プロキシレス gRPC サービスを使用した Traffic Director の概要

このガイドでは、ユースケースとアーキテクチャパターンなど、プロキシレス gRPC サービスを備えた Traffic Director のアーキテクチャの概要について説明します。このガイドでは、以前の Traffic Director API を対象としています。サービスルーティング API の詳細については、概要をご覧ください。

Traffic Director のマネージドコントロールプレーンは、サービスメッシュとロードバランシングのユースケースでグローバルルーティング、ロードバランシング、リージョンフェイルオーバーを実現します。これには、サイドカープロキシとゲートウェイプロキシを統合するデプロイメントが含まれます。プロキシレス gRPC アプリケーションの Traffic Director サポートは、サイドカープロキシを必要とせずに gRPC アプリケーションがサービスメッシュに参加できる追加のデプロイモデルを提供します。

一般的な例では、gRPC クライアントはバックエンドロジックをホストする gRPC サーバーと接続を確立します。Traffic Director は、接続するサーバー、サーバーの複数のインスタンスに負荷分散する方法、サーバーが実行されていない状態でリクエストを処理する方法に関する情報を gRPC クライアントに提供します。

Traffic Director の機能の概要については、Traffic Director の概要をご覧ください。

gRPC アプリケーションでの Traffic Director の仕組み

Traffic Director は、Envoy などのサイドカープロキシの構成方法と同様に、サポートされている gRPC バージョンを使用して gRPC クライアントを構成します。ただし、Traffic Director に直接接続されたプロキシレス gRPC アプリケーションの場合、サイドカープロキシは必要ありません。Traffic Director はオープンソースの xDS API を使用して gRPC アプリケーションを直接構成します。これらの gRPC アプリケーションは、xDS クライアントとして機能し、Traffic Director のグローバルコントロールプレーンに接続します。接続後、gRPC アプリケーションは、コントロールプレーンから動的構成を受け取り、エンドポイントの検出、負荷分散、リージョンフェイルオーバー、ヘルスチェックを有効にします。このアプローチにより、Traffic Director のデプロイパターンの追加が可能になります。

最初の図では、サイドカープロキシを使用することでサービスメッシュが有効になっています。

サイドカープロキシを使用して有効になっているサービスメッシュ。 — サイドカープロキシを使用して有効になっているサービスメッシュ（クリックして拡大）

サイドカープロキシを構成するため、Traffic Director は xDS API を使用します。クライアントはサイドカープロキシを介してサーバーと通信します。

2 つ目の図では、プロキシレス gRPC クライアントを使用し、サイドカープロキシなしでサービスメッシュが有効になっています。

プロキシレス gRPC を使用して有効になっているサービスメッシュ。 — プロキシレス gRPC を使用して有効になっているサービスメッシュ（クリックして拡大）

Traffic Director が構成する gRPC サービスのみをデプロイする場合は、プロキシをまったくデプロイせずにサービスメッシュを作成できます。これにより、サービスメッシュ機能を gRPC アプリケーションに簡単に導入できます。

名前解決スキーム

プロキシレスデプロイでの名前解決は次のように機能します。

サービスに接続するときに、gRPC クライアントチャネルで名前解決スキームとして xds を設定します。ターゲット URI の形式は xds:///hostname:port です。ポートを指定しないと、たとえば、ターゲット URI が xds:///example.hostname の場合、デフォルト値は 80 になります。
gRPC クライアントは、リスナーディスカバリサービス（LDS）リクエストを Traffic Director に送信して、ターゲット URI の hostname:port を解決します。
Traffic Director は、一致するポートがある構成済みの転送ルールを検索します。次に、hostname:port に一致するホストルールに対応する URL マップを検索します。関連付けられたルーティング構成を gRPC クライアントに返します。

Traffic Director で構成するホストルールは、すべての URL マップで一意でなければなりません。たとえば、example.hostname、example.hostname:80、example.hostname:8080 はすべて異なるルールです。

異なるデプロイタイプでの名前解決

名前解決スキームは、プロキシレスデプロイと Envoy プロキシを使用するデプロイで異なります。

gRPC クライアントは xds 名前解決スキームを使用してサービスに接続することで、Traffic Director からサービス構成を受信します。gRPC クライアントは gRPC サーバーと直接通信します。

