🥇ການຍ້າຍຖິ່ນຖານຈາກ Nginx ໄປຫາ Envoy Proxy

ສະບາຍດີ, Habr! ຂ້າພະເຈົ້ານໍາເອົາຄວາມສົນໃຈຂອງທ່ານການແປພາສາຂອງການຕອບໄດ້: ການເຄື່ອນຍ້າຍຈາກ Nginx ໄປຫາຕົວແທນ Envoy.

Envoy ເປັນເຊີບເວີພຣັອກຊີທີ່ແຈກຢາຍປະສິດທິພາບສູງ (ຂຽນໃນ C ++) ອອກແບບມາສໍາລັບການບໍລິການສ່ວນບຸກຄົນແລະຄໍາຮ້ອງສະຫມັກ, ມັນຍັງເປັນລົດເມການສື່ສານແລະ "ຍົນຂໍ້ມູນທົ່ວໄປ" ທີ່ຖືກອອກແບບມາສໍາລັບສະຖາປັດຕະຍະກໍາ "ຕາຫນ່າງການບໍລິການ" ຂະຫນາດໃຫຍ່ຂອງ microservice. ເມື່ອສ້າງມັນ, ການແກ້ໄຂບັນຫາທີ່ເກີດຂື້ນໃນລະຫວ່າງການພັດທະນາເຄື່ອງແມ່ຂ່າຍເຊັ່ນ NGINX, HAProxy, hardware load balancers ແລະ cloud load balancers ໄດ້ຖືກພິຈາລະນາ. Envoy ເຮັດວຽກຄຽງຄູ່ກັບແຕ່ລະຄໍາຮ້ອງສະຫມັກແລະ abstracts ເຄືອຂ່າຍເພື່ອສະຫນອງການເຮັດວຽກທົ່ວໄປໂດຍບໍ່ຄໍານຶງເຖິງເວທີໃດ. ເມື່ອການຈະລາຈອນບໍລິການທັງໝົດໃນໂຄງສ້າງພື້ນຖານໄຫຼຜ່ານຕາໜ່າງ Envoy, ມັນຈະກາຍເປັນເລື່ອງງ່າຍທີ່ຈະເບິ່ງເຫັນພື້ນທີ່ບັນຫາດ້ວຍການສັງເກດການທີ່ສອດຄ່ອງ, ປັບປະສິດທິພາບໂດຍລວມ, ແລະເພີ່ມການເຮັດວຽກຫຼັກໃນສະຖານທີ່ສະເພາະ.

ຄຸນນະສົມບັດ

ສະຖາປັດຕະຍະກຳທີ່ບໍ່ສຳເລັດຂະບວນການ: ທູດແມ່ນເຊີບເວີທີ່ມີປະສິດຕິພາບສູງ, ບັນຈຸ RAM ໜ້ອຍໜຶ່ງ. ມັນເຮັດວຽກຮ່ວມກັນກັບພາສາຄໍາຮ້ອງສະຫມັກຫຼືກອບ.
http/2 ແລະ grpc ສະຫນັບສະຫນູນ: envoy ມີຊັ້ນທໍາອິດ http/2 ແລະສະຫນັບສະຫນູນ grpc ສໍາລັບການເຊື່ອມຕໍ່ຂາເຂົ້າແລະຂາອອກ. ນີ້ແມ່ນຕົວແທນໂປ່ງໃສຈາກ http/1.1 ຫາ http/2.
ການດຸ່ນດ່ຽງການໂຫຼດແບບພິເສດ: ທູດສະຫນັບສະຫນູນຄຸນນະສົມບັດການດຸ່ນດ່ຽງການໂຫຼດແບບພິເສດລວມທັງການ retries ອັດຕະໂນມັດ, ການທໍາລາຍລະບົບຕ່ອງໂສ້, ການຈໍາກັດອັດຕາທົ່ວໂລກ, ການຮ້ອງຂໍໃຫ້ເງົາ, ການດຸ່ນດ່ຽງການໂຫຼດເຂດທ້ອງຖິ່ນ, ແລະອື່ນໆ.
API ການຄຸ້ມຄອງການຕັ້ງຄ່າ: envoy ໃຫ້ API ທີ່ເຂັ້ມແຂງສໍາລັບການຄຸ້ມຄອງການຕັ້ງຄ່າຂອງທ່ານແບບເຄື່ອນໄຫວ.
ການສັງເກດການ: ການສັງເກດຢ່າງເລິກເຊິ່ງຂອງການຈະລາຈອນ L7, ການສະຫນັບສະຫນູນພື້ນເມືອງສໍາລັບການຕິດຕາມການແຈກຢາຍແລະການສັງເກດການຂອງ mongodb, dynamodb ແລະຄໍາຮ້ອງສະຫມັກອື່ນໆຈໍານວນຫຼາຍ.

