Configurer la gestion avancée du trafic avec des services gRPC sans proxy

Cette configuration est compatible avec les clients Preview, mais nous ne la recommandons pas aux nouveaux utilisateurs de Cloud Service Mesh. Pour en savoir plus, consultez les Présentation du routage du service Cloud Service Mesh

Ce document fournit des instructions pour configurer Cloud Service Mesh avec les fonctionnalités de gestion du trafic suivantes:

• Mise en correspondance des routes
• Répartition du trafic
• Ruptures de circuit
• Injection de pannes
• Durée maximale du flux
• Réessayer
• Affinité de session
• Détection des anomalies
• Équilibrage de charge de zone

Bien que ce document se concentre sur la configuration de la gestion avancée du trafic avec gRPC sans proxy sur Compute Engine, la gestion avancée du trafic est également disponible lorsque vous utilisez gRPC sans proxy sur Google Kubernetes Engine (GKE).

Avant de commencer

Avant de configurer la gestion avancée du trafic, passez en revue les exigences dans Préparez-vous à configurer Cloud Service Mesh avec des services gRPC sans proxy. Vous ne pouvez configurer la gestion avancée du trafic que si toutes les conditions préalables sont remplies.

Pour obtenir des informations conceptuelles sur ces fonctionnalités, consultez la page sur la gestion avancée du trafic.

À propos de l'exemple de portefeuille gRPC

Pour illustrer ces fonctionnalités, vous devez déployer un exemple de portefeuille gRPC. Dans cet exemple, trois services gRPC, grpc.examples.wallet.Wallet, grpc.examples.wallet.stats.Stats et grpc.examples.wallet.account.Account, sont déployés en tant qu'applications distinctes.

Comme le montre le schéma suivant, vous créez un client gRPC qui appelle le service Wallet, pour obtenir le solde d'un compte, et le service Stats pour obtenir la valeur d'une cryptomonnaie. Le service Wallet appelle les services Stats et Account pour calculer le solde. Le service Stats appelle également le service Account pour obtenir des informations sur l'utilisateur.

Dans cet exemple, vous déployez deux versions des implémentations de Wallet et de Stats pour illustrer le routage des requêtes en fonction des règles que vous configurez. Pour simuler la création et le déploiement de différentes versions d'un service, vous utilisez des options de serveur afin de modifier le comportement des binaires que vous compilez une seule fois.

• L'option --port spécifie le port d'écoute du service sur une instance de VM.
• L'option --hostname_suffix spécifie une valeur ajoutée au nom d'hôte de l'instance de VM qui répond à une requête. La valeur obtenue est ajoutée en tant que métadonnées hostname dans la réponse. Cela vous permet d'identifier, au sein d'un groupe d'instances, l'instance qui a répondu à la requête du client.
• L'option --premium_only avec la valeur true indique que le service est une version premium du service stats.
• L'option --v1_behavior avec la valeur true indique que le binaire du portefeuille se comporte comme une version v1.

Le tableau suivant indique les valeurs de ces options pour chaque instance de VM qui exécute l'un des services gRPC, le nombre d'instances dans un groupe d'instances et les services de backend auxquels ces groupes d'instances appartiennent.

Une fois ces services déployés, configurez Cloud Service Mesh pour acheminer les requêtes vers ces services de backend à partir d'un client de test, en fonction des règles de routage du tableau suivant. Le client se connecte au nom d'hôte virtuel d'un service, comme indiqué dans la colonne Hôte.

Cet exemple utilise une répartition du trafic à 70/30 entre deux services existants. Si vous répartissez le trafic vers un nouveau service qui n'a pas encore été référencé par le mappage d'URL, ajoutez d'abord le nouveau service à weightedBackendServices et attribuez-lui une pondération de 0. Ensuite, augmentez progressivement la pondération attribuée à ce service.

Le client de test dispose des options suivantes qui vous permettent de générer des requêtes appropriées pour démontrer les fonctionnalités de gestion du trafic.

