使用Istio的Envoyfilter做kubernetes的出口http拦截

已于 2024-02-05 15:15:36 修改
阅读量1.1k 收藏 16
点赞数 20
分类专栏: Istio Kubernetes 文章标签: istio kubernetes http
于 2024-02-05 14:56:48 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_49539577/article/details/136041697
版权

前提

以下步骤均在无法访问docker.io的集群下操作,如果集群可以连接docker.io,则不需要准备镜像包,直接在docker.io中拉取即可

场景

部署在kubernetes中的pod,在往外部请求的时,外部服务期望能知道是哪个pod调用的,以保证数据安全,在外部服务之前,用abac配置了对pod的环境限制,比方说我有两个kubernetes环境,一个是沙箱测试环境,一个是沙箱生产环境。如果abac中配置的策略为只允许在沙箱测试环境调用,当pod在调用外部http接口时,会携带上当前的kubernetes环境的唯一标识。

准备工作

  1. 安装istio需要两个镜像,pilot、proxyv2,确保当前环境的harbor中存在
  2. Istio官网
  3. Istio Github

安装包

istio-1.20.0-linux-amd64.tar.gz

镜像包

pilot.tar
proxyv2.tar

镜像准备

  1. 把镜像包加载到本地docker中
docker load -i pilot.tar
docker load -i proxyv2.tar
  1. 修改镜像tag
docker tag 4bfb4a2c6118 registry-cnp-dev.inspurcloud.cn/istio/pilot:1.20.0
docker tag df8296c1ff53 registry-cnp-dev.inspurcloud.cn/istio/proxyv2:1.20.0
  1. 推送镜像
docker push registry-cnp-dev.inspurcloud.cn/istio/pilot:1.20.0
docker push registry-cnp-dev.inspurcloud.cn/istio/proxyv2:1.20.0

安装istio

  1. 解压istio
tar -xvf istio-1.20.0-linux-amd64.tar.gz
  1. 修改istio安装的配置文件
cd istio-1.20.0/manifests/profiles/
vim demo.yaml

#### spec下增加hub和tag,hub的地址为当前环境的仓库域名 后面加上/istio
spec:
	hub: xxxxxx/istio
	tag: 1.20.0
  1. 配置环境变量
  2. 执行安装命令
istioctl install --set profile=demo -y

执行完安装命令后,再打开一个ssh窗口

  1. 查询kubernetes的deployment
kubectl get deploy -n istio-system

#### 结果
root@master01:~# kubectl get deploy -n istio-system
NAME     READY   UP-TO-DATE   AVAILABLE   AGE
istiod   0/1     1            0           69s
  1. 修改deployment的yaml
kubectl edit deploy -n istio-system istiod


#### 在spec.template.spec下增加下面配置,指定调度到master01节点上
nodeSelector:
  kubernetes.io/hostname: master01

### 检查spec.template.spec.containers.image 是否正确,如果不正确,需要改成当前环境的仓库域名(镜像准备时推送的harbor仓库地址)
image: docker.io/istio/pilot:1.20.0 # 默认是docker.io,需要改成xxxxxxx

### 修改完毕之后,用esc ---> :wq 保存

重复执行4,查询下状态,直到istiod的READY是 1/1,证明启动成功

root@master01:~# kubectl get deploy -n istio-system
NAME                   READY   UP-TO-DATE   AVAILABLE   AGE
istio-egressgateway    0/1     1            0           2m22s
istio-ingressgateway   0/1     1            0           2m22s
istiod                 1/1     1            1           7m28s

可以看到又出现了两个deployment,按照上述的步骤5,把istio-egressgateway和istio-ingressgateway的配置修改
注意:命令中修改哪个deployment名字,需要修改,把istiod改为要修改的deployment
例如:kubectl edit deploy -n istio-system istio-ingressgateway

直到3个deployment都启动成功,就可以进行部署EnvoyFilter了

root@master01:~# kubectl get deploy -n istio-system
NAME                   READY   UP-TO-DATE   AVAILABLE   AGE
istio-egressgateway    1/1     1            1           9m2s
istio-ingressgateway   1/1     1            1           9m2s
istiod                 1/1     1            1           14m

