Configura la gestione avanzata del traffico con Envoy

La configurazione è supportata per i clienti del servizio Anteprima, ma non è consigliata per i nuovi utenti di Cloud Service Mesh. Per ulteriori informazioni, consulta Panoramica del routing del servizio Cloud Service Mesh.

Questo documento fornisce informazioni su come configurare il traffico avanzato per i deployment di Cloud Service Mesh che utilizzano Envoy.

Prima di iniziare

Prima di configurare la gestione avanzata del traffico, segui le istruzioni in Preparati a configurare Cloud Service Mesh con Envoy, inclusa la configurazione di Cloud Service Mesh e di qualsiasi host di macchine virtuali (VM) i cluster Google Kubernetes Engine (GKE) di cui hai bisogno. Crea l'oggetto dell'accesso a specifiche risorse Google Cloud.

La disponibilità delle funzionalità di gestione avanzata del traffico varia a seconda del di richiesta di accesso al protocollo scelto. Questo protocollo viene configurato quando configuri il routing utilizzando il proxy HTTP o HTTPS di destinazione, il proxy gRPC di destinazione o il proxy di destinazione Risorsa proxy TCP:

• Con il proxy HTTP di destinazione e il proxy HTTPS di destinazione, tutte le funzionalità descritti in questo documento.
• Con il proxy gRPC di destinazione, sono disponibili alcune funzionalità.
• Con il proxy TCP di destinazione, non sono disponibili funzionalità avanzate di gestione del traffico disponibili.

Per ulteriori informazioni, vedi funzionalità di Cloud Service Mesh e Gestione avanzata del traffico. Per una guida alla configurazione end-to-end, vedi Configura la gestione avanzata del traffico con i servizi gRPC senza proxy.

Configurare la suddivisione del traffico

Queste istruzioni presuppongono quanto segue:

• Il deployment di Cloud Service Mesh ha una mappa URL denominata review-url-map.
• La mappa URL invia tutto il traffico a un solo servizio di backend chiamato review1, che funge da servizio di backend predefinito.
• Prevedi di instradare il 5% del traffico a una nuova versione di un servizio. Quel servizio sia in esecuzione su una VM backend o su un endpoint in un gruppo di endpoint di rete (NEG) associati al servizio di backend review2.
• Non vengono utilizzate regole host o matcher di percorso.

Se stai dividendo il traffico verso un nuovo servizio a cui non è stato fatto riferimento la mappa URL prima, aggiungi prima il nuovo servizio a weightedBackendServices e assegnagli un peso di 0. Poi aumenta gradualmente la ponderazione completamente gestito di Google Cloud.

Per impostare la suddivisione del traffico:

Configura una release parziale

Utilizza un processo di deployment parziale, a volte chiamato canarying, per rilasciare un nuovo della versione software su una piccola parte dei server prima di rilasciare la nuova la versione precedente al saldo dei tuoi server di produzione.

Una release parziale utilizza weightedBackendServices. Per abilitare una release parziale: designare un servizio di backend come servizio di test, o canary, e assegnargli un peso, ad esempio 2 o 5. Esegui il deployment della nuova versione del software su questi server . Quando ritieni che la nuova versione sia priva di problemi, esegui il deployment ai restanti servizi.

• Per abilitare una release parziale, utilizza il seguente esempio di codice YAML:

pathMatchers:
     - defaultService: DEFAULT_SERVICE_URL
       name: matcher1
       routeRules:
       - matchRules:
         - prefixMatch: '/'
         routeAction:
          weightedBackendServices:
          - backendService: BACKEND_SERVICE_PARTIAL_URL
            weight: 2
          - backendService: BACKEND_SERVICE_URL
            weight: 98

• DEFAULT_SERVICE_URL è l'URL predefinito per completamente gestito di Google Cloud.
• BACKEND_SERVICE_PARTIAL_URL è l'URL per di servizio di backend che riceve il 2% del traffico.
• BACKEND_SERVICE_URL è l'URL del backend che riceve il 98% del traffico.