Préparer votre environnement local

Pour configurer l'environnement local pour ces exemples, exécutez les commandes suivantes :

1. Mettez à jour le binaire gcloud pour vous assurer que vous disposez de la dernière version :

   gcloud components update
   

2. Téléchargez le dépôt d'exemples :

   sudo apt-get install git -y
   

3. Clonez le dépôt approprié pour l'exemple :

   export EXAMPLES_VERSION=v1.1.x
   git clone -b $EXAMPLES_VERSION --single-branch --depth=1 \
     https://github.com/GoogleCloudPlatform/traffic-director-grpc-examples.git
   

Créer et configurer des instances Cloud Router

Dans cette section, vous allez créer des instances Cloud Router dans chaque région et les configurer pour Cloud NAT. Les VM créées dans cet exemple n'ont pas d'adresses IP externes, mais elles doivent avoir accès à Internet. La configuration de Cloud Router avec Cloud NAT fournit l'accès requis.

Créer la vérification de l'état et la règle de pare-feu gRPC

Dans cette section, vous allez créer une vérification de l'état gRPC et une règle de pare-feu pour permettre aux requêtes de vérification d'état gRPC d'atteindre votre réseau. La vérification de l'état gRPC sera ensuite associée aux services de backend, afin qu'elle puisse vérifier l'état des instances backend de ces services de backend.

Créer le modèle d'instance

Dans cette section, vous créez un modèle d'instance pour déployer le service gRPC account exposé sur le port 50053.

Créer le groupe d'instances géré

Les groupes d'instances gérés (MIG) utilisent l'autoscaling pour créer des instances de VM en fonction des besoins. Dans cette section, vous créez un MIG à l'aide du modèle d'instance que vous avez créé à la section précédente.

Configurer le port nommé

Dans cette section, vous configurez le port nommé pour le service gRPC. Le port nommé est le port sur lequel le service gRPC écoute les requêtes. Dans cet exemple, le port nommé est le port 50053.

Créez le service de backend :

Dans cette section, vous allez créer un service de backend global avec un schéma d'équilibrage de charge INTERNAL_SELF_MANAGED et le protocole GRPC. Vous allez ensuite associer la vérification d'état et le groupe d'instances au service de backend. Dans cet exemple, vous utilisez le MIG que vous avez créé dans la section Créer le groupe d'instances géré. Ce MIG exécute le service gRPC account. Le port correspondant à l'option --port-name est le port nommé que vous avez créé dans Configurer le port nommé.

La procédure de création des services de backend restants utilisés dans l'exemple de portefeuille gRPC est semblable à celle décrite ci-dessus. Pour créer les services restants, exécutez un script shell. Le script déploie les services de backend suivants :

• stats
• stats-premium
• wallet-v1
• wallet-v1-affinity
• wallet-v2

Exécutez le script shell qui crée les services de backend supplémentaires :

traffic-director-grpc-examples/scripts/create_service.sh go stats 50052 stats '--account_server="xds:///account.grpcwallet.io"'

traffic-director-grpc-examples/scripts/create_service.sh go stats 50052 stats-premium '--account_server="xds:///account.grpcwallet.io" --premium_only=true'

# This command creates wallet-v1 and wallet-v1-affinity backend services.
traffic-director-grpc-examples/scripts/create_service.sh java wallet 50051 wallet-v1 '--account_server="xds:///account.grpcwallet.io" --stats_server="xds:///stats.grpcwallet.io" --v1_behavior=true'

traffic-director-grpc-examples/scripts/create_service.sh java wallet 50051 wallet-v2 '--account_server="xds:///account.grpcwallet.io" --stats_server="xds:///stats.grpcwallet.io"'

Créer les règles de routage

Dans cette section, vous allez créer un mappage d'URL qui servira à illustrer diverses fonctionnalités de gestion du trafic. Le mappage d'URL spécifie les noms d'hôte virtuels des services de cet exemple, et les règles de routage associées. Pour plus d'informations, consultez la page sur les cartes des règles de routage.

