Opzioni per la configurazione delle VM di Compute Engine utilizzando il deployment automatico di Envoy

Questa guida fornisce informazioni su opzioni e attività aggiuntive per il deployment automatizzato di Envoy.

Opzioni aggiuntive di creazione dei modelli di istanza

Quando crei un modello di istanza per il deployment automatizzato di proxy Envoy, puoi utilizzare i seguenti parametri per definire alcuni aspetti del deployment e il comportamento dei proxy.

Parametro Valore e descrizione Obbligatorio o facoltativo
--service-proxy enabled
Consente di controllare se il proxy e l'agente di servizio sono installati e configurati sulla VM.		 Obbligatorio se vuoi eseguire automaticamente il deployment e la configurazione del proxy di servizio. Se ometti questa impostazione, il proxy di servizio non è installato o configurato.
--service-proxy:serving-ports Un elenco di porte separate da punto e virgola.
Le porte su cui vengono pubblicati l'applicazione o il carico di lavoro. Il proxy di servizio intercetta il traffico in entrata, quindi lo inoltra alle porte di gestione specificate su localhost.		 (Facoltativo)
Se ometti questo flag, il proxy di servizio gestisce solo il traffico in uscita dal carico di lavoro. Il traffico in entrata non è gestito dal proxy di servizio.
--service-proxy:proxy-port Una singola porta.
La porta su cui il proxy di servizio è in ascolto. La VM intercetta il traffico e lo reindirizza a questa porta per la gestione da parte del proxy di servizio. 		Facoltativo.
Se ometti questo flag, il valore predefinito è 15001
--service-proxy:network Il nome di una rete VPC valida.
La rete VPC di Google Cloud utilizzata dal piano di controllo del proxy di servizio per generare la configurazione dinamica per il proxy di servizio.		 Obbligatorio se la VM si trova su più reti; in caso contrario, è facoltativo.
Se ometti questo flag, viene utilizzato il valore specificato mediante il parametro --network durante la creazione del modello di istanza VM.
--service-proxy:tracing ON o OFF
Consente al proxy di servizio di generare informazioni di tracciamento distribuito. Se viene impostato su ON, il piano di controllo del proxy di servizio genera una configurazione che abilita il tracciamento basato su ID richiesta.
Per ulteriori informazioni, consulta la documentazione generate_request_id per il proxy Envoy.		 Facoltativo.
Se ometti questo flag, il tracciamento non è abilitato.
--service-proxy:access-log Il percorso del file per i log degli accessi inviati al proxy di servizio dal piano di controllo. Tutte le richieste in entrata e in uscita vengono registrate in questo file.
Per ulteriori informazioni, consulta la documentazione relativa al log Accesso ai file per il proxy Envoy. 		Facoltativo. Non è presente alcun valore predefinito. Se non specifichi il percorso del file, i log non vengono creati.
--service-proxy:intercept-all-outbound-traffic (anteprima) Consente l'intercettazione di tutto il traffico in uscita da parte del proxy di servizio, quindi il reindirizzamento a un host esterno. Usa gcloud beta con questa opzione. Facoltativo.
--service-proxy:exclude-outbound-ip-ranges (anteprima) Un elenco separato da punto e virgola (;) di indirizzi IP o intervalli CIDR, specificati tra virgolette ("), che devono essere esclusi dal reindirizzamento. Si applica solo quando è impostato il flag intercept-all-outbound-traffic. Utilizza gcloud beta con questa opzione.

Ad esempio:

exclude-outbound-ip-ranges="8.8.8.8;129.168.10.0/24"		 Facoltativo.
--service-proxy:exclude-outbound-port-ranges (anteprima) Un elenco separato da punto e virgola (;) delle porte o degli intervalli di porte, specificati tra virgolette ("), che deve essere escluso dal reindirizzamento. Si applica solo quando è impostato il flag intercept-all-outbound-traffic. Utilizza gcloud beta con questa opzione.