Configura i deployment blu/verde

I deployment blu/verde sono modelli di release che riducono il tempo necessario il passaggio del traffico di produzione a una nuova release di un servizio o a un rollback una release precedente del servizio. Questi deployment mantengono entrambe le versioni disponibile in produzione e di spostare il traffico da un servizio all'altro.

I deployment blu/verde utilizzano weightedBackendServices. Nell'esempio YAML che segue, il deployment dei backend verso SERVICE_BLUE_URL è stato completato con la di produzione e il deployment completo dei backend in SERVICE_GREEN_URL è stato completato con la nuova uscita. Nella configurazione dell'esempio, il deployment GREEN riceve il 100% del traffico di produzione. Se riscontri problemi, puoi annullare le i pesi per i due deployment, il che ripristina in modo efficace GREEN e reintegra la release BLUE non valida. In entrambi i casi, il traffico può essere spostato rapidamente perché entrambe le versioni sono disponibili per via del traffico.

• Per abilitare un deployment blu/verde, utilizza il seguente esempio di codice YAML:

pathMatchers:
     - defaultService: DEFAULT_SERVICE_URL
       name: matcher1
       routeRules:
       - matchRules:
         - prefixMatch: '/'
         routeAction:
          weightedBackendServices:
          - backendService: BACKEND_SERVICE_BLUE_URL
            weight: 0
          - backendService: BACKEND_SERVICE_GREEN_URL
            weight: 100

• DEFAULT_SERVICE_URL è l'URL predefinito per completamente gestito di Google Cloud.
• BACKEND_SERVICE_BLUE_URL è l'URL per di servizio di backend che non riceve nessuno del tuo traffico.
• BACKEND_SERVICE_GREEN_URL è l'URL del backend che riceve il 100% del traffico.

Configura il mirroring del traffico

Utilizza il mirroring del traffico quando vuoi che il traffico sia indirizzato a due diversi per eseguire il debug o il test di nuovi servizi.

Nell'esempio seguente, tutte le richieste vengono inviate a SERVICE_URL e a MIRROR_SERVICE_URL. Solo le risposte da SERVICE_URL vengono rinviate a il cliente. MIRROR_SERVICE_URL non ha alcun impatto sul cliente.

Per configurare il mirroring del traffico:

Configura interruttore di circuito

L'interruzione di circuiti consente di impostare soglie di errore per impedire le richieste del client di sovraccaricare i tuoi backend. Quando le richieste raggiungono il limite che hai impostato, il client smette di consentire nuove connessioni o di inviare richieste aggiuntive, dando ai tuoi backend il tempo di recuperare.

Di conseguenza, l'interruzione di un circuito impedisce gli errori a cascata restituendo un errore al client, invece di sovraccaricare un backend. In questo modo una parte del traffico offerta e il tempo necessario per gestire la situazione di sovraccarico, ad esempio gestire un picco di traffico aumentando la capacità tramite la scalabilità automatica.

Nell'esempio seguente, gli interruttori di sicurezza vengono impostati come segue:

• Numero massimo di richieste per connessione: 100
• Numero massimo di connessioni: 1000
• Numero massimo di richieste in attesa: 200
• Numero massimo di richieste: 1000
• Numero massimo di nuovi tentativi: 3

Per configurare l'interruzione di circuito, procedi nel seguente modo:

Configura l'affinità sessione in base a HTTP_COOKIE

La gestione avanzata del traffico consente di configurare l'affinità sessione in base un cookie fornito.

Per impostare l'affinità sessione utilizzando HTTP_COOKIE:

Configura il rilevamento outlier

Il rilevamento outlier controlla l'eliminazione di host in stato non integro di bilanciamento del carico. Per farlo, Cloud Service Mesh utilizza un insieme di criteri che specificare i criteri per l'eliminazione di endpoint o VM di backend in stato non integro NEG, insieme ai criteri che definiscono quando viene preso in considerazione un backend o un endpoint abbastanza integro da ricevere di nuovo il traffico.

