Menyuntikkan proxy sidecar dengan Cloud Service Mesh

Dokumen ini membahas cara mengonfigurasi penyisipan proxy sidecar dengan Cloud Service Mesh untuk meningkatkan keamanan, keandalan, dan kemampuan observasi jaringan. Fungsi ini diabstrakkan dari penampung utama aplikasi dan diimplementasikan dalam proxy out-of-process umum (sidecar), yang dikirimkan sebagai penampung terpisah di Pod yang sama. Hal ini menyediakan fitur Cloud Service Mesh tanpa mendesain ulang aplikasi produksi Anda untuk berpartisipasi dalam mesh layanan.

Injeksi proxy sidecar otomatis (injeksi otomatis) terjadi saat Cloud Service Mesh mendeteksi label namespace yang Anda konfigurasi untuk Pod workload. Proxy mencegat semua traffic masuk dan keluar ke workload serta berkomunikasi dengan Cloud Service Mesh.

Mengaktifkan injeksi sidecar otomatis

Cara yang direkomendasikan untuk menyuntikkan proxy file bantuan adalah dengan menggunakan injektor file bantuan otomatis berbasis webhook, meskipun Anda dapat memperbarui konfigurasi Kubernetes Pod secara manual.

Untuk mengaktifkan injeksi otomatis, Anda memberi label pada namespace dengan label injeksi default jika tag default disiapkan, atau dengan label revisi ke namespace Anda. Label yang Anda tambahkan juga bergantung pada apakah Anda men-deploy Cloud Service Mesh terkelola (dengan fleet API atau dengan asmcli), atau menginstal bidang kontrol dalam cluster. Label digunakan oleh webhook injektor sidecar untuk mengaitkan sidecar yang diinjeksi dengan revisi bidang kontrol tertentu.

Untuk mengaktifkan penyuntikan otomatis:

Dalam cluster

  1. Gunakan perintah berikut untuk menemukan label revisi di istiod:

    kubectl -n istio-system get pods -l app=istiod --show-labels

    Outputnya terlihat mirip dengan yang berikut ini:

    NAME                                READY   STATUS    RESTARTS   AGE   LABELS
istiod-asm-11910-9-5788d57586-bljj4   1/1     Running   0          23h   app=istiod,istio.io/rev=asm-11910-9,istio=istiod,pod-template-hash=5788d57586
istiod-asm-11910-9-5788d57586-vsklm   1/1     Running   1          23h   app=istiod,istio.io/rev=asm-11910-9,istio=istiod,pod-template-hash=5788d57586

    Dalam output, di kolom LABELS, catat nilai label revisi istiod, yang mengikuti awalan istio.io/rev=. Dalam contoh ini, nilainya adalah asm-11910-9.

  2. Terapkan label revisi ke namespace dan hapus label istio-injection (jika ada). Pada perintah berikut, NAMESPACE adalah nama namespace tempat Anda ingin mengaktifkan penyuntikan otomatis, dan REVISION adalah label revisi yang Anda catat pada langkah sebelumnya.

    kubectl label namespace NAMESPACE  istio-injection- istio.io/rev=REVISION --overwrite

    Anda dapat mengabaikan pesan "istio-injection not found" dalam output. Artinya, namespace sebelumnya tidak memiliki label istio-injection, yang akan Anda lihat di penginstalan Cloud Service Mesh atau deployment baru. Karena perilaku injeksi otomatis tidak ditentukan saat namespace memiliki label revisi dan istio-injection, semua perintah kubectl label dalam dokumentasi Cloud Service Mesh secara eksplisit memastikan bahwa hanya satu yang ditetapkan.

  3. Mulai ulang pod yang terpengaruh, menggunakan langkah-langkah di bagian berikutnya.

Mesh layanan terkelola

  1. Gunakan perintah berikut untuk menemukan saluran rilis yang tersedia:

    kubectl -n istio-system get controlplanerevision

    Outputnya mirip dengan hal berikut ini:

    NAME                AGE
asm-managed         6d7h

    Dalam output, pilih nilai di kolom NAME adalah label REVISION yang sesuai dengan saluran rilis yang tersedia untuk versi Cloud Service Mesh. Terapkan label ini ke namespace Anda, dan hapus label istio-injection (jika ada). Pada perintah berikut, ganti REVISION dengan label revisi yang Anda catat di atas, dan ganti NAMESPACE dengan nama namespace tempat Anda ingin mengaktifkan injeksi otomatis:

    kubectl label namespace NAMESPACE  istio-injection- istio.io/rev=REVISION --overwrite

    Anda dapat mengabaikan pesan "istio-injection not found" dalam output. Artinya, namespace sebelumnya tidak memiliki label istio-injection, yang akan Anda lihat di penginstalan Cloud Service Mesh atau deployment baru. Karena perilaku injeksi otomatis tidak ditentukan saat namespace memiliki label revisi dan istio-injection, semua perintah kubectl label dalam dokumentasi Cloud Service Mesh secara eksplisit memastikan bahwa hanya satu yang ditetapkan.

  2. Mulai ulang pod yang terpengaruh, menggunakan langkah-langkah di bagian berikutnya.

  3. Jika Anda juga men-deploy bidang data yang dikelola Google opsional, anotasikan namespace demo sebagai berikut:

    kubectl annotate --overwrite namespace YOUR_NAMESPACE \
mesh.cloud.google.com/proxy='{"managed":"true"}'

Mulai ulang Pod untuk mengupdate proxy sidecar

Dengan injeksi sidecar otomatis, Anda dapat mengupdate sidecar untuk Pod yang ada dengan memulai ulang Pod:

Cara memulai ulang Pod bergantung pada apakah Pod dibuat sebagai bagian dari Deployment.

  1. Jika Anda menggunakan Deployment, mulai ulang Deployment, yang akan memulai ulang semua Pod dengan sidecar:

    kubectl rollout restart deployment -n YOUR_NAMESPACE

    Jika Anda tidak menggunakan Deployment, hapus Pod, dan Pod akan otomatis dibuat ulang dengan sidecar:

    kubectl delete pod -n YOUR_NAMESPACE --all

  2. Pastikan semua Pod di namespace memiliki sidecar yang disuntikkan:

    kubectl get pod -n YOUR_NAMESPACE

    Dalam contoh output berikut dari perintah sebelumnya, perhatikan bahwa kolom READY menunjukkan ada dua container untuk setiap beban kerja Anda: container utama dan container untuk proxy sidecar.

    NAME                    READY   STATUS    RESTARTS   AGE
YOUR_WORKLOAD           2/2     Running   0          20s
...

Langkah berikutnya

Pelajari lebih lanjut: