Implementar puertas de enlace de varios clústeres

En esta página, se describe cómo implementar recursos de Gateway de Kubernetes para el balanceo de cargas en varios clústeres de Google Kubernetes Engine (GKE). Antes de implementar Gateways de varios clústeres, consulta Habilita las Gateways de varios clústeres para preparar tu entorno. Para implementar Gateways en un solo clúster de GKE, consulta Implementa Gateways.

Gateways de varios clústeres

Una Gateway de varios clústeres es un recurso de Gateway que balancea las cargas del tráfico en varios clústeres de Kubernetes. En GKE, las GatewayClasses gke-l7-gxlb-mc y gke-l7-rilb-mc implementan Gateways de varios clústeres que proporcionan enrutamiento HTTP, división de tráfico, duplicación de tráfico, conmutación por error basada en el estado y más en diferentes clústeres de GKE, espacios de nombres de Kubernetes y en diferentes regiones. Con las Gateways de varios clústeres, la administración de herramientas de redes de aplicaciones en varios clústeres y equipos es fácil, segura y escalable para los administradores de infraestructura.

Una Gateway de varios clústeres es un recurso de Gateway que balancea las cargas del tráfico en varios clústeres de Kubernetes.

En esta página, se presentan tres ejemplos para enseñarte a implementar Gateways de varios clústeres con el controlador de Gateway de GKE:

  • Ejemplo 1: Una Gateway externa de varios clústeres que proporciona balanceo de cargas en dos clústeres de GKE para el tráfico de Internet.
  • Ejemplo 2: División del tráfico azul-verde basada en peso y duplicación de tráfico en dos clústeres de GKE para el tráfico de VPC interno.

En cada uno de los ejemplos, se usarán las mismas aplicaciones de tienda y sitio para modelar una situación real en la que se pertenecen un servicio de compras en línea y un servicio de sitio web. operados por equipos separados e implementados en una flota de clústeres de GKE compartidos. En cada uno de los ejemplos, se destacan diferentes topologías y casos de uso habilitados por Gateways de varios clústeres.

Las Gateways de varios clústeres requieren cierta preparación del entorno antes de que puedan implementarse. Antes de continuar, sigue los pasos en Habilita Gateways de varios clústeres:

  1. Implemente clústeres de GKE

  2. Registra tus clústeres en una flota.

  3. Habilita el Servicie de varios clústeres y los controladores de Gateways de varios clústeres.

Por último, revisa el controlador de Gateway de GKE Vista previa de las limitaciones y problemas conocidos antes de usarlo en tu entorno.

Gateway externa, varios clústeres y varias regiones

En este instructivo, crearás una Gateway externa de varios clústeres que entrega tráfico externo en una aplicación que se ejecuta en dos clústeres de GKE.

store.example.com se implementa en dos clústeres de GKE y se expone a Internet a través de una Gateway de varios clústeres.

En los siguientes pasos, haz lo siguiente:

  1. Implementa la aplicación store de muestra en los clústeres gke-west-1 y gke-east-1.
  2. Configura recursos de ServiceExport en cada clúster para exportar los Services a tu flota.
  3. Implementa una Gateway gke-l7-gxlb-mc y una HTTPRoute en el clúster de configuración, gke-west-1.

Después de implementar la aplicación y los recursos de Gateway, puedes controlar el tráfico en los dos clústeres de GKE con el enrutamiento basado en rutas de acceso:

  • Las solicitudes a /west se enrutan a los Pods store en el clúster gke-west-1.
  • Las solicitudes a /east se enrutan a los Pods store en el clúster gke-east-1.
  • Las solicitudes a cualquier otra ruta de acceso se enrutan a cualquiera de los clústeres, según su estado, capacidad y proximidad al cliente solicitante.

Implementa la aplicación de demostración

  1. Crea la implementación store y el espacio de nombres en los tres clústeres que se implementaron en Habilita Gateways de varios clústeres:

    kubectl apply --context gke-west-1 -f https://raw.githubusercontent.com/GoogleCloudPlatform/gke-networking-recipes/master/gateway/gke-gateway-controller/multi-cluster-gateway/store.yaml
    kubectl apply --context gke-west-2 -f https://raw.githubusercontent.com/GoogleCloudPlatform/gke-networking-recipes/master/gateway/gke-gateway-controller/multi-cluster-gateway/store.yaml
    kubectl apply --context gke-east-1 -f https://raw.githubusercontent.com/GoogleCloudPlatform/gke-networking-recipes/master/gateway/gke-gateway-controller/multi-cluster-gateway/store.yaml
    

    Implementa los siguientes recursos en cada clúster:

    namespace/store created
    deployment.apps/store created
    

    En todos los ejemplos de esta página, se usa la app implementada en este paso. Asegúrate de que la app se implemente en los tres clústeres antes de probar cualquiera de los pasos restantes. En este ejemplo, solo se usan los clústeres gke-west-1 y gke-east-1, y gke-west-2 se usa en otro ejemplo.

