生产环境的 ServiceMesh 流量劫持怎么搞?百度有新招

于 2021-04-09 14:36:56 发布
阅读量255 收藏
点赞数
分类专栏: 云原生
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yunyuansheng/article/details/115550169
版权

 

 背景

 

ServiceMesh 社区使用 iptables 实现流量劫持,这个机制在百度生产环境使用会遇到一些问题,因此,我们探索了其他的流量劫持方式,如基于服务发现的流量劫持机制、基于 SDK 的流量劫持机制、基于固定 Virutal IP 的流量劫持机制等。

 

本文主要介绍基于服务发现的流量劫持机制,这个机制是在服务发现步骤 "伪造" 地址来完成流量劫持。

 

 基于 iptables 流量劫持机制

 

我们先简单的看看社区的流量劫持方案,首先看下 Inbound 流量劫持,如图1 所示:

 

  1. 所有入站流量都会经过 iptables;

  2. iptables 忽略非 TCP 以及访问 istio 管理端口的流量,将其他入站流量转发给 Envoy;

  3. Envoy 处理完后再将流量转发给 App;

  4. 上述流量又一次经过 iptables 规则匹配,iptables 将具备以下特点的流量当做 Envoy 发出的流量直接转发给目的地:

    1. Envoy 发出的;

    2. 输出设备时 lo;

    3. 目的地时127.0.0.1。

 

至此 iptables 完成了 Envoy 对 Inbound 流量的劫持和转发。

 

图1 iptables 流量劫持

 

接下来咱们再来看看 Outbound 流量劫持,如图2所示:

 

  1. App 给 Server 发送流量;

  2. iptables 将满足以下条件的流量转发给 Envoy:

    1. 不是 Envoy 发出的;

    2. 输出设备不是 lo;

    3. 目的地址不是 localhost。

  3. Envoy 处理完后,选定 Server 的一个 endpoint 转发流量;

  4. iptables 将满足以下条件的流量直接发给目的地,也就是 Server:

    1. Envoy 发出的;

    2. 输出设备不是 lo。

最低0.47元/天 解锁文章
百度云原生计算
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
博客
云原生周报 | Kubernetes 1.25 重要更新;2022 国际开源节即将开启
08-16 232
主要更新包括:PodSecurityPolicy 将被删除,取而代之的是 Pod Security Admission;核心 CSI 迁移功能将于 1.25 版正式 GA;GlusterFS 将在 1.25 版中被弃用;树内 vSphere 卷驱动程序将不支持 7.0u2 之前的任何 vSphere 版本等。...
博客
如何治理资源浪费?百度云原生成本优化最佳实践
08-03 410
具体来讲,精细调度是根据单机的资源画像预测未来资源使用情况,然后调度不同业务到不同节点,依据是调度完成之后的未来一个月或七天之内,发生热点的概率有多大,如果特别大,就不会去调度在指定的节点并且可以做可迁移性的一个分级。事前的处理指的是根据资源画像做精细调度,避免热点。比如有一个标准的在线集群,首先会通过资源画像去梳理在线业务的质量,经 7-14 天的梳理周期给出应用的利用率的预估进而做对应的配额进行推荐,如果业务方配合应用配额缩减之后普遍会节约 20% 的成本,这个方法的落地难度为中等。...
博客
云原生周报 | 信通院发布《云计算白皮书(2022年)》; Cilium 1.12 正式发布
07-25 282
今年的白皮书聚焦“新经济,上云用云新周期”。上云用云新周期是用云原生改造应用架构,以算力服务为资源调度手段,实现高效、安全、精益上云用云的全新阶段。
博客
云原生周报 | CNCF 可观测性白皮书中文版;百度智能云服务网格产品 CSM 发布
07-05 707
1. CNCF 可观测性白皮书中文版摘要:随着系统复杂度以及数据处理量不断增长,为了了解系统的负载状态,我们需要系统有更好的可观测性。除了使用工具提高可观测性之外,运营软件服务的工程师们被越来越多地要求深入理解如何监控他们负责的应用程序。面对用户更高的期望和更严格的服务水平要求(SLO), 工程师们必须要更快地排除故障并找到问题的根本原因。这篇 白皮书 旨在帮助您快速了解在云原生环境中可能需要的各种可观测性。2. 百度智能云服务网格产品 CSM 发布 | 火热公测中摘要:服务网格(Service Mesh)
博客
百度云原生产品 6 月刊 | CCE 节点组支持配置多个备选机型、CCR 新增镜像加速功能
07-05 478
百度智能云容器引擎 CCE节点组支持配置多个备选机型(可指定不同可用区下规格相同的机型),降低计算资源售罄导致扩容失败的风险CCE 集群提供接入云服务器 BCC 潮汐算力的 API 接口创建 BLB Ingress 增加标签和注释,同时提供 BLB Ingress Annotation,实现更丰富的负载均衡的能力CCE 提供 Docker 容器生命周期管理、大规模容器集群运维管理、业务应用一键式发布运行等功能,无缝衔接百度智能云其他产品。弹性、高可用的云端 Kubernetes 容器运行平台,助力系统架构微
博客
百度智能云服务网格产品 CSM 发布 | 火热公测中
06-28 375
【百度云原生导读】服务网格(Service Mesh)的概念自初提出之后,受到了业界的广泛关注,作为微服务的下一代发展架构受到广大企业和开发者的青睐。百度智能云结合在百度内部大规模实践服务网格经验,正式推出服务网格产品 CSM(Cloud Service Mesh),为用户提供高可靠、免运维、开放的云原生微服务治理产品。服务网格架构实现了服务治理技术和业务逻辑的解耦,是云原生(Cloud Native)时代微服务技术的发展方向。为了帮助更多的企业享受到服务网格的红利,百度智能云结合在百度内部多个核心产品千亿
博客
云原生周报 | Grafana 9 正式发布;云原生词汇表中文版现已上线
06-20 424
1. Grafana 9 正式发布摘要:Grafana 9.0 的主要重点是改善 Grafana 的用户体验,使可观察性和数据可视化更易用也更容易获得。无论是通过 Prometheus 和 Loki 可视化查询生成器还是面板和仪表板搜索功能,Grafana 9.0 都引入了更新的工作流程,使发现和调查数据变得更加容易和直观。2. 云原生词汇表 —— 中文版现已上线摘要:云原生词汇表是由 CNCF 商业价值小组委员会 (BVS, Business Value Subcommittee) 领导的一个项目。该项目
