用istioctl看istio生成的envoy xds配置(二)

最新推荐文章于 2024-02-14 11:45:14 发布
最新推荐文章于 2024-02-14 11:45:14 发布
阅读量588 收藏 1
点赞数 1
分类专栏: istio 文章标签: istio kubernetes docker
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42574058/article/details/126788663
版权
本文详述了Istio中DestinationRule和VirtualService的配置及其对Envoy代理的影响。通过示例展示了如何部署 DestinationRule 和 VirtualService,并从产品页角度观察它们如何生成Envoy配置,包括路由规则、集群和端点。此外,还讨论了权重不为100%时的路由情况。
摘要由CSDN通过智能技术生成

第二部分部署了istio的规则,看下具体会生成怎样的envoy配置

配置环境

首先部署全量的DestinationRule,着重看reviews的部分

kubectl apply -f samples/bookinfo/networking/destination-rule-all.yaml
部分省略…………
---
apiVersion: networking.istio.io/v1alpha3
kind: DestinationRule
metadata:
  name: reviews
spec:
  host: reviews
  subsets:
  - name: v1
    labels:
      version: v1
  - name: v2
    labels:
      version: v2
  - name: v3
    labels:
      version: v3
---
部分省略…………

部署reviews v2 v3的VirtualService

kubectl apply -f samples/bookinfo/networking/virtual-service-reviews-50-v3.yaml
apiVersion: networking.istio.io/v1alpha3
kind: VirtualService
metadata:
  name: reviews
spec:
  hosts:
    - reviews
  http:
  - route:
    - destination:
        host: reviews
        subset: v2
      weight: 50
    - destination:
        host: reviews
        subset: v3
      weight: 50

查看下全局状态

# istioctl proxy-status
NAME                                                  CLUSTER        CDS        LDS        EDS        RDS          ECDS         ISTIOD                      VERSION
details-v1-7d88846999-6t7f5.default                   Kubernetes     SYNCED     SYNCED     SYNCED     SYNCED       NOT SENT     istiod-7cd55d9dc4-pw4x4     1.15.0
gateway-57d696448d-vrml2.istio-ingress                Kubernetes     SYNCED     SYNCED     SYNCED     SYNCED       NOT SENT     istiod-7cd55d9dc4-pw4x4     1.15.0
istio-egressgateway-775cf5d9b5-h24dz.istio-system     Kubernetes     SYNCED     SYNCED     SYNCED     NOT SENT     NOT SENT     istiod-7cd55d9dc4-pw4x4     1.15.0
istio-ingressgateway-ffbcc4c7f-9rw9j.istio-system     Kubernetes     SYNCED     SYNCED     SYNCED     SYNCED       NOT SENT     istiod-7cd55d9dc4-pw4x4     1.15.0
productpage-v1-5f578dd9b7-kxbq2.default               Kubernetes     SYNCED     SYNCED     SYNCED     SYNCED       NOT SENT     istiod-7cd55d9dc4-pw4x4     1.15.0
ratings-v1-754f9c4975-gbzrn.default                   Kubernetes     SYNCED     SYNCED     SYNCED     SYNCED       NOT SENT     istiod-7cd55d9dc4-pw4x4     1.15.0
reviews-v1-69865ff55-vw54r.default                    Kubernetes     SYNCED     SYNCED     SYNCED     SYNCED       NOT SENT     istiod-7cd55d9dc4-pw4x4     1.15.0
reviews-v2-789d584fbf-jd6rp.default                   Kubernetes     SYNCED     SYNCED     SYNCED     SYNCED       NOT SENT     istiod-7cd55d9dc4-pw4x4     1.15.0
reviews-v3-64f8b69f99-9rhhm.default                   Kubernetes     SYNCED     SYNCED     SYNCED     SYNCED       NOT SENT     istiod-7cd55d9dc4-pw4x4     1.15.0

从productpage的角度看到istio DestinationRule配置已经生效

root@VM-0-3-ubuntu:~/istio-1.15.0# istioctl proxy-config cluster productpage-v1-5f578dd9b7-kxbq2.default
SERVICE FQDN                                            PORT      SUBSET          DIRECTION     TYPE             DESTINATION RULE
ratings.default.svc.cluster.local                       9080      -               outbound      EDS              ratings.default
ratings.default.svc.cluster.local                       9080      v1              outbound      EDS              ratings.default
ratings.default.svc.cluster.local                       9080      v2              outbound      EDS              ratings.default
ratings.default.svc.cluster.local                       9080      v2-mysql        outbound      EDS              ratings.default
ratings.default.svc.cluster.local                       9080      v2-mysql-vm     outbound      EDS              ratings.default
reviews.default.svc.cluster.local                       9080      -               outbound      EDS              reviews.default
reviews.default.svc.cluster.local                       9080      v1              outbound      EDS              reviews.default
reviews.default.svc.cluster.local                       9080      v2              outbound      EDS              reviews.default
reviews.default.svc.cluster.local                       9080      v3              outbound      EDS              reviews.default
部分省略…………

