Envoy サイドカー サービス メッシュを設定する

この構成はプレビュー版をご利用のお客様に対してサポートされていますが、新規の Cloud Service Mesh ユーザーにはおすすめしません。詳細については、Cloud Service Mesh の概要をご覧ください。

このガイドでは、フリートでシンプルなサービス メッシュを構成する方法について説明します。このガイドでは、次の手順について説明します。

  • Envoy サイドカー インジェクタをクラスタにデプロイする。インジェクタは、Envoy プロキシ コンテナをアプリケーション Pod に挿入します。
  • 名前空間 store 内のサンプル サービスにリクエストをルーティングするように、サービス メッシュ内に Envoy サイドカーを構成する Gateway API リソースをデプロイする。
  • シンプルなクライアントをデプロイして、デプロイの結果を確認する。

次の図は、構成されたサービス メッシュを示しています。

フリート内の Envoy サイドカー サービス メッシュ
フリート内の Envoy サイドカー サービス メッシュ(クリックして拡大)

サイドカー インジェクタ構成のメッシュ名と Mesh リソースの名前は同じであるため、クラスタに構成できる Mesh は 1 つのみです。

Envoy サイドカー インジェクタをデプロイする

サイドカー インジェクタをデプロイするには、

  1. プロジェクト情報を構成する

    # The project that contains your GKE cluster.
    export CLUSTER_PROJECT_ID=YOUR_CLUSTER_PROJECT_NUMBER_HERE
    # The name of your GKE cluster.
    export CLUSTER=YOUR_CLUSTER_NAME
    # The channel of your GKE cluster. Eg: rapid, regular, stable.
    export CHANNEL=YOUR_CLUSTER_CHANNEL
    # The location of your GKE cluster, Eg: us-central1 for regional GKE cluster,
    # us-central1-a for zonal GKE cluster
    export LOCATION=ZONE
    
    # The mesh name of the traffic director load balancing API.
    export MESH_NAME=YOUR_MESH_NAME
    # The project that holds the mesh resources.
    export MESH_PROJECT_NUMBER=YOUR_PROJECT_NUMBER_HERE
    
    export TARGET=projects/${MESH_PROJECT_NUMBER}/locations/global/meshes/${MESH_NAME}
    
    gcloud config set project ${CLUSTER_PROJECT_ID}
    

    MESH_NAME を確認するには、次のように値を割り当てます。MESH_NAME は、Mesh リソース仕様のフィールド metadata.name の値です。

    gketd-MESH_NAME
    

    たとえば、Mesh リソースの metadata.name の値が butterfly-mesh の場合、MESH_NAME の値を次のように設定します。

    export MESH_NAME="gketd-butterfly-mesh"
    
  2. Mutating Webhook の構成を適用する

    以降のセクションでは、MutatingWebhookConfiguration をクラスタに適用する手順について説明します。Pod が作成されると、クラスタ内アドミッション コントローラが呼び出されます。アドミッション コントローラは、マネージド サイドカー インジェクタと通信して、Envoy コンテナを Pod に追加します。

    次の変更用 Webhook 構成をクラスタに適用します。

    cat <<EOF | kubectl apply -f -
    apiVersion: admissionregistration.k8s.io/v1
    kind: MutatingWebhookConfiguration
    metadata:
      labels:
        app: sidecar-injector
      name: td-mutating-webhook
    webhooks:
    - admissionReviewVersions:
      - v1beta1
      - v1
      clientConfig:
        url: https://meshconfig.googleapis.com/v1internal/projects/${CLUSTER_PROJECT_ID}/locations/${LOCATION}/clusters/${CLUSTER}/channels/${CHANNEL}/targets/${TARGET}:tdInject
      failurePolicy: Fail
      matchPolicy: Exact
      name: namespace.sidecar-injector.csm.io
      namespaceSelector:
        matchExpressions:
        - key: td-injection
          operator: Exists
      reinvocationPolicy: Never
      rules:
      - apiGroups:
        - ""
        apiVersions:
        - v1
        operations:
        - CREATE
        resources:
        - pods
        scope: '*'
      sideEffects: None
      timeoutSeconds: 30
    EOF
    

    サイドカー インジェクタをカスタマイズする必要がある場合は、次の手順に沿って、クラスタに合わせてサイドカー インジェクタをカスタマイズします。

  3. サイドカー インジェクタの TLS を構成する。

  4. サイドカー インジェクションを有効にする。

  5. 自動 Envoy インジェクションのオプション

store サービスをデプロイする

このセクションでは、メッシュに store サービスをデプロイします。

  1. store.yaml ファイルに次のマニフェストを保存します。

    kind: Namespace
    apiVersion: v1
    metadata:
      name: store
    ---
    apiVersion: apps/v1
    kind: Deployment
    metadata:
      name: store
      namespace: store
    spec:
      replicas: 2
      selector:
        matchLabels:
          app: store
          version: v1
      template:
        metadata:
          labels:
            app: store
            version: v1
        spec:
          containers:
          - name: whereami
            image: us-docker.pkg.dev/google-samples/containers/gke/whereami:v1
            ports:
            - containerPort: 8080
    ---
    apiVersion: v1
    kind: Service
    metadata:
      name: store
      namespace: store
    spec:
      selector:
        app: store
      ports:
      - port: 8080
        targetPort: 8080
    