Service de varios clústeres

Los servicios son la forma en que los Pods se exponen a los clientes. Debido a que el controlador de Gateway de GKE usa el balanceo de cargas nativo del contenedor, no usa el balanceo de cargas de ClusterIP o Kubernetes para llegar a los Pods. El tráfico se envía directamente desde el balanceador de cargas a las IP del Pod. Sin embargo, los objetos Service desempeñan una función crítica como un identificador lógico para la agrupación de Pods.

Los servicios de varios clústeres (MCS) son un estándar de API para los Services que abarcan clústeres y un controlador de GKE que proporciona descubrimiento de servicios en clústeres de GKE. El controlador de la Gateway de varios clústeres usa recursos de la API de MCS para agrupar Pods en un Service que se pueda dirigir a varios profesionales o a través de ellos.

La API de Services de varios clústeres define los siguientes recursos personalizados:

  • ServiceExports asigna a un Service de Kubernetes mediante la exportación de los extremos de ese Service a todos los clústeres registrados en la flota. Cuando un Service tiene una ServiceExport correspondiente, significa que se puede abordar con una Gateway de varios clústeres.
  • El controlador de Service de varios clústeres genera ServiceImports de forma automática. ServiceExport y ServiceImports vienen en pares. Si existe una ServiceExport en la flota, se crea una ServiceImport correspondiente para permitir que se acceda al Service asignado a ServiceExport desde todos los clústeres.

La exportación de Services funciona de la siguiente manera. Existe un Service de almacenamiento en gke-1 que selecciona un grupo de Pods en ese clúster. Se crea una ServiceExport en el clúster que permite que se pueda acceder a los Pods en gke-1 desde los otros clústeres de la flota. ServiceExport se asignará a los Services que tengan el mismo nombre y el mismo espacio de nombres que el recurso de ServiceExport y los expondrá.

apiVersion: v1
kind: Service
metadata:
  name: store
  namespace: store
spec:
  selector:
    app: store
  ports:
  - port: 8080
    targetPort: 8080
---
kind: ServiceExport
apiVersion: net.gke.io/v1
metadata:
  name: store
  namespace: store

En el siguiente diagrama, se muestra lo que sucede después de implementar una ServiceExport. Si existe un par Service y ServiceExport, el controlador de Service de varios clústeres implementa una ServiceImport correspondiente en cada clúster de GKE de la flota. ServiceImport es la representación local del Service store en cada clúster. Esto permite que el Pod de cliente en gke-2 use ClusterIP o los Service sin interfaz gráfica para llegar a los Pods store en gke-1. Cuando se usan de esta manera, los Service de varios clústeres proporcionan un balanceo de cargas este-oeste entre clústeres. Si deseas usar los Service de varios clústeres para el balanceo de cargas de clúster a clúster, consulta Configura Service de varios clústeres.

Los Services de varios clústeres exportan Services entre clústeres que permiten la comunicación de clúster a clúster

Las Gateway de varios clústeres también usan ServiceImports, pero no para el balanceo de cargas de clúster a clúster. En cambio, las Gateway usan ServiceImports como identificadores lógicos para un Service que existe en otro clúster o que se extiende a varios clústeres. La siguiente HTTPRoute hace referencia a una ServiceImport en lugar de un recurso de Service. Si se hace referencia a una ServiceImport, esto indica que reenvía el tráfico a un grupo de Pods de backend que se ejecutan en uno o más clústeres.

kind: HTTPRoute
apiVersion: networking.x-k8s.io/v1alpha1
metadata:
  name: store-route
  namespace: store
  labels:
    gateway: multi-cluster-gateway
spec:
  hostnames:
  - "store.example.com"
  rules:
  - forwardTo:
    - backendRef:
        group: net.gke.io
        kind: ServiceImport
        name: store
      port: 8080

En el siguiente diagrama, se muestra cómo la HTTPRoute enruta el tráfico store.example.com a los Pods store en gke-1 y gke-2. El balanceador de cargas los trata como un grupo de backends. Si los Pods de uno de los clústeres se encuentran en mal estado, son inaccesibles o no tienen capacidad de tráfico, la carga de tráfico se balancea a los Pods restantes en el otro clúster. Los clústeres nuevos se pueden agregar o quitar con el Service store y ServiceExport. Esto agregará o quitará con transparencia los Pods de backend sin ningún cambio explícito en la configuración del enrutamiento.

Recurso de MCS

Exporta Services

En este punto, la aplicación se ejecuta en ambos clústeres. A continuación, deberás exponer las aplicaciones y exportarlas mediante la implementación de objetos Service y ServiceExports en cada clúster.

