Envoy サイドカー サービス メッシュを設定する

このガイドでは、フリートでシンプルなサービス メッシュを構成する方法について説明します。このガイドでは、次の手順について説明します。

• Envoy サイドカー インジェクタをクラスタにデプロイする。インジェクタは、Envoy プロキシ コンテナをアプリケーション Pod に挿入します。
• 名前空間 store 内のサンプル サービスにリクエストをルーティングするように、サービス メッシュ内に Envoy サイドカーを構成する Gateway API リソースをデプロイする。
• シンプルなクライアントをデプロイして、デプロイの結果を確認する。

次の図は、構成されたサービス メッシュを示しています。

サイドカー インジェクタ構成のメッシュ名と Mesh リソースの名前は同じであるため、クラスタに構成できる Mesh は 1 つのみです。

Envoy サイドカー インジェクタをデプロイする

サイドカー インジェクタをデプロイするには、2 つの値を指定する必要があります。

• TRAFFICDIRECTOR_GCP_PROJECT_NUMBER。PROJECT_NUMBER は、構成クラスタのプロジェクトのプロジェクト番号に置き換えます。プロジェクト番号はプロジェクトの数値 ID です。

• TRAFFICDIRECTOR_MESH_NAME。次のように値を割り当てます。MESH_NAME は Mesh リソース仕様のフィールド metadata.name の値です。

  gketd-MESH_NAME
  

  たとえば、Mesh リソースの metadata.name の値が butterfly-mesh の場合、TRAFFICDIRECTOR_MESH_NAME の値を次のように設定します。

  TRAFFICDIRECTOR_MESH_NAME: "gketd-butterfly-mesh"
  

• TRAFFICDIRECTOR_NETWORK_NAME。TRAFFICDIRECTOR_NETWORK_NAME の値が空であることを確認します。

  TRAFFICDIRECTOR_NETWORK_NAME=""
  

1. サイドカー インジェクタ パッケージをダウンロードします。

   wget https://storage.googleapis.com/traffic-director/td-sidecar-injector-xdsv3.tgz
   tar -xzvf td-sidecar-injector-xdsv3.tgz
   cd td-sidecar-injector-xdsv3
   

2. specs/01-configmap.yaml ファイルで、TRAFFICDIRECTOR_GCP_PROJECT_NUMBER フィールドと TRAFFICDIRECTOR_MESH_NAME フィールドに値を設定し、TRAFFICDIRECTOR_NETWORK_NAME を空にします。

      apiVersion: v1
      kind: ConfigMap
      metadata:
        name: injector-mesh
        namespace: istio-control
      data:
        mesh: |-
          defaultConfig:
            discoveryAddress: trafficdirector.googleapis.com:443
   
            # Envoy proxy port to listen on for the admin interface.
            # This port is bound to 127.0.0.1.
            proxyAdminPort: 15000
   
            proxyMetadata:
              # Google Cloud Project number that your Fleet belongs to.
              # This is the numeric identifier of your project
              TRAFFICDIRECTOR_GCP_PROJECT_NUMBER: "PROJECT_NUMBER"
   
              # TRAFFICDIRECTOR_NETWORK_NAME must be empty when
              # TRAFFICDIRECTOR_MESH_NAME is set.
              TRAFFICDIRECTOR_NETWORK_NAME=""
   
              # The value of `metadata.name` in the `Mesh` resource. When a
              # sidecar requests configurations from Traffic Director,
              # Traffic Director will only return configurations for the
              # specified mesh.
              TRAFFICDIRECTOR_MESH_NAME: "gketd-td-mesh"
   

前述の手順を完了したら、次の手順に沿って、サイドカー インジェクタをクラスタにデプロイします。

1. サイドカー インジェクタの TLS を構成する。
2. GKE クラスタにサイドカー インジェクタをインストールする。
3. （省略可）限定公開クラスタで必要なポートを開く。
4. サイドカー インジェクションを有効にする。

store サービスをデプロイする

このセクションでは、メッシュに store サービスをデプロイします。

1. store.yaml ファイルに次のマニフェストを保存します。

   kind: Namespace
   apiVersion: v1
   metadata:
     name: store
   ---
   apiVersion: apps/v1
   kind: Deployment
   metadata:
     name: store
     namespace: store
   spec:
     replicas: 2
     selector:
       matchLabels:
         app: store
         version: v1
     template:
       metadata:
         labels:
           app: store
           version: v1
       spec:
         containers:
         - name: whereami
           image: gcr.io/google-samples/whereami:v1.2.20
           ports:
           - containerPort: 8080
   ---
   apiVersion: v1
   kind: Service
   metadata:
     name: store
     namespace: store
   spec:
     selector:
       app: store
     ports:
     - port: 8080
       targetPort: 8080
   

