Utilizzo del proxy Envoy per bilanciare il carico dei servizi gRPC su GKE

prepara l'ambiente

1. In Cloud Shell, imposta il progetto Google Cloud che vuoi utilizzare per questo tutorial:

   gcloud config set project PROJECT_ID
   

   Sostituisci PROJECT_ID con l'ID del tuo progetto Google Cloud.

2. Abilita le API Artifact Registry e GKE:

   gcloud services enable artifactregistry.googleapis.com \
       container.googleapis.com
   

Crea il cluster GKE

1. In Cloud Shell, crea un cluster GKE per l'esecuzione dei servizi gRPC:

   gcloud container clusters create envoy-grpc-tutorial \
       --enable-ip-alias \
       --release-channel rapid \
       --scopes cloud-platform \
       --workload-pool PROJECT_ID.svc.id.goog \
       --zone us-central1-f
   

   Questo tutorial utilizza la zona us-central1-f. Puoi utilizzare una zona o regione diversa.

2. Verifica che il contesto kubectl sia stato configurato elencando i nodi nel tuo cluster:

   kubectl get nodes --output name
   

   L'output è simile a questo:

   node/gke-envoy-grpc-tutorial-default-pool-c9a3c791-1kpt
   node/gke-envoy-grpc-tutorial-default-pool-c9a3c791-qn92
   node/gke-envoy-grpc-tutorial-default-pool-c9a3c791-wf2h
   

Crea il repository Artifact Registry

1. In Cloud Shell, crea un nuovo repository per archiviare le immagini container:

   gcloud artifacts repositories create envoy-grpc-tutorial-images \
       --repository-format docker \
       --location us-central1
   

   Puoi creare il repository nella stessa regione del cluster GKE per ottimizzare la latenza e la larghezza di banda di rete quando i nodi estraggono le immagini container.

2. Concedi il ruolo Lettore Artifact Registry nel repository all'account di servizio Google utilizzato dalle VM nodo del cluster GKE:

   PROJECT_NUMBER=$(gcloud projects describe PROJECT_ID --format 'value(projectNumber)')
   
   gcloud artifacts repositories add-iam-policy-binding envoy-grpc-tutorial-images \
       --location us-central1 \
       --member serviceAccount:$PROJECT_NUMBER-compute@developer.gserviceaccount.com \
       --role roles/artifactregistry.reader
   

3. Aggiungi una voce dell'helper per le credenziali per il nome host del repository al file di configurazione Docker nella home directory di Cloud Shell:

   gcloud auth configure-docker us-central1-docker.pkg.dev
   

   La voce dell'helper per le credenziali consente agli strumenti per immagini container in esecuzione in Cloud Shell di eseguire l'autenticazione nella posizione del repository Artifact Registry per il pull e il push delle immagini.

esegui il deployment dei servizi gRPC

Per instradare il traffico a più servizi gRPC dietro un bilanciatore del carico, esegui il deployment di due servizi gRPC di esempio: echo-grpc e reverse-grpc. Entrambi i servizi espongono un metodo unario che accetta una stringa nel campo della richiesta content. echo-grpc risponde con i contenuti inalterati, mentre reverse-grpc risponde con la stringa di contenuti invertita.

1. In Cloud Shell, clona il repository contenente i servizi gRPC e passa alla directory del repository:

   git clone https://github.com/GoogleCloudPlatform/grpc-gke-nlb-tutorial.git ~/grpc-gke-nlb-tutorial
   
   cd ~/grpc-gke-nlb-tutorial
   

2. Crea un certificato TLS autofirmato e una chiave privata:

   openssl req -x509 -newkey rsa:4096 -nodes -sha256 -days 365 \
       -keyout privkey.pem -out cert.pem -extensions san \
       -config \
       <(echo "[req]";
         echo distinguished_name=req;
         echo "[san]";
         echo subjectAltName=DNS:grpc.example.com
        ) \
       -subj '/CN=grpc.example.com'
   

3. Crea un secret di Kubernetes denominato envoy-certs che contiene il certificato TLS autofirmato e la chiave privata:

   kubectl create secret tls envoy-certs \
       --key privkey.pem --cert cert.pem \
       --dry-run=client --output yaml | kubectl apply --filename -
   

   Envoy utilizza questo certificato TLS e questa chiave privata quando termina le connessioni TLS.

4. Crea le immagini container per le app di esempio echo-grpc e reverse-grpc, esegui il push delle immagini in Artifact Registry ed esegui il deployment delle app nel cluster GKE utilizzando Skaffold:

   skaffold run \
       --default-repo=us-central1-docker.pkg.dev/PROJECT_ID/envoy-grpc-tutorial-images \
       --module=echo-grpc,reverse-grpc \
       --skip-tests
   

   Skaffold è uno strumento open source di Google che automatizza i flussi di lavoro per lo sviluppo, la creazione, il push e il deployment di applicazioni come container.