  1. Guarda el siguiente manifiesto como un archivo llamado store-west-service.yaml:

    apiVersion: v1
    kind: Service
    metadata:
      name: store
      namespace: store
    spec:
      selector:
        app: store
      ports:
      - port: 8080
        targetPort: 8080
    ---
    kind: ServiceExport
    apiVersion: net.gke.io/v1
    metadata:
      name: store
      namespace: store
    ---
    apiVersion: v1
    kind: Service
    metadata:
      name: store-west-1
      namespace: store
    spec:
      selector:
        app: store
      ports:
      - port: 8080
        targetPort: 8080
    ---
    kind: ServiceExport
    apiVersion: net.gke.io/v1
    metadata:
      name: store-west-1
      namespace: store
    
  2. Implementa este manifiesto en gke-west-1:

    kubectl apply -f store-west-service.yaml --context gke-west-1
    
  3. Guarda el siguiente manifiesto como un archivo llamado store-east-service.yaml:

    apiVersion: v1
    kind: Service
    metadata:
      name: store
      namespace: store
    spec:
      selector:
        app: store
      ports:
      - port: 8080
        targetPort: 8080
    ---
    kind: ServiceExport
    apiVersion: net.gke.io/v1
    metadata:
      name: store
      namespace: store
    ---
    apiVersion: v1
    kind: Service
    metadata:
      name: store-east-1
      namespace: store
    spec:
      selector:
        app: store
      ports:
      - port: 8080
        targetPort: 8080
    ---
    kind: ServiceExport
    apiVersion: net.gke.io/v1
    metadata:
      name: store-east-1
      namespace: store
    
  4. Implementa este recurso ServiceExport en gke-east-1:

    kubectl apply -f store-east-service.yaml --context gke-east-1 --namespace store
    
  5. Verifica que se hayan creado las ServiceExports correctas en el clúster.

    kubectl get serviceexports --context CLUSTER_NAME --namespace store
    

    Reemplaza CLUSTER_NAME por gke-west-1 y gke-east-1. El resultado debe parecerse al siguiente:

    # gke-west-1
    NAME           AGE
    store          2m40s
    store-west-1   2m40s
    
    # gke-east-1
    NAME           AGE
    store          2m25s
    store-east-1   2m25s
    

    Esto demuestra que el Service store contiene Pods store en ambos clústeres, mientras que los Service store-west-1 y store-east-1 solo contienen Pods store en sus clústeres respectivos. Estos Service superpuestos se usan para apuntar a los Pods en varios clústeres o en un subconjunto de Pods en un solo clúster.

  6. Después de unos minutos, verifica que el controlador de Services de varios clústeres haya creado de forma automática el ServiceImports adjunto en todos los clústeres de la flota.

    kubectl get serviceimports --context CLUSTER_NAME --namespace store
    

    Reemplaza CLUSTER_NAME por gke-west-1 y gke-east-1. El resultado debe parecerse al siguiente:

    # gke-west-1
    NAME           TYPE           IP                  AGE
    store          ClusterSetIP   ["10.112.31.15"]    6m54s
    store-east-1   ClusterSetIP   ["10.112.26.235"]   5m49s
    store-west-1   ClusterSetIP   ["10.112.16.112"]   6m54s
    
    # gke-east-1
    NAME           TYPE           IP                  AGE
    store          ClusterSetIP   ["10.72.28.226"]   5d10h
    store-east-1   ClusterSetIP   ["10.72.19.177"]   5d10h
    store-west-1   ClusterSetIP   ["10.72.28.68"]    4h32m
    

Esto demuestra que se puede acceder a los tres Services desde ambos clústeres en la flota. Sin embargo, debido a que solo hay un clúster de configuración activo por flota, solo puedes implementar Gateways y HTTPRouters que hagan referencia a estas ServiceImports en gke-west-1. Cuando una HTTPRouter en el clúster de configuración hace referencia a estas ServiceImports como backends, la Gateway puede reenviar tráfico a estos servicios sin importar desde qué clúster se exporten.

Implementa Gateway y HTTPRoute

Una vez que se implementaron las aplicaciones, puedes configurar una Gateway con la GatewayClass gke-l7-gxlb-mc. Esta Gateway crea un balanceador de cargas de HTTP(S) externo configurado para distribuir el tráfico entre los clústeres de destino.

  1. Guarda el siguiente manifiesto Gateway como un archivo llamado external-http-gateway.yaml:

    kind: Gateway
    apiVersion: networking.x-k8s.io/v1alpha1
    metadata:
      name: external-http
      namespace: store
    spec:
      gatewayClassName: gke-l7-gxlb-mc
      listeners:
      - protocol: HTTP
        port: 80
        routes:
          kind: HTTPRoute
          selector:
            matchLabels:
              gateway: external-http
    

    Esto usa GatewayClass gke-l7-gxlb-mc y orienta HTTPRoutes con la etiqueta gateway: external-http.

