Enruta el tráfico de los servicios de Cloud Run a las cargas de trabajo de Cloud Service Mesh en GKE
En esta página, se muestra cómo enrutar de forma segura el tráfico de red de los servicios de Cloud Run a las cargas de trabajo de Cloud Service Mesh en GKE para usar las APIs de Istio y aprovechar un contenedor secundario de Envoy completamente administrado.
Antes de comenzar
En las siguientes secciones, se da por sentado que tienes un clúster de GKE con Cloud Service Mesh habilitado.
Si no tienes implementado un servicio de GKE, usa el siguiente comando para implementar un servicio de muestra:
cat <<EOF > /tmp/service.yaml
apiVersion: v1
kind: Service
metadata:
name: ads
spec:
ports:
- port: 9999
targetPort: 8000
selector:
run: ads
type: ClusterIP
---
apiVersion: apps/v1
kind: Deployment
metadata:
name: ads
spec:
replicas: 1
selector:
matchLabels:
run: ads
template:
metadata:
labels:
run: ads
spec:
containers:
- image: docker.io/waip/simple-http:v1.0.1
name: my-http2-svc
ports:
- protocol: TCP
containerPort: 8000
securityContext:
fsGroup: 1337
EOF
kubectl apply -f /tmp/service.yaml
Configura un dominio personalizado para hosts de VirtualService
Un servicio virtual define las reglas de enrutamiento de tráfico. El tráfico coincidente se envía a un servicio de destino con nombre.
Para crear una nueva zona administrada, haz lo siguiente:
gcloud dns managed-zones create ZONE_NAME \ --description="zone for service mesh routes" \ --dns-name=DNS_SUFFIX. \ --networks=default \ --visibility=private
Donde:
- ZONE_NAME es un nombre para tu zona (por ejemplo, "prod").
- DNS_SUFFIX es cualquier host de DNS válido (por ejemplo, "mesh.private").
Crea un conjunto de registros de recursos:
IP=10.0.0.1 gcloud dns record-sets create '*.'"DNS_SUFFIX." --type=A --zone="ZONE_NAME" \ --rrdatas=10.0.0.1 --ttl 3600
Asegúrate de que la IP (se requiere RFC 1918) no esté en uso. Como alternativa, reserva una IP interna estática.
Exporta un
VirtualService
para clientes externos de Cloud Run:cat <<EOF > virtual-service.yaml apiVersion: networking.istio.io/v1alpha3 kind: VirtualService metadata: name: VIRTUAL_SERVICE_NAME namespace: NAMESPACE spec: hosts: - GKE_SERVICE_NAME.DNS_SUFFIX gateways: - external-mesh http: - route: - destination: host: GKE_SERVICE_NAME EOF kubectl apply -f virtual-service.yaml
Donde:
- VIRTUAL_SERVICE_NAME es un nombre para tu
VirtualService
. - NAMESPACE es
default
si usas el servicio de ejemplo proporcionado. De lo contrario, reemplaza NAMESPACE por el nombre de tu espacio de nombres. - GKE_SERVICE_NAME es
ads
si usas el servicio de ejemplo proporcionado. De lo contrario, reemplaza GKE_SERVICE_NAME por un nombre para tu servicio de GKE.
- VIRTUAL_SERVICE_NAME es un nombre para tu
Si bien es posible agregar una puerta de enlace external-mesh
como destino a un VirtualService
preexistente, debes establecer un VirtualService
distinto para exportar un servicio de Kubernetes a clientes externos de Cloud Run. Tener un VirtualService
independiente facilita la administración de los servicios exportados y sus parámetros de configuración sin afectar a los clientes de GKE existentes.
Además, algunos campos en VirtualServices
se ignoran para VirtualServices
externo de malla, pero siguen funcionando como se espera para los servicios de GKE. Por lo tanto, puede ser ventajoso administrar y solucionar problemas de VirtualServices
por separado.
Para que los clientes de GKE también reciban la configuración de VirtualService
, se debe agregar la puerta de enlace mesh
o mesh/default
.
El VirtualService
externo del entramado debe definirse en el mismo espacio de nombres que el servicio de Kubernetes en el destino VirtualService
.
Configura un servicio de Cloud Run para unirse a una malla de servicios
Para unir un servicio de Cloud Run a una malla de servicios, sigue estos pasos:
Determina el ID de malla que respalda el clúster de GKE de Cloud Service Mesh:
MESH=$(kubectl get controlplanerevision --namespace istio-system -o json | jq -r '.items[0].metadata.annotations["mesh.cloud.google.com/external-mesh"]')
Implementa un servicio de Cloud Run con el ID de malla y asegúrate de conectarte también a la red de VPC del clúster:
gcloud alpha run deploy --mesh "$MESH" --network default \ mesh-svc --image=fortio/fortio \ --region=REGION --project=PROJECT_ID --no-allow-unauthenticated
Verifica que el servicio de Cloud Run pueda enviar una solicitud a la carga de trabajo de GKE:
TEST_SERVICE_URL=$(gcloud run services describe mesh-svc --region REGION --format="value(status.url)" --project=PROJECT_ID) curl -H "Authorization: Bearer $(gcloud auth print-identity-token)" "$TEST_SERVICE_URL/fortio/fetch/GKE_SERVICE_NAME.DNS_SUFFIX"
El resultado debe ser una respuesta HTTP 200 válida.
Soluciona problemas
En esta sección, se muestra cómo solucionar problemas comunes con Cloud Service Mesh y Cloud Run.
Registros de Sidecar de Cloud Run
Los errores de Envoy se registran en Cloud Logging.
Por ejemplo, se registrará un error como el siguiente si a la cuenta de servicio de Cloud Run no se le otorga el rol de cliente de trafficdirector en el proyecto de malla:
StreamAggregatedResources gRPC config stream to trafficdirector.googleapis.com:443 closed: 7, Permission 'trafficdirector.networks.getConfigs' denied on resource '//trafficdirector.googleapis.com/projects/525300120045/networks/mesh:test-mesh/nodes/003fb3e0c8927482de85f052444d5e1cd4b3956e82b00f255fbea1e114e1c0208dbd6a19cc41694d2a271d1ab04b63ce7439492672de4499a92bb979853935b03d0ad0' (or it may not exist).
CSDS
El estado del cliente de trafficdirector se puede recuperar con CSDS:
gcloud alpha container fleet mesh debug proxy-status --membership=<CLUSTER_MEMBERSHIP> --location=<CLUSTER_LOCATION>
External Clients:
....