envoy中的iptable流量劫持

最新推荐文章于 2023-02-26 16:18:21 发布
最新推荐文章于 2023-02-26 16:18:21 发布
阅读量1.3k 收藏 3
点赞数 1
文章标签: 列表 docker linux java nmap
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhghost/article/details/118617437
版权

本篇是自己的一篇学习笔记,主要是为了学明白,iptable是如何在envoy里面进行流量劫持的,会从下面几个方面来介绍:

  1. iptable是怎么与envoy关联起来的

  2. 业务app中的流量请求是如何被iptable劫持发送给envoy的,并且envoy是如何把这个流量请求传递出去的

问题 1: iptable是怎么与envoy关联起来的

Istio部署业务的时候,envoy都会同时部署在sidecar里面,而在部署sidecar的时候,会将envoy和iptable进行一个关联。

Istio在pod中注入了一个名字叫做istio-init的init容器,这个init容器会在Pod启动之前被优先执行,而iptable与envoy的关联关系就是在这个init容器启动的时候进行操作的。在这一个阶段会主动执行下面的iptable相关的命令,如下所示:

istio-iptables -p 15001 -z 15006 -u 1337 -m REDIRECT -i '*' -x "" -b '*' -d 15090,15020

备注:在 Istio 1.1 版本时还是使用 isito-iptables.sh 命令行来操作 IPtables。

这个命令的含义是: 将进入VM/Pod的tcp的入口流量重定向到15006端口,这个端口对应的是envoy里面的inbound端口,出口的流量定位到15001端口,这里对应的是envoy的outbound端口。

istio-iptables命令行的介绍:

$ istio-iptables [flags]
  -p: 指定重定向所有 TCP 流量的 sidecar 端口(默认为 $ENVOY_PORT = 15001)
  -m: 指定入站连接重定向到 sidecar 的模式,“REDIRECT” 或 “TPROXY”(默认为 $ISTIO_INBOUND_INTERCEPTION_MODE)
  -b: 逗号分隔的入站端口列表,其流量将重定向到 Envoy(可选)。使用通配符 “*” 表示重定向所有端口。
  为空时表示禁用所有入站重定向(默认为 $ISTIO_INBOUND_PORTS)
  -d: 指定要从重定向到 sidecar 中排除的入站端口列表(可选),以逗号格式分隔。
  使用通配符“*” 表示重定向所有入站流量(默认为 $ISTIO_LOCAL_EXCLUDE_PORTS)
  -o:逗号分隔的出站端口列表,不包括重定向到 Envoy 的端口。
  -i: 指定重定向到 sidecar 的 IP 地址范围(可选),以逗号分隔的 CIDR 格式列表。
  使用通配符 “*” 表示重定向所有出站流量。
  空列表将禁用所有出站重定向(默认为 $ISTIO_SERVICE_CIDR)
  -x: 指定将从重定向中排除的 IP 地址范围,以逗号分隔的 CIDR 格式列表。
  使用通配符 “*” 表示重定向所有出站流量(默认为 $ISTIO_SERVICE_EXCLUDE_CIDR)。
  -k:逗号分隔的虚拟接口列表,其入站流量(来自虚拟机的)将被视为出站流量。
  -g:指定不应用重定向的用户的 GID。(默认值与 -u param 相同)
  -u:指定不应用重定向的用户的 UID。
  通常情况下,这是代理容器的 UID(默认值是 1337,即 istio-proxy 的 UID)。
  -z: 所有进入 pod/VM 的 TCP 流量应被重定向到的端口(默认 $INBOUND_CAPTURE_PORT = 15006)。

问题 2: 业务app中的流量请求是如何被iptable劫持发送给envoy的,并且envoy是如何把这个流量请求传递出去的

下图展示的是 productpage 服务请求访问 http://reviews.default.svc.cluster.local:9080/,当流量进入 reviews 服务内部时,reviews 服务内部的 sidecar proxy 是如何做流量拦截和路由转发的。

入口流量,按照上图标识分为入口流量和出口流量:

入口流量部分:

1-->(iptable开始进行流量劫持)[2-->3-->4]--->inbound handler(envoy的15006端口)-->envoy处理完成之后-->(再次进入iptable)-->[5-->6-->7-->8]--->流量转发到到应用容器,业务进行处理


出口流量部分:

业务层面处理完成之后,iptable开始进行[9-->10-->11-->12]-->outbound handler(envoy的15001端口)-->envoy处理完成之后-->13-->14-->15-->16-->upstream

参考文档:

https://jimmysong.io/blog/sidecar-injection-iptables-and-traffic-routing/#使用-iptables-做流量劫持时存在的问题