Ad esempio:

exclude-outbound-port-ranges="81;8080-8090"		 Facoltativo.
--service-proxy:scope (anteprima) L'opzione scope definisce un confine logico di configurazione per la risorsa Gateway. All'avvio di una VM, il proxy di servizio comunica con Traffic Director per recuperare le informazioni di routing corrispondenti alle route collegate al gateway con questo nome di ambito. Quando viene specificato scope, il valore di rete viene ignorato. Non puoi specificare i valori scope e mesh contemporaneamente. Usa gcloud beta con questa opzione. Facoltativo.
--service-proxy:mesh (anteprima) L'opzione mesh definisce un confine logico di configurazione per una risorsa Mesh. All'avvio di una VM, il proxy di servizio comunica con Traffic Director per recuperare le informazioni di routing corrispondenti alle route collegate a Mesh con questo nome mesh. Quando viene specificato mesh, il valore della rete viene ignorato. Non puoi specificare i valori scope e mesh contemporaneamente. Utilizza gcloud beta con questa opzione Facoltativo.
--service-proxy:project-number (anteprima) L'opzione project-number specifica il progetto in cui vengono create le risorse Mesh e Gateway. Se non specificato, viene utilizzato il progetto in cui esiste l'istanza. Questo vale solo per le nuove API di routing dei servizi. Facoltativo.
--service-proxy-labels Coppie chiave/valore nel formato key=value.
Etichette che puoi applicare al proxy di servizio. Questi dati si riflettono nei metadati di bootstrap del proxy Envoy. Le etichette possono essere qualsiasi coppia key=value che vuoi impostare come metadati del proxy (ad esempio da utilizzare con il filtro di configurazione. Puoi utilizzare questi flag per le etichette dell'applicazione e della versione, ad esempio app=review o version=canary. Puoi anche utilizzarli insieme. 		Facoltativo.

Ad esempio, il seguente comando gcloud crea un modello di istanza denominato proxy-it. Nelle istanze create da questo modello sono installati il proxy di Envoy e l'agente proxy di servizio.

gcloud compute instance-templates create proxy-it \
    --service-proxy enabled

Nell'esempio seguente, il modello di istanza si chiama proxy-it, il proxy Envoy e l'agente proxy di servizio sono installati, la porta e la porta proxy sono impostate, il tracciamento è abilitato e viene definita un'etichetta.

gcloud compute instance-templates create proxy-it \
  --service-proxy enabled,serving-ports=8080,proxy-port=15001,tracing=ON \
  --service-proxy-labels version=canary

Il seguente diagramma illustra il flusso di traffico quando specifichi la porta di gestione come 8080. Le connessioni TCP in entrata alla porta 8080 vengono intercettate da iptables e reindirizzate al proxy Envoy, che poi le passa all'applicazione sulla tua VM in ascolto sulla porta TCP 8080. Inoltre:

  • Tutte le connessioni in uscita verso i VIP dei servizi configurati in Traffic Director vengono intercettate da iptables, che configura Netfilter. Netfilter garantisce che il traffico corrispondente che attraversa lo stack di rete venga intercettato e reindirizzato al proxy Envoy. Il carico del traffico viene quindi bilanciato in base alla configurazione di Traffic Director.
  • Tutte le altre connessioni in entrata non sono intercettate da iptables e vengono passate direttamente ai servizi sulla VM.
  • Tutte le connessioni agli endpoint esterni vengono passate direttamente agli indirizzi IP esterni senza essere intercettate.
  • Tutto il traffico UDP viene passato direttamente alla destinazione senza essere intercettato da iptables.

Ciò è illustrato nel diagramma seguente.

