kubernetes 在istio ingress-gateway中,Istio Proxy如何计算出所使用的服务端口?

c9qzyr3d  于 2022-11-02  发布在  Kubernetes
关注(0)|答案(2)|浏览(263)

我的问题与How are the various Istio Ports used?相关或有点相同,但我会尽量简化它。
假设我有以下istio操作符配置:

  1. apiVersion: install.istio.io/v1alpha1
  2. kind: IstioOperator
  3. ...
  4. spec:
  5. ...
  6.   components:
  7. ...
  8.     ingressGateways:
  9. ...
  10. service:
  11.           - port: 80
  12.             targetPort: 8080
  13.             nodePort: 30080 
  14.             name: http2
  15.             protocol: TCP

我有一个入口已经转发到端口80的流量。
我的问题是关于这里的目标端口,因此请求将通过例如端口80上的入口,它将通过节点nodePort、端口,然后是targetPort 8080,在那里它将到达入口控制器的Istio代理。
用于网状处理此请求的网关的正确配置是80而不是8080,如下所示:

  1. apiVersion: networking.istio.io/v1beta1
  2. kind: Gateway
  3. ---
  4. spec: 
  5.   selector:
  6.     istio: ingressgateway
  7.   servers:
  8.   - port:
  9.       number: 80

问题是,假设ingressgateway在端口8080上接收流量,它如何计算出所使用的服务端口最初是80?请注意,此示例工作正常,没有任何问题。
它是否像代理查询kube-api关于我接收请求的端口号的服务端口是什么,基于此将决定此请求属于哪个网关?

kubernetes

2条答案

按热度按时间
jhiyze9q

jhiyze9q1#

我的问题是关于这里的目标端口,因此请求将通过例如端口80上的入口,它将通过节点nodePort、端口,然后是targetPort 8080,在那里它将到达入口控制器的Istio代理。
将来自外部的传入请求路由到入口网关pod。端口和目标端口与入口网关服务和入口网关pod相关。请运行以下命令以检查入口网关服务

  1. kubectl get svc istio-ingressgateway -n istio-system

问题是,假设ingressgateway在端口8080上接收流量,它如何计算出所使用的服务端口最初是80?请注意,此示例工作正常,没有任何问题。
当应用程序特定网关和虚拟服务对象与其中提到的特定主机一起创建时,其虚拟服务负责转发到达特定主机或网关端口的流量。有关gatewayvirtualservice的更多详细信息,请参阅其文档。

赞(0)分享  回复(0)举报  2022-11-02
ddrv8njm

ddrv8njm2#

在回答您提到的问题时,我描述了kubernetes如何使用k8s.service定义在集群中设置路由。
你的问题更多地集中在istio部分,所以让我们在这里更深入地讨论这个部分,但是你可能想先读另一个答案。
因此,您向端口80发送一个请求,该请求在内部被路由到端口8080上的ingressgateway端口,但该请求仍然是“针对端口80”,因此您需要配置ingressgateway应用程序以监听该端口。
在vanilla minikube上安装istio之后,您可以通过运行istioctl pc all pod/istio-ingressgateway-<randomstring>.istio-system -o json > /tmp/init来获得ingressgateway pod的初始配置,并将其保存以供以后使用。
现在添加一个简单的Gateway,如

  1. $ kubectl apply -f - <<EOF
  2. apiVersion: networking.istio.io/v1alpha3
  3. kind: Gateway
  4. metadata:
  5.   name: gateway
  6.   namespace: default
  7. spec:
  8.   selector:
  9.     istio: ingressgateway
  10.   servers:
  11.   - port:
  12.       number: 80
  13.       name: http
  14.       protocol: HTTP
  15.     hosts:
  16.     - "nginx.example.com"
  17. EOF

再次获取配置stioctl pc all pod/istio-ingressgateway-<randomstring>.istio-system -o json > /tmp/with-gw,并将其与/tmp/init文件进行比较。
您将看到创建了一个侦听器,其地址为port_value 8080和默认的filter_chains(因为它很长,所以我将其删除),还有一个“黑洞”路由:

  1. +      dynamic_listeners: [
  2. +        {
  3. +          name: "0.0.0.0_8080"
  4. +          active_state: {
  5. +            listener: {
  6. +              @type: "type.googleapis.com/envoy.config.listener.v3.Listener"
  7. +              name: "0.0.0.0_8080"
  8. +              address: {
  9. +                socket_address: {
  10. +                  address: "0.0.0.0"
  11. +                  port_value: 8080
  12. +                }
  13. +              }
  14. [...]
  15. +      dynamic_route_configs: [
  16. +        {
  17. +          route_config: {
  18. +            @type: "type.googleapis.com/envoy.config.route.v3.RouteConfiguration"
  19. +            name: "http.8080"
  20. +            virtual_hosts: [
  21. +              {
  22. +                name: "blackhole:80"
  23. +                domains: [
  24. +                  "*"
  25. +                ]
  26. +              }
  27. +            ]
  28. +            validate_clusters: false
  29. +          }
  30. +        }
  31. +      ]

现在添加一个VirtualService,并进行一些简单的配置,例如:

  1. $ kubectl apply -f - <<EOF
  2. apiVersion: networking.istio.io/v1beta1
  3. kind: VirtualService
  4. metadata:
  5.   name: vs-nginx
  6.   namespace: default
  7. spec:
  8.   gateways:
  9.   - gateway
  10.   hosts:
  11.   - "nginx.example.com"
  12.   http:
  13.   - match:
  14.     - uri:
  15.         prefix: /
  16.     headers:
  17.       response:
  18.         add:
  19.           My-Custom-Header1: "abc-123"
  20.     route:
  21.     - destination:
  22.         port:
  23.           number: 8080
  24.         host: nginx-test.default.svc.cluster.local
  25. EOF

获取配置istioctl pc all pod/istio-ingressgateway-<randomstring>.istio-system -o json > /tmp/with-vs,并再次与/tmp/with-gw文件进行diff比较。现在,route_config发生了变化,添加了到nginx-test.default.svc.cluster.local的路由(我的nginx应用程序在默认名称空间中运行的fqdn)、添加头的指令、重试策略和添加的域nginx.example.com

  1. route_config: {
  2.              virtual_hosts: [
  3.                {
  4. +                routes: [
  5. +                  {
  6. +                    match: {
  7. +                      prefix: "/"
  8. +                      case_sensitive: true
  9. +                    }
  10. +                    route: {
  11. +                      cluster: "outbound|8080||nginx-test.default.svc.cluster.local"
  12. +                      timeout: "0s"
  13. +                      retry_policy: {
  14. +                        retry_on: "connect-failure,refused-stream,unavailable,cancelled,retriable-status-codes"
  15. +                        num_retries: 2
  16. +                        retry_host_predicate: [
  17. +                          {
  18. +                            name: "envoy.retry_host_predicates.previous_hosts"
  19. +                          }
  20. +                        ]
  21. +                        host_selection_retry_max_attempts: "5"
  22. +                        retriable_status_codes: [
  23. +                          503
  24. +                        ]
  25. +                      }
  26. +                      max_stream_duration: {
  27. +                        max_stream_duration: "0s"
  28. +                        grpc_timeout_header_max: "0s"
  29. +                      }
  30. +                    }
  31. +                    metadata: {
  32. +                      filter_metadata: {
  33. +                        istio: {
  34. +                          config: "/apis/networking.istio.io/v1alpha3/namespaces/default/virtual-service/vs-nginx"
  35. +                        }
  36. +                      }
  37. +                    }
  38. +                    decorator: {
  39. +                      operation: "nginx-test.default.svc.cluster.local:8080/*"
  40. +                    }
  41. +                    response_headers_to_add: [
  42. +                      {
  43. +                        header: {
  44. +                          key: "My-Custom-Header1"
  45. +                          value: "abc-123"
  46. +                        }
  47. +                        append: true
  48. +                      }
  49. +                    ]
  50. +                  }
  51. +                ]
  52. +                include_request_attempt_count: true
  53. -                name: "blackhole:80"
  54. +                name: "nginx.example.com:80"
  55.                  domains: [
  56. -                  "*"
  57. +                  "nginx.example.com"
  58. +                  "nginx.example.com:*"
  59.                  ]
  60.                }
  61.              ]
  62.            }
  63.          }
  64.        ]
  65.      }

有关如何调试envoy配置的更多信息,请查看solo.io提供的youtube session

展开查看全部
赞(0)分享  回复(0)举报  2022-11-02
我来回答

相关问题

    查看更多

    热门标签

    更多
    JavaquerypythonNode开发语言requestUtil数据库Table后端算法LoggerMessageElementParser

    最新问答

    更多
    • 蜀ICP备13028337号-1 大数据知识库 https://www.saoniuhuo.com © All rights reserved
    • 本站内容来源互联网,如果侵犯您的权益请联系我们删除, 联系方式:448109455@qq.com