ຂັ້ນຕອນທີ 1 — ຕົວຢ່າງ NGINX Config

ສະຄຣິບນີ້ໃຊ້ໄຟລ໌ທີ່ສ້າງຂຶ້ນໂດຍສະເພາະ nginx.conf, ອີງຕາມຕົວຢ່າງເຕັມຈາກ NGINX ວິກິພີເດຍ. ທ່ານສາມາດເບິ່ງການຕັ້ງຄ່າໃນບັນນາທິການໂດຍການເປີດ nginx.conf

ການຕັ້ງຄ່າແຫຼ່ງ nginx

user  www www;
pid /var/run/nginx.pid;
worker_processes  2;

events {
  worker_connections   2000;
}

http {
  gzip on;
  gzip_min_length  1100;
  gzip_buffers     4 8k;
  gzip_types       text/plain;

  log_format main      '$remote_addr - $remote_user [$time_local]  '
    '"$request" $status $bytes_sent '
    '"$http_referer" "$http_user_agent" '
    '"$gzip_ratio"';

  log_format download  '$remote_addr - $remote_user [$time_local]  '
    '"$request" $status $bytes_sent '
    '"$http_referer" "$http_user_agent" '
    '"$http_range" "$sent_http_content_range"';

  upstream targetCluster {
    172.18.0.3:80;
    172.18.0.4:80;
  }

  server {
    listen        8080;
    server_name   one.example.com  www.one.example.com;

    access_log   /var/log/nginx.access_log  main;
    error_log  /var/log/nginx.error_log  info;

    location / {
      proxy_pass         http://targetCluster/;
      proxy_redirect     off;

      proxy_set_header   Host             $host;
      proxy_set_header   X-Real-IP        $remote_addr;
    }
  }
}

ການຕັ້ງຄ່າ NGINX ປົກກະຕິແລ້ວມີສາມອົງປະກອບທີ່ສໍາຄັນ:

ການຕັ້ງຄ່າເຊີບເວີ NGINX, ໂຄງສ້າງບັນທຶກ ແລະການເຮັດວຽກຂອງ Gzip. ນີ້ຖືກກໍານົດໃນທົ່ວໂລກໃນທຸກກໍລະນີ.
ການຕັ້ງຄ່າ NGINX ເພື່ອຮັບເອົາການຮ້ອງຂໍກັບເຈົ້າພາບ one.example.com ໃນພອດ 8080.
ການຕັ້ງຄ່າສະຖານທີ່ເປົ້າຫມາຍ, ວິທີການຈັດການການຈະລາຈອນສໍາລັບສ່ວນຕ່າງໆຂອງ URL.

ບໍ່ແມ່ນການກຳນົດຄ່າທັງໝົດຈະນຳໃຊ້ກັບ Envoy Proxy, ແລະທ່ານບໍ່ຈຳເປັນຕ້ອງກຳນົດຄ່າບາງອັນ. ຕົວແທນທູດມີ ສີ່ປະເພດທີ່ສໍາຄັນ, ເຊິ່ງສະຫນັບສະຫນູນໂຄງສ້າງພື້ນຖານທີ່ສະເຫນີໂດຍ NGINX. ຫຼັກແມ່ນ:

ຜູ້ຟັງ: ພວກເຂົາເຈົ້າກໍານົດວິທີການ Envoy Proxy ຍອມຮັບຄໍາຮ້ອງຂໍທີ່ເຂົ້າມາ. ປະຈຸບັນນີ້ Envoy Proxy ຮອງຮັບຜູ້ຟັງທີ່ອີງໃສ່ TCP ເທົ່ານັ້ນ. ເມື່ອການເຊື່ອມຕໍ່ຖືກສ້າງຕັ້ງຂຶ້ນ, ມັນຖືກສົ່ງໄປຫາຊຸດຂອງຕົວກອງສໍາລັບການປຸງແຕ່ງ.
ການກັ່ນຕອງ: ພວກມັນເປັນສ່ວນຫນຶ່ງຂອງສະຖາປັດຕະຍະກໍາທໍ່ທີ່ສາມາດປະມວນຜົນຂໍ້ມູນຂາເຂົ້າແລະຂາອອກ. ຫນ້າທີ່ນີ້ປະກອບມີການກັ່ນຕອງເຊັ່ນ Gzip, ເຊິ່ງບີບອັດຂໍ້ມູນກ່ອນທີ່ຈະສົ່ງໃຫ້ລູກຄ້າ.
ເຣົາເຕີ: ພວກເຂົາສົ່ງການຈະລາຈອນໄປຫາຈຸດຫມາຍປາຍທາງທີ່ຕ້ອງການ, ກໍານົດເປັນກຸ່ມ.
ກຸ່ມ: ພວກເຂົາກໍານົດຈຸດສິ້ນສຸດສໍາລັບຕົວກໍານົດການຈາລະຈອນແລະການຕັ້ງຄ່າ.