博客
2022 云原生优秀案例公布 百度荣获两项大奖
06-15 450
【百度云原生导读】6 月 15 日 “第四届 云原生产业大会” 在线上召开,大会公布了 2022 年云原生优秀案例获奖名单,其中,百度地图检索云原生化案例与百度云原生 AI 方案分别荣获 “云原生应用优秀案例” 和 "云原生技术创新案例" 两项大奖。本次大会以 “原生聚力,云数赋能” 为主题,由中国信息通信研究院、中国通信标准化协会主办,中国通信标准化协会云计算标准和开源推进委员会承办,云计算开源产业联盟、云原生产业联盟、云原生计算基金会(CNCF)联合支持。此次大会揭榜了云原生成熟度、云原生数据服务、服务
博客
云原生周报 | 英伟达开源了其 Linux GPU 驱动;Argo CD 发布 v2.4 RC 版本
05-16 465
业界要闻 1.英伟达开源了其 Linux GPU 驱动摘要:英伟达表示,此次开源将大幅提升用户在 Linux 系统中使用英伟达 GPU 的体验,可使其更紧密地与操作系统集成,有利于开发人员的调试、集成和反馈。对于 Linux 发行版提供商,开源的内核模块增加了易用性,还改善了开箱即用的用户体验,以签署和分发 NVIDIA GPU 驱动程序。2. Argo CD 发布 v2.4 RC 版本摘要:主要更新包括:UI 中的 Web 终端升级,使工程师能够在运行的应用程序容器中启动 s...
博客
云原生周报 | Kubernetes 1.24 发布;Google 宣布把 Istio 捐赠给 CNCF
05-09 276
业界要闻 1.Kubernetes 1.24 发布摘要:此版本带来了 46 项增强,其中 13 项升级到稳定版,14 项是不断改进的现有功能,13 项是全新的,6 项已弃用的功能。主要更新如下:完全移除 Dockershim;CSI 卷健康监控;Beta API 默认关闭;存储容量和卷扩展普遍可用;gRPC 探针升级到 Beta 等。2.Google 宣布把 Istio 捐赠给 CNCF摘要:谷歌副总裁兼研究员在 IstioCon 的主题演讲中解释道,“Istio 商标将被移...
博客
云原生周报 | IstioCon 2022 开始;Harbor V2.5引入 Cosign
04-25 1981
业界要闻 1.IstioCon 2022 今晚开始摘要:将于北京时间今天(25日)晚上11点正式开始,中文场演讲将于 26 日上午 9 点正式开始,会议详细日程请见:https://events.istio.io/istiocon-2022/program/2.Harbor v2.5远程复制:制品的签名如影随形摘要:在 Harbor 制品(Artifact)仓库中,制品的签名和签名验证是关键的安全功能之一,可帮助用户检查制品的完整性。Harbor 2.5通过与另外两个开源项目...
博客
云原生周报 | 百度智能云CCE在离线混部功能公测;国际开源节(IOSF)议题征集中
04-12 2278
业界要闻 1.全面公测 | 百度智能云 CCE 在离线混部功能摘要:百度云原生混部是基于开放的云原生技术架构体系,以容器技术为核心所构建用于提升资源利用率的软件系统。该系统通过百度10年所积累的业界领先的在离线混部调度技术,可以帮助客户实现大规模的在离线业务混合部署,将企业算力资源的使用率提升至45%+,算力资源成本降低30%+,百度内部已累计通过此技术节省几十亿元的算力资源采购成本。2. 国际开源节 CNCF 云原生论坛,议题征集开始(4月15日截止)摘要:国际开源节(IOS...
博客
全面公测 | 百度智能云CCE在离线混部功能
04-08 1832
2022年4月1日,百度智能云CCE(容器引擎)混部功能开启全面公测!百度云原生混部是基于开放的云原生技术架构体系,以容器技术为核心所构建用于提升资源利用率的软件系统。该系统通过百度10年所积累的业界领先的在离线混部调度技术,可以帮助客户实现大规模的在离线业务混合部署,将企业算力资源的使用率提升至45%+,算力资源成本降低30%+,百度内部已累计通过此技术节省几十亿元的算力资源采购成本。点击如下链接,立即试用:https://cloud.baidu.com/product/cce
博客
百度可观测系列 | 如何构建亿级指标的高可用 TSDB 存储集群?
03-31 1525
