Configura la administración avanzada del tráfico con Envoy

En este documento, se proporciona información sobre cómo configurar la administración avanzada de tráfico para implementaciones de Traffic Director que usan Envoy.

Antes de comenzar

Antes de configurar la administración avanzada de tráfico, sigue las instrucciones en Prepárate para configurar Traffic Director con Envoy, incluida la configuración de Traffic Director y cualquier host de máquina virtual (VM) o clústeres de Google Kubernetes Engine (GKE) que necesitas. Crea los recursos de Google Cloud necesarios.

La disponibilidad de la función Administración avanzada del tráfico difiere de acuerdo con el protocolo de solicitud que elijas. Este protocolo se configura cuando configuras el enrutamiento mediante el proxy HTTP o HTTPS de destino, el proxy de gRPC de destino o el recurso de proxy TCP de destino:

• Con el proxy HTTP de destino y el proxy HTTPS de destino, todas las funciones que se describen en este documento están disponibles.
• Existen algunas funciones disponibles con el proxy gRPC de destino.
• Con el proxy TCP de destino, no hay funciones de administración de tráfico avanzadas disponibles.

Si deseas obtener más información, consulta Características de Traffic Director y Administración avanzada del tráfico. Para obtener una guía de configuración de extremo a extremo, consulta Configura la administración avanzada del tráfico con servicios de gRPC sin proxy.

Configura la división del tráfico

En estas instrucciones, se supone lo siguiente:

• Tu implementación de Traffic Director tiene un mapa de URL llamado review-url-map.
• El mapa de URL envía todo el tráfico a un servicio de backend, llamado review1, que también funciona como el servicio de backend predeterminado.
• Tu plan es enrutar el 5% del tráfico a una nueva versión de un servicio. Ese servicio se ejecuta en un extremo o una VM de backend en un grupo de extremos de red (NEG) asociado al servicio de backend review2.
• No se usan reglas de host ni comparadores de rutas de acceso.

Si divides el tráfico a un servicio nuevo al que no se ha hecho referencia en el mapa de URL antes, primero agrega el servicio nuevo a weightedBackendServices y asígnale un peso de 0. Luego, aumenta de forma gradual el peso asignado a ese servicio.

Para configurar la división de tráfico, sigue estos pasos:

Configura una actualización parcial

Usa un proceso de implementación parcial, a veces llamado canary, para lanzar una nueva versión de software a una pequeña fracción de servidores antes de lanzar la nueva versión al balanceo de tus servidores de producción.

Una versión parcial usa weightedBackendServices. Para habilitar un lanzamiento parcial, designa un servicio de backend como prueba, o versión canary, y asígnale un peso bajo, por ejemplo, 2 o 5. Implementa tu versión de software nueva solo en esos servidores. Cuando estés seguro de que la versión nueva no tiene problemas, impleméntala en el resto de los servicios.

• Para habilitar una versión parcial, usa la siguiente muestra de código YAML:

pathMatchers:
     - defaultService: DEFAULT_SERVICE_URL
       name: matcher1
       routeRules:
       - matchRules:
         - prefixMatch: '/'
         routeAction:
          weightedBackendServices:
          - backendService: BACKEND_SERVICE_PARTIAL_URL
            weight: 2
          - backendService: BACKEND_SERVICE_URL
            weight: 98

• DEFAULT_SERVICE_URL es la URL predeterminada de tu servicio.
• BACKEND_SERVICE_PARTIAL_URL es la URL para el servicio de backend que recibe el 2% del tráfico.
• BACKEND_SERVICE_URL es la URL para el servicio de backend que recibe el 98% del tráfico.

Configura implementaciones azul-verde

Las implementaciones azul-verde son modelos de actualización que reducen el tiempo necesario para cambiar el tráfico de producción a una versión nueva de un servicio o a una reversión de una versión anterior del servicio. Estas implementaciones mantienen ambas versiones del servicio disponibles en producción y cambian el tráfico de una a otra.