ພວກເຮົາຈະໃຊ້ສີ່ອົງປະກອບເຫຼົ່ານີ້ເພື່ອສ້າງການຕັ້ງຄ່າຕົວແທນ Envoy ເພື່ອໃຫ້ກົງກັບການຕັ້ງຄ່າ NGINX ສະເພາະ. ເປົ້າໝາຍຂອງ Envoy ແມ່ນເພື່ອເຮັດວຽກກັບ APIs ແລະການຕັ້ງຄ່າແບບເຄື່ອນໄຫວ. ໃນກໍລະນີນີ້, ການຕັ້ງຄ່າພື້ນຖານຈະໃຊ້ການຕັ້ງຄ່າແບບຄົງທີ່, ລະຫັດແຂງຈາກ NGINX.

ຂັ້ນຕອນທີ 2 - ການຕັ້ງຄ່າ NGINX

ສ່ວນ ທຳ ອິດ nginx.conf ກໍານົດບາງ NGINX ພາຍໃນທີ່ຕ້ອງໄດ້ຮັບການຕັ້ງຄ່າ.

ການເຊື່ອມຕໍ່ພະນັກງານ

ການຕັ້ງຄ່າຂ້າງລຸ່ມນີ້ກໍານົດຈໍານວນຂອງຂະບວນການຂອງພະນັກງານແລະການເຊື່ອມຕໍ່. ນີ້ຊີ້ບອກວິທີການ NGINX ຈະຂະຫນາດເພື່ອຕອບສະຫນອງຄວາມຕ້ອງການ.

worker_processes  2;

events {
  worker_connections   2000;
}

Envoy Proxy ຈັດການຂະບວນການເຮັດວຽກ ແລະການເຊື່ອມຕໍ່ດ້ວຍວິທີຕ່າງໆ.

Envoy ສ້າງກະທູ້ຄົນງານສໍາລັບແຕ່ລະຫົວຂໍ້ຮາດແວໃນລະບົບ. ແຕ່ລະກະທູ້ຂອງພະນັກງານປະຕິບັດ loop ເຫດການທີ່ບໍ່ມີການຂັດຂວາງທີ່ຮັບຜິດຊອບ

ຟັງແຕ່ລະຄົນ
ຍອມຮັບການເຊື່ອມຕໍ່ໃຫມ່
ການສ້າງຊຸດຂອງຕົວກອງສໍາລັບການເຊື່ອມຕໍ່
ປະມວນຜົນການດໍາເນີນການ I/O ທັງໝົດໃນຊ່ວງອາຍຸຂອງການເຊື່ອມຕໍ່.

ການປະມວນຜົນການເຊື່ອມຕໍ່ຕໍ່ໄປທັງຫມົດແມ່ນຈັດການທັງຫມົດໃນກະທູ້ຂອງພະນັກງານ, ລວມທັງພຶດຕິກໍາການສົ່ງຕໍ່ໃດໆ.

ສໍາລັບແຕ່ລະກະທູ້ພະນັກງານໃນ Envoy, ມີສະນຸກເກີການເຊື່ອມຕໍ່. ດັ່ງນັ້ນ HTTP/2 ເຊື່ອມຕໍ່ເຊື່ອມຕໍ່ພຽງແຕ່ຫນຶ່ງການເຊື່ອມຕໍ່ຕໍ່ໂຮດພາຍນອກໃນເວລາດຽວ, ຖ້າມີສີ່ threads ຂອງພະນັກງານ, ມັນຈະມີສີ່ການເຊື່ອມຕໍ່ HTTP/2 ຕໍ່ໂຮດພາຍນອກຢູ່ໃນສະຖານະທີ່ຫມັ້ນຄົງ. ໂດຍການຮັກສາທຸກສິ່ງທຸກຢ່າງຢູ່ໃນກະທູ້ຄົນດຽວ, ເກືອບລະຫັດທັງຫມົດສາມາດຖືກຂຽນໂດຍບໍ່ມີການສະກັດ, ຄືກັບວ່າມັນເປັນກະທູ້ດຽວ. ຖ້າກະທູ້ຄົນງານຖືກຈັດສັນຫຼາຍກວ່າຄວາມຈໍາເປັນ, ນີ້ສາມາດນໍາໄປສູ່ຄວາມຊົງຈໍາທີ່ເສຍໄປ, ການສ້າງຈໍານວນການເຊື່ອມຕໍ່ທີ່ບໍ່ມີປະໂຫຍດ, ແລະການຫຼຸດຜ່ອນຈໍານວນເວລາທີ່ເຊື່ອມຕໍ່ກັບຄືນໄປບ່ອນສະນຸກເກີ.

ສໍາລັບຂໍ້ມູນເພີ່ມເຕີມໄປຢ້ຽມຢາມ ບລັອກຕົວແທນຕົວແທນ.

ການຕັ້ງຄ່າ HTTP

ຕັນການຕັ້ງຄ່າ NGINX ຕໍ່ໄປນີ້ກໍານົດການຕັ້ງຄ່າ HTTP ເຊັ່ນ:

ສິ່ງທີ່ປະເພດ mime ໄດ້ຮັບການສະຫນັບສະຫນູນ
ໝົດເວລາເລີ່ມຕົ້ນ
ການຕັ້ງຄ່າ Gzip

ທ່ານສາມາດປັບແຕ່ງລັກສະນະເຫຼົ່ານີ້ໂດຍໃຊ້ຕົວກອງໃນ Envoy Proxy, ເຊິ່ງພວກເຮົາຈະສົນທະນາໃນພາຍຫຼັງ.