查看详细的routes

# istioctl proxy-config routes productpage-v1-5f578dd9b7-kxbq2.default  --name 9080 -o json
部分省略,只看reviews部分…………
            {
                "name": "reviews.default.svc.cluster.local:9080",
                "domains": [
                    "reviews.default.svc.cluster.local",
                    "reviews.default.svc.cluster.local:9080",
                    "reviews",
                    "reviews:9080",
                    "reviews.default.svc",
                    "reviews.default.svc:9080",
                    "reviews.default",
                    "reviews.default:9080",
                    "172.16.253.81",
                    "172.16.253.81:9080"
                ],
                "routes": [
                    {
                        "match": {
                            "prefix": "/"
                        },
                        "route": {
                            "weightedClusters": {
                                "clusters": [
                                    {
                                        "name": "outbound|9080|v2|reviews.default.svc.cluster.local",
                                        "weight": 50
                                    },
                                    {
                                        "name": "outbound|9080|v3|reviews.default.svc.cluster.local",
                                        "weight": 50
                                    }
                                ],
                                "totalWeight": 100
                            },
部分省略…………
                        "metadata": {
                            "filterMetadata": {
                                "istio": {
                                    "config": "/apis/networking.istio.io/v1alpha3/namespaces/default/virtual-service/reviews"
                                }
                            }
                        },

这里可以发现一些有意思的地方

  1. domains包含所有匹配的url
  2. VirtualService规则都是一一对应生成route
  3. totalWeight是所有权重之和(万一不是100%呢?请看本文最后)
  4. 包含istio VirtualService原始配置的引用,方便debug

查看对应route的cluster

# istioctl proxy-config cluster productpage-v1-5f578dd9b7-kxbq2.default --fqdn reviews.default.svc.cluster.local \
#	--direction outbound --port 9080 -o json
部分省略…………
        "name": "outbound|9080||reviews.default.svc.cluster.local",
        "type": "EDS",
        "edsClusterConfig": {
            "edsConfig": {
                "ads": {},
                "initialFetchTimeout": "0s",
                "resourceApiVersion": "V3"
            },
            "serviceName": "outbound|9080||reviews.default.svc.cluster.local"
部分省略…………
        "metadata": {
            "filterMetadata": {
                "istio": {
                    "config": "/apis/networking.istio.io/v1alpha3/namespaces/default/destination-rule/reviews",
                    "default_original_port": 9080,
                    "services": [
                        {
                            "host": "reviews.default.svc.cluster.local",
                            "name": "reviews",
                            "namespace": "default"
 部分省略…………
        "name": "outbound|9080|v1|reviews.default.svc.cluster.local",
        "type": "EDS",
        "edsClusterConfig": {
            "edsConfig": {
                "ads": {},
                "initialFetchTimeout": "0s",
                "resourceApiVersion": "V3"
            },
            "serviceName": "outbound|9080|v1|reviews.default.svc.cluster.local"
部分省略…………
        "name": "outbound|9080|v2|reviews.default.svc.cluster.local",
        "type": "EDS",
        "edsClusterConfig": {
            "edsConfig": {
                "ads": {},
                "initialFetchTimeout": "0s",
                "resourceApiVersion": "V3"
            },
            "serviceName": "outbound|9080|v2|reviews.default.svc.cluster.local"
        },
 部分省略…………
        "name": "outbound|9080|v3|reviews.default.svc.cluster.local",
        "type": "EDS",
        "edsClusterConfig": {
            "edsConfig": {
                "ads": {},
                "initialFetchTimeout": "0s",
                "resourceApiVersion": "V3"
            },
            "serviceName": "outbound|9080|v3|reviews.default.svc.cluster.local"
        },

同样有一些关注点:

  1. 所有DestinationRule都是一一对应的cluster生成
  2. 包含istio destination-rule原始配置的引用,方便debug
  3. 除了显式定义的DestinationRule外,还有一条没有subset的cluster对应默认的kube Service(这一条在pod初始化注入sidecar时就有了)