Las implementaciones azul-verde usan weightedBackendServices. En el ejemplo de YAML que aparece a continuación, los backends en SERVICE_BLUE_URL se implementan por completo con la versión de producción actual y los backends en SERVICE_GREEN_URL se implementan por completo con la versión nueva. En la configuración del ejemplo, la implementación de GREEN recibe el 100% del tráfico de producción. Si encuentras problemas, puedes revertir los pesos para las dos implementaciones, lo que revierte de manera efectiva la versión GREEN defectuosa y restablece la versión BLUE buena conocida. En cualquier caso, el tráfico puede cambiarse rápidamente porque ambas versiones están disponibles para recibir tráfico.

• Para habilitar una implementación azul-verde, usa la siguiente muestra de código YAML:

pathMatchers:
     - defaultService: DEFAULT_SERVICE_URL
       name: matcher1
       routeRules:
       - matchRules:
         - prefixMatch: '/'
         routeAction:
          weightedBackendServices:
          - backendService: BACKEND_SERVICE_BLUE_URL
            weight: 0
          - backendService: BACKEND_SERVICE_GREEN_URL
            weight: 100

• DEFAULT_SERVICE_URL es la URL predeterminada de tu servicio.
• BACKEND_SERVICE_BLUE_URL es la URL del servicio de backend que no recibe nada de tráfico.
• BACKEND_SERVICE_GREEN_URL es la URL del servicio de backend que recibe el 100% de tu tráfico.

Configura la duplicación de tráfico

Usa la duplicación de tráfico cuando desees que el tráfico se dirija a dos servicios de backend diferentes para depurar o probar servicios nuevos.

En el siguiente ejemplo, todas las solicitudes se envían a SERVICE_URL y a MIRROR_SERVICE_URL. Solo las respuestas de SERVICE_URL se envían al cliente. MIRROR_SERVICE_URL no tiene impacto en el cliente.

Para configurar la duplicación de tráfico, sigue estos pasos:

Configura la interrupción del circuito

La interrupción de circuitos te permite establecer umbrales de fallas para evitar que las solicitudes del cliente sobrecarguen tus backends. Después de que las solicitudes alcanzan el límite que estableciste, el cliente deja de permitir conexiones nuevas o enviar solicitudes adicionales, lo que le da tiempo a los backends para recuperarse.

Como resultado, la interrupción de circuitos evita errores en cascada, ya que muestra un error al cliente en vez de sobrecargar un backend. Esto permite que se entregue parte del tráfico mientras se proporciona tiempo para administrar la situación de sobrecarga, como controlar un aumento repentino de tráfico mediante el aumento de la capacidad a través del ajuste de escala automático.

En el siguiente ejemplo, debes establecer los disyuntores de esta manera:

• Máximo de solicitudes por conexión: 100
• Máximo de conexiones: 1,000
• Máximo de solicitudes pendientes: 200
• Máximo de solicitudes: 1,000
• Máximo de reintentos: 3

Para configurar la interrupción del circuito, sigue estos pasos:

Configura la afinidad de sesión basada en HTTP_COOKIE

La administración avanzada de tráfico te permite configurar la afinidad de sesión en función de una cookie proporcionada.

Para configurar la afinidad de sesión con HTTP_COOKIE, sigue estos pasos:

Configura la detección de valores atípicos

La detección de valores atípicos controla la expulsión de hosts en mal estado del grupo de balanceo de cargas. Traffic Director hace esto mediante un conjunto de políticas que especifican los criterios para la expulsión de extremos o VM de backend en mal estado en los NEG, junto con criterios que definen cuándo se considera que un backend o extremo tienen el estado adecuado para recibir tráfico otra vez.

En el siguiente ejemplo, el servicio de backend tiene un grupo de instancias como su backend. La configuración de la detección de valores atípicos especifica que el análisis de detección de valores atípicos se ejecuta cada segundo. Si un extremo muestra cinco errores 5xx consecutivos, se expulsa de la consideración del balanceo de cargas durante 30 segundos por primera vez. El tiempo de expulsión real para el mismo extremo es de 30 segundos por cada vez que se expulsa.