ຂັ້ນຕອນທີ 3 - ການຕັ້ງຄ່າເຊີບເວີ

ໃນຕັນການຕັ້ງຄ່າ HTTP, ການຕັ້ງຄ່າ NGINX ກໍານົດໃຫ້ຟັງຢູ່ໃນພອດ 8080 ແລະຕອບສະຫນອງຄໍາຮ້ອງຂໍທີ່ເຂົ້າມາສໍາລັບໂດເມນ. one.example.com и www.one.example.com.

 server {
    listen        8080;
    server_name   one.example.com  www.one.example.com;

ພາຍໃນ Envoy, ມັນຖືກຄວບຄຸມໂດຍຜູ້ຟັງ.

ທູດພິເສດ

ລັກສະນະທີ່ສໍາຄັນທີ່ສຸດຂອງການເລີ່ມຕົ້ນດ້ວຍ Envoy Proxy ແມ່ນການກໍານົດຜູ້ຟັງຂອງທ່ານ. ທ່ານຈໍາເປັນຕ້ອງສ້າງໄຟລ໌ການຕັ້ງຄ່າທີ່ອະທິບາຍວິທີທີ່ທ່ານຕ້ອງການທີ່ຈະດໍາເນີນການ Envoy instance.

snippet ຂ້າງລຸ່ມນີ້ຈະສ້າງຜູ້ຟັງໃຫມ່ແລະຜູກມັດມັນກັບພອດ 8080. ການຕັ້ງຄ່າບອກ Envoy Proxy ວ່າພອດໃດທີ່ມັນຄວນຈະຜູກມັດກັບຄໍາຮ້ອງຂໍຂາເຂົ້າ.

Envoy Proxy ໃຊ້ notation YAML ສໍາລັບການຕັ້ງຄ່າຂອງມັນ. ສໍາລັບການແນະນໍາກ່ຽວກັບ notation ນີ້, ເບິ່ງທີ່ນີ້ ເຊື່ອມຕໍ່.

Copy to Editorstatic_resources:
  listeners:
  - name: listener_0
    address:
      socket_address: { address: 0.0.0.0, port_value: 8080 }

ບໍ່ຈໍາເປັນຕ້ອງກໍານົດ server_name, ເນື່ອງຈາກຕົວກອງຕົວແທນ Envoy ຈະຈັດການກັບສິ່ງນີ້.

ຂັ້ນຕອນທີ 4 - ການຕັ້ງຄ່າສະຖານທີ່

ເມື່ອຄໍາຮ້ອງຂໍເຂົ້າມາໃນ NGINX, ຕັນສະຖານທີ່ກໍານົດວິທີການປຸງແຕ່ງແລະບ່ອນທີ່ຈະສົ່ງການຈະລາຈອນ. ໃນຊິ້ນຕໍ່ໄປນີ້, ການຈະລາຈອນທັງຫມົດໄປຫາເວັບໄຊທ໌ແມ່ນໂອນໄປຫາຕົ້ນນ້ໍາ (ຫມາຍເຫດຂອງຜູ້ແປພາສາ: ນ້ໍາເທິງແມ່ນປົກກະຕິແລ້ວເຄື່ອງແມ່ຂ່າຍຂອງຄໍາຮ້ອງສະຫມັກ) ກຸ່ມທີ່ມີຊື່. ກຸ່ມເປົ້າໝາຍ. ກຸ່ມ upstream ກໍານົດ nodes ທີ່ຄວນຈະດໍາເນີນການຮ້ອງຂໍ. ພວກເຮົາຈະປຶກສາຫາລືກ່ຽວກັບເລື່ອງນີ້ໃນຂັ້ນຕອນຕໍ່ໄປ.

location / {
    proxy_pass         http://targetCluster/;
    proxy_redirect     off;

    proxy_set_header   Host             $host;
    proxy_set_header   X-Real-IP        $remote_addr;
}

ຢູ່ Envoy, Filters ເຮັດສິ່ງນີ້.

ການກັ່ນຕອງທູດ

ສໍາລັບການຕັ້ງຄ່າຄົງທີ່, ຕົວກອງກໍານົດວິທີການປະມວນຜົນຄໍາຮ້ອງຂໍທີ່ເຂົ້າມາ. ໃນກໍລະນີນີ້ພວກເຮົາກໍານົດຕົວກອງທີ່ກົງກັນ server_names ໃນຂັ້ນຕອນທີ່ຜ່ານມາ. ເມື່ອຄໍາຮ້ອງຂໍເຂົ້າມາທີ່ກົງກັບໂດເມນແລະເສັ້ນທາງທີ່ແນ່ນອນ, ການຈະລາຈອນແມ່ນຖືກສົ່ງໄປຫາກຸ່ມ. ນີ້ແມ່ນທຽບເທົ່າກັບການຕັ້ງຄ່າລຸ່ມສຸດຂອງ NGINX.