Distribuzione del traffico con Traffic Director (fai clic per ingrandire)
Distribuzione del traffico con Traffic Director (fai clic per ingrandire)

I flussi di traffico nel diagramma sono i seguenti:

  1. Traffico in entrata con porta di destinazione 80, non intercettato e instradato direttamente al servizio in ascolto sulla porta.
  2. Traffico in entrata con porta di destinazione 8080, intercettato e reindirizzato alla porta listener di Envoy.
  3. Envoy inoltra il traffico da (2) al servizio 2 in ascolto sulla porta localhost 8080.
  4. Traffico in uscita destinato alla porta e al VIP della regola di forwarding di Traffic Director, intercettato e reindirizzato alla porta del listener di Envoy.
  5. Envoy inoltra il traffico da (4) all'endpoint del backend del servizio di backend Traffic Director di destinazione.
  6. Traffico in uscita destinato al VIP e alla porta non di Traffic Director, non intercettato e instradato direttamente a un servizio esterno.

Utilizzo delle etichette

Se vuoi specificare le etichette da utilizzare con il filtro dei metadati di Traffic Director o abilitare il logging degli accessi per i proxy Envoy, utilizza i parametri --service-proxy-labels o --service-proxy access-log.

Ad esempio:

gcloud compute instance-templates create td-vm-template-auto \
   --service-proxy enabled,access-log=/var/log/envoy/access.log,network=default \
   --service-proxy-labels myapp=review,version=canary

Il proxy Envoy può intercettare le porte per il controllo di integrità per i servizi sulle VM. In questo caso, i probe di controllo di integrità segnalano l'applicazione e i proxy Envoy. Il traffico non viene indirizzato alla VM se il proxy Envoy non viene eseguito correttamente. Ad esempio:

gcloud compute instance-templates create td-vm-template-auto \
  --service-proxy=enabled,serving-ports="80;8080"

Utilizzo del processo di aggiornamento dei gruppo di istanze gestite

Se hai utilizzato il processo automatizzato per la configurazione dei proxy Envoy, puoi utilizzare il processo di aggiornamento del gruppo di istanze gestite per aggiornare il gruppo di istanze gestite. Segui questa procedura per:

  • Aggiungi i componenti del proxy di servizio a un gruppo di istanze gestite esistente e registralo in una rete Traffic Director.
  • Aggiorna i componenti del proxy di servizio sulle VM.

Prima di eseguire l'aggiornamento in sequenza, procedi nel seguente modo.

  1. Imposta lo svuotamento della connessione sul servizio di backend su un valore di almeno 30 secondi.
  2. Utilizza il parametro --min-ready, impostato su un valore di almeno 3 minuti, quando chiami il programma di aggiornamento. Il parametro --min-ready fa attendere il gruppo di istanze gestite dopo l'aggiornamento di una VM prima di procedere all'aggiornamento della VM successiva. Senza questo segnale, la VM appena creata non ha tempo per avviare completamente Envoy e l'agente proxy di servizio e l'aggiornamento procede troppo rapidamente.

Per eseguire l'aggiornamento in sequenza sul gruppo di istanze gestite, segui questi passaggi.

  1. Crea un nuovo modello di istanza, come descritto sopra, con le informazioni del proxy di servizio. La versione originale del modello di istanza può essere utilizzata per l'aggiornamento se contiene le informazioni del proxy di servizio e il tuo obiettivo è eseguire l'aggiornamento alla versione stabile più recente del software proxy.
  2. Esegui un aggiornamento in sequenza del gruppo di istanze gestite. Assicurati di impostare REPLACE come azione minima che il programma di aggiornamento deve eseguire. Il gruppo di istanze installa la versione più recente del software proxy e la configura come specificato nel modello di istanza.

Puoi anche rimuovere i componenti del proxy di servizio da un gruppo di istanze gestite utilizzando il processo di aggiornamento:

  1. Crea un nuovo modello di istanza senza specificare il flag --service-proxy.

  2. Esegui un aggiornamento in sequenza utilizzando il processo di aggiornamento del gruppo di istanze gestite.

Il proxy Envoy viene rimosso dalle VM. Se il gruppo di istanze gestite era l'unico gruppo di istanze gestite collegato al servizio di backend, ti consigliamo di rimuovere la configurazione di Traffic Director creata quando hai configurato Traffic Director.