Dans le mappage d'URL, hostRules spécifie les noms d'hôte virtuel des services de l'exemple. Il s'agit des noms qu'un client utilise dans l'URI du canal pour se connecter à un service spécifique. Par exemple, pour envoyer une requête au service account, un client utilise xds:///account.grpcwallet.io dans l'URI du canal. Dans le fichier hostRules, configurez une entrée hosts avec la valeur account.grpcwallet.io.

Le paramètre pathMatcher associé à une entrée hosts spécifie le nom de la ressource pathMatcher contenant toutes les règles de routage de cet hôte virtuel. Une configuration pathMatcher se compose de règles de correspondance et de règles d'action correspondantes, comme décrit dans la section À propos de l'exemple de portefeuille gRPC.

export PROJECT_ID=$(gcloud config list --format 'value(core.project)')
export BS_PREFIX=projects/$PROJECT_ID/global/backendServices/grpcwallet

gcloud compute url-maps import grpcwallet-url-map << EOF
name: grpcwallet-url-map
defaultService: $BS_PREFIX-account-service

hostRules:
- hosts:
  - account.grpcwallet.io
  pathMatcher: grpcwallet-account-path-matcher
- hosts:
  - stats.grpcwallet.io
  pathMatcher: grpcwallet-stats-path-matcher
- hosts:
  - wallet.grpcwallet.io
  pathMatcher: grpcwallet-wallet-path-matcher

pathMatchers:
- name: grpcwallet-account-path-matcher
  defaultService: $BS_PREFIX-account-service
  routeRules:
  - matchRules:
    - prefixMatch: /
      headerMatches:
      - headerName: route
        exactMatch: account-fault
    priority: 0
    routeAction:
      weightedBackendServices:
      - backendService: $BS_PREFIX-account-service
        weight: 100
      faultInjectionPolicy:
        abort:
          httpStatus: 503
          percentage: 30

- name: grpcwallet-stats-path-matcher
  defaultService: $BS_PREFIX-stats-service
  routeRules:
  - matchRules:
    - prefixMatch: /
      headerMatches:
      - headerName: membership
        exactMatch: premium
    priority: 0
    service: $BS_PREFIX-stats-premium-service

- name: grpcwallet-wallet-path-matcher
  defaultService: $BS_PREFIX-wallet-v1-service
  routeRules:
  - matchRules:
    - prefixMatch: /
      headerMatches:
      - headerName: session_id
        presentMatch: true
    priority: 0
    routeAction:
      weightedBackendServices:
      - backendService: $BS_PREFIX-wallet-v1-affinity-service
        weight: 100

  - matchRules:
    - prefixMatch: /
      headerMatches:
      - headerName: route
        exactMatch: timeout
    priority: 1
    routeAction:
      weightedBackendServices:
      - backendService: $BS_PREFIX-wallet-v2-service
        weight: 100
      maxStreamDuration:
        seconds: 5

  - matchRules:
    - prefixMatch: /
      headerMatches:
      - headerName: route
        exactMatch: fault
    priority: 2
    routeAction:
      weightedBackendServices:
      - backendService: $BS_PREFIX-wallet-v2-service
        weight: 100
      faultInjectionPolicy:
        abort:
          httpStatus: 503
          percentage: 50

  - matchRules:
    - prefixMatch: /
      headerMatches:
      - headerName: membership
        exactMatch: premium
    priority: 3
    routeAction:
      weightedBackendServices:
      - backendService: $BS_PREFIX-wallet-v1-service
        weight: 100
      retryPolicy:
        retryConditions:
          - unavailable
        numRetries: 3

  - matchRules:
    - fullPathMatch: /grpc.examples.wallet.Wallet/FetchBalance
    priority: 4
    routeAction:
      weightedBackendServices:
      - backendService: $BS_PREFIX-wallet-v1-service
        weight: 70
      - backendService: $BS_PREFIX-wallet-v2-service
        weight: 30

  - matchRules:
    - prefixMatch: /grpc.examples.wallet.Wallet/
    priority: 5
    routeAction:
      weightedBackendServices:
      - backendService: $BS_PREFIX-wallet-v2-service
        weight: 100
EOF

Créer le proxy cible et la règle de transfert

Dans cette section, vous créez le proxy gRPC cible et une règle de transfert.