Copy to Editor    filter_chains:
    - filters:
      - name: envoy.http_connection_manager
        config:
          codec_type: auto
          stat_prefix: ingress_http
          route_config:
            name: local_route
            virtual_hosts:
            - name: backend
              domains:
                - "one.example.com"
                - "www.one.example.com"
              routes:
              - match:
                  prefix: "/"
                route:
                  cluster: targetCluster
          http_filters:
          - name: envoy.router

ຊື່ envoy.http_connection_manage ເປັນຕົວກອງທີ່ສ້າງຂຶ້ນໃນ Envoy Proxy. ການກັ່ນຕອງອື່ນໆປະກອບມີ Redis, ມົງໂກ, TCP. ທ່ານສາມາດຊອກຫາບັນຊີລາຍຊື່ເຕັມທີ່ ເອກະສານ.

ສໍາລັບຂໍ້ມູນເພີ່ມເຕີມກ່ຽວກັບນະໂຍບາຍການດຸ່ນດ່ຽງການໂຫຼດອື່ນໆ, ໄປຢ້ຽມຢາມ ເອກະສານທູດ.

ຂັ້ນຕອນທີ 5 - ການຕັ້ງຄ່າ Proxy ແລະ Upstream

ໃນ NGINX, ການຕັ້ງຄ່າ upstream ກໍານົດຊຸດຂອງເຄື່ອງແມ່ຂ່າຍເປົ້າຫມາຍທີ່ຈະປະມວນຜົນການຈະລາຈອນ. ໃນກໍລະນີນີ້, ສອງກຸ່ມໄດ້ຖືກມອບຫມາຍ.

  upstream targetCluster {
    172.18.0.3:80;
    172.18.0.4:80;
  }

ໃນ Envoy, ນີ້ແມ່ນການຄຸ້ມຄອງໂດຍກຸ່ມ.

ກຸ່ມທູດ

ຄ່າທຽບເທົ່າຕົ້ນນ້ຳແມ່ນກຳນົດເປັນກຸ່ມ. ໃນກໍລະນີນີ້, ເຈົ້າພາບທີ່ຈະຮັບໃຊ້ການຈະລາຈອນໄດ້ຖືກລະບຸ. ວິທີທີ່ໂຮດຖືກເຂົ້າເຖິງ, ເຊັ່ນວ່າຫມົດເວລາ, ຖືກກໍານົດເປັນການຕັ້ງຄ່າກຸ່ມ. ນີ້ອະນຸຍາດໃຫ້ມີການຄວບຄຸມ granular ຫຼາຍກ່ຽວກັບລັກສະນະເຊັ່ນ: latency ແລະການດຸ່ນດ່ຽງການໂຫຼດ.

Copy to Editor  clusters:
  - name: targetCluster
    connect_timeout: 0.25s
    type: STRICT_DNS
    dns_lookup_family: V4_ONLY
    lb_policy: ROUND_ROBIN
    hosts: [
      { socket_address: { address: 172.18.0.3, port_value: 80 }},
      { socket_address: { address: 172.18.0.4, port_value: 80 }}
    ]

ເມື່ອໃຊ້ການຄົ້ນພົບການບໍລິການ STRICT_DNS Envoy ຈະຢ່າງຕໍ່ເນື່ອງແລະ asynchronously ແກ້ໄຂເປົ້າຫມາຍ DNS ທີ່ກໍານົດໄວ້. ແຕ່ລະທີ່ຢູ່ IP ທີ່ສົ່ງຄືນມາຈາກຜົນໄດ້ຮັບ DNS ຈະຖືກພິຈາລະນາເປັນເຈົ້າພາບທີ່ຊັດເຈນຢູ່ໃນກຸ່ມຕົ້ນນ້ໍາ. ນີ້ຫມາຍຄວາມວ່າຖ້າຄໍາຮ້ອງຂໍສົ່ງຄືນສອງທີ່ຢູ່ IP, Envoy ຈະສົມມຸດວ່າມີສອງໂຮດຢູ່ໃນກຸ່ມ, ແລະທັງສອງຈະຕ້ອງຖືກໂຫລດສົມດຸນ. ຖ້າໂຮສຖືກໂຍກຍ້າຍອອກຈາກຜົນໄດ້ຮັບ, Envoy ຈະສົມມຸດວ່າມັນບໍ່ມີຕໍ່ໄປອີກແລ້ວແລະຈະດຶງການຈະລາຈອນຈາກທຸກການເຊື່ອມຕໍ່ທີ່ມີຢູ່.

ສໍາລັບຂໍ້ມູນເພີ່ມເຕີມເບິ່ງ ເອກກະສານຕົວແທນ.

ຂັ້ນຕອນທີ 6 — ເຂົ້າສູ່ລະບົບແລະຄວາມຜິດພາດ

ການຕັ້ງຄ່າສຸດທ້າຍແມ່ນການລົງທະບຽນ. ແທນທີ່ຈະຍູ້ບັນທຶກຄວາມຜິດພາດໄປໃສ່ແຜ່ນດິດ, Envoy Proxy ໃຊ້ວິທີການທີ່ອີງໃສ່ຄລາວ. ບັນທຶກຂອງຄໍາຮ້ອງສະຫມັກທັງຫມົດແມ່ນຜົນຜະລິດເພື່ອ stdout и stderr.