部署VirtualService前后同一服务的区别

以review为例

# diff -u before after 
--- before      2022-09-09 19:15:35.343941273 +0800
+++ after       2022-09-09 19:16:19.123990192 +0800
@@ -191,12 +191,23 @@
                 ],
                 "routes": [
                     {
-                        "name": "default",
                         "match": {
                             "prefix": "/"
                         },
                         "route": {
-                            "cluster": "outbound|9080||reviews.default.svc.cluster.local",
+                            "weightedClusters": {
+                                "clusters": [
+                                    {
+                                        "name": "outbound|9080|v2|reviews.default.svc.cluster.local",
+                                        "weight": 50
+                                    },
+                                    {
+                                        "name": "outbound|9080|v3|reviews.default.svc.cluster.local",
+                                        "weight": 50
+                                    }
+                                ],
+                                "totalWeight": 100
+                            },
                             "timeout": "0s",
                             "retryPolicy": {
                                 "retryOn": "connect-failure,refused-stream,unavailable,cancelled,retriable-status-codes",
@@ -219,8 +230,15 @@
                                 "grpcTimeoutHeaderMax": "0s"
                             }
                         },
+                        "metadata": {
+                            "filterMetadata": {
+                                "istio": {
+                                    "config": "/apis/networking.istio.io/v1alpha3/namespaces/default/virtual-service/reviews"
+                                }
+                            }
+                        },
                         "decorator": {
-                            "operation": "reviews.default.svc.cluster.local:9080/*"
+                            "operation": "reviews:9080/*"
                         }
                     }
                 ],

可以看到几点变化:

  1. “name”: "default"消失了
  2. 默认对应kube Service的一条cluster规则,变成了istio VirtualService对应的两条weightedClusters规则
  3. 新增istio的metadata,用于备注对应的istio原始配置
  4. operation的URL变成了缩略形式

由此可以看出这里的逻辑是,没有istio vs的情况下则根据kube svc生成规则,确保网络行为与没有istio时一致。

如果有istio vs则根据vs生成规则替代kube svc。

最后来看endpoints

# istioctl proxy-config endpoints productpage-v1-5f578dd9b7-kxbq2.default --cluster "outbound|9080||reviews.default.svc.cluster.local"
ENDPOINT             STATUS      OUTLIER CHECK     CLUSTER
172.16.0.12:9080     HEALTHY     OK                outbound|9080||reviews.default.svc.cluster.local
172.16.0.13:9080     HEALTHY     OK                outbound|9080||reviews.default.svc.cluster.local
172.16.0.14:9080     HEALTHY     OK                outbound|9080||reviews.default.svc.cluster.local

root@VM-0-3-ubuntu:~/istio-1.15.0# istioctl proxy-config endpoints productpage-v1-5f578dd9b7-kxbq2.default --cluster "outbound|9080|v1|reviews.default.svc.cluster.local"
ENDPOINT             STATUS      OUTLIER CHECK     CLUSTER
172.16.0.14:9080     HEALTHY     OK                outbound|9080|v1|reviews.default.svc.cluster.local

root@VM-0-3-ubuntu:~/istio-1.15.0# istioctl proxy-config endpoints productpage-v1-5f578dd9b7-kxbq2.default --cluster "outbound|9080|v2|reviews.default.svc.cluster.local"
ENDPOINT             STATUS      OUTLIER CHECK     CLUSTER
172.16.0.12:9080     HEALTHY     OK                outbound|9080|v2|reviews.default.svc.cluster.local

root@VM-0-3-ubuntu:~/istio-1.15.0# istioctl proxy-config endpoints productpage-v1-5f578dd9b7-kxbq2.default --cluster "outbound|9080|v3|reviews.default.svc.cluster.local"
ENDPOINT             STATUS      OUTLIER CHECK     CLUSTER
172.16.0.13:9080     HEALTHY     OK                outbound|9080|v3|reviews.default.svc.cluster.local

一个特例

最后的最后来看一下VirtualService所有权重之和不为100%会是什么情况

vim samples/bookinfo/networking/virtual-service-reviews-v2-v3.yaml 
apiVersion: networking.istio.io/v1alpha3
kind: VirtualService
metadata:
  name: reviews
spec:
  hosts:
    - reviews
  http:
  - route:
    - destination:
        host: reviews
        subset: v2
      weight: 50
    - destination:
        host: reviews
        subset: v3
      weight: 49