Nell'esempio seguente, il servizio di backend ha un gruppo di istanze come proprio backend. L'impostazione di rilevamento outlier specifica che il rilevamento outlier viene eseguita ogni secondo. Se un endpoint restituisce cinque elementi 5xx consecutivi errori, viene escluso dalla considerazione del bilanciamento del carico per 30 secondi per per la prima volta. Il tempo di espulsione reale per lo stesso endpoint è di 30 secondi moltiplicati per il numero di volte in cui viene espulso.

Per configurare il rilevamento outlier nella risorsa del servizio di backend, segui questi passaggi:

Impostare il criterio di bilanciamento del carico per le località

Utilizza il criterio di bilanciamento del carico per le località per scegliere un algoritmo di bilanciamento del carico in base al peso e alla priorità della località forniti da Cloud Service Mesh. Ad esempio, puoi eseguire il round robin ponderato tra endpoint integri o e l'hashing coerente.

Nell'esempio seguente, il servizio di backend ha un gruppo di istanze come e il suo backend. Il criterio di bilanciamento del carico per le località è impostato su RING_HASH.

Per impostare il criterio di bilanciamento del carico per le località:

Per saperne di più sul funzionamento del criterio di bilanciamento del carico per le località, consulta la documentazione per la risorsa backendService.

Configurazione del reindirizzamento URL

Queste istruzioni presuppongono quanto segue:

• Il deployment di Cloud Service Mesh ha una mappa URL denominata review-url-map.
• La mappa URL invia tutto il traffico a un solo servizio di backend chiamato review1, che funge da servizio di backend predefinito.
• Vuoi reindirizzare il traffico da un host all'altro.

Per impostare il reindirizzamento di URL:

Configura il reindirizzamento del traffico con la riscrittura dell'URL

L'indirizzamento del traffico ti consente di indirizzare il traffico a diversi servizi di backend in base agli attributi della richiesta, come i valori dell'intestazione. Inoltre, puoi configurare azioni come la riscrittura dell'URL nella richiesta prima che venga indirizzato al servizio di backend.

Nell'esempio seguente, la richiesta viene indirizzata a SERVICE_ANDROID_URL se il percorso della richiesta con prefisso /mobile/ e User-Agent della richiesta contengono Android. Prima di inviare la richiesta al servizio di backend, l'URL può essere cambiato in REWRITE_PATH_ANDROID, ad esempio /android/. Tuttavia, se il percorso ha il prefisso /mobile/ e ha un User-Agent contenente iPhone, il traffico viene indirizzato verso SERVICE_IPHONE_URL e il prefisso dell'URL è modificato in REWRITE_PATH_IPHONE. Tutte le altre richieste con prefisso /mobile/ e User-Agent con un valore diverso da Android o iPhone sono indirizzato a SERVICE_GENERIC_DEVICE_URL.

pathMatchers:
     - defaultService: [DEFAULT_SERVICE_URL]
       name: matcher1
       routeRules:
       - matchRules:
         - prefixMatch: /mobile/
           headerMatches:
           - headerName: User-Agent
             regexMatch: .*Android.*
         service: $[SERVICE_ANDROID_URL]
         routeAction:
           urlRewrite:
             pathPrefixRewrite: [REWRITE_PATH_ANDROID]
       - matchRules:
         - prefixMatch: /mobile/
           headerMatches:
           - headerName: User-Agent
             regexMatch: .*iPhone.*
         service: [SERVICE_IPHONE_URL]
         routeAction:
           urlRewrite:
             pathPrefixRewrite: [REWRITE_PATH_IPHONE]
       - matchRules:
         - prefixMatch: /mobile/
         service: [SERVICE_GENERIC_DEVICE_URL]

Configura fault injection

Fault injection ti consente di inserire una o entrambe le opzioni con un ritardo fisso o interruzione, chiamata interruzione, verso un particolare percorso per testare la resilienza di un un'applicazione.

