🥇Nginx から Envoy プロキシへの移行

こんにちは、ハブル！投稿の翻訳を紹介します。 Nginx から Envoy プロキシへの移行.

Envoy は、個別のサービスおよびアプリケーション向けに設計された高性能分散プロキシサーバー (C++ で記述) であり、大規模なマイクロサービスの「サービスメッシュ」アーキテクチャ向けに設計された通信バスおよび「ユニバーサルデータプレーン」でもあります。作成にあたっては、NGINX、HAProxy、ハードウェアロードバランサー、クラウドロードバランサーなどのサーバーの開発中に発生した問題の解決策が考慮されました。 Envoy は各アプリケーションと並行して動作し、ネットワークを抽象化して、プラットフォームに関係なく共通の機能を提供します。インフラストラクチャ内のすべてのサービストラフィックが Envoy メッシュを通過すると、一貫した可観測性で問題領域を視覚化し、全体的なパフォーマンスを調整し、特定の場所にコア機能を追加することが容易になります。

機能

アウトプロセスアーキテクチャ: envoy は、少量の RAM を使用する自己完結型の高性能サーバーです。あらゆるアプリケーション言語またはフレームワークと連携して動作します。
http/2 および grpc のサポート: envoy は、受信接続および送信接続に対して最高級の http/2 および grpc サポートを備えています。これは http/1.1 から http/2 への透過プロキシです。
高度な負荷分散: envoy は、自動再試行、チェーンの切断、グローバルレート制限、リクエストシャドウイング、ローカルゾーンの負荷分散などを含む高度な負荷分散機能をサポートします。
構成管理 API: envoy は、構成を動的に管理するための堅牢な API を提供します。
可観測性: L7 トラフィックの詳細な可観測性、分散トレースのネイティブサポート、mongodb、dynamodb、その他多くのアプリケーションの可観測性。

ステップ 1 — NGINX 構成の例

このスクリプトは特別に作成されたファイルを使用します nginx.confの完全な例に基づいています。 NGINX ウィキ。エディターで開くと構成を表示できます。 nginx.conf

nginxソース構成

user  www www;
pid /var/run/nginx.pid;
worker_processes  2;

events {
  worker_connections   2000;
}

http {
  gzip on;
  gzip_min_length  1100;
  gzip_buffers     4 8k;
  gzip_types       text/plain;

  log_format main      '$remote_addr - $remote_user [$time_local]  '
    '"$request" $status $bytes_sent '
    '"$http_referer" "$http_user_agent" '
    '"$gzip_ratio"';

  log_format download  '$remote_addr - $remote_user [$time_local]  '
    '"$request" $status $bytes_sent '
    '"$http_referer" "$http_user_agent" '
    '"$http_range" "$sent_http_content_range"';

  upstream targetCluster {
    172.18.0.3:80;
    172.18.0.4:80;
  }

  server {
    listen        8080;
    server_name   one.example.com  www.one.example.com;

    access_log   /var/log/nginx.access_log  main;
    error_log  /var/log/nginx.error_log  info;

    location / {
      proxy_pass         http://targetCluster/;
      proxy_redirect     off;

      proxy_set_header   Host             $host;
      proxy_set_header   X-Real-IP        $remote_addr;
    }
  }
}

NGINX 構成には通常、次の XNUMX つの重要な要素があります。

NGINX サーバー、ログ構造、Gzip 機能を構成します。これは、すべての場合においてグローバルに定義されます。
ホストへのリクエストを受け入れるように NGINX を構成する one.example.com ポート8080上。
ターゲットの場所を設定し、URL のさまざまな部分のトラフィックを処理する方法。

すべての構成が Envoy プロキシに適用されるわけではないため、一部の設定を構成する必要はありません。 Envoy プロキシには、 XNUMXつのキータイプ、NGINX が提供するコアインフラストラクチャをサポートします。核心は次のとおりです。