对应生成的routes

istioctl proxy-config routes productpage-v1-5f578dd9b7-kxbq2.default  --name 9080 -o json
                "routes": [
                    {
                        "match": {
                            "prefix": "/"
                        },
                        "route": {
                            "weightedClusters": {
                                "clusters": [
                                    {
                                        "name": "outbound|9080|v2|reviews.default.svc.cluster.local",
                                        "weight": 50
                                    },
                                    {
                                        "name": "outbound|9080|v3|reviews.default.svc.cluster.local",
                                        "weight": 49
                                    }
                                ],
                                "totalWeight": 99
                            },
massivezh
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
AI系统Istio原理与代码实战案例讲解
程序员光剑
07-20 770
AI系统Istio原理与代码实战案例讲解 作者:禅与计算机程序设计艺术 / Zen and the Art of Computer Programming 关键词:微服务架构,API网关,服务网格,自动化的服务治理,故障注入,流量控制,负载均衡 1. 背景介绍
Istio 中的多集群部署与管理
ServiceMesher
07-07 1398
本文节选自ServiceMesher 社区出品的开源电子书《Istio Handbook——Istio 服务网格进阶实战》,作者钟华,来自腾讯云。Istio 在 1.1 后提供了两...
Istio服务网格中的XDS通信
a605692769的博客
12-30 2632
本文就服务网格Istio中如何与Envoy进行XDS协议通信为主体内容进行讲解
istioctlistio生成envoy xds配置(一)
weixin_42574058的博客
09-09 960
首先理解envoy配置需要理解listener,router,cluster,endpoint这些概念,对应lds,rds,cds,eds统称xds。本文使用istio自带的bookinfo sample来展示底层envoy具体的配置情况。
Istio调试信息/envoy配置
violin_biubiubiu的博客
09-23 519
Istio默认的配置信息全量下发,envoy里下发的配置 之前的状态: ➜ istioctl proxy-config endpoint global-sidecar-5ffb49c77c-2qbl4 ENDPOINT STATUS OUTLIER CHECK CLUSTER 10.244.0.2:53 HEALTHY OK outbound|53||kube-dns.kube-system.svc
envoy 查看当前使用的配置信息, 包含动态下发的配置
kunyus的博客
03-22 3528
envoy 默认提供了管理接口, Istio 默认监听的 localhost:15000 端口 这个端口暴露了如下接口用来获取程序运行信息: /: HTML 格式的管理链接汇总 /certs: 列出所有已加载的TLS证书,包括文件名,序列号,主题备用名称以及符合证书原型定义的 JSON格式到期的天数。 /clusters: 列出所有已配置的集群管理器集群。此信息包括每个群集中发现的所有...
Istio使用Envoy配置网关
ycloud
05-06 900
使用Envoy代理来配置网关,以实现对服务流量的管理和控制。而为了能在对外提供服务的同时,不向客户端暴露整个服务网格
案例:知乎是怎么落地Istio的?
Docker的专栏
02-09 895
▲点击上方“分布式实验室”关注公众号回复“1”抽取纸质技术书—1—背景在知乎,我们很早就进行了非常彻底的容器化部署。全站在线运行的微服务数量高达两千多个。这些微服务通过我们自己维护的...
【云原生 | Envoy 系列】--Envoy 动态配置配置源-基于文件系统订阅
Q先生
09-28 1140
【云原生 | Kubernetes 系列】--Envoy 动态配置配置源-基于文件系统订阅
IstioxDS协议解析
琦彦
01-19 1万+
目录 xDS基本概念 xDS协议分析 ADS理解 xDS的未来 xDS基本概念 Istio 发现模型 Istio 发现模型 xDS是什么 xDS是一类发现服务的总称,包含LDS, RDS, CDS, EDS以及SDS。 Envoy通过xDS API可以动态获取Listener(监听器),Route(路由), Cluster(集群), Endpoint(集群成员)以及Secre...