Le proxy gRPC cible référence le mappage d'URL que vous avez créé à l'étape précédente. L'option --validate-for-proxyless active les vérifications de configuration afin de ne pas activer accidentellement une fonctionnalité qui n'est pas compatible avec les déploiements gRPC sans proxy.

La règle de transfert fait référence au proxy gRPC cible que vous avez créé. Le schéma d'équilibrage de charge est défini sur INTERNAL_SELF_MANAGED pour indiquer que cette règle de transfert est utilisée par Cloud Service Mesh. Il doit s'agir d'une règle de transfert globale. L'adresse IP est définie sur 0.0.0.0, car un client gRPC sans proxy résout le hostname:port dans l'URI cible en envoyant une requête LDS à Cloud Service Mesh au lieu d'effectuer une résolution DNS. Pour en savoir plus, consultez la section Schéma de résolution des noms.

Lorsqu'il n'y a pas de port spécifié dans l'URI cible, la valeur par défaut est 80. Par exemple, un URI cible xds:///foo.myservice:8080 correspond à une règle de transfert configurée avec le port 8080. Dans cet exemple, la règle de transfert est configurée avec le port 80.

Vérifier la configuration

Une fois le processus de configuration terminé, vérifiez que les services de backend que vous avez configurés sont disponibles en consultant la page Cloud Service Mesh dans la console Google Cloud. Vérifiez que les services de backend et les backends associés sont signalés comme étant opérationnels. L'actualisation de l'état peut prendre plusieurs minutes.

Vérifier la configuration du routage

Dans cette section, vous vérifiez que la configuration de routage fonctionne correctement. Utilisez l'outil grpcurl pour tester la configuration.

Pour accéder aux services sans proxy side-car, le client gRPC doit utiliser le schéma de résolution de noms xds. Ce schéma indique à la bibliothèque gRPC utilisée dans le client qu'elle doit utiliser un serveur xDS pour résoudre le nom d'hôte. Pour ce faire, une configuration d'amorçage est nécessaire.

Le script de démarrage de la section précédente définit la variable d'environnement GRPC_XDS_BOOTSTRAP et utilise un script d'aide pour générer le fichier d'amorçage. Les valeurs de TRAFFICDIRECTOR_GCP_PROJECT_NUMBER, TRAFFICDIRECTOR_NETWORK_NAME et de la zone du fichier d'amorçage généré sont obtenues auprès du serveur de métadonnées qui connaissent ces détails sur vos instances de VM Compute Engine. Vous pouvez fournir manuellement ces valeurs au script d'aide en utilisant les options -gcp-project-number et -vpc-network-name.

Vérifier la configuration à l'aide de l'outil grpcurl

Exécutez les commandes suivantes dans l'interface système SSH pour vérifier que les services wallet-service, stats-service et account-service sont en cours d'exécution :

./grpcurl -plaintext xds:///account.grpcwallet.io list
./grpcurl -plaintext -d '{"token": "2bd806c9"}' xds:///account.grpcwallet.io grpc.examples.wallet.account.Account/GetUserInfo
./grpcurl -plaintext -H 'authorization:2bd806c9' -H 'membership:premium' xds:///stats.grpcwallet.io grpc.examples.wallet.stats.Stats/FetchPrice
./grpcurl -plaintext -H 'authorization:2bd806c9' -H 'membership:premium' -d '{"include_balance_per_address": true}' xds:///wallet.grpcwallet.io grpc.examples.wallet.Wallet/FetchBalance

Les résultats suivants s'affichent :

grpc.examples.wallet.account.Account
grpc.health.v1.Health
grpc.reflection.v1alpha.ServerReflection

{
  "name": "Alice",
  "membership": "PREMIUM"
}

{
  "price": "10295"
}

{
  "balance": "5089953"
}

Vérifier avec les clients grpc-wallet

Suivez les instructions par langage ci-dessous pour vérifier la configuration. Les commandes envoient plusieurs RPC, certains avec des métadonnées supplémentaires, pour indiquer que les requêtes sont acheminées vers des services de backend en fonction des règles de correspondance du mappage d'URL. La commande imprime également le nom d'hôte de l'instance de VM pour chaque réponse, afin d'afficher l'instance de VM vers laquelle la requête a été acheminée.

