstash、Fluentd、Kafka 等),可以使用日志转发器,如 Fluentd 或 Filebeat,将容器日志转发到指定的目标。综上所述,通过合适的配置和工具,您可以在 Docker 中实现有效的日志管理,提高日志的可访问性、可用性和安全性,从而更好地监控和管理容器化应用程序的日志。使用 Docker 进行有效的日志管理可以帮助您轻松地收集、存储、分析和监控容器日志。
Docker容器docker基础
zk584715834的博客
04-23 954
云端华为云 谷歌云 腾讯云 阿里云 亚马逊 百度云 移动云 天翼云 西部数码云国内云 华为云 阿里云 腾讯云(私有云)国外云 谷歌 亚马逊云计算的服务模式是分几层的,分别是PaaS:PLatform(平台)-as-a-Service;SaaS:Software(软件)-as-a-Service基础设施即服务(IaaS, Infrastructure as a Service)定义:IaaS是云计算的基础层级,它向用户提供虚拟化的计算资源,如虚拟机、存储空间、网络和操作系统。
三种修改 Docker 镜像默认存储位置的方法
weixin_54936485的博客
04-29 357
解决默认存储容量不足的情况,最直接且最有效的方法就是挂载新的分区到该目录。但是在原有系统空间不变的情况下,所以采用软链接的方式,修改镜像和容器的存放路径达到同样的目的。如果你的存储驱动有所不同,请输入之前第一步查看并记下的值。服务,经过长时间的使用,会使原本就比较大的分区越来越不够用。的配置文件可以设置大部分的后台进程参数,在各个操作系统中的存放位置不一致。服务了,这将改变新的镜像和容器的存储位置。文件中提到的特定参数,将默认服务所使用的位于。或以上的,可以修改或新建。文件的原因,是我们希望。
openyurt serverless调度
11-06
OpenYurt是开源的云原生边缘计算中间件,其中包括了OpenYurt Serverless调度的功能。 OpenYurt Serverless调度是为边缘计算场景下的无服务器(Serverless)应用提供的一种调度机制。在边缘计算环境中,资源有限并且...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值