Configura el balanceador de cargas de aplicaciones clásico para Cloud Service Mesh
Descripción general
Este documento es para ti si eres un usuario existente de Cloud Service Mesh que tiene el plano de control administrado de Istio y deseas configurar el balanceador de cargas de aplicaciones clásico como una puerta de enlace de entrada. El balanceador de cargas de aplicaciones clásico también se conoce como balanceador de cargas de aplicaciones externo clásico.
No uses este documento si eres un usuario nuevo de Cloud Service Mesh. Los usuarios nuevos se configuran automáticamente con el plano de control administrado de Cloud Service Mesh. No puedes usar la configuración que se describe en este documento con el plano de control administrado de Cloud Service Mesh.
El balanceo de cargas de Cloud proporciona muchas capacidades de borde administradas en la nube, como el balanceo de cargas anycast global, los certificados administrados por Google, Identity and Access Management, el firewall de nueva generación de Cloud y el sistema de detección de intrusiones de Cloud. Cloud Service Mesh puede integrar sin problemas estas funciones de perímetro en el siguiente modelo de entrada de malla. La puerta de enlace de Cloud Service Mesh proporciona una forma unificada de configurar la puerta de enlace de entrada de Cloud Service Mesh con el balanceo de cargas de Cloud de forma simultánea a través de la API de la puerta de enlace de Kubernetes.
En comparación con nuestra guía de usuario anterior, Del perímetro a la malla: Exposición de aplicaciones de la malla de servicios a través de Ingress de GKE, con la puerta de enlace de la nube de la malla de servicios, este modelo ahora se puede implementar a través de un recurso de puerta de enlace de Kubernetes que simplifica el proceso de implementación del balanceo de cargas alojado en la nube y en el clúster.
Limitaciones de la vista previa
En la versión preliminar de esta función, se aplican las siguientes limitaciones:
- No se admiten puertas de enlace de varios clústeres.
- Los clústeres de Autopilot no son compatibles.
- Solo se admite el balanceador de cargas de aplicaciones clásico. No se admiten el balanceador de cargas de aplicaciones externo global (a veces llamado balanceador de cargas avanzado) ni el balanceador de cargas de aplicaciones interno.
- El tráfico entre el balanceador de cargas de aplicaciones clásico y la puerta de enlace de entrada de Cloud Service Mesh se encripta con TLS. Sin embargo, el balanceador de cargas de aplicaciones clásico no verificará el certificado que proporciona la puerta de enlace de entrada de Cloud Service Mesh. Esta limitación se aplica a todos los usuarios del Google Cloud balanceador de cargas de HTTP(S).
- Si se borran los
GatewayClasses
de Cloud Service Mesh de un clúster, no se volverán a instalar automáticamente. Sin embargo, esto no afectará la usabilidad de la función. - La lógica de coincidencia de rutas no sigue las especificaciones de la API de Gateway y, en su lugar, coincide con el orden de
HTTPRoute
. Esto cambiará en versiones futuras para seguir las especificaciones de la API de Gateway.
Requisitos
- Cloud Service Mesh administrado instalado en un clúster de Google Kubernetes Engine (GKE) que ejecute la versión 1.24 o una posterior No se admiten otros clústeres de GKE Enterprise.
- Solo la versión v1beta1 de la API de Kubernetes Gateway
Requisitos previos
Habilita las siguientes APIs en tu proyecto:
- compute.googleapis.com
- container.googleapis.com
- certificatemanager.googleapis.com
- serviceusage.googleapis.com
gcloud services enable \ compute.googleapis.com \ container.googleapis.com \ certificatemanager.googleapis.com \ serviceusage.googleapis.com
Implementa la puerta de enlace de Cloud malla de servicios para una malla de un solo clúster
En esta sección, se muestra cómo implementar un recurso de puerta de enlace de Kubernetes que implementa un balanceador de cargas de aplicaciones clásico y una puerta de enlace de entrada de Cloud Service Mesh.
Habilita la API de Gateway con la malla de servicios administrada de Cloud
Habilita la API de Gateway en tu clúster. El clúster de GKE debe estar en la versión 1.24 o posterior.
Instala Cloud Service Mesh administrado con
rapid
oregular
como canal de lanzamiento.