サイドカープロキシとプロキシレスデプロイのパターンを組み合わせて、柔軟性を高めることができます。組み合わせのパターンは、組織やネットワークが複数の機能要件、運用ニーズ、gRPC のバージョンで複数のチームをサポートしている場合は、特に便利です。

次の図では、プロキシレス gRPC クライアントと、サイドカープロキシを使用する gRPC クライアントの両方が gRPC サーバーと通信しています。サイドカープロキシを使用する gRPC クライアントでは、dns 名前解決スキームを使用します。

プロキシレス gRPC クライアントとサイドカープロキシを使用する gRPC クライアントで構成されるサービスメッシュ。 — プロキシレス gRPC クライアントとサイドカープロキシを使用する gRPC クライアントで構成されるサービスメッシュ（クリックして拡大）

ユースケース

以下のユースケースは、Traffic Director をプロキシレス gRPC アプリケーションで使用するケースを理解する際に役立ちます。デプロイメントには、プロキシレス gRPC アプリケーション、サイドカープロキシがある gRPC アプリケーション、またはその両方を組み合わせたものが含まれる可能性があります。

大規模なサービスメッシュ内のリソースの効率性

サービスメッシュに数百または数千のクライアントとバックエンドが含まれている場合、サイドカープロキシの実行によりリソースの全体的な使用量が増加することがあります。プロキシレス gRPC アプリケーションを使用する場合、デプロイにサイドカープロキシを導入する必要はありません。プロキシレスのアプローチにより、効率が上がります。

高性能な gRPC アプリケーション

一部のユースケースでは、リクエストとレスポンスのレイテンシが 1 ミリ秒でも問題になる場合があります。このような場合、クライアント側のサイドカープロキシ（場合によってはサーバー側のサイドカープロキシ）を介してすべてのリクエストを渡す代わりに、プロキシレス gRPC アプリケーションを使用すると、レイテンシを短縮できる場合があります。

サイドカープロキシをデプロイできない環境のサービスメッシュ

環境によっては、クライアントアプリケーションまたはサーバーアプリケーションとともに、サイドカープロキシを追加のプロセスとして実行できないことがあります。また、iptables の使用などにより、リクエストのインターセプトとリダイレクトを行うマシンのネットワークスタックを構成できない場合があります。この場合、プロキシレス gRPC アプリケーションの Traffic Director を使用することで、サービスメッシュ機能を gRPC アプリケーションに導入できます。

異種混合サービスメッシュ

プロキシレス gRPC アプリケーションと Envoy の両方が Traffic Director と通信するため、サービスメッシュには両方のデプロイモデルを含めることができます。両方のモデルを含めると、異なるアプリケーションや開発チームに固有の運用、パフォーマンス、機能ニーズに対応できます。

プロキシを使用するサービスメッシュからプロキシを使用しないメッシュへの移行

Traffic Director が構成したサイドカーを使用した gRPC アプリケーションがすでにある場合は、プロキシレス gRPC アプリケーションに移行できます。

gRPC クライアントがサイドカープロキシでデプロイされると、DNS を使用して接続先ホスト名を解決します。サイドカープロキシはトラフィックをインターセプトして、サービスメッシュ機能を提供します。

gRPC クライアントが gRPC サーバーと通信するためにプロキシレスルートとサイドカープロキシルートのどちらを使用するのかは、使用する名前解決スキームを変更することで定義できます。プロキシレスクライアントは xds 名前解決スキームを使用し、サイドカープロキシは dns 名前解決スキームを使用します。一部の gRPC クライアントでは、ある gRPC サーバーと通信する場合にはプロキシレスルートを使用し、別の gRPC サーバーと通信する場合はサイドカープロキシルートを使用することもあります。これにより、プロキシレスデプロイに段階的に移行できます。

プロキシを使用するサービスメッシュからプロキシなしのメッシュに移行するには、プロキシレス gRPC クライアントが使用する新しい Traffic Director サービスを作成します。同じ API を使用して、既存のバージョンと新しいバージョンに Traffic Director を構成できます。