Configurer d'autres options avancées

Vous pouvez configurer d'autres options avancées de routage du trafic en suivant les instructions des sections suivantes.

Ruptures de circuit

La rupture de circuit vous permet de définir des seuils de défaillance pour empêcher les requêtes client de surcharger vos services de backend. Une fois que le nombre de requêtes en attente atteint une limite que vous avez définie, le client arrête d'envoyer des requêtes supplémentaires, ce qui laisse le temps à vos services de backend de revenir à l'état normal de fonctionnement.

La rupture de circuit évite les défaillances en cascade en renvoyant une erreur au client plutôt que de surcharger un service de backend. Cela permet de diffuser du trafic tout en gérant la situation de surcharge. Ce fonctionnement est comparable à la gestion d'un pic de trafic via l'augmentation de la capacité (par le biais de l'autoscaling).

Lorsque vous créez le service de backend pour le service stats-service, le script create_service.sh inclut les lignes suivantes dans sa configuration :

circuitBreakers:
  maxRequests: 1

Ce paramètre limite les clients à une requête en attente à la fois sur le service stats-service. Étant donné qu'il n'y a qu'un seul service wallet-v2, l'exécution simultanée de deux opérations WatchBalance de client de portefeuille présente des défaillances en provenance de la deuxième instance.

Injection de pannes

L'injection de pannes introduit des erreurs lors du traitement de requêtes afin de simuler des pannes, y compris une latence élevée, une surcharge du service, des défaillances du service et un partitionnement du réseau. Cette fonctionnalité est utile pour tester la résilience d'un service aux pannes simulées.

Lorsque vous avez créé le mappage d'URL précédemment, vous avez défini la règle d'injection de pannes sur 50 % des RPC envoyés à wallet.grpcwallet.io avec l'en-tête route=fault.

Pour démontrer l'injection de pannes, utilisez le code dans les langages suivants.

Durée maximale du flux

La durée maximale du flux permet d'appliquer un délai maximal à tous les RPC. Vous évitez ainsi les cas où les clients oublient de définir un délai ou définissent un délai excessif, ce qui consomme inutilement les ressources du serveur.

Lorsque vous avez créé le mappage d'URL ci-dessus, vous avez défini une durée maximale de flux de cinq secondes pour les RPC envoyés à wallet.grpcwallet.io avec l'en-tête route=timeout.

Pour démontrer l'expiration de délai, nous devons d'abord arrêter le service wallet-v2.

gcloud compute instance-groups managed resize \
    --size=0 grpcwallet-wallet-v2-mig-us-central1 \
    --zone=us-central1-a

La commande suivante serait bloquée indéfiniment, car il n'existe aucun service de backend à même de la gérer et l'application ne définit aucun délai.

Cependant, la commande suivante qui utilise la route timeout échoue après cinq secondes en raison du paramètre maxStreamDuration.

Redémarrez le service wallet-v2.

gcloud compute instance-groups managed resize \
    --size=1 grpcwallet-wallet-v2-mig-us-central1 \
    --zone=us-central1-a

Réessayer

Les nouvelles tentatives vous aident à améliorer la disponibilité des services en permettant à vos applications gRPC de relancer les requêtes sortantes en fonction d'une stratégie de nouvelle tentative. Dans une stratégie de nouvelle tentative, vous pouvez configurer les conditions dans lesquelles une requête échouée doit être relancée et le nombre maximal de nouvelles tentatives, par exemple lorsqu'une requête échoue avec un code de réponse particulier.