部署EnvoyFilter

  1. 创建envoyfilter.yaml
vim envoyfilter.yaml

apiVersion: networking.istio.io/v1alpha3
kind: EnvoyFilter
metadata:
  name: my-envoy-filter
  namespace: ibp-test
spec:
  configPatches:
    - applyTo: HTTP_FILTER
      match:
        context: SIDECAR_OUTBOUND
        listener:
          filterChain:
            filter:
              name: "envoy.filters.network.http_connection_manager"
              subFilter:
                name: "envoy.filters.http.router"
      patch:
        operation: INSERT_BEFORE
        value:
          name: add-pod-header
          typed_config:
            "@type": "type.googleapis.com/envoy.extensions.filters.http.lua.v3.Lua"
            inlineCode: |
              function envoy_on_request(request_handle)
                local authority = request_handle:headers():get("host")
                local ip_pattern = "(%d+.%d+.%d+.%d+)"
                local ip = string.match(authority, ip_pattern)
                if ip == "xxxxx" or ip == "xxxxx" then
                  local pod_name = os.getenv("POD_NAME") or "unknown_pod"
                  request_handle:headers():add("X-POD-NAME", pod_name)
                  request_handle:headers():add("X-SPACE", "FUNCTION")
                end
              end
  1. 开启自动注入
kubectl label namespace ibp-test istio-injection=enabled
  1. 应用 EnvoyFilter 到 Kubernetes 集群
kubectl apply -f envoyfilter.yaml
  1. 验证部署
kubectl get envoyfilter -n ibp-test

注意:历史的pod需要重启才会生效!

创建http流量

在envoyfilter中,只会拦截被视为http流量的端点,所以还需要另外创建http流量,使envoyfilter拦截生效

  1. 创建envoy-filter-open-ports.yaml
apiVersion: v1
kind: Service
metadata:
  name: envoy-filter-open-ports
  namespace: ibp-test
spec:
  ports:
    - name: http-9234
      protocol: TCP
      port: 9234
      targetPort: 9234
    - name: http-9001
      protocol: TCP
      port: 9001
      targetPort: 9001
    - name: http-20040
      protocol: TCP
      port: 7082
      targetPort: 7082
  type: ClusterIP
  1. kubernetes创建service
kubectl create -f envoy-filter-open-ports.yaml

