Limites de Traffic Director avec Envoy
Ce document décrit les limites applicables à Traffic Director, y compris les limites en matière de gestion avancée du trafic. Pour en savoir plus sur les limites, consultez la page Quotas et limites.
Limites générales
Traffic Director présente les limites suivantes:
- Traffic Director n'est compatible qu'avec les API Google Cloud. Traffic Director n'est pas compatible avec les API Istio.
- Traffic Director vous permet de configurer les protocoles de requête suivants : HTTP (HTTP/1.1 ou HTTP/2), HTTPS, TCP et gRPC.
- Lorsque vous utilisez Envoy comme proxy de plan de données, la valeur
stream_idle_timeout
est de 5 minutes par défaut. Cette opération n'est pas configurable via Traffic Director. - Lorsque vous configurez le protocole de requête TCP à l'aide de la ressource de proxy TCP cible, vous ne pouvez pas utiliser les fonctionnalités avancées de gestion du trafic. La gestion avancée du trafic n'est disponible que lorsque vous configurez le plan de données pour gérer les requêtes HTTP ou gRPC.
Traffic Director est compatible avec le VPC partagé. Veuillez noter les points suivants :
- Avec les API d'équilibrage de charge, une règle de transfert et son proxy cible, son mappage d'URL, son service de backend et son backend doivent se trouver dans un seul projet, qui peut être un projet hôte ou de service. Si vous avez plusieurs projets de service, chacun d'eux peut disposer de son propre ensemble de ces ressources.
- Avec les API d'équilibrage de charge, par défaut, une règle de transfert faisant référence à un réseau VPC partagé est annoncée à tous les proxys Envoy des projets hôte et de service associés au projet hôte, à condition que ces proxys spécifient le réseau VPC partagé dans leurs fichiers
bootstrap/sidecar.env
. Pour personnaliser ce comportement, utilisez le filtrage de configuration. - Vous ne pouvez accéder à Traffic Director que par les comptes de service des projets disposant d'au moins une règle de transfert avec le schéma d'équilibrage de charge
INTERNAL_SELF_MANAGED
associé au réseau VPC partagé.
Traffic Director est compatible avec l'appairage de réseaux VPC avec les API de routage de services, mais pas avec les API d'équilibrage de charge.
Traffic Director n'est pas compatible avec les protocoles serveur.
Vous ne pouvez pas utiliser Traffic Director avec des services exécutés dans Knative ou dans l'informatique sans serveur Google Cloud.
Ce document présente les proxys Envoy, mais vous pouvez utiliser n'importe quel proxy d'API standard Open Source (xDS) avec Traffic Director. Cependant, Google a testé Traffic Director uniquement avec le proxy Envoy.
Pour travailler avec Traffic Director, utilisez Envoy 1.9.1 ou version ultérieure.
Pour utiliser une expression régulière, utilisez Envoy version 1.12.0 ou ultérieure. Les versions Envoy antérieures à 1.12.0 ne sont pas compatibles avec les expressions régulières.
Pour vous assurer que toutes les failles de sécurité connues sont atténuées, nous vous recommandons d'utiliser la dernière version d'Envoy. Pour plus d'informations sur les conseils de sécurité Envoy, consultez la page Conseils de sécurité Envoy.
Google Cloud Console n'est pas compatible avec les groupes de points de terminaison du réseau (NEG) de connectivité hybride. Pour créer ou supprimer des NEG de connectivité hybride, utilisez Google Cloud CLI.
Étant donné que votre plan de données gère les vérifications d'état, vous ne pouvez pas utiliser la console Google Cloud, l'API ou gcloud CLI pour récupérer l'état de cette vérification.
Vérifiez que
iptables
est correctement configuré. Pour en savoir plus sur la configuration deiptables
, consultez les notes d'Envoy sur la configuration du filtrage HTTP.- Si vous utilisez la console Google Cloud pour créer des instances de machines virtuelles (VM), certains modules associés à
ipv6
ne sont pas installés et disponibles avant un redémarrage. Par conséquent,iptables.sh
échoue en raison de dépendances manquantes. Dans ce cas, redémarrez la VM et réexécutez le scriptrun.sh
. - Si vous utilisez gcloud CLI pour créer des VM Compute Engine, ce problème ne devrait pas se produire.
- Si vous utilisez la console Google Cloud pour créer des instances de machines virtuelles (VM), certains modules associés à
Limites de la gestion du trafic avancée
La gestion avancée du trafic comprend les limites suivantes:
- Si la valeur de
BackendService.sessionAffinity
n'est pas NONE et queBackendService.localityLbPolicy
est défini sur une règle d'équilibrage de charge autre queMAGLEV
ouRING_HASH
, les paramètres d'affinité de session ne prendront pas effet. - La commande
gcloud import
ne supprime pas les champs de premier niveau de la ressource, tels que le service de backend et le mappage d'URL. Par exemple, si un service de backend est créé avec des paramètres pourcircuitBreakers
, vous pouvez exécuter une commandegcloud import
ultérieure pour mettre à jour ces paramètres. Toutefois, vous ne pouvez pas supprimer ces paramètres du service de backend. Vous pouvez supprimer et recréer la ressource sans les paramètrescircuitBreakers
. - L'importation pour les règles de transfert ne fonctionne pas correctement. vous ne pouvez pas réimporter un fichier YAML exporté. La solution consiste à exporter le fichier de configuration, à apporter des modifications, à supprimer la règle de transfert et à importer le fichier de configuration.
Limites avec l'Annuaire des services
- L'Annuaire des services et Traffic Director ne garantissent pas la joignabilité du réseau pour les clients.
Un service de backend ne peut faire référence qu'à l'un des éléments suivants :
- Groupe d'instances géré ou groupe d'instances non géré
- Groupe de points de terminaison du réseau
- Liaisons de service
Les services de l'Annuaire des services ne peuvent être utilisés qu'avec des services de backend globaux avec
load-balancing-scheme=INTERNAL_SELF_MANAGED
.Un service de l'Annuaire des services référencé par une liaison de service peut être supprimé. Si le service de l'Annuaire des services sous-jacent auquel le service de backend est associé est supprimé, les applications qui utilisent Traffic Director ne peuvent pas envoyer de trafic vers ce service. Par conséquent, les requêtes échouent. Consultez la page Observabilité et débogage pour connaître les bonnes pratiques.
Vérifications d'état
Lorsque vous liez un service de l'Annuaire des services à un service de backend, vous ne pouvez pas configurer de vérification d'état sur le service de backend.
Étapes suivantes
- Pour en savoir plus sur les limites applicables à Traffic Director avec des applications gRPC sans proxy, consultez la section Limites de gRPC sans proxy.
- Pour en savoir plus sur Traffic Director, consultez la présentation de Traffic Director.