Lorsque vous avez créé le mappage d'URL précédemment, vous avez défini une stratégie de nouvelle tentative pour les RPC sur la méthode FetchBalance avec l'en-tête membership=premium. Cette stratégie relance jusqu'à trois fois les RPC qui échouent avec le code d'état unavailable. Vous avez également défini une règle d'injection de pannes pour les RPC sur account.grpcwallet.io avec l'en-tête route=account-fault, qui fait échouer 30 % des RPC du service Wallet vers le service Account. Par conséquent, 30 % des RPC du client de test avec l'en-tête membership=normal vont échouer, alors que le taux d'échec pour les RPC avec l'en-tête membership=premium est inférieur à 1 %.

Pour illustrer les nouvelles tentatives, utilisez le code dans les langages suivants.

cd ~/traffic-director-grpc-examples/java
# 30% of the requests fail because Bob is a normal user.
./build/install/wallet/bin/client balance --wallet_server="xds:///wallet.grpcwallet.io" --unary_watch=true --user=Bob --route=account-fault
# Less than 1% of the requests fail because Alice is a premium user.
./build/install/wallet/bin/client balance --wallet_server="xds:///wallet.grpcwallet.io" --unary_watch=true --user=Alice --route=account-fault

cd ~/traffic-director-grpc-examples/go/wallet_client
# 30% of the requests fail because Bob is a normal user.
./wallet_client balance --wallet_server="xds:///wallet.grpcwallet.io" --unary_watch=true --user=Bob --route=account-fault
# Less than 1% of the requests fail because Alice is a premium user.
./wallet_client balance --wallet_server="xds:///wallet.grpcwallet.io" --unary_watch=true --user=Alice --route=account-fault

cd ~/traffic-director-grpc-examples/cpp
# 30% of the requests fail because Bob is a normal user.
../bazel-bin/cpp/client balance --wallet_server="xds:///wallet.grpcwallet.io" --unary_watch=true --user=Bob --route=account-fault
# Less than 1% of the requests fail because Alice is a premium user.
../bazel-bin/cpp/client balance --wallet_server="xds:///wallet.grpcwallet.io" --unary_watch=true --user=Alice --route=account-fault

Affinité de session

L'affinité de session consiste en une tentative la plus optimale possible d'envoi de requêtes ayant des caractéristiques particulières (en-têtes HTTP) à la même instance, tant que celle-ci est opérationnelle et qu'elle dispose d'une capacité suffisante. Cela s'avère utile pour les serveurs d'applications avec état qui bénéficient de performances et d'une efficacité améliorées lorsque les requêtes d'un client particulier sont envoyées à la même instance, plutôt que d'effectuer par exemple une distribution round-robin vers différentes instances.

Lorsque vous avez créé le service de backend grpcwallet-wallet-v1-affinity-service, dans le script create_service.sh, localityLbPolicy a été défini sur ROUND_ROBIN. Dans cet exemple, vous allez appliquer la configuration suivante pour définir localityLbPolicy sur RING_HASH.

sessionAffinity: HEADER_FIELD
localityLbPolicy: RING_HASH
consistentHash:
  httpHeaderName: "session_id"

Pour démontrer l'affinité de session, utilisez le code dans les langages suivants. Avec l'option --affinity=true, le client insère un en-tête session-id avec une valeur unique pour chaque utilisateur. Un hachage de cette valeur est utilisé pour envoyer la requête à une instance particulière du groupe d'instances du service de backend grpcwallet-wallet-v1-affinity-service.

cd ~/traffic-director-grpc-examples/java
# Without affinity, requests are sent to both instances.
./build/install/wallet/bin/client balance --wallet_server="xds:///wallet.grpcwallet.io" --unary_watch=true --user=Alice
# With affinity, requests are sent to only one instance.
./build/install/wallet/bin/client balance --wallet_server="xds:///wallet.grpcwallet.io" --unary_watch=true --user=Alice --affinity=true

cd ~/traffic-director-grpc-examples/go/wallet_client
# Without affinity, requests are sent to both instances.
./wallet_client balance --wallet_server="xds:///wallet.grpcwallet.io" --unary_watch=true --user=Alice
# With affinity, requests are sent to only one instance.
./wallet_client balance --wallet_server="xds:///wallet.grpcwallet.io" --unary_watch=true --user=Alice --affinity=true

cd ~/traffic-director-grpc-examples/cpp
# Without affinity, requests are sent to both instances.
../bazel-bin/cpp/client balance --wallet_server="xds:///wallet.grpcwallet.io" --unary_watch=true --user=Alice
# With affinity, requests are sent to only one instance.
../bazel-bin/cpp/client balance --wallet_server="xds:///wallet.grpcwallet.io" --unary_watch=true --user=Alice --affinity=true