Para configurar la detección de valores atípicos en el recurso de servicio de backend, sigue estos pasos:

Establece la política de balanceo de cargas de localidad

Usa la política de balanceo de cargas de localidad para elegir un algoritmo de balanceo de cargas según el peso de la localidad y la prioridad que proporciona Traffic Director. Por ejemplo, puedes usar un round robin ponderado entre extremos en buen estado o realizar un hash coherente.

En el siguiente ejemplo, el servicio de backend tiene un grupo de instancias como su backend. La política de balanceo de cargas de localidad se establece en RING_HASH.

Para establecer la política de balanceo de cargas de localidad, sigue estos pasos:

Para obtener más información sobre cómo funciona la política de balanceo de cargas de localidad, consulta la documentación del recurso backendService.

Configura el redireccionamiento de la URL

En estas instrucciones, se supone lo siguiente:

• Tu implementación de Traffic Director tiene un mapa de URL llamado review-url-map.
• El mapa de URL envía todo el tráfico a un servicio de backend, llamado review1, que también funciona como el servicio de backend predeterminado.
• Deseas redireccionar el tráfico de un host a otro.

Para configurar el redireccionamiento de la URL, sigue estos pasos:

Configura el direccionamiento del tráfico con reescritura de URL

El direccionamiento del tráfico te permite dirigir el tráfico a diferentes servicios de backend según los atributos de la solicitud, como los valores del encabezado. Además, puedes configurar acciones como reescribir la URL en la solicitud antes de que esta se dirija al servicio de backend.

En el siguiente ejemplo, la solicitud se dirige a SERVICE_ANDROID_URL si la ruta de la solicitud con el prefijo /mobile/ y el User-Agent de la solicitud contienen Android. Antes de enviar la solicitud al servicio de backend, el prefijo de URL se puede cambiar al REWRITE_PATH_ANDROID, por ejemplo, /android/. Sin embargo, si la ruta tiene el prefijo /mobile/ y tiene un User-Agent que contiene iPhone, el tráfico se dirige a SERVICE_IPHONE_URL y el prefijo de URL se cambia a REWRITE_PATH_IPHONE. Todas las demás solicitudes que tienen el prefijo /mobile/ y tienen un User-Agent con un valor distinto de Android o iPhone se dirigen a SERVICE_GENERIC_DEVICE_URL.

pathMatchers:
     - defaultService: [DEFAULT_SERVICE_URL]
       name: matcher1
       routeRules:
       - matchRules:
         - prefixMatch: /mobile/
           headerMatches:
           - headerName: User-Agent
             regexMatch: .*Android.*
         service: $[SERVICE_ANDROID_URL]
         routeAction:
           urlRewrite:
             pathPrefixRewrite: [REWRITE_PATH_ANDROID]
       - matchRules:
         - prefixMatch: /mobile/
           headerMatches:
           - headerName: User-Agent
             regexMatch: .*iPhone.*
         service: [SERVICE_IPHONE_URL]
         routeAction:
           urlRewrite:
             pathPrefixRewrite: [REWRITE_PATH_IPHONE]
       - matchRules:
         - prefixMatch: /mobile/
         service: [SERVICE_GENERIC_DEVICE_URL]

Configura la inserción de errores

La inyección de fallas te permite inyectar un retraso fijo o/y una detención forzada, llamada anulación, a una ruta en particular para probar la resiliencia de una aplicación.