Implementa el recurso de puerta de enlace
Cuando se implementa la puerta de enlace de la malla de servicios en la nube, los recursos de la puerta de enlace de Kubernetes se usan para implementar la puerta de enlace de entrada de Cloud Load Balancing y Cloud Service Mesh en un solo paso. Ten en cuenta que los recursos de la puerta de enlace de Kubernetes son diferentes de los de la puerta de enlace de Istio.
Para obtener más información sobre las diferencias, consulta Puertas de enlace de Kubernetes y puertas de enlace de Istio. Cada puerta de enlace de Kubernetes tiene una GatewayClass que indica su tipo y sus capacidades inherentes. La puerta de enlace de Cloud malla de servicios tiene una GatewayClass que tiene la capacidad de implementar la puerta de enlace de entrada de Cloud Load Balancing y Cloud Service Mesh.
Guarda el siguiente manifiesto de GatewayClass en un archivo llamado
l7-gateway-class.yaml
:apiVersion: gateway.networking.k8s.io/v1beta1 kind: GatewayClass metadata: name: asm-l7-gxlb spec: controllerName: mesh.cloud.google.com/gateway
Implementa la GatewayClass en tu clúster:
kubectl apply -f l7-gateway-class.yaml
Verifica que GatewayClass esté presente después de la instalación:
kubectl get gatewayclasses.gateway.networking.k8s.io
El resultado es similar al siguiente:
NAME CONTROLLER asm-l7-gxlb mesh.cloud.google.com/gateway gke-l7-rilb networking.gke.io/gateway gke-l7-gxlb networking.gke.io/gateway
Es posible que la implementación de todos los recursos tarde unos minutos. Si no ves el resultado esperado, verifica que hayas cumplido correctamente con los requisitos previos.
También verás la siguiente GatewayClass:
gke-l7-gxlb networking.gke.io/gateway
Se usa para implementar el balanceador de cargas de aplicaciones clásico subyacente de Google Cloud.
Crea un espacio de nombres dedicado para la puerta de enlace de la nube de tu malla de servicios:
kubectl create namespace istio-ingress
Guarda el siguiente manifiesto de Gateway en un archivo llamado
gateway.yaml
:kind: Gateway apiVersion: gateway.networking.k8s.io/v1beta1 metadata: name: servicemesh-cloud-gw namespace: istio-ingress spec: gatewayClassName: asm-l7-gxlb listeners: - name: http protocol: HTTP port: 80 allowedRoutes: namespaces: from: All
Implementa la puerta de enlace en tu clúster en el espacio de nombres istio-ingress:
kubectl apply -f gateway.yaml
Verifica que se hayan creado los objetos de la API de la puerta de enlace de Kubernetes:
kubectl get gateways.gateway.networking.k8s.io -n istio-ingress
El resultado es similar al siguiente:
NAME CLASS ADDRESS READY AGE asm-gw-gke-servicemesh-cloud-gw gke-l7-gxlb 34.111.114.64 True 9m40s asm-gw-istio-servicemesh-cloud-gw istio 9m44s servicemesh-cloud-gw asm-l7-gxlb 9m44s
Cuando se implemente este objeto de la API de Kubernetes Gateway, ocurrirá lo siguiente:
- Se implementa y configura un balanceador de cargas HTTP(S) externo. Es posible que demore unos minutos en aparecer, pero, cuando lo haga, la puerta de enlace indicará la dirección IP y se anotará con los nombres de los recursos del balanceador de cargas de Compute Engine que se crearon.
- Se crea una Deployment de puerta de enlace de entrada de Cloud Service Mesh en el espacio de nombres istio-ingress. Esto crea las instancias de proxy de Envoy que recibirán tráfico del balanceador de cargas.
- El balanceador de cargas encriptará y enrutará todo el tráfico a la puerta de enlace de entrada de Cloud Service Mesh.
Ahora tienes toda la infraestructura necesaria para aceptar el tráfico de Internet en tu malla. Ten en cuenta que esta es la implementación de puerta de enlace más simple posible. En las siguientes secciones, agregarás políticas y capacidades adicionales que lo prepararán para la producción.
Implementación de apps y enrutamiento
Para demostrar por completo las capacidades, implementarás una aplicación en Cloud Service Mesh y recibirás tráfico de Internet a través de tu puerta de enlace, por ejemplo.