  2. Aplica el manifiesto de Gateway al clúster de configuración gke-west-1 de este ejemplo:

    kubectl apply -f external-http-gateway.yaml --context gke-west-1 --namespace store
    
  3. Guarda el siguiente manifiesto de HTTPRoute en un archivo llamado public-store-route.yaml:

    kind: HTTPRoute
    apiVersion: networking.x-k8s.io/v1alpha1
    metadata:
      name: public-store-route
      namespace: store
      labels:
        gateway: external-http
    spec:
      hostnames:
      - "store.example.com"
      rules:
      - forwardTo:
        - backendRef:
            group: net.gke.io
            kind: ServiceImport
            name: store
          port: 8080
      - matches:
        - path:
            type: Prefix
            value: /west
        forwardTo:
        - backendRef:
            group: net.gke.io
            kind: ServiceImport
            name: store-west-1
          port: 8080
      - matches:
        - path:
            type: Prefix
            value: /east
        forwardTo:
        - backendRef:
            group: net.gke.io
            kind: ServiceImport
            name: store-east-1
          port: 8080
    

Una vez implementada, esta HTTPRoute configurará el siguiente comportamiento de enrutamiento:

  • Las solicitudes a /west se enrutan a los Pods store en el clúster gke-west-1.
  • Las solicitudes a /east se enrutan a los Pods store en el clúster gke-east-1.
  • Las solicitudes a cualquier otra ruta de acceso se enrutan a cualquiera de los clústeres, según su estado, capacidad y proximidad al cliente solicitante.

El HTTPRoute permite el enrutamiento a diferentes subconjuntos de clústeres mediante servicios superpuestos

Ten en cuenta que si todos los Pods en un clúster determinado están en mal estado (o no existen), el tráfico al Service store solo se enviará a los clústeres que en realidad tengan Pods store. La existencia de una ServiceExport y un Service en un clúster determinado no garantiza que el tráfico se envíe a ese clúster. Los Pods deben existir y responder de manera afirmativa a la verificación de estado del balanceador de cargas. De lo contrario, el balanceador de cargas solo enviará tráfico a Pods store en buen estado en otros clústeres.

  1. Aplica el manifiesto de HTTPRoute al clúster de configuración gke-1 de este ejemplo:

    kubectl apply -f public-store-route.yaml --context gke-west-1 --namespace store
    

En el siguiente diagrama, se muestran los recursos que implementaste en ambos clústeres. Debido a que gke-west-1 es el clúster de configuración de Gateway, es el clúster en el que el controlador de Gateway observa nuestras Gateway, HTTPRoutes y ServiceImports. Cada clúster tiene una ServiceImport store y otra ServiceImport específica para ese clúster. Ambos apuntan a los mismos Pods. Esto permite que HTTPRoute especifique con exactitud dónde debe ir el tráfico: a los Pods store en un clúster específico o a los Pods store en todos los clústeres.

Este es el modelo de recursos de los Services de Gateway y de varios clústeres en ambos clústeres

Ten en cuenta que este es un modelo de recursos lógico, no una descripción del flujo de tráfico. La ruta de tráfico va directamente del balanceador de cargas a los Pods de backend y no tiene relación directa con el clúster que es el clúster de configuración.

Valida la implementación

Ahora puedes emitir solicitudes a nuestra Gateway de varios clústeres y distribuir el tráfico entre varios clústeres de GKE.

  1. Verifica que el objeto Gateway y HTTPRoute se hayan implementado de forma correcta inspeccionando del estado y los eventos de Gateway.

    kubectl describe gateway external-http --context gke-west-1 --namespace store
    

    El resultado debería ser similar al siguiente:

    Spec:
      Gateway Class Name:  gke-l7-gxlb-mc
      Listeners:
        Port:      80
        Protocol:  HTTP
        Routes:
          Group:  networking.x-k8s.io
          Kind:   HTTPRoute
          Namespaces:
            From:  Same
          Selector:
            Match Labels:
              Gateway:  external-http
    Status:
      Addresses:
        Type:   IPAddress
        Value:  34.120.172.213
      Conditions:
        Last Transition Time:  1970-01-01T00:00:00Z
        Message:               Waiting for controller
        Reason:                NotReconciled
        Status:                False
        Type:                  Scheduled
    Events:
      Type     Reason  Age                     From                     Message
      ----     ------  ----                    ----                     -------
      Normal   UPDATE  29m (x2 over 29m)       global-gke-gateway-ctlr  store/external-http
      Normal   SYNC    59s (x9 over 29m)       global-gke-gateway-ctlr  SYNC on store/external-http was a success
    
  2. Una vez que la Gateway se implementó correctamente, recupera la dirección IP externa de la Gateway external-http.

    kubectl get gateway external-http -o=jsonpath="{.status.addresses[0].value}" --context gke-west-1 --namespace store
    

    Reemplaza VIP en los siguientes pasos por la dirección IP que recibas como resultado.

