Envoy流量劫持后outbound部分处理逻辑

最新推荐文章于 2024-04-11 14:18:54 发布
最新推荐文章于 2024-04-11 14:18:54 发布
阅读量378 收藏
点赞数
文章标签: java python linux 大数据 docker
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhghost/article/details/120465598
版权

 本篇文章主要来讲解下流量劫持到envoy之后,envoy层面是如何处理,并成功找到它的下一跳服务的,当然也是我们平时说的upstream。

fa9c0c66ad36d1da88ec17aa14f6bc8a.png

Envoy在实现层面,定义了listener、filter这些对象,具体如下所示:

Listener对应的是LDS里面的配置,通常一个LDS对应一个Listener,而它是一般格式是clusterIP+Port的方式,如果多个serviceName对应一个LDS的话,会转换成0.0.0.0+Port的样子。

因为iptables劫持流量的时候,只会在Envoy中基于outbound流量出口15006创建一个真实的物理连接socket,所有的流量到了这个socket之后,会先匹配到对应Listener。

Listener可以理解成一个逻辑连接,存储在内存中,通过流量中的带下来的Host+Port进行匹配,命中的话,就会走这个Listener进行处理。

Listener下面会挂载很多filterchains链,这些filterchains是用户根据不同的需求设置的filter数组,而每一个filter表示的是对流量某一段处理的逻辑对象。例如:处理http的filter,它会先将http包进行decode,然后去匹配RDS和CDS,以便找到这个服务对应的下一跳upstream。在找到

