Envoy 사이드카 서비스 메시 설정

이 구성은 미리보기 고객에게 지원되지만 신규 Cloud Service Mesh 사용자에게는 권장하지 않습니다. 자세한 내용은 Cloud Service Mesh 개요를 참조하세요.

이 가이드에서는 Fleet에 단순 서비스 메시를 구성하는 방법을 보여줍니다. 이 가이드에는 다음 단계가 포함됩니다.

  • Envoy 사이드카 인젝터를 클러스터에 배포합니다. 인젝터는 Envoy 프록시 컨테이너를 애플리케이션 포드에 삽입합니다.
  • 네임스페이스 store의 예시 서비스로 요청을 라우팅하도록 서비스 메시에서 Envoy 사이드카를 구성하는 게이트웨이 API 리소스를 배포합니다.
  • 간단한 클라이언트를 배포하여 배포를 확인합니다.

다음 다이어그램은 구성된 서비스 메시를 보여줍니다.

Fleet의 Envoy 사이드카 서비스 메시
Fleet의 Envoy 사이드카 서비스 메시(확대하려면 클릭)

사이드카 인젝터 구성의 메시 이름과 Mesh 리소스 이름이 동일해야 하기 때문에 클러스터에 Mesh를 하나만 구성할 수 있습니다.

Envoy 사이드카 인젝터 배포

사이드카 인젝터를 배포하는 방법은 다음과 같습니다.

  1. 프로젝트 정보 구성

    # The project that contains your GKE cluster.
    export CLUSTER_PROJECT_ID=YOUR_CLUSTER_PROJECT_NUMBER_HERE
    # The name of your GKE cluster.
    export CLUSTER=YOUR_CLUSTER_NAME
    # The channel of your GKE cluster. Eg: rapid, regular, stable.
    export CHANNEL=YOUR_CLUSTER_CHANNEL
    # The location of your GKE cluster, Eg: us-central1 for regional GKE cluster,
    # us-central1-a for zonal GKE cluster
    export LOCATION=ZONE
    
    # The mesh name of the traffic director load balancing API.
    export MESH_NAME=YOUR_MESH_NAME
    # The project that holds the mesh resources.
    export MESH_PROJECT_NUMBER=YOUR_PROJECT_NUMBER_HERE
    
    export TARGET=projects/${MESH_PROJECT_NUMBER}/locations/global/meshes/${MESH_NAME}
    
    gcloud config set project ${CLUSTER_PROJECT_ID}
    

    MESH_NAME을 찾으려면 다음과 같이 값을 할당합니다. 여기서 MESH_NAMEMesh 리소스 사양의 metadata.name 필드 값입니다.

    gketd-MESH_NAME
    

    예를 들어 Mesh 리소스의 metadata.name 값이 butterfly-meshMESH_NAME 값을 다음과 같이 설정합니다.

    export MESH_NAME="gketd-butterfly-mesh"
    
  2. 변형 웹훅을 위한 구성 적용

    다음 섹션에서는 클러스터에 MutatingWebhookConfiguration을 적용하기 위한 안내를 제공합니다. 포드가 생성되면 클러스터 내 허용 컨트롤러가 호출됩니다. 허용 컨트롤러는 관리형 사이드카 인젝터에 연결하여 Envoy 컨테이너를 포드에 추가합니다.

    다음 변형 웹훅 구성을 클러스터에 적용합니다.

    cat <<EOF | kubectl apply -f -
    apiVersion: admissionregistration.k8s.io/v1
    kind: MutatingWebhookConfiguration
    metadata:
      labels:
        app: sidecar-injector
      name: td-mutating-webhook
    webhooks:
    - admissionReviewVersions:
      - v1beta1
      - v1
      clientConfig:
        url: https://meshconfig.googleapis.com/v1internal/projects/${CLUSTER_PROJECT_ID}/locations/${LOCATION}/clusters/${CLUSTER}/channels/${CHANNEL}/targets/${TARGET}:tdInject
      failurePolicy: Fail
      matchPolicy: Exact
      name: namespace.sidecar-injector.csm.io
      namespaceSelector:
        matchExpressions:
        - key: td-injection
          operator: Exists
      reinvocationPolicy: Never
      rules:
      - apiGroups:
        - ""
        apiVersions:
        - v1
        operations:
        - CREATE
        resources:
        - pods
        scope: '*'
      sideEffects: None
      timeoutSeconds: 30
    EOF
    

