用istioctl看istio生成的envoy xds配置(一)

最新推荐文章于 2024-11-11 16:39:11 发布
最新推荐文章于 2024-11-11 16:39:11 发布
阅读量1k 收藏 6
点赞数 1
分类专栏: istio 文章标签: istio kubernetes docker
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42574058/article/details/126788651
版权

首先理解envoy配置需要理解listener,router,cluster,endpoint这些概念,对应lds,rds,cds,eds统称xds。
本文使用istio自带的bookinfo sample来展示底层envoy具体的配置情况

第一部分文章展示两种情况:

  1. namespace启用默认注入sidecar的istio配置情况
  2. 仅部署一个gateway指向内部原生kube服务的情况

默认注入sidecar,没有配置istio规则的情况

启用默认注入,部署bookinfo

kubectl label namespace default istio-injection=enabled
kubectl apply -f samples/bookinfo/platform/kube/bookinfo.yaml

此时没应用任何istio规则,但是所有被注入的pod已经都处于istio管理下

# istioctl proxy-status
NAME                                                  CLUSTER        CDS        LDS        EDS        RDS          ECDS         ISTIOD                      VERSION
details-v1-7d88846999-6t7f5.default                   Kubernetes     SYNCED     SYNCED     SYNCED     SYNCED       NOT SENT     istiod-7cd55d9dc4-pw4x4     1.15.0
istio-egressgateway-775cf5d9b5-h24dz.istio-system     Kubernetes     SYNCED     SYNCED     SYNCED     NOT SENT     NOT SENT     istiod-7cd55d9dc4-pw4x4     1.15.0
istio-ingressgateway-ffbcc4c7f-9rw9j.istio-system     Kubernetes     SYNCED     SYNCED     SYNCED     NOT SENT     NOT SENT     istiod-7cd55d9dc4-pw4x4     1.15.0
productpage-v1-5f578dd9b7-kxbq2.default               Kubernetes     SYNCED     SYNCED     SYNCED     SYNCED       NOT SENT     istiod-7cd55d9dc4-pw4x4     1.15.0
ratings-v1-754f9c4975-gbzrn.default                   Kubernetes     SYNCED     SYNCED     SYNCED     SYNCED       NOT SENT     istiod-7cd55d9dc4-pw4x4     1.15.0
reviews-v1-69865ff55-vw54r.default                    Kubernetes     SYNCED     SYNCED     SYNCED     SYNCED       NOT SENT     istiod-7cd55d9dc4-pw4x4     1.15.0
reviews-v2-789d584fbf-jd6rp.default                   Kubernetes     SYNCED     SYNCED     SYNCED     SYNCED       NOT SENT     istiod-7cd55d9dc4-pw4x4     1.15.0
reviews-v3-64f8b69f99-9rhhm.default                   Kubernetes     SYNCED     SYNCED     SYNCED     SYNCED       NOT SENT     istiod-7cd55d9dc4-pw4x4     1.15.0

查看gateway,没有任何gateway规则存在

# istioctl proxy-config listeners istio-ingressgateway-ffbcc4c7f-9rw9j.istio-system
ADDRESS PORT  MATCH DESTINATION
0.0.0.0 15021 ALL   Inline Route: /healthz/ready*
0.0.0.0 15090 ALL   Inline Route: /stats/prometheus*

查看其中一个服务,都是kube svc的对应产生的规则

# istioctl proxy-config listeners productpage-v1-5f578dd9b7-kxbq2.default
ADDRESS        PORT  MATCH                                                                                           DESTINATION
172.16.255.227 53    ALL                                                                                             Cluster: outbound|53||kube-dns.kube-system.svc.cluster.local
0.0.0.0        80    Trans: raw_buffer; App: http/1.1,h2c                                                            Route: 80
0.0.0.0        80    ALL                                                                                             PassthroughCluster
172.16.255.89  80    Trans: raw_buffer; App: http/1.1,h2c                                                            Route: gateway.istio-ingress.svc.cluster.local:80
172.16.255.89  80    ALL                                                                                             Cluster: outbound|80||gateway.istio-ingress.svc.cluster.local
172.16.252.1   443   ALL                                                                                             Cluster: outbound|443||kubernetes.default.svc.cluster.local
172.16.252.27  443   ALL                                                                                             Cluster: outbound|443||istiod.istio-system.svc.cluster.local
172.16.252.94  443   Trans: raw_buffer; App: http/1.1,h2c                                                            Route: hpa-metrics-service.kube-system.svc.cluster.local:443
部分省略…………