Restaurez la configuration du service de backend grpcwallet-wallet-v1-affinity-service.

gcloud compute backend-services import grpcwallet-wallet-v1-affinity-service \
  --source=bs_config.yaml \
  --global

Détection des anomalies

Pour améliorer la disponibilité du service, configurez la détection des anomalies. Cette fonctionnalité vous permet d'identifier et d'éjecter temporairement les hôtes défaillants du pool d'équilibrage de charge. Ces hôtes défaillants sont appelés anomalies.

gRPC évalue les hôtes en fonction du taux de réussite (la fréquence avec laquelle un hôte gère avec succès les requêtes. Le taux est affecté par les échecs tels que les erreurs gRPC, les erreurs HTTP, les délais avant expiration et d'autres problèmes.

Lorsque vous configurez la détection des valeurs aberrantes via Cloud Service Mesh, vous pouvez affiner la façon dont gRPC évalue les hôtes et gère les valeurs aberrantes. Par exemple, vous pouvez spécifier des critères tels que les suivants :

• Nombre de requêtes qu'un hôte doit recevoir avant que gRPC ne l'analyse pour déterminer s'il s'agit d'une valeur aberrante.

• Extent to which an host can deviate from the mean success rate before it's considered an outlier.

• Le pourcentage maximal d'hôtes pouvant être exclus à tout moment du le pool d'équilibrage de charge.

• Durée pendant laquelle une anomalie est exclue de l'équilibrage de charge d'un pool d'utilisateurs.

Pour en savoir plus sur les paramètres disponibles, consultez les REST Resource: backendServices référence. Il existe toutefois certaines limites pour gRPC, comme décrit dans le dans la section suivante.

Limites

Les champs suivants ne sont pas acceptés pour les clients gRPC :

• outlierDetection.consecutiveErrors

• outlierDetection.enforcingConsecutiveErrors

• outlierDetection.consecutiveGatewayFailure

• outlierDetection.enforcingConsecutiveGatewayFailure

Configurer la détection des anomalies

La procédure suivante montre comment configurer la détection d'anomalies pour un service qui utilise un groupe d'instances comme backend. Cette procédure établit la configuration suivante :

• Une analyse de détection des anomalies s'exécute toutes les secondes. Vous configurez ce comportement à l'aide du champ interval.
• Les anomalies sont exclues du pool d'équilibrage de charge par incréments de 30 secondes, comme suit:
  • Si un hôte n'a jamais été exclu, il ne l'est que pendant 30 secondes secondes.
  • Si un hôte a déjà été éjecté, le délai est augmenté de 30 secondes pour chaque éjection précédente. Par exemple, lorsqu'un hôte est éjecté pendant une troisième il est éjecté pendant 90 secondes. Vous configurez ce comportement à l'aide du champ baseEjectionTime.
• Un hôte est considéré comme non opérationnel si son taux de réussite est inférieur à la moyenne d'une déviation standard pendant l'intervalle de temps sélectionné (dans ce cas, une seconde). Vous configurez l'écart type maximal à l'aide du champ successRateStdevFactor.

Pour configurer la détection des anomalies de cette manière, procédez comme suit.

Équilibrage de charge de la zone

Pour utiliser vos ressources de manière optimale, configurez l'équilibrage de charge de la zone. Cette fonctionnalité vous aide à préserver les ressources en les répartissant équitablement les requêtes client entre vos backends.

Lorsque vous configurez l'équilibrage de charge par localité, vous pouvez utiliser les options décrites dans le tableau suivant. Toutes les options nécessitent de configurer la ressource backendServices.