リスナー: これらは、Envoy プロキシが受信リクエストを受け入れる方法を決定します。 Envoy プロキシは現在、TCP ベースのリスナーのみをサポートしています。接続が確立されると、処理のために一連のフィルターに渡されます。
フィルター: これらは、受信データと送信データを処理できるパイプラインアーキテクチャの一部です。この機能には、クライアントに送信する前にデータを圧縮する Gzip などのフィルターが含まれています。
ルーター: これらは、クラスターとして定義された必要な宛先にトラフィックを転送します。
クラスター: これらは、トラフィックのエンドポイントと構成パラメータを定義します。

これら XNUMX つのコンポーネントを使用して、特定の NGINX 構成に一致する Envoy プロキシ構成を作成します。 Envoy の目標は、API と動的構成を操作することです。この場合、基本構成は NGINX の静的なハードコーディングされた設定を使用します。

ステップ 2 - NGINX の構成

最初の部分 nginx.conf 構成する必要があるいくつかの NGINX 内部を定義します。

ワーカーの接続

以下の構成により、ワーカープロセスと接続の数が決まります。これは、NGINX が需要に合わせてどのように拡張されるかを示します。

worker_processes  2;

events {
  worker_connections   2000;
}

Envoy プロキシは、さまざまな方法でワークフローと接続を管理します。

Envoy は、システム上のハードウェアスレッドごとにワーカースレッドを作成します。各ワーカースレッドは、次の処理を担当するノンブロッキングイベントループを実行します。

リスナー一人ひとりの声を聞きながら
新しい接続を受け入れる
接続用のフィルターのセットの作成
接続の存続期間中、すべての I/O 操作を処理します。

それ以降のすべての接続処理は、転送動作も含めて完全にワーカースレッドで処理されます。

Envoy のワーカースレッドごとに接続プールがあります。したがって、HTTP/2 接続プールは外部ホストごとに一度に 2 つの接続のみを確立します。XNUMX つのワーカースレッドがある場合、安定した状態では外部ホストごとに XNUMX つの HTTP/XNUMX 接続が存在します。すべてを XNUMX つのワーカースレッドに保持することで、あたかもシングルスレッドであるかのように、ほとんどすべてのコードをブロックすることなく作成できます。必要以上に多くのワーカースレッドが割り当てられると、メモリが無駄になり、アイドル状態の接続が大量に作成され、接続がプールに返される回数が減少する可能性があります。

詳細については、 Envoy プロキシのブログ.

HTTP設定

次の NGINX 構成ブロックは、次のような HTTP 設定を定義します。

サポートされている MIME タイプ
デフォルトのタイムアウト
Gzip 構成

Envoy プロキシのフィルターを使用してこれらの側面をカスタマイズできます。これについては後で説明します。

ステップ 3 - サーバー構成

HTTP 構成ブロックでは、NGINX 構成はポート 8080 でリッスンし、ドメインの受信リクエストに応答するように指定します。 one.example.com и www.one.example.com.

 server {
    listen        8080;
    server_name   one.example.com  www.one.example.com;

Envoy 内では、Listeners によって制御されます。

エンボイリスナー

Envoy Proxy の使用を開始する際の最も重要な点は、リスナーを定義することです。 Envoy インスタンスの実行方法を記述した構成ファイルを作成する必要があります。

以下のスニペットは、新しいリスナーを作成し、ポート 8080 にバインドします。構成は、受信リクエストに対してどのポートにバインドする必要があるかを Envoy プロキシに指示します。

Envoy プロキシは、構成に YAML 表記を使用します。この表記法の概要については、ここを参照してくださいリンク.