Etiqueta el espacio de nombres
default
para habilitar la inserción del sidecar.kubectl label namespace default istio-injection=enabled istio.io/rev- --overwrite
Guarda el siguiente manifiesto de Gateway en un archivo llamado
whereami.yaml
:apiVersion: apps/v1 kind: Deployment metadata: name: whereami-v1 spec: replicas: 2 selector: matchLabels: app: whereami-v1 template: metadata: labels: app: whereami-v1 spec: containers: - name: whereami image: us-docker.pkg.dev/google-samples/containers/gke/whereami:v1 ports: - containerPort: 8080 env: - name: METADATA value: "whereami-v1" --- apiVersion: v1 kind: Service metadata: name: whereami-v1 spec: selector: app: whereami-v1 ports: - port: 8080 targetPort: 8080 --- apiVersion: apps/v1 kind: Deployment metadata: name: whereami-v2 spec: replicas: 2 selector: matchLabels: app: whereami-v2 template: metadata: labels: app: whereami-v2 spec: containers: - name: whereami image: us-docker.pkg.dev/google-samples/containers/gke/whereami:v1 ports: - containerPort: 8080 env: - name: METADATA value: "whereami-v2" --- apiVersion: v1 kind: Service metadata: name: whereami-v2 spec: selector: app: whereami-v2 ports: - port: 8080 targetPort: 8080
Este manifiesto crea
Service/whereami-v1
,Service/whereami-v2
,Deployment/whereami-v1
yDeployment/whereami-v2
para whereami, una aplicación simple que genera JSON para indicar su identidad y ubicación. Implementarás dos versiones diferentes.Crea los servicios y las implementaciones:
kubectl apply -f whereami.yaml
Una vez que esté en funcionamiento, tendrás cuatro pods de whereami en ejecución en tu clúster.
Verifica que los cuatro pods se estén ejecutando:
kubectl get pods
El resultado es similar al siguiente:
whereami-v1-7c76d89d55-qg6vs 2/2 Running 0 28s whereami-v1-7c76d89d55-vx9nm 2/2 Running 0 28s whereami-v2-67f6b9c987-p9kqm 2/2 Running 0 27s whereami-v2-67f6b9c987-qhj76 2/2 Running 0 27s
Guarda el siguiente manifiesto de HTTPRoute en un archivo llamado
http-route.yaml
:kind: HTTPRoute apiVersion: gateway.networking.k8s.io/v1beta1 metadata: name: where-route spec: parentRefs: - kind: Gateway name: servicemesh-cloud-gw namespace: istio-ingress hostnames: - "where.example.com" rules: - matches: - headers: - name: version value: v2 backendRefs: - name: whereami-v2 port: 8080 - backendRefs: - name: whereami-v1 port: 8080
Implementa
http-route.yaml
en el clúster:kubectl apply -f http-route.yaml
Esta HTTPRoute hace referencia a
servicemesh-cloud-gw
, lo que significa que configurará la puerta de enlace de Cloud Service Mesh para que configure la puerta de enlace de entrada de Cloud Service Mesh subyacente con estas reglas de enrutamiento. HTTPRoute realiza la misma función que Istio VirtualService, pero usa la API de Kubernetes Gateway para hacerlo. Como la API de Gateway es una especificación de OSS con muchas implementaciones subyacentes, es la mejor API adecuada para definir el enrutamiento en una combinación de diferentes balanceadores de cargas (como los proxies y balanceadores de cargas de Cloud Service Mesh).Recupera la dirección IP de la puerta de enlace para que puedas enviar tráfico a tu aplicación:
VIP=$(kubectl get gateways.gateway.networking.k8s.io asm-gw-gke-servicemesh-cloud-gw -o=jsonpath="{.status.addresses[0].value}" -n istio-ingress)
El resultado es una dirección IP.