  3. Envía tráfico a la ruta raíz del dominio. Esto balancea las cargas del tráfico a la ServiceImport store, que se encuentra en los clústeres gke-west-1 y gke-east-1. El balanceador de cargas envía tu tráfico a la región más cercana a ti y es posible que no veas respuestas de la otra región.

    curl -H "host: store.example.com" http://VIP
    

    El resultado confirma que el Pod entregó la solicitud desde el clúster gke-west-1:

    {
    "cluster_name": "gke-east-1",
    "zone": "us-east1-b",
    "host_header": "store.example.com",
    "node_name": "gke-gke-east-1-default-pool-7aa30992-t2lp.c.agmsb-k8s.internal",
    "pod_name": "store-5f5b954888-dg22z",
    "pod_name_emoji": "⏭",
    "project_id": "agmsb-k8s",
    "timestamp": "2021-06-01T17:32:51"
    }
    
  4. A continuación, envía el tráfico a la ruta /west. Esto enruta el tráfico a la ServiceImport store-west, que solo tiene Pods en ejecución en el clúster gke-west-1. Un objeto ServiceImport específico del clúster, como store-west, permite que el propietario de una aplicación envíe tráfico de forma explícita a un clúster específico, en lugar de permitir que el balanceador de cargas tome la decisión.

    curl -H "host: store.example.com" http://VIP/west
    

    El resultado confirma que el Pod entregó la solicitud desde el clúster gke-west-1:

    {
    "cluster_name": "gke-west-1", 
    "zone": "us-west1-a", 
    "host_header": "store.example.com",
    "node_name": "gke-gke-west-1-default-pool-65059399-2f41.c.agmsb-k8s.internal",
    "pod_name": "store-5f5b954888-d25m5",
    "pod_name_emoji": "🍾",
    "project_id": "agmsb-k8s",
    "timestamp": "2021-06-01T17:39:15",
    }
    
  5. Por último, envía tráfico a la ruta /east.

    curl -H "host: store.example.com" http://VIP/east
    

    El resultado confirma que el Pod entregó la solicitud desde el clúster gke-east-1:

    {
    "cluster_name": "gke-east-1",
    "zone": "us-east1-b",
    "host_header": "store.example.com",
    "node_name": "gke-gke-east-1-default-pool-7aa30992-7j7z.c.agmsb-k8s.internal",
    "pod_name": "store-5f5b954888-hz6mw",
    "pod_name_emoji": "🧜🏾",
    "project_id": "agmsb-k8s",
    "timestamp": "2021-06-01T17:40:48"
    }
    

Enrutamiento azul-verde y de varios clústeres a través de la Gateway interna

Las GatewayClasses gke-l7-rilb tienen muchas capacidades avanzadas de enrutamiento de tráfico, que incluyen la división del tráfico, la coincidencia del encabezado, la manipulación del encabezado, la duplicación de tráfico y mucho más. En este ejemplo, demostrarás cómo usar la división de tráfico basada en la ponderación para controlar de forma explícita la proporción de tráfico en dos clústeres de GKE.

En este ejemplo, se explican algunos pasos realistas que seguiría un propietario del servicio para trasladar o expandir su aplicación a un clúster de GKE nuevo. El objetivo de las implementaciones azul-verde es reducir el riesgo mediante varios pasos de validación que confirman que el clúster nuevo funciona de forma correcta. En este ejemplo, se explican cuatro etapas de implementación:

  1. 100%-versión canary basada en encabezados: Usa el enrutamiento de encabezado HTTP para enviar solo tráfico sintético o de prueba al clúster nuevo.
  2. 100%-duplicación del tráfico: Duplica el tráfico de usuario al clúster de versión canary. Esto prueba la capacidad del clúster de versión canary mediante la copia del 100% del tráfico de usuario en este clúster.
  3. 90%-10%: Versión canary de una división del tráfico del 10% para exponer lentamente el clúster nuevo al tráfico en vivo.
  4. 0%-100%: Adopta una migración de sistemas completa al clúster nuevo con la opción de volver a la anterior si se observan errores.

División del tráfico azul-verde en dos clústeres de GKE

Este ejemplo es similar al anterior, excepto que implementa una Gateway de varios clústeres interna en su lugar. De esta manera, se implementa un balanceador de cargas HTTP(S) interno al que solo se puede acceder de forma privada desde la VPC. Usarás los clústeres y la misma aplicación que implementaste en los pasos anteriores, con la excepción de que los implementarás a través de una Gateway diferente.

Requisitos previos

El siguiente ejemplo se basa en algunos de los pasos de Implementa una Gateway de varios clústeres externa. Antes de continuar con este ejemplo, asegúrate de haber realizado los siguientes pasos:

  1. Habilitar puertas de enlace de varios clústeres
  2. Implementa una aplicación de demostración

En este ejemplo, se usan los clústeres gke-west-1 y gke-west-2 que ya configuraste. Estos clústeres están en la misma región porque GatewayClass gke-l7-rilb-mc es regional y solo admite backends de clúster en la misma región.

  1. Implementa el Service y las ServiceExports necesarios en cada clúster. Si implementaste Services y ServiceExports del ejemplo anterior, ya implementaste algunos de estos.

    kubectl apply --context gke-west-1 -f https://raw.githubusercontent.com/GoogleCloudPlatform/gke-networking-recipes/master/gateway/gke-gateway-controller/multi-cluster-gateway/store-west-1-service.yaml
    kubectl apply --context gke-west-2 -f https://raw.githubusercontent.com/GoogleCloudPlatform/gke-networking-recipes/master/gateway/gke-gateway-controller/multi-cluster-gateway/store-west-2-service.yaml
    

    Implementa un conjunto similar de recursos en cada clúster:

    service/store created
    serviceexport.net.gke.io/store created
    service/store-west-2 created
    serviceexport.net.gke.io/store-west-2 created
    

Configura una subred de solo proxy

Si aún no lo hiciste, configura una subred de solo proxy para cada región en la que implementes las Gateways internas. Esta subred se usa para proporcionar direcciones IP internas a los proxies de balanceador de cargas.