プロキシレスとプロキシベースのメカニズムを使用して異なるサービスと通信する gRPC クライアントがあるサービスメッシュ。 — プロキシレスとプロキシベースのメカニズムを使用して異なるサービスと通信する gRPC クライアントのサービスメッシュ（クリックして拡大）

アーキテクチャとリソース

プロキシレス gRPC サービスの構成データモデルは Traffic Director 構成モデルを拡張したもので、このガイドで説明している追加事項と制限事項が適用されます。この制限は一時的なものです。プロキシレス gRPC はまだ Envoy のすべての機能をサポートしているわけではありません。また、RPC 固有の機能もあります。たとえば、gRPC を使用する HTTP リダイレクトはサポートされません。このガイドの構成モデルを理解するには、Traffic Director のコンセプトと構成をよく理解しておくことをおすすめします。

次の図は、プロキシレス gRPC アプリケーション用に構成する必要があるリソースを示しています。

負荷分散用にプロキシレス gRPC でサポートされているリソース。 — 負荷分散用にプロキシレス gRPC でサポートされているリソース（クリックして拡大）

ルーティングルールマップ

ルーティングルールマップは、メッシュでのリクエストのルーティング方法を定義します。これは、転送ルール、ターゲット gRPC プロキシ、URL マップで構成されています。ルーティングルールマップは、ロードバランシング API を使用するデプロイにのみ適用されます。サービスルーティング API または Gateway API を使用する場合は適用されません。

転送ルール

通常、転送ルールは、構成するサービスの仮想 IP アドレスとポートを使用して作成します。xds 名前解決スキームを使用する gRPC クライアントでは、チャネル URI のホスト名を解決するための DNS ルックアップは実行しません。このようなクライアントは、Traffic Director に LDS リクエストを送信して、ターゲット URI にある hostname[:port] を解決します。DNS ルックアップは実行されず、ホスト名の DNS エントリも不要です。

その結果、Traffic Director は IP アドレスを無視し、URI で指定されたポートのみで転送ルールを検索します。ポートのデフォルト値は 80 です。次に、Traffic Director は、転送ルールのターゲットプロキシに関連付けられている URL マップを参照して、一致するホストルールを探します。

したがって、転送ルールで、validateForProxyless フィールドが TRUE に設定されているターゲット gRPC プロキシを参照する場合は、IP アドレスを 0.0.0.0 に設定する必要があります。validateForProxyless が TRUE に設定されている場合、0.0.0.0 以外の IP アドレスを指定する構成は拒否されます。このチェックでは、他のルーティングルールマップで同じポートを使用する、重複する転送ルールは検出されません。

次の点にご注意ください。

転送ルールの負荷分散スキームは INTERNAL_SELF_MANAGED にする必要があります。
転送ルールは複数所有できますが、各転送ルールの IP:port は一意でなければならず、ポートはホストルールで指定されたポートと一致する必要があります。
ターゲット URI のポートと一致するポートが複数の転送ルールにある場合、Traffic Director は、これらの転送ルールによって参照されている URL マップのホストルールで、一致する hostname[:port] を探します。Traffic Director は、ホストルールの hostname[:port] とターゲット URI で指定された hostname[:port] との完全一致を探します。ワイルドカード文字を含むホストルールとデフォルトルールはスキップされます。

複数の一致が見つかった場合、動作は定義されておらず、予期しない動作が発生する可能性があります。通常、これは、次の両方の条件が満たされている場合に行われます。

同じホスト名が複数の URL マップで使用されている。
ロードバランシングスキーム INTERNAL_SELF_MANAGED の複数の転送ルールで同じポートを指定している。

そのため、同じポートを指定する転送ルールで参照される複数の URL マップでは、同じホスト名を再利用しないことをおすすめします。

ターゲット gRPC プロキシ

ターゲットプロキシは URL マップを参照します。このマップには、トラフィックを正しいバックエンドにルーティングするために使用するルールが定義されています。gRPC アプリケーションに Traffic Director を構成する場合は、プロキシレス gRPC アプリケーションか、Envoy を使用する gRPC アプリケーションかに関係なく、ターゲット gRPC プロキシを使用します。ターゲット HTTP プロキシは使用しません。