随机查看其中一个服务productpage,已经有了根据kube Service生成的默认routes

# istioctl proxy-config routes productpage-v1-5f578dd9b7-kxbq2.default -o json
            {
                "name": "reviews.default.svc.cluster.local:9080",
                "domains": [
                    "reviews.default.svc.cluster.local",
                    "reviews.default.svc.cluster.local:9080",
                    "reviews",
                    "reviews:9080",
                    "reviews.default.svc",
                    "reviews.default.svc:9080",
                    "reviews.default",
                    "reviews.default:9080",
                    "172.16.255.33",
                    "172.16.255.33:9080"
                ],
                "routes": [
                    {
                        "name": "default",
                        "match": {
                            "prefix": "/"
                        },
                        "route": {
                            "cluster": "outbound|9080||reviews.default.svc.cluster.local",
部分省略…………
                        "decorator": {
                            "operation": "reviews.default.svc.cluster.local:9080/*"

应用一个GatewayVirtualService的情况

首先创建一个bookinfo对应的Gateway暴露80端口,然后创建一个VirtualService指向productpage

注意此时没有创建DestinationRule,productpage指向的是原理就有的kube service

# kubectl apply -f samples/bookinfo/networking/bookinfo-gateway.yaml
apiVersion: networking.istio.io/v1alpha3
kind: Gateway
metadata:
  name: bookinfo-gateway
spec:
  selector:
    istio: ingressgateway # use istio default controller
  servers:
  - port:
      number: 80
      name: http
      protocol: HTTP
    hosts:
    - "*"
---
apiVersion: networking.istio.io/v1alpha3
kind: VirtualService
metadata:
  name: bookinfo
spec:
  hosts:
  - "*"
  gateways:
  - bookinfo-gateway
  http:
  - match:
    - uri:
        exact: /productpage
    - uri:
        prefix: /static
    - uri:
        exact: /login
    - uri:
        exact: /logout
    - uri:
        prefix: /api/v1/products
    route:
    - destination:
        host: productpage
        port:
          number: 9080

这时可以看到VirtualService规则都转化成了envoy routes

# istioctl proxy-config routes istio-ingressgateway-ffbcc4c7f-9rw9j.istio-system --name  http.8080
NAME          DOMAINS     MATCH                 VIRTUAL SERVICE
http.8080     *           /productpage          bookinfo.default
http.8080     *           /static*              bookinfo.default
http.8080     *           /login                bookinfo.default
http.8080     *           /logout               bookinfo.default
http.8080     *           /api/v1/products*     bookinfo.default

继续查看详细信息,这里只截取其中/productpage部分,

可以看到metadata.filterMetadata.istio里有对应的istio配置项

“config”: “/apis/networking.istio.io/v1alpha3/namespaces/default/virtual-service/bookinfo”

这样方便核查某条规则对应生产的配置是否正确

# istioctl proxy-config routes istio-ingressgateway-ffbcc4c7f-9rw9j.istio-system --name  http.8080 -o yaml
      match:
        caseSensitive: true
        path: /productpage
      metadata:
        filterMetadata:
          istio:
            config: /apis/networking.istio.io/v1alpha3/namespaces/default/virtual-service/bookinfo
      route:
        cluster: outbound|9080||productpage.default.svc.cluster.local
        maxStreamDuration:
          grpcTimeoutHeaderMax: 0s
          maxStreamDuration: 0s
        retryPolicy:
          hostSelectionRetryMaxAttempts: "5"
          numRetries: 2
          retriableStatusCodes:
          - 503
          retryHostPredicate:
          - name: envoy.retry_host_predicates.previous_hosts
            typedConfig:
              '@type': type.googleapis.com/envoy.extensions.retry.host.previous_hosts.v3.PreviousHostsPredicate
          retryOn: connect-failure,refused-stream,unavailable,cancelled,retriable-status-codes
        timeout: 0s
    - decorator:
        operation: productpage.default.svc.cluster.local:9080/static*
部分省略…………

继续查看route对应的cluster

# istioctl proxy-config clusters istio-ingressgateway-ffbcc4c7f-9rw9j.istio-system --fqdn productpage.default.svc.cluster.local  
SERVICE FQDN                              PORT     SUBSET     DIRECTION     TYPE     DESTINATION RULE
productpage.default.svc.cluster.local     9080     -          outbound      EDS