5. Esegui il deployment di Envoy nel cluster GKE utilizzando Skaffold:

   skaffold run \
       --digest-source=none \
       --module=envoy \
       --skip-tests
   

6. Verifica che due pod siano pronti per ogni deployment:

   kubectl get deployments
   

   L'output è simile al seguente. I valori di READY devono essere 2/2 per tutti i deployment.

   NAME           READY   UP-TO-DATE   AVAILABLE   AGE
   echo-grpc      2/2     2            2           1m
   envoy          2/2     2            2           1m
   reverse-grpc   2/2     2            2           1m
   

7. Verifica che echo-grpc, envoy e reverse-grpc esistano come servizi Kubernetes:

   kubectl get services --selector skaffold.dev/run-id
   

   L'output è simile al seguente. Sia echo-grpc che reverse-grpc devono avere TYPE=ClusterIP e CLUSTER-IP=None.

   NAME           TYPE           CLUSTER-IP    EXTERNAL-IP      PORT(S)         AGE
   echo-grpc      ClusterIP      None          <none>           8081/TCP        2m
   envoy          LoadBalancer   10.40.2.203   203.0.113.1      443:31516/TCP   2m
   reverse-grpc   ClusterIP      None          <none>           8082/TCP        2m
   

Testa i servizi gRPC

Per testare i servizi, utilizza lo strumento a riga di comando grpcurl.

1. In Cloud Shell, installa grpcurl:

   go install github.com/fullstorydev/grpcurl/cmd/grpcurl@latest
   

2. Recupera l'indirizzo IP esterno del servizio Kubernetes envoy e archivialo in una variabile di ambiente:

   EXTERNAL_IP=$(kubectl get service envoy \
       --output=jsonpath='{.status.loadBalancer.ingress[0].ip}')
   

3. Invia una richiesta all'app di esempio echo-grpc:

   grpcurl -v -d '{"content": "echo"}' \
       -proto echo-grpc/api/echo.proto \
       -authority grpc.example.com -cacert cert.pem \
       $EXTERNAL_IP:443 api.Echo/Echo
   

   L'output è simile a questo:

   Resolved method descriptor:
   rpc Echo ( .api.EchoRequest ) returns ( .api.EchoResponse );
   
   Request metadata to send:
   (empty)
   
   Response headers received:
   content-type: application/grpc
   date: Wed, 02 Jun 2021 07:18:22 GMT
   hostname: echo-grpc-75947768c9-jkdcw
   server: envoy
   x-envoy-upstream-service-time: 3
   
   Response contents:
   {
     "content": "echo"
   }
   
   Response trailers received:
   (empty)
   Sent 1 request and received 1 response
   

   L'intestazione della risposta hostname mostra il nome del pod echo-grpc che ha gestito la richiesta. Se ripeti il comando alcune volte, dovresti vedere due diversi valori per l'intestazione della risposta hostname, corrispondenti ai nomi dei pod echo-grpc.

4. Verifica lo stesso comportamento con il servizio gRPC inverso:

   grpcurl -v -d '{"content": "reverse"}' \
       -proto reverse-grpc/api/reverse.proto \
       -authority grpc.example.com -cacert cert.pem \
       $EXTERNAL_IP:443 api.Reverse/Reverse
   

   L'output è simile a questo:

   Resolved method descriptor:
   rpc Reverse ( .api.ReverseRequest ) returns ( .api.ReverseResponse );
   
   Request metadata to send:
   (empty)
   
   Response headers received:
   content-type: application/grpc
   date: Wed, 02 Jun 2021 07:20:15 GMT
   hostname: reverse-grpc-5c9b974f54-wlfwt
   server: envoy
   x-envoy-upstream-service-time: 1
   
   Response contents:
   {
     "content": "esrever"
   }
   
   Response trailers received:
   (empty)
   Sent 1 request and received 1 response
   

Configurazione Envoy

Per comprendere meglio la configurazione Envoy, puoi guardare il file di configurazione envoy/k8s/envoy.yaml nel repository Git.

La sezione route_config specifica in che modo le richieste in entrata vengono instradate alle app di esempio echo-grpc e reverse-grpc.

route_config:
  name: local_route
  virtual_hosts:
  - name: local_service
    domains:
    - "*"
    routes:
    - match:
        prefix: "/api.Echo/"
      route:
        cluster: echo-grpc
    - match:
        prefix: "/api.Reverse/"
      route:
        cluster: reverse-grpc

Le app di esempio sono definite come cluster Envoy.

clusters:
- name: echo-grpc
  connect_timeout: 0.5s
  type: STRICT_DNS
  dns_lookup_family: V4_ONLY
  lb_policy: ROUND_ROBIN
  http2_protocol_options: {}
  load_assignment:
    cluster_name: echo-grpc
    endpoints:
    - lb_endpoints:
      - endpoint:
          address:
            socket_address:
              address: echo-grpc.default.svc.cluster.local
              port_value: 8081
  health_checks:
    timeout: 1s
    interval: 10s
    unhealthy_threshold: 2
    healthy_threshold: 2
    grpc_health_check: {}

I campi type: STRICT_DNS e lb_policy: ROUND_ROBIN della definizione del cluster specificano che Envoy esegue ricerche DNS del nome host specificato nel campo address e bilancia il carico tra gli indirizzi IP nella risposta alla ricerca DNS. La risposta contiene più indirizzi IP perché gli oggetti dei servizi Kubernetes che definiscono le app di esempio specificano servizi headless.