En el ejemplo que aparece a continuación, todas las solicitudes se envían a SERVICE_URL, con un retraso fijo de 10 segundos agregado al 100% de las solicitudes. El cliente que envía las solicitudes observa que todas las respuestas se retrasan 10 segundos. Además, una falla de detención con una respuesta Service Unavailable 503 se aplica al 50% de las solicitudes. El cliente ve que el 50% de sus solicitudes reciben una respuesta 503. Estas solicitudes no alcanzan el servicio de backend.

pathMatchers:
     - defaultService: [DEFAULT_SERVICE_URL]
       name: matcher1
       routeRules:
       - matchRules:
         - prefixMatch: '/'
         routeAction:
          weightedBackendServices:
          - backendService: [SERVICE_URL]
            weight: 100
          faultInjectionPolicy:
            delay:
              fixedDelay:
                seconds: 10
                nanos: 0
              percentage: 100
            abort:
              httpStatus: 503
              percentage: 50

Establece el filtrado de configuración según la coincidencia de MetadataFilters

Los MetadataFilters están habilitados con las reglas de reenvío y HttpRouteRuleMatch. Usa esta función para controlar una regla de reenvío o regla de enrutamiento en particular, de modo que el plano de control envíe la regla de reenvío o la regla de enrutamiento solo a los proxies cuyos metadatos de nodo coincidan con la configuración del filtro de metadatos. Si no especificas MetadataFilters, la regla se envía a todos los proxies de Envoy.

Esta función facilita la operación de una implementación publicada en etapa de pruebas de una configuración. Por ejemplo, crea una regla de reenvío llamada forwarding-rule1, que deseas que se envíe solo a Envoys cuyos metadatos de nodo contengan app: review y version: canary.

Para agregar MetadataFilters a una regla de reenvío, sigue estos pasos:

Ejemplos de filtrado de metadatos

Usa las siguientes instrucciones para una situación en la que varios proyectos se encuentren en la misma red de VPC compartida y quieras que los recursos de Traffic Director de cada proyecto de servicio sean visibles para los proxies del mismo proyecto.

La configuración de la VPC compartida es la siguiente:

• Nombre del proyecto host: vpc-host-project
• Proyectos de servicio: project1 y project2
• Servicios de backend con extremos o instancias de backend que ejecutan un proxy que cumple con xDS en project1 y project2

Si deseas configurar Traffic Director para aislar project1, sigue estos pasos:

Para probar una configuración nueva en un subconjunto de proxies antes de ponerla a disposición de todos los proxies, sigue estos pasos:

Soluciona problemas

Usa esta información para solucionar problemas cuando el tráfico no se enruta de acuerdo con las reglas de enrutamiento y las políticas de tráfico que configuraste.

Síntomas:

• Mayor tráfico a los servicios en reglas que se encuentran por encima de la regla en cuestión
• Aumento inesperado en las respuestas HTTP 4xx y 5xx para una regla de enrutamiento determinada

Solución: Debido a que las reglas de enrutamiento se interpretan en orden de prioridad, revisa la prioridad asignada a cada regla.

Cuando definas reglas de enrutamiento, asegúrate de que las reglas con mayor prioridad (es decir, con números de prioridad más bajos) no enruten de forma inadvertida el tráfico que, de lo contrario, habría sido enrutado por una regla de enrutamiento posterior. Considera el siguiente ejemplo:

• Primera regla de enrutamiento

  • La ruta de acceso coincide con pathPrefix = /shopping/
  • Acción de redireccionamiento: envía tráfico al servicio de backend service-1
  • Prioridad de la regla: 4

• Segunda regla de enrutamiento

  • La ruta de acceso coincide con regexMatch = /shopping/cart/ordering/.*
  • Acción de redireccionamiento: envía tráfico al servicio de backend service-2
  • Prioridad de la regla: 8

En este caso, una solicitud con la ruta /shopping/cart/ordering/cart.html se enruta a service-1. Aunque la segunda regla coincida, se ignora porque la primera regla tiene prioridad.

Bloquea el tráfico entre servicios

Si deseas bloquear el tráfico entre el servicio A y el servicio B, y la implementación está en GKE, configura la seguridad del servicio y usa una política de autorización para bloquear el tráfico entre servicios. Para obtener instrucciones completas, consulta Seguridad del servicio de Traffic Director y las instrucciones de configuración con Envoy y gRPC sin proxy.

¿Qué sigue?

• Para ayudarte a resolver problemas de configuración de Traffic Director, consulta Soluciona problemas de implementaciones que usan Envoy.