istio浅析(一)了解envoyistio注入配置
qq_20365437的博客
07-30 5590
一、先了解一下envoy Envoy是Lyft开源的一个C++实现的代理(Proxy),和Nginx及HAProxy类似,可代理L3/L4层和L7层。 代理是它最核心和基础的功能,它也是服务网格框架Istio的Sidecar。 重点推荐文章:服务网格代理Envoy入门 envoy的静态配置和动态配置(运行时配置) 最好是跟着后面的试跑体验在本地跑一下,对与理解envoy的静态配置和动态配置(运行时配置)很有帮助。 (go build的进制文件在容器里面跑不起来 ...
istio通过envoyFilter实现nginx的error_page
ledrsnet的博客
11-04 928
注意:匹配的pod必须得开启istio sidecar注入,不然不生效,之前一直没查出问题只能选择上面的配置istio-system空间里面了。需求:实现nginx的error_page,istio本身不支持,只能通过envoyfilter来实现。当收到后端返回503时候,并且响应header中action为redirect时重定向跳转到首页。ps: virtualSerivce支持自定义添加header参数。
华为云讲解:5. Istio xDS协议解析
热门推荐
张成基
02-25 2万+
华为云讲解:5. Istio xDS协议解析 xDS 基本概念 xDS 是sidecar和Pilot 之间传输的应用协议,基于gRPC。 Istio 服务发现模型 这里讲的是Pilot和sidecar之间的配置以及Service discovery (service Endpoints)。 Istio1.1新加入MCP服务发现 Platorm Adapter 进行服务发现之后,通过Aggrea...
深入理解Istio服务网格(一)数据平面Envoy
xianmingsu的博客
02-03 1274
在传统的微服务架构中,服务间的调用,业务代码需要考虑认证、熔断、服务发现等非业务能力,在某种程度上,表现出了一定的耦合性服务网格追求高级别的服务流量治理能力,认证、熔断、服务发现这些能力更多的是平台测的能力。将业务测和平台测能力解耦,开发人员只关心业务测的能力。每个服务实例都有一个代理,服务的入站流量、出站流量都先经过代理,代理不进行业务处理,只做流量转发,因此,传统微服务架构,服务到服务间的调用,转成了proxy到proxy的调用。Proxy通常是一种反向代理软件,有强大的流量转发能力。
Istio复习总结:xDS协议、Istio Pilot源码、Istio落地问题总结
hxt的博客
02-14 1824
基于Istio 1.10版本落地问题总结。
kubernetes/k8s源码分析】istio pilot discovery源码分析
zhonglinzhang
01-19 2422
istio 1.0:https://github.com/istio/istio Pilot负责Envoy实例在Istio网格服务部署的生命周期,Pilot暴露的API是为了服务发现,动态更新负载均衡池和路由表 pilot总体架构 官网pilot的架构...
Istio Network CRD VirtualService、Envoyfilter】
仙女肖消乐的博客
05-29 1565
VirtualService简介: VirtualService定义了一系列针对指定服务的流量路由规则。每个路由规则都针对特定协议匹配规则。如果流量符合这些特征,就会根据路由规则发送到服务注册表中的目标服务。 hosts string[] 必要字段:流量的目标主机。可以是带有通配符前缀的 DNS 名称,也可以是 IP 地址。根据所在平台情况,还可能使用短名称来代替 FQDN。这种场景下,短名称到 FQDN 的具体转换过程是要靠下层平台完成的。一个主机名只能在一个 VirtualService 中定义。同
Xds (eXtensible Discovery Service)理解
yuluo的博客
01-29 1023
这里简单介绍一下 envoy :是一个高性能、可扩展的开源代理和通信中间件,由 Lyft 公司开发并贡献给 CNCF(Cloud Native Computing Foundation)。它被设计用于支持现代的云原生应用架构,并提供可靠的服务发现、负载均衡、流量管理和安全性等功能。(来自 gpt)envoy 同 nginx 类似。Istio 是一个开源的、可扩展的服务网格平台,用于解决微服务架构中的通信、安全性、可观察性和流量管理等。
服务网格内部的 VirtualService 和 DestinationRule 配置深度解析
weixin_33858485的博客
03-31 3251
原文链接:请求都去哪了?(续) 书接前文,上文我们通过跟踪集群外通过 ingressgateway 发起的请求来探寻流量在 Istio 服务网格之间的流动方向,先部署 bookinfo 示例应用,然后创建一个监听在 ingressgateway 上的 GateWay 和 VirtualService,通过分析我们追踪到请求最后转交给了 productpage。 在继续追踪请求之前,先对之前的...
istio-envoy Bad Gateway
最新发布
04-03
当你在使用IstioEnvoy时,可能会遇到"Bad Gateway"错误。这个错误通常表示Istio代理(Envoy)无法将请求正确地转发到目标服务。 "Bad Gateway"错误可能由以下几个原因引起: 1. 目标服务不可用:Istio代理无法...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值