  2. マニフェストを gke-1 に適用します。

    kubectl apply -f store.yaml
    

サービス メッシュを作成する

  1. 次の mesh マニフェストを mesh.yaml ファイルに保存します。mesh リソースの名前は、インジェクタの configmap で指定されたメッシュ名と一致する必要があります。この構成例では、td-mesh という名前が両方の場所で使用されます。

    apiVersion: net.gke.io/v1alpha1
    kind: TDMesh
    metadata:
      name: td-mesh
      namespace: default
    spec:
      gatewayClassName: gke-td
      allowedRoutes:
        namespaces:
          from: All
    
  2. mesh マニフェストを gke-1 に適用します。これにより、td-mesh という名前の論理メッシュが作成されます。

    kubectl apply -f mesh.yaml
    
  3. 次の HTTPRoute マニフェストを store-route.yaml ファイルに保存します。このマニフェストでは、ホスト名 example.com が指定された HTTP トラフィックを、名前空間 store 内の Kubernetes Service store に転送する HTTPRoute リソースを定義します。

    apiVersion: gateway.networking.k8s.io/v1alpha2
    kind: HTTPRoute
    metadata:
      name: store-route
      namespace: store
    spec:
      parentRefs:
      - name: td-mesh
        namespace: default
        group: net.gke.io
        kind: TDMesh
      hostnames:
      - "example.com"
      rules:
      - backendRefs:
        - name: store
          namespace: store
          port: 8080
    
  4. ルート マニフェストを gke-1 に適用します。

    kubectl apply -f store-route.yaml
    

Deployment を検証する

  1. Mesh ステータスとイベントを調べて、Mesh リソースと HTTPRoute リソースが正常にデプロイされていることを確認します。

    kubectl describe tdmesh td-mesh
    

    出力は次のようになります。

    ...
    
    Status:
      Conditions:
        Last Transition Time:  2022-04-14T22:08:39Z
        Message:
        Reason:                MeshReady
        Status:                True
        Type:                  Ready
        Last Transition Time:  2022-04-14T22:08:28Z
        Message:
        Reason:                Scheduled
        Status:                True
        Type:                  Scheduled
    Events:
      Type    Reason  Age   From                Message
      ----    ------  ----  ----                -------
      Normal  ADD     36s   mc-mesh-controller  Processing mesh default/td-mesh
      Normal  UPDATE  35s   mc-mesh-controller  Processing mesh default/td-mesh
      Normal  SYNC    24s   mc-mesh-controller  SYNC on default/td-mesh was a success
    
  2. デフォルトの名前空間でサイドカー インジェクションが有効になっていることを確認するには、次のコマンドを実行します。

    kubectl get namespace default --show-labels
    

    サイドカー インジェクションが有効になっている場合、出力には次のように表示されます。

    istio-injection=enabled
    

    サイドカー インジェクションが有効になっていない場合は、サイドカー インジェクションを有効にするをご覧ください。

  3. デプロイメントを確認するには、クライアントとして動作するクライアント Pod を、以前に定義した store サービスにデプロイします。client.yaml ファイルに次のものを保存します。

    apiVersion: apps/v1
    kind: Deployment
    metadata:
      labels:
        run: client
      name: client
      namespace: default
    spec:
      replicas: 1
      selector:
        matchLabels:
          run: client
      template:
        metadata:
          labels:
            run: client
        spec:
          containers:
          - name: client
            image: curlimages/curl
            command:
            - sh
            - -c
            - while true; do sleep 1; done
    
  4. 仕様をデプロイします。

    kubectl apply -f client.yaml
    

    クラスタで実行されているサイドカー インジェクタは、Envoy コンテナを自動的にクライアント Pod に挿入します。

  5. Envoy コンテナが挿入されていることを確認するには、次のコマンドを実行します。

    kubectl describe pods -l run=client
    

    出力は次のようになります。

    ...
    Init Containers:
      # Istio-init sets up traffic interception for the Pod.
      istio-init:
    ...
      # td-bootstrap-writer generates the Envoy bootstrap file for the Envoy container
      td-bootstrap-writer:
    ...
    Containers:
    # client is the client container that runs application code.
      client:
    ...
    # Envoy is the container that runs the injected Envoy proxy.
      envoy:
    ...
    

クライアント Pod がプロビジョニングされたら、クライアント Pod から store サービスにリクエストを送信します。

  1. クライアント Pod の名前を取得します。

    CLIENT_POD=$(kubectl get pod -l run=client -o=jsonpath='{.items[0].metadata.name}')
    
    # The VIP where the following request will be sent. Because all requests
    # from the client container are redirected to the Envoy proxy sidecar, you
    # can use any IP address, including 10.0.0.2, 192.168.0.1, and others.
    VIP='10.0.0.1'
    
  2. サービスを保存するリクエストを送信し、レスポンス ヘッダーを出力します。

    TEST_CMD="curl -v -H 'host: example.com' $VIP"
    
  3. クライアント コンテナでテストコマンドを実行します。

    kubectl exec -it $CLIENT_POD -c client -- /bin/sh -c "$TEST_CMD"
    

    出力は次のようになります。

    < Trying 10.0.0.1:80...
    < Connected to 10.0.0.1 (10.0.0.1) port 80 (#0)
    < GET / HTTP/1.1
    < Host: example.com
    < User-Agent: curl/7.82.0-DEV
    < Accept: */*
    <
    < Mark bundle as not supporting multiuse
    < HTTP/1.1 200 OK
    < content-type: application/json
    < content-length: 318
    < access-control-allow-origin: *
    < server: envoy
    < date: Tue, 12 Apr 2022 22:30:13 GMT
    <
    {
      "cluster_name": "gke-1",
      "zone": "us-west1-a",
      "host_header": "example.com",
      ...
    }
    

次のステップ