ເມື່ອຜູ້ໃຊ້ເຮັດການຮ້ອງຂໍ, ບັນທຶກການເຂົ້າເຖິງແມ່ນທາງເລືອກແລະປິດການໃຊ້ງານໂດຍຄ່າເລີ່ມຕົ້ນ. ເພື່ອເປີດໃຊ້ບັນທຶກການເຂົ້າເຖິງສໍາລັບການຮ້ອງຂໍ HTTP, ເປີດໃຊ້ການຕັ້ງຄ່າ access_log ສໍາລັບຕົວຈັດການການເຊື່ອມຕໍ່ HTTP. ເສັ້ນທາງສາມາດເປັນອຸປະກອນເຊັ່ນ: stdout, ຫຼືໄຟລ໌ໃນແຜ່ນ, ຂຶ້ນກັບຄວາມຕ້ອງການຂອງທ່ານ.

ການຕັ້ງຄ່າຕໍ່ໄປນີ້ຈະປ່ຽນເສັ້ນທາງບັນທຶກການເຂົ້າເຖິງທັງໝົດໄປຫາ stdout (ບັນທຶກຂອງຜູ້ແປ - stdout ຈໍາເປັນຕ້ອງໃຊ້ envoy ພາຍໃນ docker. ຖ້າໃຊ້ໂດຍບໍ່ມີ docker, ຫຼັງຈາກນັ້ນປ່ຽນ /dev/stdout ດ້ວຍເສັ້ນທາງໄປຫາໄຟລ໌ບັນທຶກປົກກະຕິ). ສຳເນົາສະນິບເພັດໄປໃສ່ພາກສ່ວນການຕັ້ງຄ່າສຳລັບຕົວຈັດການການເຊື່ອມຕໍ່:

Copy to Clipboardaccess_log:
- name: envoy.file_access_log
  config:
    path: "/dev/stdout"

ຜົນໄດ້ຮັບຄວນຈະເປັນແບບນີ້:

      - name: envoy.http_connection_manager
        config:
          codec_type: auto
          stat_prefix: ingress_http
          access_log:
          - name: envoy.file_access_log
            config:
              path: "/dev/stdout"
          route_config:

ໂດຍຄ່າເລີ່ມຕົ້ນ, Envoy ມີສະຕຣິງຮູບແບບທີ່ປະກອບມີລາຍລະອຽດຂອງຄໍາຮ້ອງຂໍ HTTP:

[%START_TIME%] "%REQ(:METHOD)% %REQ(X-ENVOY-ORIGINAL-PATH?:PATH)% %PROTOCOL%" %RESPONSE_CODE% %RESPONSE_FLAGS% %BYTES_RECEIVED% %BYTES_SENT% %DURATION% %RESP(X-ENVOY-UPSTREAM-SERVICE-TIME)% "%REQ(X-FORWARDED-FOR)%" "%REQ(USER-AGENT)%" "%REQ(X-REQUEST-ID)%" "%REQ(:AUTHORITY)%" "%UPSTREAM_HOST%"n

ຜົນໄດ້ຮັບຂອງສະຕຣິງຮູບແບບນີ້ແມ່ນ:

[2018-11-23T04:51:00.281Z] "GET / HTTP/1.1" 200 - 0 58 4 1 "-" "curl/7.47.0" "f21ebd42-6770-4aa5-88d4-e56118165a7d" "one.example.com" "172.18.0.4:80"

ເນື້ອໃນຜົນຜະລິດສາມາດໄດ້ຮັບການປັບແຕ່ງໂດຍການຕັ້ງຄ່າພາກສະຫນາມຮູບແບບ. ຍົກຕົວຢ່າງ:

access_log:
- name: envoy.file_access_log
  config:
    path: "/dev/stdout"
    format: "[%START_TIME%] "%REQ(:METHOD)% %REQ(X-ENVOY-ORIGINAL-PATH?:PATH)% %PROTOCOL%" %RESPONSE_CODE% %RESP(X-ENVOY-UPSTREAM-SERVICE-TIME)% "%REQ(X-REQUEST-ID)%" "%REQ(:AUTHORITY)%" "%UPSTREAM_HOST%"n"

ເສັ້ນບັນທຶກຍັງສາມາດເປັນຜົນຜະລິດໃນຮູບແບບ JSON ໂດຍການຕັ້ງຄ່າພາກສະຫນາມ json_formatທີ່ຢູ່ ຕົວຢ່າງ:

access_log:
- name: envoy.file_access_log
  config:
    path: "/dev/stdout"
    json_format: {"protocol": "%PROTOCOL%", "duration": "%DURATION%", "request_method": "%REQ(:METHOD)%"}