echo $VIP 34.111.61.135
Envía tráfico a la dirección IP de la puerta de enlace para validar que esta configuración funcione correctamente. Envía una solicitud con el encabezado
version: v2
y una sin él para determinar que el enrutamiento se realiza correctamente en las dos versiones de la aplicación.curl ${VIP} -H "host: where.example.com" { "cluster_name": "gke1", "host_header": "where.example.com", "metadata": "whereami-v1", "node_name": "gke-gke1-default-pool-9b3b5b18-hw5z.c.church-243723.internal", "pod_name": "whereami-v1-67d9c5d48b-zhr4l", "pod_name_emoji": "⚒", "project_id": "church-243723", "timestamp": "2021-02-08T18:55:01", "zone": "us-central1-a" } curl ${VIP} -H "host: where.example.com" -H "version: v2" { "cluster_name": "gke1", "host_header": "where.example.com", "metadata": "whereami-v2", "node_name": "gke-gke1-default-pool-9b3b5b18-hw5z.c.church-243723.internal", "pod_name": "whereami-v2-67d9c5d48b-zhr4l", "pod_name_emoji": "⚒", "project_id": "church-243723", "timestamp": "2021-02-08T18:55:01", "zone": "us-central1-a" }
Implementación de la puerta de enlace de producción
En la sección anterior, se mostró un ejemplo muy simple de la puerta de enlace de la nube de la malla de servicios. En los siguientes pasos, se basa en el ejemplo simple para mostrar una configuración lista para producción que demuestra las ventajas de delegar algunas de las funciones de enrutamiento de entrada al balanceador de cargas.
En el siguiente ejemplo, tomarás el servicemesh-cloud-gw
de la sección anterior y agregarás las siguientes funciones para crear una puerta de enlace más segura y fácil de administrar:
- Implementa la puerta de enlace con una dirección IP estática que se retendrá incluso si cambia la infraestructura subyacente.
- Convierte la puerta de enlace para que reciba tráfico HTTPS con un certificado autofirmado.
Crea una dirección IP externa estática. Una IP estática es útil porque la infraestructura subyacente puede cambiar en el futuro, pero la dirección IP se puede retener.
gcloud compute addresses create whereami-ip \ --global \ --project PROJECT_ID
Crea un certificado autofirmado para el dominio
where-example-com
:openssl genrsa -out key.pem 2048 cat <<EOF >ca.conf [req] default_bits = 2048 req_extensions = extension_requirements distinguished_name = dn_requirements prompt = no [extension_requirements] basicConstraints = CA:FALSE keyUsage = nonRepudiation, digitalSignature, keyEncipherment subjectAltName = @sans_list [dn_requirements] 0.organizationName = example commonName = where.example.com [sans_list] DNS.1 = where.example.com EOF
openssl req -new -key key.pem \ -out csr.pem \ -config ca.conf
openssl x509 -req \ -signkey key.pem \ -in csr.pem \ -out cert.pem \ -extfile ca.conf \ -extensions extension_requirements \ -days 365
gcloud compute ssl-certificates create where-example-com \ --certificate=cert.pem \ --private-key=key.pem \ --global \ --project PROJECT_ID
Existen muchas formas de generar certificados TLS. Se pueden generar de forma manual en la línea de comandos, mediante certificados administrados por Google o de forma interna en el sistema de infraestructura de clave pública (PKI) de tu empresa. En este ejemplo, generas manualmente un certificado autofirmado. Si bien los certificados autofirmados no se suelen usar para servicios públicos, demuestran estos conceptos con mayor facilidad.
Para obtener más información sobre cómo crear un certificado autofirmado a través de un Secret de Kubernetes, consulta Protege una puerta de enlace.