Debes crear una subred de solo proxy antes de crear Gateways que administren los balanceadores de cargas HTTP(S) internos. Cada región de una red privada virtual (VPC) en la que uses balanceadores de cargas HTTP(S) internos debe tener una subred de solo proxy.

Con el comando gcloud compute networks subnets create, se crea una subred de solo proxy.

gcloud compute networks subnets create SUBNET_NAME \
    --purpose=INTERNAL_HTTPS_LOAD_BALANCER \
    --role=ACTIVE \
    --region=REGION \
    --network=VPC_NETWORK_NAME \
    --range=CIDR_RANGE

Reemplaza lo siguiente:

  • SUBNET_NAME: El nombre de la subred de solo proxy
  • REGION: La región de la subred de solo proxy
  • VPC_NETWORK_NAME: El nombre de la red de VPC que contiene la subred
  • CIDR_RANGE: El rango de direcciones IP principal de la subred Debes usar una máscara de subred de un tamaño máximo de /26 a fin de que al menos 64 direcciones IP estén disponibles para los proxies de la región. La máscara de subred recomendada es /23.

Si el siguiente evento aparece en tu Gateway interna, no existe una subred de solo proxy para esa región. Para resolver este problema, implementa una subred de solo proxy.

generic::invalid_argument: error ensuring load balancer: Insert: Invalid value for field 'resource.target': 'regions/us-west1/targetHttpProxies/gkegw-x5vt-default-internal-http-2jzr7e3xclhj'. A reserved and active subnetwork is required in the same region and VPC as the forwarding rule.

Implementa la Gateway

La siguiente Gateway se crea a partir de la puerta de enlace gke-l7-rilb-mc. Esta es una Gateway regional que solo puede apuntar a clústeres de GKE en la misma región. El selector de Route gateway: multi-cluster-gateway-ilb es el mismo que se aplica al recurso HTTPRoute que se implementa a continuación.

  1. Si aún no lo has hecho, crea una subred de solo proxy para el balanceador de cargas interno. Esto es necesario para que el balanceador de cargas interno funcione correctamente, ya que crea una subred que se usa para proporcionar direccionamiento IP a los proxies de balanceador de cargas. Crea la subred de solo proxy en la misma región en la que se encuentra tu clúster.

  2. Guarda el siguiente manifiesto de Gateway en un archivo llamado internal-http-gateway.yaml:

    kind: Gateway
    apiVersion: networking.x-k8s.io/v1alpha1
    metadata:
      name: internal-http
      namespace: store
    spec:
      gatewayClassName: gke-l7-rilb-mc
      listeners:
      - protocol: HTTP
        port: 80
        routes:
          kind: HTTPRoute
          selector:
            matchLabels:
              gateway: internal-http
    
  3. Aplica el manifiesto de Gateway al clúster de configuración gke-west-1 de este ejemplo:

    kubectl apply -f internal-http-gateway.yaml --context gke-west-1 --namespace store
    
  4. Verifica que la Gateway haya aparecido correctamente. Puedes filtrar solo los eventos de esta Gateway con el siguiente comando:

    kubectl get events --field-selector involvedObject.kind=Gateway,involvedObject.name=internal-http --context=gke-west-1 --namespace store
    

    La implementación de Gateway se realizó de forma correcta si el resultado es similar al siguiente:

    LAST SEEN   TYPE     REASON   OBJECT                  MESSAGE
    22m         Normal   ADD      gateway/internal-http   store/internal-http
    6m50s       Normal   UPDATE   gateway/internal-http   store/internal-http
    11m         Normal   SYNC     gateway/internal-http   store/internal-http
    3m26s       Normal   SYNC     gateway/internal-http   SYNC on store/internal-http was a success
    

Versión canary basada en encabezados

La versión canary basada en encabezados permite que el propietario del servicio haga coincidir el tráfico de prueba sintético que no proviene de usuarios reales. Esta es una forma fácil de validar que la red básica de la aplicación está funcionando sin exponer a los usuarios directamente.

  1. Guarda el siguiente manifiesto YAML como un archivo llamado internal-route-stage-1.yaml.

    kind: HTTPRoute
    apiVersion: networking.x-k8s.io/v1alpha1
    metadata:
      name: internal-store-route
      namespace: store
      labels:
        gateway: internal-http
    spec:
      hostnames:
      - "store.example.internal"
      rules:
    # Matches for env=canary and sends it to store-west-2 ServiceImport
      - matches:
        - headers:
            values:
              env: canary
        forwardTo:
        - backendRef:
            group: net.gke.io
            kind: ServiceImport
            name: store-west-2
          port: 8080
    # All other traffic goes to store-west-1 ServiceImport
      - forwardTo:
        - backendRef:
            group: net.gke.io
            kind: ServiceImport
            name: store-west-1
          port: 8080
    

Una vez implementado, este HTTPRoute configura el siguiente comportamiento de enrutamiento:

  • Las solicitudes internas a store.example.internal sin el encabezado HTTP env: canary se enrutan a los Pods store en el clúster gke-west-1.
  • Las solicitudes internas a store.example.internal con el encabezado HTTP env: canary se enrutan a los Pods store en el clúster gke-west-2.