详细版本

# istioctl proxy-config clusters istio-ingressgateway-ffbcc4c7f-9rw9j.istio-system --fqdn productpage.default.svc.cluster.local  -o json
部分省略…………
        "name": "outbound|9080||productpage.default.svc.cluster.local",
        "type": "EDS",
        "edsClusterConfig": {
            "edsConfig": {
                "ads": {},
                "initialFetchTimeout": "0s",
                "resourceApiVersion": "V3"
            },
            "serviceName": "outbound|9080||productpage.default.svc.cluster.local"
        },
部分省略…………

最后是对应的endpoints

# istioctl proxy-config endpoints istio-ingressgateway-ffbcc4c7f-9rw9j.istio-system --cluster "outbound|9080||productpage.default.svc.cluster.local"
ENDPOINT             STATUS      OUTLIER CHECK     CLUSTER
172.16.0.15:9080     HEALTHY     OK                outbound|9080||productpage.default.svc.cluster.local

详细版本可以用一下命令

# istioctl proxy-config endpoints istio-ingressgateway-ffbcc4c7f-9rw9j.istio-system --cluster "outbound|9080||productpage.default.svc.cluster.local" -o yaml
全部省略…………

小结

从上面的例子可以看出,istio提取了所有相关的kube Service并转化成自己的envoy规则

massivezh
关注
专栏目录
AI系统Istio原理与代码实战案例讲解
AI天才研究院
07-20 794
AI系统Istio原理与代码实战案例讲解 作者:禅与计算机程序设计艺术 / Zen and the Art of Computer Programming 关键词:微服务架构,API网关,服务网格,自动化的服务治理,故障注入,流量控制,负载均衡 1. 背景介绍
Istio实战(十一)-Envoy 请求解析(下)
专注基础架构领域
10-30 275
Envoy也是istio的核心组件之一,以 sidecar 的方式与服务运行在一起,对服务的流量进行拦截转发,具有路由,流量控制等等强大特性。本系列文章,我们将不局限于istioenvoy的官方文档,从源码级别切入,分享Envoy启动、流量劫持、http 请求处理流程的进阶应用实例,深度分析Envoy架构。它与应用程序并行运行,通过以平台无关的方式提供通用功能来抽象网络。当基础架构中的所有服务流量都通过 Envoy 网格时,通过一致的可观测性,很容易地查看问题区域,调整整体性能。
Istio服务网格中的XDS通信
a605692769的博客
12-30 2687
本文就服务网格Istio中如何与Envoy进行XDS协议通信为主体内容进行讲解
istioctlistio生成envoy xds配置(二)
weixin_42574058的博客
09-09 609
第二部分应用istio后的情况
xDS(Extension Discovery Service)协议是Envoy代理及其生态系统中的一种配置传递协议,用于动态地管理和更新网络服务的配置
wangqiaowq的博客
09-26 928
xDS协议是一组API规范,用于在Envoy代理和配置服务器之间传输配置信息。它的主要目的是实现服务网格中的动态配置更新,而无需重新启动服务。xDS协议支持多种类型的配置,每种类型都有一个特定的DS(Discovery Service)协议。xDS协议是Envoy及其生态系统中的一种重要配置传递协议,用于实现服务网格中的动态配置更新。通过xDS协议,Envoy代理可以动态地获取和更新配置信息,而无需重新启动服务。这种机制极大地提高了服务网格的灵活性和可管理性。
envoy 查看当前使用的配置信息, 包含动态下发配置
kunyus的博客
03-22 3566
envoy 默认提供了管理接口, Istio 默认监听的 localhost:15000 端口 这个端口暴露了如下接口用来获取程序运行信息: /: HTML 格式的管理链接汇总 /certs: 列出所有已加载的TLS证书,包括文件名,序列号,主题备用名称以及符合证书原型定义的 JSON格式到期的天数。 /clusters: 列出所有已配置的集群管理器集群。此信息包括每个群集中发现的所有...
Istio调试信息/envoy配置
violin_biubiubiu的博客
09-23 540