Copy to Editorstatic_resources:
  listeners:
  - name: listener_0
    address:
      socket_address: { address: 0.0.0.0, port_value: 8080 }

定義する必要はありません サーバーの名前、Envoy プロキシフィルターがこれを処理するためです。

ステップ 4 - 場所の構成

リクエストが NGINX に届くと、ロケーションブロックによってトラフィックの処理方法とルーティング先が決定されます。次のフラグメントでは、サイトへのすべてのトラフィックが、という名前のアップストリーム (翻訳者注: アップストリームは通常アプリケーションサーバー) クラスターに転送されます。 ターゲットクラスター。上流クラスターは、リクエストを処理する必要があるノードを定義します。これについては次のステップで説明します。

location / {
    proxy_pass         http://targetCluster/;
    proxy_redirect     off;

    proxy_set_header   Host             $host;
    proxy_set_header   X-Real-IP        $remote_addr;
}

Envoy では、Filters がこれを行います。

エンボイフィルター

静的構成の場合、フィルターは受信リクエストを処理する方法を決定します。この場合、一致するフィルターを設定します。 サーバー名 前のステップで。特定のドメインおよびルートに一致する受信リクエストが到着すると、トラフィックはクラスターにルーティングされます。これは、NGINX のボトムアップ構成と同等です。

Copy to Editor    filter_chains:
    - filters:
      - name: envoy.http_connection_manager
        config:
          codec_type: auto
          stat_prefix: ingress_http
          route_config:
            name: local_route
            virtual_hosts:
            - name: backend
              domains:
                - "one.example.com"
                - "www.one.example.com"
              routes:
              - match:
                  prefix: "/"
                route:
                  cluster: targetCluster
          http_filters:
          - name: envoy.router

名前 envoy.http_connection_manager Envoy プロキシの組み込みフィルターです。その他のフィルターには次のものがあります。 Redisの, モンゴ, TCP。完全なリストは次の場所で確認できます。ドキュメンテーション.

他の負荷分散ポリシーの詳細については、次のサイトを参照してください。 Envoyのドキュメント.

ステップ 5 - プロキシとアップストリームの構成

NGINX では、アップストリーム構成は、トラフィックを処理する一連のターゲットサーバーを定義します。この場合、XNUMX つのクラスターが割り当てられました。

  upstream targetCluster {
    172.18.0.3:80;
    172.18.0.4:80;
  }

Envoy では、これはクラスターによって管理されます。

エンボイクラスタ

上流に相当するものはクラスターとして定義されます。この場合、トラフィックを処理するホストは特定されています。タイムアウトなどのホストへのアクセス方法は、クラスター構成として定義されます。これにより、レイテンシや負荷分散などの側面をより詳細に制御できるようになります。

Copy to Editor  clusters:
  - name: targetCluster
    connect_timeout: 0.25s
    type: STRICT_DNS
    dns_lookup_family: V4_ONLY
    lb_policy: ROUND_ROBIN
    hosts: [
      { socket_address: { address: 172.18.0.3, port_value: 80 }},
      { socket_address: { address: 172.18.0.4, port_value: 80 }}
    ]

サービスディスカバリを使用する場合 STRICT_DNS Envoy は、指定された DNS ターゲットを継続的かつ非同期的に解決します。 DNS 結果から返された各 IP アドレスは、アップストリームクラスター内の明示的なホストとみなされます。これは、リクエストが XNUMX つの IP アドレスを返した場合、Envoy はクラスター内に XNUMX つのホストがあり、両方のホストが負荷分散される必要があると想定することを意味します。結果からホストが削除された場合、Envoy はそのホストが存在しないものとみなし、既存の接続プールからトラフィックをプルします。

詳細については、を参照してください。 Envoy プロキシのドキュメント.

ステップ 6 — アクセスとエラーをログに記録する

最後の構成は登録です。 Envoy Proxy は、エラーログをディスクにプッシュする代わりに、クラウドベースのアプローチを採用します。すべてのアプリケーションログは次の場所に出力されます。 (Linuxで言うところのstdout） и stderr.