La HTTPRoute permite el enrutamiento a clústeres diferentes en función de los encabezados HTTP

  1. Aplica internal-route-stage-1.yaml al clúster gke-west-1:

    kubectl apply -f internal-route-stage-1.yaml --context gke-west-1 --namespace store
    

Envía tráfico a la dirección IP de la Gateway para validar que la HTTPRoute funcione correctamente.

  1. Recupera la dirección IP interna de internal-http.

    kubectl get gateway internal-http -o=jsonpath="{.status.addresses[0].value}" --context gke-west-1 --namespace store
    

    Reemplaza VIP en los siguientes pasos por la dirección IP que recibas como resultado.

  1. Envía una solicitud a la Gateway con el encabezado HTTP env: canary. Esto confirmará que el tráfico se enruta a gke-west-2. Usa un cliente privado en la misma VPC que los clústeres de GKE para confirmar que las solicitudes se enrutan de forma correcta. El siguiente comando debe ejecutarse en una máquina que tenga acceso privado a la dirección IP de Gateway o no funcionará.

    curl -H "host: store.example.internal" -H "env: canary" http://VIP
    

    El resultado confirma que un Pod entregó la solicitud desde el clúster gke-west-2:

    {
      "cluster_name": "gke-west-2", 
      "host_header": "store.example.internal",
      "node_name": "gke-gke-west-2-default-pool-4cde1f72-m82p.c.agmsb-k8s.internal",
      "pod_name": "store-5f5b954888-9kdb5",
      "pod_name_emoji": "😂",
      "project_id": "agmsb-k8s",
      "timestamp": "2021-05-31T01:21:55",
      "zone": "us-west1-a"
    }
    

Duplicación de tráfico

En esta etapa, se envía el tráfico al clúster deseado, pero también se duplica ese tráfico en el clúster de versión canary.

  1. Guarda el siguiente manifiesto YAML como un archivo llamado internal-route-stage-2.yaml.

    kind: HTTPRoute
    apiVersion: networking.x-k8s.io/v1alpha1
    metadata:
      name: internal-store-route
      namespace: store
      labels:
        gateway: internal-http
    spec:
      hostnames:
      - "store.example.internal"
      rules:
    # Sends all traffic to store-west-1 ServiceImport
      - forwardTo:
        - backendRef:
            group: net.gke.io
            kind: ServiceImport
            name: store-west-1
          port: 8080
    # Also mirrors all traffic to store-west-2 ServiceImport
        filters:
        - type: RequestMirror
          requestMirror:
            backendRef:
              group: net.gke.io
              kind: ServiceImport
              name: store-west-2
            port: 8080
    
  2. Aplica internal-route-stage-2.yaml al clúster gke-west-1:

    kubectl apply -f internal-route-stage-2.yaml --context gke-west-1 --namespace store
    
  3. Con tu cliente privado, envía una solicitud a la Gateway internal-http. Usa la ruta de acceso /mirror para poder identificar de forma única esta solicitud en los registros de la aplicación en un paso posterior.

    curl -H "host: store.example.internal" http://VIP/mirror
    
  4. El resultado confirma que el cliente recibió una respuesta de un Pod en el clúster gke-west-1:

    {
       "cluster_name": "gke-west-1", 
       "host_header": "store.example.internal",
       "node_name": "gke-gke-west-1-default-pool-65059399-ssfq.c.agmsb-k8s.internal",
       "pod_name": "store-5f5b954888-brg5w",
       "pod_name_emoji": "🎖",
       "project_id": "agmsb-k8s",
       "timestamp": "2021-05-31T01:24:51",
       "zone": "us-west1-a"
    }
    

    Esto confirma que el clúster principal responde al tráfico. Aún debes confirmar que el clúster al que migras reciba tráfico duplicado.

  5. Verifica los registros de la aplicación de un Pod store en el clúster gke-west-2. Los registros deben confirmar que el Pod recibió tráfico duplicado del balanceador de cargas.

    kubectl logs deployment/store --context gke-west-2 -n store | grep /mirror
    
  6. Este resultado confirma que los Pods en el clúster gke-west-2 también reciben las mismas solicitudes. Sin embargo, sus respuestas a estas solicitudes no se envían al cliente. Las direcciones IP que se ven en los registros son las de las direcciones IP internas del balanceador de cargas que se comunican con los Pods.