ສໍາລັບຂໍ້ມູນເພີ່ມເຕີມກ່ຽວກັບວິທີການລົງທະບຽນ Envoy, ໄປຢ້ຽມຢາມ

https://www.envoyproxy.io/docs/envoy/latest/configuration/access_log#config-access-log-format-dictionaries

ການຕັດໄມ້ບໍ່ແມ່ນວິທີດຽວທີ່ຈະໄດ້ຮັບຄວາມເຂົ້າໃຈໃນການເຮັດວຽກກັບ Envoy Proxy. ມັນມີຄວາມສາມາດໃນການຕິດຕາມແລະວັດແທກຂັ້ນສູງທີ່ສ້າງຂຶ້ນໃນມັນ. ທ່ານສາມາດຊອກຫາຂໍ້ມູນເພີ່ມເຕີມໄດ້ທີ່ ເອກະສານຕິດຕາມ ຫຼືໂດຍຜ່ານການ ສະຄຣິບຕິດຕາມແບບໂຕ້ຕອບ.

ຂັ້ນຕອນທີ 7 - ເປີດຕົວ

ດຽວນີ້ທ່ານໄດ້ຍ້າຍການຕັ້ງຄ່າຂອງທ່ານຈາກ NGINX ໄປເປັນ Envoy Proxy. ຂັ້ນຕອນສຸດທ້າຍແມ່ນເພື່ອເປີດຕົວຢ່າງ Envoy Proxy ເພື່ອທົດສອບມັນ.

ດໍາເນີນການເປັນຜູ້ໃຊ້

ຢູ່ເທິງສຸດຂອງເສັ້ນການຕັ້ງຄ່າ NGINX ຜູ້ໃຊ້ www www; ກໍານົດໃຫ້ດໍາເນີນການ NGINX ເປັນຜູ້ໃຊ້ສິດທິພິເສດຕ່ໍາເພື່ອປັບປຸງຄວາມປອດໄພ.

Envoy Proxy ໃຊ້ວິທີການທີ່ອີງໃສ່ຄລາວເພື່ອຈັດການວ່າໃຜເປັນເຈົ້າຂອງຂະບວນການ. ເມື່ອພວກເຮົາເປີດໃຊ້ Envoy Proxy ຜ່ານກ່ອງບັນຈຸ, ພວກເຮົາສາມາດລະບຸຜູ້ໃຊ້ທີ່ມີສິດທິພິເສດຕໍ່າ.

ເປີດຕົວຕົວແທນ Envoy

ຄໍາສັ່ງຂ້າງລຸ່ມນີ້ຈະດໍາເນີນການ Envoy Proxy ຜ່ານ Docker container ຢູ່ໃນໂຮດ. ຄໍາສັ່ງນີ້ເຮັດໃຫ້ Envoy ສາມາດຟັງຄໍາຮ້ອງຂໍຂາເຂົ້າຢູ່ໃນພອດ 80. ແນວໃດກໍ່ຕາມ, ຕາມທີ່ລະບຸໄວ້ໃນການຕັ້ງຄ່າຜູ້ຟັງ, Envoy Proxy ຟັງການຈາລະຈອນຂາເຂົ້າຢູ່ໃນພອດ 8080. ນີ້ອະນຸຍາດໃຫ້ຂະບວນການດໍາເນີນການເປັນຜູ້ໃຊ້ທີ່ມີສິດທິພິເສດຕໍ່າ.

docker run --name proxy1 -p 80:8080 --user 1000:1000 -v /root/envoy.yaml:/etc/envoy/envoy.yaml envoyproxy/envoy

ການທົດສອບ

ດ້ວຍພຣັອກຊີແລ່ນ, ດຽວນີ້ສາມາດເຮັດການທົດສອບ ແລະປະມວນຜົນໄດ້. ຄໍາສັ່ງ cURL ຕໍ່ໄປນີ້ອອກຄໍາຮ້ອງຂໍກັບ host header ທີ່ກໍານົດໄວ້ໃນການຕັ້ງຄ່າຕົວແທນ.

curl -H "Host: one.example.com" localhost -i

ການຮ້ອງຂໍ HTTP ຈະສົ່ງຜົນໃຫ້ເກີດຄວາມຜິດພາດ 503. ນີ້ແມ່ນຍ້ອນວ່າການເຊື່ອມຕໍ່ທາງເທິງບໍ່ເຮັດວຽກແລະບໍ່ສາມາດໃຊ້ໄດ້. ດັ່ງນັ້ນ, Envoy Proxy ບໍ່ມີຈຸດໝາຍປາຍທາງທີ່ມີຢູ່ສໍາລັບການຮ້ອງຂໍ. ຄຳສັ່ງຕໍ່ໄປນີ້ຈະເລີ່ມບໍລິການ HTTP ຊຸດທີ່ກົງກັບການຕັ້ງຄ່າທີ່ກຳນົດໄວ້ສຳລັບ Envoy.

docker run -d katacoda/docker-http-server; docker run -d katacoda/docker-http-server;

ດ້ວຍການບໍລິການທີ່ມີຢູ່, Envoy ສາມາດສົ່ງຕົວແທນໄດ້ຢ່າງສໍາເລັດຜົນ.

curl -H "Host: one.example.com" localhost -i

ທ່ານຄວນເຫັນຄໍາຕອບທີ່ຊີ້ບອກວ່າ Docker container ໃດດໍາເນີນການຄໍາຮ້ອງຂໍ. ໃນບັນທຶກ Envoy Proxy ທ່ານຄວນເຫັນຜົນຂອງສະຕຣິງການເຂົ້າເຖິງ.