Actualiza
gateway.yaml
con el siguiente manifiesto:kind: Gateway apiVersion: gateway.networking.k8s.io/v1beta1 metadata: name: servicemesh-cloud-gw namespace: istio-ingress spec: gatewayClassName: asm-l7-gxlb listeners: - name: http protocol: HTTP port: 80 allowedRoutes: namespaces: from: All - name: https protocol: HTTPS port: 443 allowedRoutes: namespaces: from: All tls: mode: Terminate options: networking.gke.io/pre-shared-certs: where-example-com addresses: - type: NamedAddress value: whereami-ip
Vuelve a implementar la puerta de enlace en tu clúster:
kubectl apply -f gateway.yaml
Obtén la dirección IP de la IP estática:
VIP=$(gcloud compute addresses describe whereami-ip --global --format="value(address)")
Usa
curl
para acceder al dominio de la puerta de enlace. Debido a que el DNS no está configurado para este dominio, usa la opción --resolve para indicarle a curl que resuelva el nombre de dominio a la dirección IP de la puerta de enlace:curl https://where.example.com --resolve where.example.com:443:${VIP} --cacert cert.pem -v
Una vez que se complete, el resultado será similar al siguiente:
... * TLSv1.2 (OUT), TLS handshake, Client hello (1): * TLSv1.2 (IN), TLS handshake, Server hello (2): * TLSv1.2 (IN), TLS handshake, Certificate (11): * TLSv1.2 (IN), TLS handshake, Server key exchange (12): * TLSv1.2 (IN), TLS handshake, Server finished (14): * TLSv1.2 (OUT), TLS handshake, Client key exchange (16): * TLSv1.2 (OUT), TLS change cipher, Change cipher spec (1): * TLSv1.2 (OUT), TLS handshake, Finished (20): * TLSv1.2 (IN), TLS change cipher, Change cipher spec (1): * TLSv1.2 (IN), TLS handshake, Finished (20): * SSL connection using TLSv1.2 / ECDHE-RSA-CHACHA20-POLY1305 * ALPN, server accepted to use h2 * Server certificate: * subject: O=example; CN=where.example.com * start date: Apr 19 15:54:50 2021 GMT * expire date: Apr 19 15:54:50 2022 GMT * common name: where.example.com (matched) * issuer: O=example; CN=where.example.com * SSL certificate verify ok. ... { "cluster_name": "gke1", "host_header": "where.example.com", "metadata": "where-v1", "node_name": "gke-gw-default-pool-51ccbf30-yya8.c.agmsb-k8s.internal", "pod_name": "where-v1-84b47c7f58-tj5mn", "pod_name_emoji": "😍", "project_id": "agmsb-k8s", "timestamp": "2021-04-19T16:30:08", "zone": "us-west1-a" }
El resultado detallado incluye un protocolo de enlace TLS exitoso seguido de una respuesta de la aplicación, como el siguiente resultado. Esto demuestra que TLS se cierra en la puerta de enlace correctamente y que la aplicación responde al cliente de forma segura.
Implementaste correctamente la siguiente arquitectura:
servicemesh-cloud-gw
y su GatewayClass asm-l7-gxlb
abstrajeron
algunos componentes de infraestructura interna para simplificar la experiencia del usuario.
Cloud Load Balancing finaliza el tráfico TLS con un certificado interno y también verifica el estado de la capa de proxy de la puerta de enlace de entrada de la malla de servicios de Cloud. El whereami-route
implementado en la implementación de App y enrutamiento configura los proxies de la puerta de enlace de entrada de Cloud Service Mesh para enrutar el tráfico al servicio alojado en la malla correcto.
En el siguiente ejemplo, tomarás el servicemesh-cloud-gw
de la sección anterior y agregarás las siguientes funciones para crear una puerta de enlace más segura y fácil de administrar:
- Implementa la puerta de enlace con una dirección IP estática que se retendrá incluso si cambia la infraestructura subyacente.
- Convierte la puerta de enlace para que reciba tráfico HTTPS con un certificado autofirmado.
Crea una dirección IP externa estática. Una IP estática es útil porque la infraestructura subyacente puede cambiar en el futuro, pero la dirección IP se puede retener.
gcloud compute addresses create whereami-ip \ --global \ --project PROJECT_ID
Crea un certificado autofirmado para el dominio
where-example-com
:openssl genrsa -out key.pem 2048 cat <<EOF >ca.conf [req] default_bits = 2048 req_extensions = extension_requirements distinguished_name = dn_requirements prompt = no [extension_requirements] basicConstraints = CA:FALSE keyUsage = nonRepudiation, digitalSignature, keyEncipherment subjectAltName = @sans_list [dn_requirements] 0.organizationName = example commonName = where.example.com [sans_list] DNS.1 = where.example.com EOF
openssl req -new -key key.pem \ -out csr.pem \ -config ca.conf
openssl x509 -req \ -signkey key.pem \ -in csr.pem \ -out cert.pem \ -extfile ca.conf \ -extensions extension_requirements \ -days 365
gcloud compute ssl-certificates create where-example-com \ --certificate=cert.pem \ --private-key=key.pem \ --global \ --project PROJECT_ID
Existen muchas formas de generar certificados TLS. Se pueden generar de forma manual en la línea de comandos, mediante certificados administrados por Google o de forma interna en el sistema de infraestructura de clave pública (PKI) de tu empresa. En este ejemplo, generas manualmente un certificado autofirmado. Si bien los certificados autofirmados no se suelen usar para servicios públicos, demuestran estos conceptos con mayor facilidad.