最低0.47元/天 解锁文章
灰子学技术
关注
Istio实战(九)-Envoy 流量劫持
专注基础架构领域
10-30 416
Envoy也是istio的核心组件之一,以sidecar的方式与服务运行在一起,对服务的流量进行拦截转发,具有路由,流量控制等等强大特性。目前 Istio 使用 iptables 实现透明劫持,由于需要借助于 conntrack 模块实现连接跟踪,在连接数较多的情况下,会造成较大的消耗,同时可能会造成 track 表满的情况,为了避免这个问题,业内有 ebpf 的加速方案,报文可以不过内核协议栈进行加速穿越。进入sidecar的网络空间,这里介绍的是iptables redirect模式。
envoy中的iptable流量劫持
zhghost的专栏
07-09 1365
本篇是自己的一篇学习笔记,主要是为了学明白,iptable是如何在envoy里面进行流量劫持的,会从下面几个方面来介绍:iptable是怎么与envoy关联起来的业务app中的流量请求是如...
基于Istio的高级流量管理二(Envoy流量劫持、Istio架构、高级流量管理)
一点一滴铺就人生
02-26 2162
Istio对入站流量、Mesh流量、出站流量的统一控制管理给出了一个比较完美的答案
云原生小课堂 | Envoy请求流程源码解析(一):流量劫持
alauda_andy的博客
02-24 906
本期【云原生小课堂】将从源码级别切入,带您深入了解Envoy架构。
Envoy:关于outbound流量处理逻辑
zhghost的专栏
04-25 319
本篇文章,笔者试图讲清楚流量在经过Envoy之后,outbound流量处理过程是什么样子的。envoy是istio的数据面,istio与envoy之间通过xds协议进行通讯,而istio则通过CR的方式来进行了进一步的封装,目的是为了将xds简单化,希望用户看到的配置更加的简洁,例如:Virtual Service、Destination Rule、等等。XDS是通过LDS、RDS、CDR、SD...
理解 Istio Service Mesh 中 Envoy 代理 Sidecar 注入及流量劫持
weixin_33796177的博客
09-11 1545
以往有很多文章讲解 Istio 是如何做 Sidecar 注入的,但是没有讲解注入之后 Sidecar 工作的细节。本文将带大家详细了解 Istio 是如何将 Envoy 作为 Sidecar 的方式注入到应用程序 Pod 中,及 Sidecar 是如何做劫持流量的。本文转载自:jimmysong.io/posts/envoy…在讲解 Istio 如何将 Envoy 代理注入到应用程序 Pod 中...
云原生 -- contour+envoy流量转发
weixin_42343801的博客
02-22 890
云原生 -- contour+envoy流量转发
Envoy 调试流量的常用技巧.pdf
08-14
它通过在每个服务实例旁边部署一个 Sidecar 代理(sidecar pattern)来实现这一目标,这样所有进出服务的流量都会经过 Envoy,从而实现统一的流量管理和监控。 Envoy 的设计目标包括: 1. **进程外架构**:Envoy ...
生产环境的 ServiceMesh 流量劫持怎么搞?百度有新招
百度云原生计算的博客
04-09 265
背景 ServiceMesh 社区使用 iptables 实现流量劫持,这个机制在百度生产环境使用会遇到一些问题,因此,我们探索了其他的流量劫持方式,如基于服务发现的流量劫持机制、基于 SDK 的流量劫持机制、基于固定 Virutal IP 的流量劫持机制等。 本文主要介绍基于服务发现的流量劫持机制,这个机制是在服务发现步骤 "伪造" 地址来完成流量劫持。 基于 iptables 流量劫持机制 我们先简单的看看社区的流量劫持方案,首先看下 Inbound 流量劫...
envoyfilter 使用 lua 案例
tanjunchen的博客
09-08 990
使用 envoyfilter 与 lua 拓展 istio 案例。
云原生小课堂|Envoy请求流程源码解析(三):请求解析
alauda_andy的博客
03-24 1212
Envoy 是一款面向 Service Mesh 的高性能网络代理服务。本期【云原生小课堂】将继续为您分享Envoy的outbound方向下篇,包含:接收请求、发送请求、接收响应、返回响应。
EnvoyFilter详解
mark's technic world
05-31 6010
学习目标 什么是EnvoyFilter EnvoyFilter provides a mechanism to customize the Envoy configuration generated by Istio Pilot. Use EnvoyFilter to modify values for certain fields, add specific filters, or even add entirely new listeners, clusters, etc. This f..
使用Istio的Envoyfilter做kubernetes的出口http拦截
weixin_49539577的博客
02-05 1218
可以看到又出现了两个deployment,按照上述的步骤5,把istio-egressgateway和istio-ingressgateway的配置修改。以下步骤均在无法访问docker.io的集群下操作,如果集群可以连接docker.io,则不需要准备镜像包,直接在docker.io中拉取即可。在envoyfilter中,只会拦截被视为http流量的端点,所以还需要另外创建http流量,使envoyfilter拦截生效。重复执行4,查询下状态,直到istiod的READY是 1/1,证明启动成功。
envoy】控制面:ENVOY配置
突围
09-13 1921
[转载] Envoy proxy 配置详解 envoy-proxy-config-deep-dive Istio envoy sidecar proxy 配置 Istio envoy sidecar proxy 配置中包含以下四个部分。 bootstrap:Envoy proxy 启动时候加载的静态配置。 listeners:监听器配置,使用 LDS 下发。 clusters:集群配置,静态配置中包括 xds-grpc 和 zipkin 地址,动态配置使用 CDS 下发。 route
伪官宣:Envoy 中文指南新鲜出炉
程序猿DD
05-13 758
点击上方蓝色“程序猿DD”,选择“设为星标”回复“资源”获取独家整理的学习资料!前言Envoy是专为大型现代SOA(面向服务架构)架构设计的 L7 代理和通信总线,体积小,性能高,它...
istio envoyfilter过滤器修改请求头
最新发布
爱吃rou的jason
04-11 376
由于漏洞扫描,检测到没有x-content-type-options请求头,或者多了无用的请求头,所以通过gateway与envoy代理中修改请求头。第二个过滤器作用在网关上,通过istio ingressgaway域名请求的服务添加response响应头。第一个过滤器作用在pod的outbound流量上,出流量添加header。第三个过滤器是禁止envoy添加自己的头,服务的头什么样就是什么样。
云原生小课堂 | Envoy请求流程源码解析(二):请求解析
alauda_andy的博客
03-10 908
一文带你从源码级别了解Envoy请求解析。本期【云原生小课堂】将为您分享Envoy的outbound方向,包含启动监听和建立连接。
"2023云原生社区研讨会:Envoy流量调试技巧详解
2023年精品资料/精品研究报告——2023云原生社区研讨会Lizan Zhou在2020年10月28日分享了关于“Envoy 调试流量的常用技巧”的精彩报告。Lizan Zhou是Envoy的资深维护者,也是Istio网络/安全工作组的负责人,同时也是...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值