卸载

istioctl uninstall -y --purge

版本对照关系

Pasted image 20231207091038.png
Pasted image 20231212153631.png

问题汇总

Q: 启动pod的时候,还是会去docker.io中拉取镜像启动initContainer
A: deployment配置如下

apiVersion: apps/v1
kind: Deployment
metadata:
  name: httpbin
spec:
  replicas: 1
  selector:
    matchLabels:
      app: httpbin
      version: v1
  template:
    metadata:
      annotations:
        "sidecar.istio.io/proxyImage": docker.io/istio/proxyv2:1.20.0 # 这里修改具体的镜像仓库
      labels:
        app: httpbin
        version: v1
    spec:
      serviceAccountName: httpbin
      containers:
      - image: docker.io/kong/httpbin
        imagePullPolicy: IfNotPresent
        name: httpbin
        ports:
        - containerPort: 80
勤奋的快乐码农
关注
  • 20
    点赞
  • 16
    收藏
    觉得还不错? 一键收藏
  • 4
    评论
专栏目录
y127.第七章 服务网格与治理-Istio从入门到精通 -- EnvoyFilter(十三)
Raymond的博客
09-08 438
istio的功能及其实现的相关组件有哪些,istio对如下功能实现了开箱即用就是OOTB的功能,如果配置服务发现和负载均衡的话只需要使用ServicEntry + DestinationRule;要想实现安全的服务到服务之间的加密通信尤其是双向TLS的话DestinationRule就能到;流量治理当中的关键功能流量控制、流量整形、流量迁移等等都要使用VirtualService来定义;
istio envoyfilter过滤器修改请求头
最新发布
爱吃rou的jason
04-11 325
由于漏洞扫描,检测到没有x-content-type-options请求头,或者多了无用的请求头,所以通过gateway与envoy代理中修改请求头。第二个过滤器作用在网关上,通过istio ingressgaway域名请求的服务添加response响应头。第一个过滤器作用在pod的outbound流量上,出流量添加header。第三个过滤器是禁止envoy添加自己的头,服务的头什么样就是什么样。
istio通过envoyFilter实现nginx的error_page
ledrsnet的博客
11-04 917
注意:匹配的pod必须得开启istio sidecar注入,不然不生效,之前一直没查出问题只能选择上面的配置在istio-system空间里面了。需求:实现nginx的error_page,istio本身不支持,只能通过envoyfilter来实现。当收到后端返回503时候,并且响应header中action为redirect时重定向跳转到首页。ps: virtualSerivce支持自定义添加header参数。
一张图快速了解 IstioEnvoyFilter
万猫学社
07-18 2834
EnvoyFilter 提供了一种机制来定制 Istio Pilot 生成的 Envoy 配置。使用 EnvoyFilter 修改某些字段的值,添加特定的过滤器,甚至添加
Istio EnvoyFilter+Lua 简单实现动态路由转发
MichaelJScofield的专栏
09-20 1137
因为种种原因,我们需要实现一个将服务名和subset携带在http请求的header里面,根据这个来实现将服务转发去特定的istio的服务的subset。比如以下example:携带tag: gray的话,将其路由去msg-group 的gray subset。该版本返回数据:携带的话,将其路由去msg-group 的default subset。
EnvoyFilter
变成习惯
07-23 3110
EnvoyFilter EnvoyFilter 提供了一种机制,来自定义 Istio Pilot 生成的 Envoy 配置。使用 EnvoyFilter 可以 修改某些字段的值,添加特定的过滤器,甚至添加全新的监听器、集群等。必须谨慎使用此功能,因为不正确的配置可能会破坏整个网格的稳定性。与其他 Istio 网络对象不同,EnvoyFilters 是附加应用的。对于特定命名空间中的给定工作负载,可以有任意数量的 EnvoyFilters。这些 EnvoyFilters 的应用顺序如下:配置根命名空间中的所有
Angular8 Http拦截器简单使用教程
10-16
主要介绍了Angular8 Http拦截器简单使用教程,本文给大家介绍的非常详细,具有一定的参考借鉴价值,需要的朋友可以参考下
kubernetes实践:Istio之策略与遥测
02-24
想要为服务增加对Istio的支持,只需要在环境中部署一个sidecar,使用Istio控制面板功能配置和管理代理,拦截微服务之间的所有网络通信。随着微服务出现,微服务的连接,管理和监控成为难题。Kubernetes可以处理多个...
分享Angular http interceptors 拦截使用(推荐)
10-16
本文将详细介绍如何在AngularJS中使用HTTP拦截器,并提供一些最佳实践。 HTTP拦截器是AngularJS提供的一种机制,允许我们在HTTP请求发出前和响应返回后进行拦截和处理。它们通过`$httpProvider.interceptors`数组来...
Kubernetes上的Service Mesh实践:用EnvoyFilter扩展Istio
ServiceMesher
09-05 4645
KUN(中文名鲲)是UCloud面向内部的基于Kubernetes的资源交付平台,提供监控告警、CI/CD、网络双栈、Service Mesh等能力。在践行Service...
envoy-filter-example:使用Envoy并添加自定义过滤器的示例
02-09
使节过滤器示例 该项目演示了附加过滤器与Envoy二进制文件的链接。 引入了一个新的滤波器echo2 ,对现有的滤波器进行了相同的模重命名。 还提供了证明过滤器端到端行为的集成测试。 有关其他HTTP过滤器的示例,请参见。 建造 要构建Envoy静态二进制文件: git submodule update --init bazel build //:envoy 测验 要运行echo2集成测试: bazel test //:echo2_integration_test 要从此项目运行常规的Envoy测试: bazel test @envoy//test/... 这个怎么运作 作为子模块提供。 文件将@envoy存储库映射到此本地路径。 文件引入了一个新的Envoy静态二进制目标envoy ,该目标将新的过滤器和@envoy//source/exe:envoy_main_entr
