Kubernetes နှင့် ဘဝမှနေ၍ HTTP ဆာဗာသည် စပိန်လူမျိုးများကို မျက်နှာသာမပေးပုံ

Microsoft cloud (Azure) တွင် အပလီကေးရှင်း အစုအဝေးတွင် ရှိနေသော ကျွန်ုပ်တို့၏ဖောက်သည်၏ ကိုယ်စားလှယ်တစ်ဦးသည် ပြဿနာတစ်ခုကို ဖြေရှင်းခဲ့သည်- မကြာသေးမီက ဥရောပမှ အချို့သောဖောက်သည်များထံမှ တောင်းဆိုချက်အချို့သည် အမှားအယွင်း 400 (အမှား XNUMX) ဖြင့် အဆုံးသတ်သွားခဲ့သည်။တောင်းဆိုမှုမှားယွင်းနေခြင်း) အပလီကေးရှင်းအားလုံးကို Kubernetes တွင် ဖြန့်ကျက်ထားပြီး .NET ဖြင့် ရေးသားထားသည်။

အပလီကေးရှင်းများထဲမှ တစ်ခုသည် အသွားအလာအားလုံး အဆုံးတွင် ရောက်လာသည့် API ဖြစ်သည်။ ဤအသွားအလာကို HTTP ဆာဗာမှ နားထောင်သည်။ kestrel.NET ကလိုင်းယင့်က စီစဉ်ပြီး ပေါ့ဒ်တစ်ခုတွင် လက်ခံထားသည်။ အမှားရှာပြင်ခြင်းဖြင့်၊ ပြဿနာကို တသမတ်တည်း ပြန်ထုတ်ပေးသည့် သတ်သတ်မှတ်မှတ်အသုံးပြုသူတစ်ဦးရှိခြင်းအတွက် ကျွန်ုပ်တို့ ကံကောင်းခဲ့ပါသည်။ သို့သော်၊ ယာဉ်ကြောအသွားအလာ ကွင်းဆက်ကြောင့် အရာအားလုံး ရှုပ်ထွေးခဲ့သည်-

Ingress တွင် အမှားအယွင်းသည် ဤကဲ့သို့ဖြစ်သည်-

{
   "number_fields":{
      "status":400,
      "request_time":0.001,
      "bytes_sent":465,
      "upstream_response_time":0,
      "upstream_retries":0,
      "bytes_received":2328
   },
   "stream":"stdout",
   "string_fields":{
      "ingress":"app",
      "protocol":"HTTP/1.1",
      "request_id":"f9ab8540407208a119463975afda90bc",
      "path":"/api/sign-in",
      "nginx_upstream_status":"400",
      "service":"app",
      "namespace":"production",
      "location":"/front",
      "scheme":"https",
      "method":"POST",
      "nginx_upstream_response_time":"0.000",
      "nginx_upstream_bytes_received":"120",
      "vhost":"api.app.example.com",
      "host":"api.app.example.com",
      "user":"",
      "address":"83.41.81.250",
      "nginx_upstream_addr":"10.240.0.110:80",
      "referrer":"https://api.app.example.com/auth/login?long_encrypted_header",
      "service_port":"http",
      "user_agent":"Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/72.0.3626.121 Safari/537.36",
      "time":"2019-03-06T18:29:16+00:00",
      "content_kind":"cache-headers-not-present",
      "request_query":""
   },
   "timestamp":"2019-03-06 18:29:16",
   "labels":{
      "app":"nginx",
      "pod-template-generation":"6",
      "controller-revision-hash":"1682636041"
   },
   "namespace":"kube-nginx-ingress",
   "nsec":6726612,
   "source":"kubernetes",
   "host":"k8s-node-55555-0",
   "pod_name":"nginx-v2hcb",
   "container_name":"nginx",
   "boolean_fields":{}
}

တစ်ချိန်တည်းမှာပင် Kestrel သည်

HTTP/1.1 400 Bad Request
Connection: close
Date: Wed, 06 Mar 2019 12:34:20 GMT
Server: Kestrel
Content-Length: 0

စကားလုံးအသုံးအနှုန်းအများဆုံးဖြင့်ပင်၊ Kestrel အမှားသည် အလွန်အမင်းပါရှိသည်။ အသုံးဝင်တဲ့ အချက်အလက်လေးတွေပါ။:

{
   "number_fields":{"ThreadId":76},
   "stream":"stdout",
   "string_fields":{
      "EventId":"{"Id"=>17, "Name"=>"ConnectionBadRequest"}",
      "SourceContext":"Microsoft.AspNetCore.Server.Kestrel",
      "ConnectionId":"0HLL2VJSST5KV",
      "@mt":"Connection id "{ConnectionId}" bad request data: "{message}"",
      "@t":"2019-03-07T13:06:48.1449083Z",
      "@x":"Microsoft.AspNetCore.Server.Kestrel.Core.BadHttpRequestException: Malformed request: invalid headers.n   at Microsoft.AspNetCore.Server.Kestrel.Core.Internal.Http.Http1Connection.TryParseRequest(ReadResult result, Boolean& endConnection)n   at Microsoft.AspNetCore.Server.Kestrel.Core.Internal.Http.HttpProtocol.<ProcessRequestsAsync>d__185`1.MoveNext()",
      "message":"Malformed request: invalid headers."
   },
   "timestamp":"2019-03-07 13:06:48",
   "labels":{
      "pod-template-hash":"2368795483",
      "service":"app"
   },
   "namespace":"production",
   "nsec":145341848,
   "source":"kubernetes",
   "host":"k8s-node-55555-1",
   "pod_name":"app-67bdcf98d7-mhktx",
   "container_name":"app",
   "boolean_fields":{}
}

tcpdump ကသာ ဒီပြဿနာကို ဖြေရှင်းနိုင်မယ်လို့ ထင်ရပေမယ့် traffic chain အကြောင်း ထပ်ခါတလဲလဲ ပြောပါဦးမယ်။

စုံစမ်းစစ်ဆေးမှု

အသွားအလာ နားထောင်တာက ပိုကောင်းပါတယ်။ အဲဒီ သီးခြား node ပေါ်မှာKubernetes က pod တစ်ခုကို ဖြန့်ကျက်ထားရာ၊ အမှိုက်ပုံကြီး၏ ပမာဏသည် အနည်းဆုံး တစ်ခုခုကို လျင်မြန်စွာ ရှာတွေ့နိုင်မည်ဖြစ်သည် ။ အမှန်ပင်၊ ၎င်းကိုစစ်ဆေးသောအခါ၊ အောက်ပါဘောင်ကို သတိပြုမိသည်-

GET /back/user HTTP/1.1
Host: api.app.example.com
X-Request-ID: 27ceb14972da8c21a8f92904b3eff1e5
X-Real-IP: 83.41.81.250
X-Forwarded-For: 83.41.81.250
X-Forwarded-Host: api.app.example.com
X-Forwarded-Port: 443
X-Forwarded-Proto: https
X-Original-URI: /front/back/user
X-Scheme: https
X-Original-Forwarded-For: 83.41.81.250
X-Nginx-Geo-Client-Country: Spain
X-Nginx-Geo-Client-City: M.laga
Accept-Encoding: gzip
CF-IPCountry: ES
CF-RAY: 4b345cfd1c4ac691-MAD
CF-Visitor: {"scheme":"https"}
pragma: no-cache
cache-control: no-cache
accept: application/json, text/plain, */*
origin: https://app.example.com
user-agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/72.0.3626.119 Safari/537.36
referer: https://app.example.com/auth/login
accept-language: en-US,en;q=0.9,en-GB;q=0.8,pl;q=0.7
cookie: many_encrypted_cookies; .AspNetCore.Identity.Application=something_encrypted; 
CF-Connecting-IP: 83.41.81.250
True-Client-IP: 83.41.81.250
CDN-Loop: cloudflare

HTTP/1.1 400 Bad Request
Connection: close
Date: Wed, 06 Mar 2019 12:34:20 GMT
Server: Kestrel
Content-Length: 0

အမှိုက်ပုံကြီးအား အနီးကပ်စစ်ဆေးကြည့်သောအခါ စကားလုံးကို သတိထားမိသည်။ M.laga. စပိန်တွင် M.laga မြို့မရှိဟု ခန့်မှန်းရလွယ်ကူသည် (သို့သော် ရှိပါသည်။ ဂါ) ဤအကြံအစည်ကိုရယူပြီး လွန်ခဲ့သည့်တစ်လက ထည့်သွင်းထားသည် (ဖောက်သည်၏တောင်းဆိုချက်အရ) ထည့်သွင်းထားသည်ကို ကျွန်ုပ်တို့တွေ့ခဲ့သည့် Ingress configs များကို ကြည့်ရှုခဲ့သည်။ "အန္တရာယ်မရှိ" အတိုအထွာ:

    ingress.kubernetes.io/configuration-snippet: |
      proxy_set_header X-Nginx-Geo-Client-Country $geoip_country_name;
      proxy_set_header X-Nginx-Geo-Client-City $geoip_city;

ဤခေါင်းစီးများကို ထပ်ဆင့်ပို့ခြင်းကို ပိတ်ပြီးနောက်၊ အားလုံး အဆင်ပြေသွားပါသည်။ (အပလီကေးရှင်းကိုယ်တိုင်က ဒီခေါင်းစီးတွေကို မလိုအပ်တော့ဘူးဆိုတာ မကြာခင်မှာ ရှင်းပါတယ်။)

အခု ပြဿနာကို ကြည့်ရအောင် ပိုယေဘုယျအားဖြင့်. telnet တောင်းဆိုမှုပြုလုပ်ခြင်းဖြင့် ၎င်းကို အပလီကေးရှင်းအတွင်းတွင် အလွယ်တကူ ပြန်လည်ထုတ်လုပ်နိုင်သည်။ localhost:80:

GET /back/user HTTP/1.1
Host: api.app.example.com
cache-control: no-cache
accept: application/json, text/plain, */*
origin: https://app.example.com
Cookie: test=Desiree

...ပြန်လာသည် 401 Unauthorizedမျှော်လင့်ထားသည့်အတိုင်း၊ ငါတို့လုပ်ရင် ဘာဖြစ်မလဲ။

GET /back/user HTTP/1.1
Host: api.app.example.com
cache-control: no-cache
accept: application/json, text/plain, */*
origin: https://app.example.com
Cookie: test=Désirée

?