ターゲット gRPC プロキシには、REST API の validateForProxyless というフィールドがあります。デフォルト値は FALSE です。このフィールドを TRUE に設定すると、構成チェックにより、プロキシレス gRPC と互換性のない機能の誤った有効化を防ぐことができます。

Google Cloud CLI の --validate-for-proxyless フラグは、validateForProxyless フィールドと同じです。

プロキシレス gRPC アプリケーションに対する Traffic Director のサポートには、サイドカープロキシの gRPC アプリケーションで使用できるすべての機能が含まれないため、このフィールドを使用して無効な構成を拒否できます（この構成は URL マップまたはバックエンドサービス内で指定される場合があります）。構成の検証は、Traffic Director がサポートする gRPC の最新バージョンでサポートされている機能に基づいて行われます。

URL マップ

URL マップには、プロキシレス gRPC クライアントがトラフィックの送信に使用するルーティングルールを定義します。URL マップには、hostname:port の形式の 1 つ以上のホストルールが含まれます。これらのホストルールはサービスに解決されます。

gRPC クライアントを構成するときは、クライアントが接続するサービスのターゲット URI を指定します。この URI は hostname:port 形式も使用します。この URI は、URL マップのホストルールのエントリに対応します。

たとえば、gRPC クライアントでターゲット URI xds:///myservice:8080 を構成した場合、Traffic Director は myservice:8080 の URL マップのホストルールに対応する構成を送信します。この構成には、その他の情報以外に、エンドポイントのリスト（特に、特定の gRPC サーバーインスタンスに対応する IP address:port ペア）が含まれています。

ターゲット URI にポートを指定しない場合は、80 がデフォルト値として使用されます。これは、次のことを意味します。

ターゲット URI xds:///myservice が URL マップのホストルール myservice と一致する。
ターゲット URI xds:///myservice:80 が URL マップのホストルール myservice:80 と一致する。
ターゲット URI xds:///myservice が URL マップのホストルール myservice:80 と一致しない。
ターゲット URI xds:///myservice:80 が URL マップのホストルール myservice と一致しない。

ターゲット URI の文字列と URL マップのホストルール内の文字列は同じである必要があります。

詳細については、URL マップの制限をご覧ください。

ヘルスチェック

gRPC ヘルスチェックでは、バックエンド仮想マシン（VM）インスタンスまたはネットワークエンドポイントグループ（NEG）で実行されている gRPC サービスのステータスを確認できます。

gRPC サーバーが gRPC ヘルスチェックプロトコルを実装していないために gRPC ヘルスチェックを使用できない場合は、代わりに TCP ヘルスチェックを使用できます。HTTP、HTTPS、HTTP/2 ヘルスチェックは使用しないでください。

詳しくは、gRPC ヘルスチェックと gRPC ヘルスチェックの追加フラグをご覧ください。

バックエンドサービス

バックエンドサービスは、gRPC クライアントが gRPC サーバーと通信する方法を定義します。gRPC のバックエンドサービスを作成する場合は、プロトコルフィールドを GRPC に設定します。

プロトコルが GRPC に構成されたバックエンドサービスには、サイドカープロキシを介して gRPC アプリケーションからアクセスできます。その場合は、gRPC クライアントで xds 名前解決スキームを使用しないでください。
Traffic Director のすべてのデプロイで、バックエンドサービスの負荷分散スキームを INTERNAL_SELF_MANAGED にする必要があります。

バックエンド

バックエンドは gRPC サーバーインスタンスをホストします。Compute Engine では、gRPC サーバーインスタンスをホストするバックエンドとしてマネージドインスタンスグループまたは非マネージドインスタンスグループを使用できます。Google Kubernetes Engine ではゾーン NEG を使用できます。

次のステップ

サービスルーティング API とその仕組みについては、概要をご覧ください。
ルーティングルールマップの概要と Traffic Director のデプロイメントのトラフィックを管理する方法については、Traffic Director ルーティングルールマップの概要をご覧ください。
プロキシレス gRPC アプリケーションで Traffic Director を構成する準備を行うには、プロキシレス gRPC サービスを使用した Traffic Director の設定の準備をご覧ください。
プロキシレス gRPC デプロイメントに適用される制限については、プロキシレス gRPC の上限と制限事項をご覧ください。