    사이드카 인젝터를 맞춤설정해야 하는 경우 다음 단계에 따라 클러스터에 맞게 사이드카 인젝터를 맞춤설정합니다.

  3. 사이드카 인젝터의 TLS 구성

  4. 사이드카 삽입 사용 설정

  5. 자동 Envoy 삽입 옵션

store 서비스 배포

이 섹션에서는 메시에 store 서비스를 배포합니다.

  1. store.yaml 파일에 다음 매니페스트를 저장합니다.

    kind: Namespace
    apiVersion: v1
    metadata:
      name: store
    ---
    apiVersion: apps/v1
    kind: Deployment
    metadata:
      name: store
      namespace: store
    spec:
      replicas: 2
      selector:
        matchLabels:
          app: store
          version: v1
      template:
        metadata:
          labels:
            app: store
            version: v1
        spec:
          containers:
          - name: whereami
            image: us-docker.pkg.dev/google-samples/containers/gke/whereami:v1
            ports:
            - containerPort: 8080
    ---
    apiVersion: v1
    kind: Service
    metadata:
      name: store
      namespace: store
    spec:
      selector:
        app: store
      ports:
      - port: 8080
        targetPort: 8080
    
  2. gke-1에 매니페스트를 적용합니다.

    kubectl apply -f store.yaml
    

서비스 메시 만들기

  1. mesh.yaml 파일에 다음 mesh 매니페스트를 저장합니다. mesh 리소스 이름은 인젝터 configmap에 지정된 메시 이름과 일치해야 합니다. 이 구성 예시에서 td-mesh 이름은 두 위치 모두 사용됩니다.

    apiVersion: net.gke.io/v1alpha1
    kind: TDMesh
    metadata:
      name: td-mesh
      namespace: default
    spec:
      gatewayClassName: gke-td
      allowedRoutes:
        namespaces:
          from: All
    
  2. mesh 매니페스트를 gke-1에 적용하고 이름이 td-mesh인 논리적 메시를 만듭니다.

    kubectl apply -f mesh.yaml
    
  3. store-route.yaml 파일에 다음 HTTPRoute 매니페스트를 저장합니다. 이 매니페스트는 example.com 호스트 이름을 지정하는 HTTP 트래픽을 store 네임스페이스의 Kubernetes 서비스 store에 라우팅하는 HTTPRoute 리소스를 정의합니다.

    apiVersion: gateway.networking.k8s.io/v1alpha2
    kind: HTTPRoute
    metadata:
      name: store-route
      namespace: store
    spec:
      parentRefs:
      - name: td-mesh
        namespace: default
        group: net.gke.io
        kind: TDMesh
      hostnames:
      - "example.com"
      rules:
      - backendRefs:
        - name: store
          namespace: store
          port: 8080
    
  4. 경로 매니페스트를 gke-1에 적용합니다.

    kubectl apply -f store-route.yaml
    

배포 검증

  1. Mesh 상태 및 이벤트를 조사하여 MeshHTTPRoute 리소스가 성공적으로 배포되었는지 확인합니다.

    kubectl describe tdmesh td-mesh
    

    출력은 다음과 비슷합니다.

    ...
    