ပြန်လာကြလိမ့်မည် 400 Bad request — အပလီကေးရှင်းမှတ်တမ်းတွင် ကျွန်ုပ်တို့နှင့်ရင်းနှီးပြီးသားဖြစ်သော အမှားတစ်ခုကို ကျွန်ုပ်တို့လက်ခံရရှိလိမ့်မည်-

{
   "@t":"2019-03-31T12:59:54.3746446Z",
   "@mt":"Connection id "{ConnectionId}" bad request data: "{message}"",
   "@x":"Microsoft.AspNetCore.Server.Kestrel.Core.BadHttpRequestException: Malformed request: invalid headers.n   at Microsoft.AspNetCore.Server.Kestrel.Core.Internal.Http.Http1Connection.TryParseRequest(ReadResult result, Boolean& endConnection)n   at Microsoft.AspNetCore.Server.Kestrel.Core.Internal.Http.HttpProtocol.<ProcessRequestsAsync>d__185`1.MoveNext()",
   "ConnectionId":"0HLLLR1J974L9",
   "message":"Malformed request: invalid headers.",
   "EventId":{
      "Id":17,
      "Name":"ConnectionBadRequest"
   },
   "SourceContext":"Microsoft.AspNetCore.Server.Kestrel",
   "ThreadId":71
}

ရလဒ်များကို

အထူးသဖြင့် Kestrel မပေးနိုင် UTF-8 တွင် မှန်ကန်သော အက္ခရာများဖြင့် HTTP ခေါင်းစီးများကို မှန်ကန်စွာ လုပ်ဆောင်ပြီး မြို့ကြီးအများအပြား၏ အမည်များတွင်ပါရှိသည်။

ကျွန်ုပ်တို့၏ကိစ္စတွင် နောက်ထပ်အချက်တစ်ခုမှာ သုံးစွဲသူသည် အပလီကေးရှင်းတွင် Kestrel ၏အကောင်အထည်ဖော်မှုကို ပြောင်းလဲရန် လောလောဆယ် အစီအစဉ်မရှိသေးသောကြောင့်ဖြစ်သည်။ သို့သော် AspNetCore ကိုယ်တိုင်က ပြဿနာများ (№4318, №7707) အဲဒါက အထောက်အကူမဖြစ်ဘူးလို့ ပြောကြတယ်...

အကျဉ်းချုပ်ပြောရလျှင်- မှတ်စုသည် Kestrel သို့မဟုတ် UTF-8 (2019 တွင်?!) ၏ သီးခြားပြဿနာများအကြောင်း မဟုတ်တော့ဘဲ၊ ထိုအချက်နှင့်ပတ်သက်၍ သတိပဋ္ဌာန်နဲ့ တသမတ်တည်း လေ့လာတယ်။ ပြဿနာတွေကို ရှာဖွေရင်း သင်လျှောက်လှမ်းတဲ့ ခြေလှမ်းတိုင်းဟာ အနှေးနဲ့အမြန်ဆိုသလို အသီးအပွင့်တွေ ဖြစ်ထွန်းလာပါလိမ့်မယ်။ ကံကောင်းပါစေ!

PS

ကျွန်ုပ်တို့၏ဘလော့ဂ်တွင်လည်းဖတ်ပါ

• «Kubernetes လည်ပတ်မှုတွင် ဖျော်ဖြေရေးစနစ် ချို့ယွင်းချက် 6 ခု [နှင့် ၎င်းတို့၏ ဖြေရှင်းချက်]";
• «Kubernetes အကြံပြုချက်များနှင့် လှည့်ကွက်များ- NGINX Ingress ရှိ စိတ်ကြိုက်အမှားစာမျက်နှာများ";
• «Kubernetes အတွက် Ingress ထိန်းချုပ်ကိရိယာများ၏ ခြုံငုံသုံးသပ်ချက်နှင့် နှိုင်းယှဉ်ချက်";
• «Kubernetes node များအကြား pings များကို စောင့်ကြည့်ခြင်း - ကျွန်ုပ်တို့၏ စာရွက်";
• «Linux ကွန်ရက်ခွဲစနစ်နှင့်ပတ်သက်သော ပုံမှန်မဟုတ်သောကိစ္စရပ် ၃ ခု"။

source: www.habr.com