使用自动 Envoy 注入功能设置 Google Kubernetes Engine Pod 的选项

本指南为您提供有关自动 Envoy Sidecar 注入器的其他选项和任务的信息。

将 Sidecar 代理添加到现有工作负载

在将 Sidecar 注入器安装到集群后,Sidecar 代理会自动注入到已启用的命名空间中新创建的 pod 中。如果在启用 Sidecar 注入器之前已经有工作负载在运行,则必须重新启动它们以进行注入。

对于由 Deployment、DaemonSet 或 StatefulSet 控制器管理的 pod,可以运行以下命令:

# Deployment
kubectl rollout restart deployment/DEPLOYMENT_NAME --namespace NAMESPACE

# DaemonSet
kubectl rollout restart daemonset/DAEMONSET_NAME --namespace NAMESPACE

# StatefulSet
kubectl rollout restart statefulset/STATEFULSET_NAME --namespace NAMESPACE

如果您没有使用上述任何控制器部署您的 pod,则必须单独删除 pod。之后,这些 pod 会通过新的 Sidecar 代理自动重新创建。

kubectl delete pod POD_NAME -n NAMESPACE

验证是否已在每个 pod 中注入 Sidecar 代理容器:

kubectl get pods -n NAMESPACE

例如,对于上面创建的 busybox 客户端,您应该看到 2/2 个 pod 正在运行,其中一个用于 busybox 应用本身,另一个用于注入的 Envoy Sidecar 代理:

NAME                      READY   STATUS    RESTARTS   AGE
busybox-c54f578c9-c9fk4   2/2     Running   183        7d15h

注入替换

默认情况下,启用命名空间可为所有常驻 pod 启用 Sidecar 代理注入。您还可为注入配置不同范围,以满足特定需求。例如,您可以使用替换来防止无代理 gRPC 服务的 Sidecar 代理注入。

请注意,注入替换仅在启用命名空间时适用,并按以下优先级生效:Pod 注释 > NeverInjectSelector > AlwaysInjectSelector > 默认政策

为特定的单个 pod 启用或停用注入

使用以下 pod 注释为已启用的命名空间中的特定 pod 开启或关闭注入:

...
metadata:
  annotations:
    td-injection: "true" / "false"

自定义流量拦截行为

默认情况下,来自应用的所有出站流量都会被拦截并重定向到 Envoy Sidecar 代理。然后,Envoy 代理可以根据从 Cloud Service Mesh 收到的说明处理流量。在某些情况下,您可能需要修改此行为以绕过 Sidecar 代理。

使用以下 pod 注释可将流量从拦截和重定向中排除。

按出站 IP 地址范围从拦截排除

您可以按 IP 地址范围将流量从拦截中排除。

...
metadata:
  annotations:
    cloud.google.com/excludeOutboundCIDRs: "10.0.0.1/32,169.254.169.254/32"

cloud.google.com/excludeOutboundCIDRs pod 注解是出站 IP 地址范围(CIDR 格式)的逗号分隔列表。以这些 IP 地址范围为目标的出站流量不会被重定向到 Envoy Sidecar。

请注意,您需要在 pod 注释中列出 169.254.169.254/32,以确保应用可与元数据服务器通信。如果未指定 cloud.google.com/excludeOutboundCIDRs pod 注释,流量拦截会配置为排除“169.254.169.254/32”出站 CIDR 范围。

按出站 IP 地址范围在拦截中包含

您可以按 IP 地址范围在拦截中包含流量。

...
metadata:
  annotations:
    cloud.google.com/includeOutboundCIDRs: "10.0.0.1/32,169.254.169.254/32"

cloud.google.com/includeOutboundCIDRs pod 注解是出站 IP 地址范围(CIDR 格式)的逗号分隔列表。以这些 IP 地址范围为目标的出站流量会被重定向到 Envoy Sidecar。

通配符 * 可用于重定向所有出站流量。如果列表为空,则会停用所有出站流量。该注解默认为 *

按出站端口号从拦截排除

您可以按出站端口号将流量从拦截和重定向中排除。

...
metadata:
  annotations:
    cloud.google.com/excludeOutboundPorts: "10001, 10002"

cloud.google.com/excludeOutboundPorts pod 注解是出站端口的逗号分隔列表。以这些端口为目标的出站流量不会被拦截和重定向到 Envoy Sidecar。

如果未指定 cloud.google.com/excludeOutboundPorts 注解,流向任何端口的出站流量都会被拦截并重定向到 Envoy Sidecar。这等同于传递带有空 ("") 列表的 cloud.google.com/excludeOutboundPorts 注解。

按入站端口号在拦截中包含

您可以按入站端口号在拦截中包含流量。

...
metadata:
  annotations:
    cloud.google.com/includeInboundPorts: "10001, 10002"

cloud.google.com/includeInboundPorts Pod 注解是将流量重定向到 Envoy Sidecar 的入站端口的逗号分隔列表。通配符字符 * 可用于为所有端口配置重定向。空值会停用所有入站重定向。该值默认为空字符串(“”)。

按入站端口号从拦截排除

您可以按入站端口号将流量从拦截中排除。

...
metadata:
  annotations:
    cloud.google.com/excludeInboundPorts: "10001, 10002"

cloud.google.com/excludeInboundPorts Pod 注解是以英文逗号分隔的入站端口列表,这些端口将被排除在重定向到 Envoy Sidecar 之外。仅当所有入站流量 (*) 都正在重定向时,该注解才适用。该值默认为空字符串(“”)。