ユーザーがリクエストを行う場合、アクセスログはオプションであり、デフォルトでは無効になっています。 HTTP リクエストのアクセスログを有効にするには、設定を有効にします。 アクセスログ HTTP 接続マネージャー用。パスには、次のようなデバイスを指定できます。 (Linuxで言うところのstdout）、または要件に応じてディスク上のファイル。

次の設定では、すべてのアクセスログが次の場所にリダイレクトされます。 (Linuxで言うところのstdout） (翻訳者注 - docker 内で envoy を使用するには stdout が必要です。docker なしで使用する場合は、/dev/stdout を通常のログファイルへのパスに置き換えます)。スニペットを接続マネージャーの構成セクションにコピーします。

Copy to Clipboardaccess_log:
- name: envoy.file_access_log
  config:
    path: "/dev/stdout"

結果は次のようになります。

      - name: envoy.http_connection_manager
        config:
          codec_type: auto
          stat_prefix: ingress_http
          access_log:
          - name: envoy.file_access_log
            config:
              path: "/dev/stdout"
          route_config:

デフォルトでは、Envoy には HTTP リクエストの詳細を含むフォーマット文字列があります。

[%START_TIME%] "%REQ(:METHOD)% %REQ(X-ENVOY-ORIGINAL-PATH?:PATH)% %PROTOCOL%" %RESPONSE_CODE% %RESPONSE_FLAGS% %BYTES_RECEIVED% %BYTES_SENT% %DURATION% %RESP(X-ENVOY-UPSTREAM-SERVICE-TIME)% "%REQ(X-FORWARDED-FOR)%" "%REQ(USER-AGENT)%" "%REQ(X-REQUEST-ID)%" "%REQ(:AUTHORITY)%" "%UPSTREAM_HOST%"n

このフォーマット文字列の結果は次のようになります。

[2018-11-23T04:51:00.281Z] "GET / HTTP/1.1" 200 - 0 58 4 1 "-" "curl/7.47.0" "f21ebd42-6770-4aa5-88d4-e56118165a7d" "one.example.com" "172.18.0.4:80"

出力内容はフォーマットフィールドを設定することでカスタマイズできます。例えば：

access_log:
- name: envoy.file_access_log
  config:
    path: "/dev/stdout"
    format: "[%START_TIME%] "%REQ(:METHOD)% %REQ(X-ENVOY-ORIGINAL-PATH?:PATH)% %PROTOCOL%" %RESPONSE_CODE% %RESP(X-ENVOY-UPSTREAM-SERVICE-TIME)% "%REQ(X-REQUEST-ID)%" "%REQ(:AUTHORITY)%" "%UPSTREAM_HOST%"n"

フィールドを設定することで、ログ行を JSON 形式で出力することもできます。 json_format。例えば、

access_log:
- name: envoy.file_access_log
  config:
    path: "/dev/stdout"
    json_format: {"protocol": "%PROTOCOL%", "duration": "%DURATION%", "request_method": "%REQ(:METHOD)%"}

Envoy 登録方法の詳細については、次のサイトをご覧ください。

https://www.envoyproxy.io/docs/envoy/latest/configuration/access_log#config-access-log-format-dictionaries

Envoy プロキシの操作に関する洞察を得る唯一の方法はログ記録だけではありません。高度なトレース機能とメトリクス機能が組み込まれています。詳細については、次のサイトをご覧ください。トレースドキュメントまたは経由でインタラクティブなトレーススクリプト.

ステップ 7 - 起動

これで、構成が NGINX から Envoy プロキシに移行されました。最後のステップは、Envoy プロキシインスタンスを起動してテストすることです。

ユーザーとして実行

NGINX 設定行の先頭 ユーザー www www; セキュリティを向上させるために、NGINX を低い特権のユーザーとして実行するように指定します。

Envoy Proxy は、プロセスの所有者を管理するためにクラウドベースのアプローチを採用しています。コンテナ経由で Envoy プロキシを実行する場合、低い特権を持つユーザーを指定できます。

Envoy プロキシの起動

以下のコマンドは、ホスト上の Docker コンテナを通じて Envoy プロキシを実行します。このコマンドにより、Envoy はポート 80 で受信リクエストをリッスンできるようになります。ただし、リスナー構成で指定されているように、Envoy プロキシはポート 8080 で受信トラフィックをリッスンします。これにより、プロセスを低特権ユーザーとして実行できます。

docker run --name proxy1 -p 80:8080 --user 1000:1000 -v /root/envoy.yaml:/etc/envoy/envoy.yaml envoyproxy/envoy