EnvoyFilter详解
mark's technic world
05-31 5942
学习目标 什么是EnvoyFilter EnvoyFilter provides a mechanism to customize the Envoy configuration generated by Istio Pilot. Use EnvoyFilter to modify values for certain fields, add specific filters, or even add entirely new listeners, clusters, etc. This f..
Istio-EnvoyFilter配置浅谈
m0_47495420的博客
11-07 280
EnvoyFilterEnvoyFilter提供了一种机制来定制 Istio Pilot 生成的 Envoy 配置。使用 EnvoyFilter 来修改某些字段的值,添加特定的过滤器,甚至添加全新的 listener、cluster 等。这个功能必须谨慎使用,因为不正确的配置可能破坏整个网格的稳定性。对于特定命名空间中的特定工作负载,可以存在任意数量的 EnvoyFilter。这些 EnvoyF...
不懂envoyfilter也敢说精通istio系列-ratelimit-istio ratelimit完全手册
mark's technic world
10-07 3266
欢迎关注我的公众号: 目前刚开始写一个月,一共写了18篇原创文章,文章目录如下: istio多集群探秘,部署了50次多集群后我得出的结论 istio多集群链路追踪,附实操视频 istio防故障利器,你知道几个,istio新手不要读,太难! istio业务权限控制,原来可以这么玩 istio实现非侵入压缩,微服务之间如何实现压缩 不懂envoyfilter也敢说精通istio系列-http-rbac-不要只会用AuthorizationPolicy配置权限 不懂envoyfilter...
istio envoy 黑名单配置
07-24 925
static_resources: listeners: - name: "ingress listener" address: socket_address: address: 0.0.0.0 port_value: 9001 filter_chains: ...
envoy filter 开发实践系列 2:官网 http filter 示例编译测试
黑光技术
10-01 1938
1.前言这篇文章开始来介绍官网中http filter的编译和测试过程,让大家能够知道怎么测试跑通这个例子,虽然官网已经给了代码,但是对于新手来说,这个例子虽然可以按照readme...
envoy filter 开发实践系列 1:官网 echo 示例编译测试
黑光技术
09-29 1068
1. 前言早就想写一个 envoy filter 开发的文章了,本来在我的 issue 中列了一篇 Venil Noronha 写的文章,想翻译来的,但是感觉那篇文章太简单了,而且没有实...
如何侦听网线数据_如何利用 Envoy 的 Postgres 过滤器实现网络可观察性
weixin_39691233的博客
12-03 268
自发布版本 1.15.0 起,Envoy 代理就开始支持 Postgres 信息解码用于统计目的了。该功能为网络中发生的 Postgres 事务提供聚合视图。有了聚合视图,Postgres 作业的种类、故障的数量和严重性瞬间一目了然。通过时间序列格式,请求组合出错率的变化也能清楚呈现出来。值得留意的是,统计数据并不是存储在 Postgres 的服务器中,也不是在客户端,而是通过在网络层面嗅探应用与...
依赖编译_【上手指引】剖析Envoy Filter的Bazel编译配置
weixin_39837207的博客
12-12 1115
引言Envoy是一款使用现代C++语言编写的L4/L7网络代理,采用Bazel进行依赖管理与执行编译过程。本文将以官方一个简单的HTTP Filter作为例子,分析Bazel在filter编译构建过程中所起的作用,为希望快速开始开发与编译filter的开发者提供指引,帮助大家快速了解envoy filter的编译流程。一、Bazel简介Bazel是一种类似CMake的用于组织编译过程的一...
springboot+vue 如何使用JSESSIONID登录拦截
06-09
在Spring Boot和Vue中使用JSESSIONID登录拦截可以通过以下步骤实现: 1. 后端配置:在Spring Boot中,可以通过配置Spring Security来实现JSESSIONID的登录拦截。在Spring Security中,可以使用`http.csrf().disable().sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS)`来禁用CSRF保护和使用无状态会话管理策略。然后,使用`http.authorizeRequests().anyRequest().authenticated().and().formLogin()`来配置所有请求都需要进行身份验证,并使用表单登录进行身份验证。在身份验证成功后,将用户的身份信息放入会话中。这样,每个会话都将有一个唯一的JSESSIONID,可以用于登录拦截。 2. 前端配置:在Vue中,可以使用axios拦截器来拦截所有请求,并将JSESSIONID放入请求头中。具体来说,可以在axios中使用`withCredentials: true`来启用跨域请求携带cookie。在拦截器中,可以使用`config.headers['JSESSIONID'] = cookie.get('JSESSIONID')`将JSESSIONID放入请求头中。然后,将axios实例导出,以便在整个应用程序中使用。这样,每个请求都将携带JSESSIONID,可以用于登录拦截。 3. 登录拦截:在Vue中,可以使用路由守卫来实现登录拦截。在路由守卫中,可以使用`router.beforeEach((to, from, next) => {if (to.meta.requireAuth) {// 判断该路由是否需要登录权限if (store.state.token) {// 通过vuex state获取当前的token是否存在next();} else {// 否则跳转到登录页面next({path: '/login',query: {redirect: to.fullPath}});}} else {next();}});`来判断路由是否需要登录权限,并判断用户是否已经登录。如果用户已经登录,则允许访问该路由,否则跳转到登录页面。 综上所述,在Spring Boot和Vue中使用JSESSIONID登录拦截,需要在后端和前端分别进行配置,并使用路由守卫来实现登录拦截
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值