ສ່ວນຫົວການຕອບສະໜອງ HTTP ເພີ່ມເຕີມ

ທ່ານຈະເຫັນສ່ວນຫົວ HTTP ເພີ່ມເຕີມໃນສ່ວນຫົວຄໍາຕອບຂອງຄໍາຮ້ອງຂໍຕົວຈິງ. ສ່ວນຫົວສະແດງເວລາທີ່ໂຮສຕົ້ນໃຊ້ໃນການປະມວນຜົນຄຳຮ້ອງຂໍ. ສະແດງອອກເປັນມິນລິວິນາທີ. ນີ້ເປັນປະໂຫຍດຖ້າລູກຄ້າຕ້ອງການກໍານົດເວລາການບໍລິການທຽບກັບຄວາມເລັ່ງເຄືອຂ່າຍ.

x-envoy-upstream-service-time: 0
server: envoy

ການຕັ້ງຄ່າສຸດທ້າຍ

static_resources:
  listeners:
  - name: listener_0
    address:
      socket_address: { address: 0.0.0.0, port_value: 8080 }
    filter_chains:
    - filters:
      - name: envoy.http_connection_manager
        config:
          codec_type: auto
          stat_prefix: ingress_http
          route_config:
            name: local_route
            virtual_hosts:
            - name: backend
              domains:
                - "one.example.com"
                - "www.one.example.com"
              routes:
              - match:
                  prefix: "/"
                route:
                  cluster: targetCluster
          http_filters:
          - name: envoy.router
          clusters:
  - name: targetCluster
    connect_timeout: 0.25s
    type: STRICT_DNS
    dns_lookup_family: V4_ONLY
    lb_policy: ROUND_ROBIN
    hosts: [
      { socket_address: { address: 172.18.0.3, port_value: 80 }},
      { socket_address: { address: 172.18.0.4, port_value: 80 }}
    ]

admin:
  access_log_path: /tmp/admin_access.log
  address:
    socket_address: { address: 0.0.0.0, port_value: 9090 }

ຂໍ້ມູນເພີ່ມເຕີມຈາກນັກແປ

ຄໍາແນະນໍາສໍາລັບການຕິດຕັ້ງ Envoy Proxy ສາມາດພົບໄດ້ຢູ່ໃນເວັບໄຊທ໌ https://www.getenvoy.io/

ໂດຍຄ່າເລີ່ມຕົ້ນ, rpm ບໍ່ມີການຕັ້ງຄ່າບໍລິການລະບົບ.

ເພີ່ມການຕັ້ງຄ່າລະບົບການບໍລິການ /etc/systemd/system/envoy.service:

[Unit]
Description=Envoy Proxy
Documentation=https://www.envoyproxy.io/
After=network-online.target
Requires=envoy-auth-server.service
Wants=nginx.service

[Service]
User=root
Restart=on-failure
ExecStart=/usr/bin/envoy --config-path /etc/envoy/config.yaml
[Install]
WantedBy=multi-user.target

ທ່ານຈໍາເປັນຕ້ອງສ້າງໄດເລກະທໍລີ /etc/envoy/ ແລະໃສ່ config.yaml config ຢູ່ທີ່ນັ້ນ.

ມີການສົນທະນາທາງໂທລະເລກໂດຍໃຊ້ຕົວແທນຕົວແທນ: https://t.me/envoyproxy_ru

Envoy Proxy ບໍ່ຮອງຮັບການໃຫ້ບໍລິການເນື້ອຫາຄົງທີ່. ເພາະສະນັ້ນ, ຜູ້ທີ່ສາມາດລົງຄະແນນສຽງສໍາລັບຄຸນສົມບັດ: https://github.com/envoyproxy/envoy/issues/378

ພຽງແຕ່ຜູ້ໃຊ້ລົງທະບຽນສາມາດເຂົ້າຮ່ວມໃນການສໍາຫຼວດ. ເຂົ້າສູ່ລະບົບກະລຸນາ.

ໂພສນີ້ສົ່ງເສີມໃຫ້ທ່ານຕິດຕັ້ງ ແລະທົດສອບຕົວແທນຕົວແທນບໍ?

ແມ່ນແລ້ວ
ບໍ່ມີ

75 ຜູ້ໃຊ້ລົງຄະແນນສຽງ. 18 ຜູ້ໃຊ້ງົດ.

ແຫຼ່ງຂໍ້ມູນ: www.habr.com

ການເຄື່ອນຍ້າຍຈາກ Nginx ໄປຫາຕົວແທນ Envoy