Para obtener más información sobre cómo crear un certificado autofirmado a través de un Secret de Kubernetes, consulta Protege una puerta de enlace.
Actualiza
gateway.yaml
con el siguiente manifiesto:kind: Gateway apiVersion: gateway.networking.k8s.io/v1beta1 metadata: name: servicemesh-cloud-gw namespace: istio-ingress spec: gatewayClassName: asm-l7-gxlb listeners: - name: http protocol: HTTP port: 80 allowedRoutes: namespaces: from: All - name: https protocol: HTTPS port: 443 allowedRoutes: namespaces: from: All tls: mode: Terminate options: networking.gke.io/pre-shared-certs: where-example-com addresses: - type: NamedAddress value: whereami-ip
Vuelve a implementar la puerta de enlace en tu clúster:
kubectl apply -f gateway.yaml
Obtén la dirección IP de la IP estática:
VIP=$(gcloud compute addresses describe whereami-ip --global --format="value(address)")
Usa
curl
para acceder al dominio de la puerta de enlace. Debido a que el DNS no está configurado para este dominio, usa la opción --resolve para indicarle a curl que resuelva el nombre de dominio a la dirección IP de la puerta de enlace:curl https://where.example.com --resolve where.example.com:443:${VIP} --cacert cert.pem -v
Una vez que se complete, el resultado será similar al siguiente:
... * TLSv1.2 (OUT), TLS handshake, Client hello (1): * TLSv1.2 (IN), TLS handshake, Server hello (2): * TLSv1.2 (IN), TLS handshake, Certificate (11): * TLSv1.2 (IN), TLS handshake, Server key exchange (12): * TLSv1.2 (IN), TLS handshake, Server finished (14): * TLSv1.2 (OUT), TLS handshake, Client key exchange (16): * TLSv1.2 (OUT), TLS change cipher, Change cipher spec (1): * TLSv1.2 (OUT), TLS handshake, Finished (20): * TLSv1.2 (IN), TLS change cipher, Change cipher spec (1): * TLSv1.2 (IN), TLS handshake, Finished (20): * SSL connection using TLSv1.2 / ECDHE-RSA-CHACHA20-POLY1305 * ALPN, server accepted to use h2 * Server certificate: * subject: O=example; CN=where.example.com * start date: Apr 19 15:54:50 2021 GMT * expire date: Apr 19 15:54:50 2022 GMT * common name: where.example.com (matched) * issuer: O=example; CN=where.example.com * SSL certificate verify ok. ... { "cluster_name": "gke1", "host_header": "where.example.com", "metadata": "where-v1", "node_name": "gke-gw-default-pool-51ccbf30-yya8.c.agmsb-k8s.internal", "pod_name": "where-v1-84b47c7f58-tj5mn", "pod_name_emoji": "😍", "project_id": "agmsb-k8s", "timestamp": "2021-04-19T16:30:08", "zone": "us-west1-a" }
El resultado detallado incluye un protocolo de enlace TLS exitoso seguido de una respuesta de la aplicación, como el siguiente resultado. Esto demuestra que TLS se cierra en la puerta de enlace correctamente y que la aplicación responde al cliente de forma segura.
Implementaste correctamente la siguiente arquitectura:
servicemesh-cloud-gw
y su GatewayClass asm-l7-gxlb
abstrajeron
algunos componentes de infraestructura interna para simplificar la experiencia del usuario.
Cloud Load Balancing finaliza el tráfico TLS con un certificado interno y también verifica el estado de la capa de proxy de la puerta de enlace de entrada de la malla de servicios de Cloud. El whereami-route
implementado en la implementación de App y enrutamiento configura los proxies de la puerta de enlace de entrada de Cloud Service Mesh para enrutar el tráfico al servicio alojado en la malla correcto.
¿Qué sigue?
- Obtén más información sobre la implementación de la API de Gateway de Kubernetes en Google Kubernetes Engine (GKE).
- Obtén información para habilitar funciones opcionales administradas de Cloud Service Mesh.