启用托管式证书

您可以启用托管式工作负载证书。

...
metadata:
  annotations:
    cloud.google.com/enableManagedCerts: "true"

当 pod 注解 cloud.google.com/enableManagedCerts 设置为 true 时,将插入由 Certificate Authority Service 签名的 GKE 代管式工作负载证书并将其装载到 Sidecar 容器上。注解的值默认为 false

配置 Sidecar 代理元数据

为了支持其他 Cloud Service Mesh 功能,Sidecar 代理可以从其封装 Pod 中继承特定的元数据。可以通过两种方法实现此目的。这两个选项都会附加元数据,并在边车代理连接到 Cloud Service Mesh 时与 Cloud Service Mesh 共享元数据。这两个选项是互斥的。

第一个选项允许您指定各个元数据键值对。例如,在 pod 模板规范中添加以下注释,可将 "version": "dev" 标签应用于注入它的 Sidecar 代理。

...
metadata:
  annotations:
    cloud.google.com/proxyMetadata: '{"version": "dev"}'

第二个选项会将 pod 的所有标签附加到注入该 pod 的 Sidecar 代理。

...
metadata:
  annotations:
    cloud.google.com/forwardPodLabels: "true"

如果未指定 cloud.google.com/forwardPodLabels 注释,pod 标签将不会附加到 Sidecar 代理。请注意,cloud.google.com/proxyMetadatacloud.google.com/forwardPodLabels 注释是互斥的。如果同时设置两者,则 cloud.google.com/forwardPodLabels 优先,cloud.google.com/proxyMetadata 会被忽略。

然后,配置过滤允许 Cloud Service Mesh 仅与与此 "version": "dev" 标签匹配的特定代理共享配置子集。

必须重启现有部署,此配置才会生效。

支持的 pod 注释

Cloud Service Mesh 支持以下 pod 注解以进行 Sidecar 注入。尽管可能还有其他可用的 Sidecar 注入器注解,但以下列表展示的是 Cloud Service Mesh 支持的注解。为避免中断或不稳定,请不要在生产部署中创建其他注释依赖项。

注释名称 说明
td-injection 布尔值,以字符串表示。例如“true 指定是否应将 Envoy Sidecar 自动注入工作负载。
cloud.google.com/proxyMetadata 键值对的 JSON 映射。例如“'{"version": "dev"}' 以 JSON 映射的方式指定应附加到 Envoy 元数据的键值对。
cloud.google.com/forwardPodLabels “true”或“false” 设置为“true”时,所有 pod 标签都会附加到 Envoy 元数据,并且“cloud.google.com/proxyMetadata”注释会被忽略。默认为“false”。
cloud.google.com/excludeOutboundPorts 出站端口的逗号分隔列表 指示了任何这些目标端口的出站流量将从拦截/到 Envoy Sidecar 的重定向中排除。此流量将绕过 Envoy 代理,并且不会根据 Cloud Service Mesh 配置进行处理。默认为空字符串(即 "")。
cloud.google.com/includeInboundPorts 入站端口的逗号分隔列表 将流量重定向到 Envoy Sidecar 的入站端口的逗号分隔列表。使用通配符“*”为所有端口配置重定向。空值会停用所有入站重定向。此值默认为空字符串(即“”)。
cloud.google.com/excludeInboundPorts 入站端口的逗号分隔列表 逗号分隔的入站端口列表,这些端口的流量不会重定向到 Envoy Sidecar。仅当所有入站流量 (*) 都正在重定向时,该注解才适用。此值默认为空字符串(即“”)。
cloud.google.com/excludeOutboundCIDRs 出站 IP 地址范围(CIDR 格式)的逗号分隔列表。 指示了任何这些目标 IP 的出站流量将从拦截/到 Envoy Sidecar 的重定向中排除。此流量将绕过 Envoy 代理,并且不会根据 Cloud Service Mesh 配置进行处理。默认为“169.254.169.254/32”,这是与元数据服务器进行通信所需的范围。请注意,此范围是必需的,因此如果您指定 `excludeOutboundCIDings` 注释,请确保除了任何其他 CIDR 之外,还要添加“169.254.169.254/32”。 确保英文逗号分隔列表中没有空格。
cloud.google.com/includeOutboundCIDRs 出站 IP 地址范围(CIDR 格式)的逗号分隔列表。 指示了任何这些目标 IP 地址的出站流量包含在拦截/到 Envoy Sidecar 的重定向中。此类流量会被转发到 Envoy 代理,并根据 Cloud Service Mesh 配置进行处理。默认为“169.254.169.254/32”,这是与元数据服务器进行通信所需的范围。请注意,此范围是必需的,因此如果您指定 `includeOutboundCIDRs` 注解,请确保除了任何其他 CIDR 之外,还要添加“169.254.169.254/32”。确保英文逗号分隔列表中没有空格。
cloud.google.com/enableManagedCerts 布尔值,以字符串表示。例如“true 设置为“true”时,将插入由 Certificate Authority Service 签名的 GKE 代管式工作负载证书并将其装载到 Sidecar 容器上。默认值为“false”。

卸载 Sidecar 注入器

使用以下命令卸载 Sidecar 注入器:

kubectl delete MutatingWebhookConfiguration td-mutating-webhook
kubectl label namespace default td-injection-