Il campo http2_protocol_options specifica che Envoy utilizza il protocollo HTTP/2 per le app di esempio.

Il campo grpc_health_check nella sezione health_checks specifica che Envoy utilizza il protocollo del controllo di integrità gRPC per determinare l'integrità delle app di esempio.

Risolvere i problemi

In caso di problemi con questo tutorial, ti consigliamo di consultare questi documenti:

• Risoluzione dei problemi di GKE
• Risoluzione dei problemi dei cluster Kubernetes
• Risoluzione dei problemi delle applicazioni di cui è stato eseguito il deployment in Kubernetes

Puoi anche esplorare l'interfaccia di amministrazione di Envoy per diagnosticare i problemi della configurazione Envoy.

1. Per aprire l'interfaccia di amministrazione, configura il port forwarding da Cloud Shell alla porta admin di uno dei pod Envoy:

   kubectl port-forward \
       $(kubectl get pods -o name | grep envoy | head -n1) 8080:8090
   

2. Attendi finché non viene visualizzato questo output nella console:

   Forwarding from 127.0.0.1:8080 -> 8090
   

3. Fai clic sul pulsante Anteprima web in Cloud Shell e seleziona Anteprima sulla porta 8080. Si aprirà una nuova finestra del browser con l'interfaccia di amministrazione.

   

4. Al termine, torna a Cloud Shell e premi Control+C per terminare il port forwarding.

Metodi alternativi per instradare il traffico gRPC

Puoi modificare questa soluzione in diversi modi per adattarla al tuo ambiente.

Bilanciatori del carico alternativi a livello di applicazione

Alcune delle funzionalità a livello di applicazione fornite da Envoy possono essere fornite anche da altre soluzioni di bilanciamento del carico:

• Puoi utilizzare un Application Load Balancer esterno globale o un Application Load Balancer esterno regionale anziché un bilanciatore del carico di rete passthrough esterno o un Envoy autogestito. L'utilizzo di un bilanciatore del carico delle applicazioni esterno offre diversi vantaggi rispetto a un bilanciatore del carico di rete passthrough esterno, come funzionalità di gestione avanzata del traffico, certificati TLS gestiti e integrazione con altri prodotti Google Cloud come Cloud CDN, Google Cloud Armor e IAP.

  Ti consigliamo di utilizzare un Application Load Balancer esterno globale o un Application Load Balancer esterno regionale se le funzionalità di gestione del traffico che offrono soddisfano i tuoi casi d'uso e se non hai bisogno di supporto per l'autenticazione basata su certificati client, nota anche come autenticazione TLS reciproca (mTLS). Per ulteriori informazioni, consulta i seguenti documenti:

  • Panoramica della gestione del traffico per Application Load Balancer esterni globali
  • Panoramica della gestione del traffico per Application Load Balancer esterni regionali

• Se utilizzi Anthos Service Mesh o Istio, puoi usarne le funzionalità per instradare e bilanciare il carico del traffico gRPC. Sia Anthos Service Mesh che Istio forniscono un gateway in entrata di cui viene eseguito il deployment come bilanciatore del carico di rete passthrough esterno con un backend Envoy, in modo simile all'architettura di questo tutorial. La differenza principale è che Envoy viene configurata tramite gli oggetti di routing del traffico di Istio.

  Per rendere i servizi di esempio in questo tutorial instradabili nel mesh di servizi Anthos o Istio, devi rimuovere la riga clusterIP: None dai manifest del servizio Kubernetes (echo-service.yaml e reverse-service.yaml). Ciò significa utilizzare la funzionalità di Service Discovery e bilanciamento del carico di Anthos Service Mesh o Istio anziché la funzionalità simile di Envoy.

  Se utilizzi già Anthos Service Mesh o Istio, ti consigliamo di utilizzare il gateway in entrata per instradare i servizi gRPC.

• Puoi utilizzare NGINX al posto di Envoy, come deployment o utilizzando il controller Ingress NGINX per Kubernetes. Envoy viene utilizzato in questo tutorial perché offre funzionalità gRPC più avanzate, come il supporto per il protocollo per il controllo di integrità gRPC.

Connettività di rete VPC interna

Se vuoi esporre i servizi all'esterno del tuo cluster GKE, ma solo all'interno della tua rete VPC, puoi utilizzare un bilanciatore del carico di rete passthrough interno o un bilanciatore del carico delle applicazioni interno.

Per utilizzare un bilanciatore del carico di rete passthrough interno anziché un bilanciatore del carico di rete passthrough esterno, aggiungi l'annotazione cloud.google.com/load-balancer-type: "Internal" al manifest envoy-service.yaml.

Per utilizzare un bilanciatore del carico delle applicazioni interno, consulta la documentazione sulla configurazione di Ingress per bilanciatori del carico delle applicazioni interni.