    Found 2 pods, using pod/store-5f5b954888-gtldf
    2021-05-31 01:32:21,416 ... "GET /mirror HTTP/1.1" 200 -
    2021-05-31 01:32:23,323 ... "GET /mirror HTTP/1.1" 200 -
    2021-05-31 01:32:24,137 ... "GET /mirror HTTP/1.1" 200 -
    

El uso de la duplicación es útil para determinar cómo la carga de tráfico afectará el rendimiento de la aplicación sin afectar de ninguna manera las respuestas a los clientes. Puede no ser necesario para todos los tipos de implementaciones, pero puede ser útil cuando se implementan cambios grandes que podrían afectar el rendimiento o la carga.

División del tráfico

La división del tráfico es uno de los métodos más comunes para implementar código nuevo o implementar en entornos nuevos de forma segura. El propietario del servicio establece un porcentaje explícito de tráfico que se envía a los backends de versión canary, que suele ser una cantidad muy pequeña del tráfico general para que el éxito de la implementación se pueda determinar con una cantidad aceptable de riesgos para las solicitudes de usuarios reales.

  1. Guarda el siguiente manifiesto YAML como un archivo llamado internal-route-stage-3.yaml.

    kind: HTTPRoute
    apiVersion: networking.x-k8s.io/v1alpha1
    metadata:
      name: internal-store-route
      namespace: store
      labels:
        gateway: internal-http
    spec:
      hostnames:
      - "store.example.internal"
      rules:
    # 90% of traffic to store-west-1 ServiceImport
      - forwardTo:
        - backendRef:
            group: net.gke.io
            kind: ServiceImport
            name: store-west-1
          port: 8080
          weight: 90
    # 10% of traffic to store-west-2 ServiceImport
        - backendRef:
            group: net.gke.io
            kind: ServiceImport
            name: store-west-2
          port: 8080
          weight: 10
    
  2. Aplica internal-route-stage-3.yaml al clúster gke-west-1:

    kubectl apply -f internal-route-stage-3.yaml --context gke-west-1 --namespace store
    
  3. Con tu cliente privado, envía una solicitud curl continua a la Gateway internal- http.

    while true; do curl -H "host: store.example.internal" -s VIP | grep "cluster_name"; sleep 1; done
    

    El resultado será similar a este, lo que indica que se está realizando una división del tráfico de 90/10.

    "cluster_name": "gke-west-1",
    "cluster_name": "gke-west-1",
    "cluster_name": "gke-west-1",
    "cluster_name": "gke-west-1",
    "cluster_name": "gke-west-1",
    "cluster_name": "gke-west-1",
    "cluster_name": "gke-west-1",
    "cluster_name": "gke-west-1",
    "cluster_name": "gke-west-2",
    "cluster_name": "gke-west-1",
    "cluster_name": "gke-west-1",
    ...
    

Si se hace una división del tráfico con una minoría del tráfico, el propietario del servicio puede inspeccionar el estado de la aplicación y las respuestas. Si todos los indicadores se ven en buen estado, puede continuar con la migración de sistemas completa.

Migración de tráfico

La última etapa de la migración azul-verde es migrar por completo al clúster nuevo y quitar el clúster anterior. Si el propietario del servicio estuviera integrando un segundo clúster a un clúster existente, este último paso sería diferente, ya que el último paso tendría tráfico hacia ambos clústeres. En ese caso, se recomienda una sola ServiceImport store que tenga Pods de los clústeres gke-west-1 y gke-west-2. Esto permite que el balanceador de cargas tome la decisión de dónde debe dirigirse el tráfico para una aplicación activa-activa, según la proximidad, el estado y la capacidad.

  1. Guarda el siguiente manifiesto YAML como un archivo llamado internal-route-stage-4.yaml.

    kind: HTTPRoute
    apiVersion: networking.x-k8s.io/v1alpha1
    metadata:
      name: internal-store-route
      namespace: store
      labels:
        gateway: internal-http
    spec:
      hostnames:
      - "store.example.internal"
      rules:
    # No traffic to the store-west-1 ServiceImport
      - forwardTo:
        - backendRef:
            group: net.gke.io
            kind: ServiceImport
            name: store-west-1
          port: 8080
          weight: 0
    # All traffic to the store-west-2 ServiceImport
        - backendRef:
            group: net.gke.io
            kind: ServiceImport
            name: store-west-2
          port: 8080
          weight: 100
    
  2. Aplica internal-route-stage-4.yaml al clúster gke-west-1:

    kubectl apply -f internal-route-stage-4.yaml --context gke-west-1 --namespace store
    
  3. Con tu cliente privado, envía una solicitud curl continua a la Gateway internal- http.

    while true; do curl -H "host: store.example.internal" -s VIP | grep "cluster_name"; sleep 1; done
    

    El resultado será similar a este, lo que indica que todo el tráfico se dirige ahora a gke-west-2.

    "cluster_name": "gke-west-2",
    "cluster_name": "gke-west-2",
    "cluster_name": "gke-west-2",
    "cluster_name": "gke-west-2",
    ...
    

En este último paso, se completa una migración de aplicación azul-verde de un clúster de GKE a otro.

¿Qué sigue?