Vous pouvez combiner les options précédentes comme vous le souhaitez. Toutefois, si vous configurez à la fois localityLbPolicy et localityLbPolicies, gRPC tente d'abord d'utiliser votre configuration localityLbPolicies.

Si vous ne configurez pas l'équilibrage de charge de localité, Cloud Service Mesh utilise le Règle ROUND_ROBIN.

Pour en savoir plus sur ROUND_ROBIN et les autres règles intégrées, consultez les description de localityLbPolicy sur la backendServices.

Utiliser une stratégie intégrée

Si vous souhaitez que tous vos clients utilisent une seule règle intégrée, vous pouvez sélectionner en configurant le champ localityLbPolicy.

Lorsque vous configurez ce champ, vous avez le choix entre les règles suivantes :

• LEAST_REQUEST (clients Java uniquement)
• RING_HASH
• ROUND_ROBIN

Si tous vos clients ne peuvent pas utiliser la même stratégie, consultez la section Définir une liste de stratégies préférées.

Utiliser une règle personnalisée

Le cas échéant, vous pouvez utiliser une règle d'équilibrage de charge personnalisée que vous avez créée et déployée avec gRPC. Cette fonctionnalité est disponible pour les clients Java qui utilisent gRPC. version 1.47 ou ultérieure. Utilisez-la uniquement dans un maillage qui inclut tous les clients gRPC.

Lorsque vous créez une règle personnalisée, la documentation suivante peut vous être utile :

• Pour perfectionner vos règles personnalisées, vous pouvez utiliser la fonction Open Request API ORCA (Cost Aggregation). Ces API vous permettent de capturer des métriques sur le coût des requêtes et l'utilisation des serveurs. L'utilisation de ces API nécessite gRPC version 1.48.1 ou ultérieure. Pour en savoir plus, consultez Exemple de gRPC ORCA.

• Pour en savoir plus sur la manière dont les configurations personnalisées d'équilibrage de charge sont envoyé à gRPC par xDS, consultez Configuration de l'équilibreur de charge personnalisé gRPC xDS

Pour configurer Cloud Service Mesh pour qu'il utilise votre stratégie personnalisée, identifiez-la à l'aide du champ localityLbPolicies.

La procédure suivante illustre ce processus. Dans cette procédure, vous mettez à jour la configuration du service de backend grpcwallet-wallet-v2-service afin que les clients qui s'y connectent utilisent une règle personnalisée appelée example.ExampleLoadBalancer.

Définir une liste de règles préférées

Si plusieurs clients ne sont pas tous compatibles avec une seule stratégie d'équilibrage de charge, créez une liste des stratégies que vos clients peuvent utiliser. Avec cette option, si la première règle préférée ne peut pas être utilisée par un client particulier, gRPC utilise la règle suivante de la liste.

Lorsque vous créez une liste de règles préférées, les options valides incluent les éléments suivants : les règles personnalisées ROUND_ROBIN et, pour les clients Java, LEAST_REQUEST. Vous pouvez lister jusqu'à 10 règles.

Cette fonctionnalité n'est disponible que pour les clients Java qui utilisent gRPC version 1.47 ou ultérieure. N'utilisez-le que dans un maillage qui inclut tous les clients gRPC.

gcloud compute backend-services export grpcwallet-wallet-v2-service \
  --destination=bs_config.yaml \
  --global

Nettoyer les ressources

Pour nettoyer les ressources, exécutez la commande suivante à partir de votre système local :

traffic-director-grpc-examples/scripts/cleanup.sh

Bloquer le trafic entre les services

Si vous souhaitez bloquer le trafic entre le service A et le service B, et que votre déploiement se trouve sur GKE, configurez la sécurité du service et utilisez une règle d'autorisation pour bloquer le trafic entre les services. Pour obtenir des instructions complètes, consultez la page Sécurité du service Cloud Service Mesh et les instructions de configuration avec Envoy et gRPC sans proxy.

Étape suivante

• Pour vous aider à résoudre les problèmes de configuration de Cloud Service Mesh, consultez la page Résoudre les problèmes de déploiement qui utilisent gRPC sans proxy.