etcd 3.x 通过 gRPC-gateway 支持 HTTP 访问,但在实践中遇到 MaxCallRecvMsgSize 限制和证书校验问题。etcd v3.5.0 解决了数据大小限制问题,允许动态设置。同时,当etcd启用mTLS时,服务端证书被用于客户端认证,需确保证书正确配置。这些问题揭示了 gRPC-gateway 的局限性。
etcd 升级到 3.x 版本后,其对外 API 的协议从普通的 HTTP1 切换到了 gRPC。为了兼顾那些不能使用 gRPC 的特殊群体,etcd 通过 gRPC-gateway 的方式代理 HTTP1 请求,以 gRPC 形式去访问新的 gRPC API。(由于 HTTP1 念起来太过拗口,以下将之简化成 HTTP,正好和 gRPC 能够对应。请不要纠结 gRPC 也是 HTTP 请求的这种问题。)
Apache APISIX 开始用 etcd 的时候,用的是 etcd v2 的 API。从 Apache APISIX 2.0 版本起,我们把依赖的 etcd 版本升级到 3.x。由于 Lua 生态圈里面没有 gRPC 库,所以 etcd 对 HTTP 的兼容帮了我们很大的忙,这样就不用花很大心思去补这个短板了。
从去年 10 月发布 Apache APISIX 2.0 版本以来,现在已经过去了 8 个月。在实践过程中,我们也发现了 etcd 的 HTTP API 的一些跟 gRPC API 交互的问题。事实上,拥有 gRPC-gateway 并不意味着能够完美支持 HTTP 访问,这里还是有些细微的差别。
打破 gRPC 的默认限制
就在几天前,etcd 发布了 v3.5.0 版本。这个版本的发布,了却困扰我们很长时间的一个问题。
跟 HTTP 不同的是,gRPC 默认限制了一次请求可以读取的数据大小。这个限制叫做 “MaxCallRecvMsgSize”,默认是 4MiB。当 Apache APISIX 全量同步 etcd 数据时,假如配置够多,就会触发这一上限,报错 “grpc: received message larger than max”。
神奇的是,如果你用 etcdctl 去访问,这时候却不会有任何问题。这是因为这个限制是可以在跟 gRPC server 建立连接时动态设置的,etcdctl 给这个限制设置了一个很大的整数,相当于去掉了这一限制。
由于不少用户碰到过同样的问题,我们曾经讨论过对策。
一个想法是用增量同步模拟全量同步,这么做有两个弊端:
实现起来复杂,要改不少代码
会延长同步所需的时间
另一个想法是修改 etcd。既然能够在 etcdctl 里面去除限制,为什么不对 gRPC
最低0.47元/天 解锁文章
扫一扫
745
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