Nell'esempio che segue, tutte le richieste vengono inviate a SERVICE_URL, con un un ritardo fisso di 10 secondi aggiunto al 100% delle richieste. Il client che invia richieste vede che tutte le risposte sono ritardate di 10 secondi. Inoltre, una fermata un errore con una risposta 503 Service Unavailable viene applicato al 50% richieste. Il cliente vede che il 50% delle sue richieste riceve una risposta 503. Queste richieste non raggiungono affatto il servizio di backend.

pathMatchers:
     - defaultService: [DEFAULT_SERVICE_URL]
       name: matcher1
       routeRules:
       - matchRules:
         - prefixMatch: '/'
         routeAction:
          weightedBackendServices:
          - backendService: [SERVICE_URL]
            weight: 100
          faultInjectionPolicy:
            delay:
              fixedDelay:
                seconds: 10
                nanos: 0
              percentage: 100
            abort:
              httpStatus: 503
              percentage: 50

Imposta il filtro della configurazione in base alla corrispondenza di MetadataFilters

MetadataFilters sono abilitati con le regole di forwarding e HttpRouteRuleMatch. Utilizza questa funzione per controllare una particolare regola di forwarding o di route in modo che il piano di controllo invia la regola di forwarding o la regola di route solo ai proxy i metadati del nodo corrispondano all'impostazione del filtro dei metadati. Se non specifichi alcuna MetadataFilters, la regola viene inviata a tutti i proxy Envoy.

Questa funzionalità semplifica l'esecuzione del deployment graduale di una configurazione. Ad esempio, crea una regola di forwarding denominata forwarding-rule1, che vuoi il push viene eseguito solo verso Envoy i cui metadati dei nodi contengono app: review e version: canary.

Per aggiungere MetadataFilters a una regola di forwarding:

Esempi di filtri dei metadati

Segui le istruzioni riportate di seguito per uno scenario in cui sono stati assegnati più progetti nella stessa rete VPC condiviso e vuoi che le risorse di Cloud Service Mesh siano visibili ai proxy nello stesso progetto.

La configurazione del VPC condiviso è la seguente:

• Nome progetto host: vpc-host-project
• Progetti di servizio: project1, project2
• Servizi di backend con istanze di backend o endpoint che eseguono un'operazione conforme a xDS proxy in project1 e project2

Per configurare Cloud Service Mesh per isolare project1, segui questi passaggi:

Per testare una nuova configurazione su un sottoinsieme di proxy prima di renderla disponibile a tutti i proxy, segui questi passaggi:

Risoluzione dei problemi

Utilizza queste informazioni per risolvere i problemi di traffico non instradato. in base alle regole di route e ai criteri di traffico che hai configurato.

Sintomi:

• Aumento del traffico verso i servizi nelle regole sopra la regola in questione.
• Aumento imprevisto delle risposte HTTP 4xx e 5xx per una determinata regola di route.

Soluzione: poiché le regole di route vengono interpretate in ordine di priorità, esamina la la priorità assegnata a ogni regola.

Quando definisci le regole di route, verifica che le regole con priorità più elevata (ovvero con i numeri con priorità più bassa) non instradare inavvertitamente il traffico che altrimenti verrebbero instradate da una regola di route successiva. Considera le nell'esempio seguente:

• Prima regola di route

  • Corrispondenza regola di route pathPrefix = /shopping/
  • Azione di reindirizzamento: invia traffico al servizio di backend service-1
  • Priorità regola: 4

• Seconda regola di route

  • Corrispondenza regola di route regexMatch = /shopping/cart/ordering/.*
  • Azione di reindirizzamento: invia traffico al servizio di backend service-2
  • Priorità regola: 8

In questo caso, una richiesta con percorso /shopping/cart/ordering/cart.html è indirizzato a service-1. Anche se la seconda regola avrebbe una corrispondenza, ignorato perché la prima regola aveva la priorità.

Blocca il traffico tra i servizi

Se vuoi bloccare il traffico tra il servizio A e il servizio B, e il tuo deployment è su GKE, configurare la sicurezza del servizio e utilizzare per bloccare il traffico tra i servizi. Per istruzioni complete, vedi Sicurezza del servizio Cloud Service Mesh e le istruzioni di configurazione con Envoy e gRPC senza proxy.

Passaggi successivi

• Per risolvere i problemi di configurazione di Cloud Service Mesh, consulta Risoluzione dei problemi dei deployment che utilizzano Envoy.