【百度云原生导读】在前一篇《采集亿级别指标,Prometheus 集群方案这样设计中》,我们为大家介绍了针对针对亿级指标场景,百度云原生团队基于Prometheus 技术方案的研究,包括资源的优化,引入流式计算,降低CPU消耗,以及高可用的建设。本文将深入存储专题,为大家介绍如何构建亿级指标的高可用 TSDB 存储集群。随着云原生的不断发展,Prometheus 的应用场景不再只局限于针对资源指标的监控,也可以应用于金融场景的业务交易指标的趋势观察,物联网的 IOT 全场景观测等。为此百度云原生
博客
云原生周报 | Fluent Bit下载量达到10亿次;对 Istio 1.11的支持已经结束
03-28 1332
业界要闻 1.Fluent Bit下载量达到10亿次摘要:如何快速有效地从企业中跨分布式环境创建的大量日志和事件数据中获取情报。这一问题变得越来越困难,随着组织迅速采用分布式、动态、云原生服务,这提供了许多实质性的好处,但也意味着更复杂、更短暂的环境,甚至更多的数据。Fluent Bit 通过支持 Pb 级的日志处理来解决这些问题,在基于 Kubernetes 的环境中为事件数据添加额外的上下文,通过路由到多个后端来降低总体可观察性成本,并作为供应商中立的收集器来避免供应商锁定。2...
博客
云原生周报 | Istio 1.13.1 发布;百度采集亿级别指标实践
02-28 1057
业界要闻 1.Istio 1.13.1 发布,修复重大安全漏洞摘要:Istio是一个用于连接、管理和保护服务的开放平台。近日 Istio 1.13.1 发布,修复了一个已知的重大漏洞,该漏洞可能导致未经认证的控制平面拒绝服务攻击。最佳实践1.百度可观测系列 | 采集亿级别指标,Prometheus 集群方案这样设计摘要:采集亿级别指标,通常会面临三大类问题:一是网络带宽打满、Prometheus大内存、Prometheus计算 CPU 利用率高等一系列资源类问...
博客
百度可观测系列 | 采集亿级别指标,Prometheus 集群方案这样设计
02-22 1740
【百度云原生导读】在前一篇《基于 Prometheus 的大规模线上业务监控实践》中,我们为大家介绍了针对大规模业务监控场景,百度云原生团队基于 Prometheus 技术方案的一些探索,包括基于 Prometheus 进行指标降维、Prometheus 的自动分片采集、以及基于 Flink 流式计算构建的预计算。本文将深入采集专题,为大家介绍如何构建采集亿级别指标的高可靠Prometheus 集群。采集亿级别指标,通常会面临三大类问题:一是网络带宽打满、Prometheus大内存、Promet
博客
云原生周报 | Chaos Mesh 升级成为 CNCF 孵化项目,百度研究院2022年科技趋势预测
02-21 700
业界要闻 1.Chaos Mesh 升级成为 CNCF 孵化项目摘要:Chaos Mesh 最初是作为开源分布式数据库 TiDB 的测试平台创建的,它是个通用的混沌工程平台,在 Kubernetes 环境中协调混沌实验。通过帮助识别潜在的故障点,它有助于确保 Kubernetes 基础设施能够承受意外的中断。2.百度研究院2022年科技趋势预测摘要:其中提到,未来几年“绿色 AI”相关技术将持续蓬勃发展,围绕高能效的架构设计、训练和推理策略、数据利用等构建体系,形成兼顾...
博客
云原生周报 | CNCF 发布 2021 云原生发展状态报告,Istio 1.13发布
02-14 529
业界要闻 1.CNCF 发布 2021 云原生发展状态报告摘要:报告显示,全球云原生开发者数量增速放缓;2021 年边缘计算是应用 Kubernetes 最广泛的行业,无服务器架构对边缘计算开发者也很有吸引力。48% 的边缘计算开发者正在使用无服务器架构。2.第二届 IstioCon 演讲议题正在征集中摘要:IstioCon 接受中文和英文议题,本次活动为线上分享,议题提交截止时间为 2022 年 3 月 3 日(北京时间,下同),提交及要求详见:https://sess...
博客
云原生周报 | K8s 官方推出纪录片;BFE 2021开源总结;服务网格在联通的落地实践
01-30 2605
【百度云原生】祝您新春快乐,虎年大吉!业界要闻 1.Kubernetes 社区推出官方纪录片摘要:近日,Kubernetes 社区发布官方纪录片的第一部分。受到 2013 年 Docker 开源成功的启发,并看到大规模云计算领域对创新的需求,一些具有前瞻性的谷歌工程师开始着手开发后来被称为 Kubernetes 的容器编排器——这个新工具将永远改变互联网的构建方式。2.BFE 开源项目2021年回顾和致谢摘要:BFE (Beyond Front End)是源...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值