Istio默认的配置信息全量下发envoy下发配置 之前的状态: ➜ istioctl proxy-config endpoint global-sidecar-5ffb49c77c-2qbl4 ENDPOINT STATUS OUTLIER CHECK CLUSTER 10.244.0.2:53 HEALTHY OK outbound|53||kube-dns.kube-system.svc
Istio使用Envoy配置网关
ycloud
05-06 982
使用Envoy代理来配置网关,以实现对服务流量的管理和控制。而为了能在对外提供服务的同时,不向客户端暴露整个服务网格
K8S如何基于Istio实现全链路HTTPS
最新发布
CharlesYan的博客
11-11 1290
基于Istio实现全链路HTTPS实操指南
Istio 中的多集群部署与管理
ServiceMesher
07-07 1415
本文节选自ServiceMesher 社区出品的开源电子书《Istio Handbook——Istio 服务网格进阶实战》,作者钟华,来自腾讯云。Istio 在 1.1 后提供了两...
【云原生 | Envoy 系列】--Envoy 动态配置配置源-基于文件系统订阅
Q先生
09-28 1188
【云原生 | Kubernetes 系列】--Envoy 动态配置配置源-基于文件系统订阅
IstioxDS协议解析
热门推荐
琦彦
01-19 1万+
目录 xDS基本概念 xDS协议分析 ADS理解 xDS的未来 xDS基本概念 Istio 发现模型 Istio 发现模型 xDS是什么 xDS是一类发现服务的总称,包含LDS, RDS, CDS, EDS以及SDS。 Envoy通过xDS API可以动态获取Listener(监听器),Route(路由), Cluster(集群), Endpoint(集群成员)以及Secre...
iris:用于Kubernetes服务发现的Envoy xDS
05-18
虹膜 Iris是KubernetesEnvoy控制平面实现。 通常,在Kubernetes上进行Envoy服务发现涉及轮询DNS端点以检测Pod的添加和删除。 当Kubernetes集群负载沉重时,此方法很慢并且无法很好地扩展。 Iris是Kubernetes控制器,还实现了Envoy聚合发现服务(ADS)。 除了规避DNS轮询问题外,这还使我们获得了额外的好处,即能够在不停机的情况下控制特使车队的配置。 只需将新配置推送到Iris服务器(可以将其视为穷人的Istio),即可快速轻松地实现流量整形,金丝雀部署,重播等操作。 使用YAML文件配置了Iris,该文件嵌入了标准的Envoy V2配置对象,并添加了一些额外的配置选项以针对Kubernetes环境进行定制。 如果您熟悉Envoy配置文件,那么Iris配置文件将是一件容易理解的事情。 发展 免责声明 这是一个实验项目,可能不适合
开源项目-gojektech-consul-envoy-xds.zip
09-03
开源项目-gojektech-consul-envoy-xds.zip,领事公使控制飞机
istio配置案例官方
weixin_34179968的博客
07-19 217
2019独角兽企业重金招聘Python工程师标准>>> ...
贫苦家庭用户的 Envoy xDS 控制平面
云原生实验室
12-24 1973
点击 "阅读原文" 可以获得更好的阅读体验。前言之前家里的路由器一直用的都是网件 R7000 搭载的梅林固件,虽说性能也还不错,比两百块钱的小米路由器强多了,但还是不能满...
istio浅析(一)了解envoyistio注入配置
qq_20365437的博客
07-30 5647
一、先了解一下envoy Envoy是Lyft开源的一个C++实现的代理(Proxy),和Nginx及HAProxy类似,可代理L3/L4层和L7层。 代理是它最核心和基础的功能,它也是服务网格框架Istio的Sidecar。 重点推荐文章:服务网格代理Envoy入门 二、envoy的静态配置和动态配置(运行时配置) 最好是跟着后面的试跑体验在本地跑一下,对与理解envoy的静态配置和动态配置(运行时配置)很有帮助。 (go build的二进制文件在容器里面跑不起来 ...
云原生 envoy xDS 动态配置 java控制平面开发 支持restful grpc实现 EDS 动态endpoint配置
liuyij3430448的博客
08-16 2098
Envoy 的强大功能之一是支持动态配置,当使用动态配置时,我们不需要重新启动 Envoy 进程就可以生效。**Envoy 通过从磁盘文件或网络接口**读取配置,动态地重新加载配置。动态配置使用所谓的发现服务 API,指向配置的特定部分。这些 API 也被统称为**xDS 即 (xxx discovery service)**
利用 XDS 协议构建 Envoy 集群管理平台
AI天才研究院
10-11 699
作者:禅与计算机程序设计艺术 1.背景介绍 由于微服务架构的广泛应用,微服务架构下服务数量众多、服务间依赖复杂,如何快速、有效地管理微服务集群、进行流量调度、提升服务质量,成为了企业面临的一个重要难题。最近几年来,随着云计算、容器化和Kubernetes的兴起,基于微服务架构的大规模部署也成为IT技
istio-envoy Bad Gateway
04-03
当你在使用IstioEnvoy时,可能会遇到"Bad Gateway"错误。这个错误通常表示Istio代理(Envoy)无法将请求正确地转发到目标服务。 "Bad Gateway"错误可能由以下几个原因引起: 1. 目标服务不可用:Istio代理无法...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值