    Status:
      Conditions:
        Last Transition Time:  2022-04-14T22:08:39Z
        Message:
        Reason:                MeshReady
        Status:                True
        Type:                  Ready
        Last Transition Time:  2022-04-14T22:08:28Z
        Message:
        Reason:                Scheduled
        Status:                True
        Type:                  Scheduled
    Events:
      Type    Reason  Age   From                Message
      ----    ------  ----  ----                -------
      Normal  ADD     36s   mc-mesh-controller  Processing mesh default/td-mesh
      Normal  UPDATE  35s   mc-mesh-controller  Processing mesh default/td-mesh
      Normal  SYNC    24s   mc-mesh-controller  SYNC on default/td-mesh was a success
    
  2. 사이드카 삽입이 기본 네임스페이스에 사용 설정되었는지 확인하기 위해 다음 명령어를 실행합니다.

    kubectl get namespace default --show-labels
    

    사이드카 삽입이 사용 설정되었으면 출력에 다음이 표시됩니다.

    istio-injection=enabled
    

    사이드카 삽입이 사용 설정되지 않았으면 사이드카 삽입 사용 설정을 참조하세요.

  3. 배포를 확인하려면 클라이언트로 작동하는 클라이언트 포드를 이전에 정의된 store 서비스에 배포합니다. client.yaml 파일에 다음을 저장합니다.

    apiVersion: apps/v1
    kind: Deployment
    metadata:
      labels:
        run: client
      name: client
      namespace: default
    spec:
      replicas: 1
      selector:
        matchLabels:
          run: client
      template:
        metadata:
          labels:
            run: client
        spec:
          containers:
          - name: client
            image: curlimages/curl
            command:
            - sh
            - -c
            - while true; do sleep 1; done
    
  4. 사양을 배포합니다.

    kubectl apply -f client.yaml
    

    클러스터에서 실행되는 사이드카 인젝터가 자동으로 Envoy 컨테이너를 클라이언트 포드에 삽입합니다.

  5. Envoy 컨테이너가 삽입되었는지 확인하려면 다음 명령어를 실행합니다.

    kubectl describe pods -l run=client
    

    출력은 다음과 비슷합니다.

    ...
    Init Containers:
      # Istio-init sets up traffic interception for the Pod.
      istio-init:
    ...
      # td-bootstrap-writer generates the Envoy bootstrap file for the Envoy container
      td-bootstrap-writer:
    ...
    Containers:
    # client is the client container that runs application code.
      client:
    ...
    # Envoy is the container that runs the injected Envoy proxy.
      envoy:
    ...
    

클라이언트 포드가 프로비저닝되면 클라이언트 포드에서 store 서비스로 요청을 전송합니다.

  1. 클라이언트 포드의 이름을 가져옵니다.

    CLIENT_POD=$(kubectl get pod -l run=client -o=jsonpath='{.items[0].metadata.name}')
    
    # The VIP where the following request will be sent. Because all requests
    # from the client container are redirected to the Envoy proxy sidecar, you
    # can use any IP address, including 10.0.0.2, 192.168.0.1, and others.
    VIP='10.0.0.1'
    
  2. 서비스 저장 요청을 전송하고 응답 헤더를 출력합니다.

    TEST_CMD="curl -v -H 'host: example.com' $VIP"
    
  3. 클라이언트 컨테이너에서 테스트 명령어를 실행합니다.

    kubectl exec -it $CLIENT_POD -c client -- /bin/sh -c "$TEST_CMD"
    

    출력은 다음과 비슷합니다.

    < Trying 10.0.0.1:80...
    < Connected to 10.0.0.1 (10.0.0.1) port 80 (#0)
    < GET / HTTP/1.1
    < Host: example.com
    < User-Agent: curl/7.82.0-DEV
    < Accept: */*
    <
    < Mark bundle as not supporting multiuse
    < HTTP/1.1 200 OK
    < content-type: application/json
    < content-length: 318
    < access-control-allow-origin: *
    < server: envoy
    < date: Tue, 12 Apr 2022 22:30:13 GMT
    <
    {
      "cluster_name": "gke-1",
      "zone": "us-west1-a",
      "host_header": "example.com",
      ...
    }
    

다음 단계