灰子学技术
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Istio 流量劫持
叶康铭的博客
09-21 1721
不用修改本身应用的任何代码,就可以实现重试、重试、注册、发现、故障注入等等的能力,而且对开发语言、框架都是没有任何限定统一的技术栈的,那么为什么服务网格那么厉害可以做到那么透明呢,我们一起了解一下吧!
使用 iptables TPROXY 在网关上劫持流量
alenliu's blog
06-02 2139
使用 iptables TPROXY 在网关上劫持流量
云原生小课堂 | Envoy请求流程源码解析(一):流量劫持
alauda_andy的博客
02-24 879
本期【云原生小课堂】将从源码级别切入,带您深入了解Envoy架构。
Envoy流量劫持后outbound部分处理逻辑
zhghost的专栏
09-24 360
本篇文章主要来讲解下流量劫持envoy之后,envoy层面是如何处理,并成功找到它的下一跳服务的,当然也是我们平时说的upstream。Envoy在实现层面,定义了listener、f...
edgemesh利用iptables劫持流量时遇到的问题分析
yz271544的博客
01-03 578
edgemesh利用iptables劫持流量时遇到的问题分析 概念 云边通信:云端容器,通过serviceName/clusterIP,访问边缘容器; 边云通信:相对上面而言,反过来,边缘容器,通过serviceName/clusterIP,访问云端容器; 边边通信:边缘主机上的容器,通过serviceName/clusterIP,访问该边缘主机或其他边缘主机的容器; edgemesh架构 kubeedge相比kubernetes,主要的提供了跨子网构建集群的方案;其最强大的特点就是让kubernete
envoy:Envoy proxy文文档 - https
05-23
Envoy 官方文档文版正在进行...封面图片:杭州河路西湖大道立交桥 by注意本书不包含官方文档的 v1 API 参考 和 v2 API 参考 部分,书凡是指向 API 参考的链接都直接跳转到官方页面。ServiceMesher 微信公众号
Envoy 调试流量的常用技巧.pdf
最新发布
08-14
Envoy 调试流量的常用技巧.pdf
Envoy Basic(基础)
04-21
Envoy 基础
envoy-perf:特使性能测试
05-01
1小时),以了解更改对性能的影响性能随时间变化的连续仪表板,涵盖具有多台机器和配置的各种实际部署方案连续集成测试以防止检查性能退化-类似于覆盖率测试子目录包含试图在实际的多计算机场景测量性能的尝试。...
envoy-deployscript:Laravel Envoy部署脚本
02-03
安装您必须使用Composer全局命令安装了Envoy: 作曲家全局要求“ laravel / envoy =〜1.0”用法建立下载或克隆此存储库然后将envoy.config.example.php和Envoy.blade.php复制到您的laravel项目根目录。(例如〜/ ...
Envoy集群流量控制
点点的博客
11-24 1083
由来: 今天突然看到一篇文档,集群流量控制,几个醒目的大字,这个文章来自Sentinel的这个工具,这个工具可以作为流量控制与服务降级操作,特意找了文章了解一下。 什么是:Envoy集群流量控制 尽管分布式电路断通常在控制分布式系统的吞吐量方面非常有效,但有时它不是很有效,因此需要全局速率限制。最常见的情况是当大量主机转发到少量主机并且平均请求延迟很短时(例如,与数据库服务器的连接/请求)。如...
iptables知识整理
zhghost的专栏
09-30 2277
Envoy流量劫持使用的是iptables,便对这方面知识作了一个整理,方便后续查看,算是一个读书笔记吧。一、iptables四张表表(tables)提供特定的功能,iptab...
Istio流量劫持机制
心梦无痕
09-25 2086
Istio Service Mesh 流量劫持机制
基于Istio的高级流量管理二(Envoy流量劫持、Istio架构、高级流量管理)
一点一滴铺就人生
02-26 2070
Istio对入站流量、Mesh流量、出站流量的统一控制管理给出了一个比较完美的答案
envoy】控制面:ENVOY配置
突围
09-13 1872
[转载] Envoy proxy 配置详解 envoy-proxy-config-deep-dive Istio envoy sidecar proxy 配置 Istio envoy sidecar proxy 配置包含以下四个部分。 bootstrap:Envoy proxy 启动时候加载的静态配置。 listeners:监听器配置,使用 LDS 下发。 clusters:集群配置,静态配置包括 xds-grpc 和 zipkin 地址,动态配置使用 CDS 下发。 route
Istio服务网格:深入学习网络流量和架构
关注微信公众号【开源Linux】,后台回复『10T』,领取10T学习资源大放送,涵盖Linux、虚拟化、容器、云计算、网络、Python、Go等书籍和视频
12-02 222
作者|Kasun Talwatta 译者|张卫滨来源公众号 | InfoQ架构头条 本文首先介绍了 Istio 的基础知识,然后结合实际的样例阐释了 Istio 是如何将 sidecar 容器注入到 Kubernetes 集群,并实现流量拦截的。本文最初发表于 Solo 官方博客,经原作者 Kasun Talwatta 授权,由 InfoQ 文站翻译分享。像 Istio 这样的服...
envoy实现_通过envoy实现透明代理
weixin_39737831的博客
12-23 1029
什么是透明代理透明代理的意思是客户端根本不需要知道有代理服务器的存在,它改变你的请求报文,并会转发至真实I服务器。为什么需要透明代理案例1监控某个应用,甄别非法返回值。案例2对应用的url进行鉴权,让不合法的url实现跳转。以上两个案例如果按照传统做法肯定要在特定应用的http请求管道增加filter,拦截请求和响应报文,这种做法侵入性太强,如果应用比较多,又是由不同的语言开发的,想...
史上最全的高性能代理服务器 Envoy 文实战教程 !(强烈建议收藏)
运维派
12-12 5406
什么是 EnvoyEnvoy是一款CNCF旗下的开源项目,由Lyft开源。Envoy采用 C++ 实现,是面向Service Mesh的高性能网络代理服务。它与应用程序并行...
理解 Istio Service Mesh Envoy 代理 Sidecar 注入及流量劫持
weixin_33796177的博客
09-11 1526
以往有很多文章讲解 Istio 是如何做 Sidecar 注入的,但是没有讲解注入之后 Sidecar 工作的细节。本文将带大家详细了解 Istio 是如何将 Envoy 作为 Sidecar 的方式注入到应用程序 Pod ,及 Sidecar 是如何做劫持流量的。本文转载自:jimmysong.io/posts/envoy…在讲解 Istio 如何将 Envoy 代理注入到应用程序 Pod ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值