テスト

プロキシを実行すると、テストを作成して処理できるようになります。次の cURL コマンドは、プロキシ構成で定義されたホストヘッダーを使用してリクエストを発行します。

curl -H "Host: one.example.com" localhost -i

HTTPリクエストはエラーになります 503。これは、アップストリーム接続が機能しておらず、使用できないためです。したがって、Envoy プロキシにはリクエストに使用できる宛先がありません。次のコマンドは、Envoy に定義された構成に一致する一連の HTTP サービスを開始します。

docker run -d katacoda/docker-http-server; docker run -d katacoda/docker-http-server;

サービスが利用可能であれば、Envoy は宛先にトラフィックを正常にプロキシできます。

curl -H "Host: one.example.com" localhost -i

どの Docker コンテナがリクエストを処理したかを示す応答が表示されるはずです。 Envoy プロキシログには、アクセス文字列の出力も表示されます。

追加のHTTP応答ヘッダー

実際のリクエストの応答ヘッダーに追加の HTTP ヘッダーが表示されます。ヘッダーには、上流ホストがリクエストの処理に費やした時間が表示されます。ミリ秒単位で表されます。これは、クライアントがネットワーク遅延と比較してサービス時間を決定したい場合に役立ちます。

x-envoy-upstream-service-time: 0
server: envoy

最終構成

static_resources:
  listeners:
  - name: listener_0
    address:
      socket_address: { address: 0.0.0.0, port_value: 8080 }
    filter_chains:
    - filters:
      - name: envoy.http_connection_manager
        config:
          codec_type: auto
          stat_prefix: ingress_http
          route_config:
            name: local_route
            virtual_hosts:
            - name: backend
              domains:
                - "one.example.com"
                - "www.one.example.com"
              routes:
              - match:
                  prefix: "/"
                route:
                  cluster: targetCluster
          http_filters:
          - name: envoy.router
          clusters:
  - name: targetCluster
    connect_timeout: 0.25s
    type: STRICT_DNS
    dns_lookup_family: V4_ONLY
    lb_policy: ROUND_ROBIN
    hosts: [
      { socket_address: { address: 172.18.0.3, port_value: 80 }},
      { socket_address: { address: 172.18.0.4, port_value: 80 }}
    ]

admin:
  access_log_path: /tmp/admin_access.log
  address:
    socket_address: { address: 0.0.0.0, port_value: 9090 }

翻訳者からの追加情報

Envoy Proxy のインストール手順は Web サイトで参照できます。 https://www.getenvoy.io/

デフォルトでは、rpm には systemd サービス構成がありません。

systemd サービス構成 /etc/systemd/system/envoy.service を追加します。

[Unit]
Description=Envoy Proxy
Documentation=https://www.envoyproxy.io/
After=network-online.target
Requires=envoy-auth-server.service
Wants=nginx.service

[Service]
User=root
Restart=on-failure
ExecStart=/usr/bin/envoy --config-path /etc/envoy/config.yaml
[Install]
WantedBy=multi-user.target

/etc/envoy/ ディレクトリを作成し、そこに config.yaml 構成を配置する必要があります。

envoy プロキシを使用した電報チャットがあります。 https://t.me/envoyproxy_ru

Envoy プロキシは、静的コンテンツの提供をサポートしていません。したがって、この機能に投票できるのは次のとおりです。 https://github.com/envoyproxy/envoy/issues/378

登録ユーザーのみがアンケートに参加できます。ログインお願いします。

この投稿は、envoy プロキシをインストールしてテストすることを奨励しましたか?

はい
ノー

75 人のユーザーが投票しました。 18名のユーザーが棄権した。

出所： habr.com

Nginx から Envoy プロキシへの移行

機能