2. マニフェストを gke-1 に適用します。

   kubectl apply -f store.yaml
   

サービス メッシュを作成する

1. 次の mesh マニフェストを mesh.yaml ファイルに保存します。mesh リソースの名前は、インジェクタの configmap で指定されたメッシュ名と一致する必要があります。この構成例では、td-mesh という名前が両方の場所で使用されます。

   apiVersion: net.gke.io/v1alpha1
   kind: TDMesh
   metadata:
     name: td-mesh
     namespace: default
   spec:
     gatewayClassName: gke-td
     allowedRoutes:
       namespaces:
         from: All
   

2. mesh マニフェストを gke-1 に適用します。これにより、td-mesh という名前の論理メッシュが作成されます。

   kubectl apply -f mesh.yaml
   

3. 次の HTTPRoute マニフェストを store-route.yaml ファイルに保存します。このマニフェストでは、ホスト名 example.com が指定された HTTP トラフィックを、名前空間 store 内の Kubernetes Service store に転送する HTTPRoute リソースを定義します。

   apiVersion: gateway.networking.k8s.io/v1alpha2
   kind: HTTPRoute
   metadata:
     name: store-route
     namespace: store
   spec:
     parentRefs:
     - name: td-mesh
       namespace: default
       group: net.gke.io
       kind: TDMesh
     hostnames:
     - "example.com"
     rules:
     - backendRefs:
       - name: store
         namespace: store
         port: 8080
   

4. ルート マニフェストを gke-1 に適用します。

   kubectl apply -f store-route.yaml
   

デプロイメントを検証する

1. Mesh ステータスとイベントを調べて、Mesh リソースと HTTPRoute リソースが正常にデプロイされていることを確認します。

   kubectl describe tdmesh td-mesh
   

   出力は次のようになります。

   ...
   
   Status:
     Conditions:
       Last Transition Time:  2022-04-14T22:08:39Z
       Message:
       Reason:                MeshReady
       Status:                True
       Type:                  Ready
       Last Transition Time:  2022-04-14T22:08:28Z
       Message:
       Reason:                Scheduled
       Status:                True
       Type:                  Scheduled
   Events:
     Type    Reason  Age   From                Message
     ----    ------  ----  ----                -------
     Normal  ADD     36s   mc-mesh-controller  Processing mesh default/td-mesh
     Normal  UPDATE  35s   mc-mesh-controller  Processing mesh default/td-mesh
     Normal  SYNC    24s   mc-mesh-controller  SYNC on default/td-mesh was a success
   

2. デフォルトの名前空間でサイドカー インジェクションが有効になっていることを確認するには、次のコマンドを実行します。

   kubectl get namespace default --show-labels
   

   サイドカー インジェクションが有効になっている場合、出力には次のように表示されます。

   istio-injection=enabled
   

   サイドカー インジェクションが有効になっていない場合は、サイドカー インジェクションを有効にするをご覧ください。

3. デプロイメントを確認するには、クライアントとして動作するクライアント Pod を、以前に定義した store サービスにデプロイします。client.yaml ファイルに次のものを保存します。

   apiVersion: apps/v1
   kind: Deployment
   metadata:
     labels:
       run: client
     name: client
     namespace: default
   spec:
     replicas: 1
     selector:
       matchLabels:
         run: client
     template:
       metadata:
         labels:
           run: client
       spec:
         containers:
         - name: client
           image: curlimages/curl
           command:
           - sh
           - -c
           - while true; do sleep 1; done
   

4. 仕様をデプロイします。

   kubectl apply -f client.yaml
   

   クラスタで実行されているサイドカー インジェクタは、Envoy コンテナを自動的にクライアント Pod に挿入します。

5. Envoy コンテナが挿入されていることを確認するには、次のコマンドを実行します。

   kubectl describe pods -l run=client
   

   出力は次のようになります。

   ...
   Init Containers:
     # Istio-init sets up traffic interception for the Pod.
     istio-init:
   ...
     # td-bootstrap-writer generates the Envoy bootstrap file for the Envoy container
     td-bootstrap-writer:
   ...
   Containers:
   # client is the client container that runs application code.
     client:
   ...
   # Envoy is the container that runs the injected Envoy proxy.
     envoy:
   ...
   

クライアント Pod がプロビジョニングされたら、クライアント Pod から store サービスにリクエストを送信します。

1. クライアント Pod の名前を取得します。

   CLIENT_POD=$(kubectl get pod -l run=client -o=jsonpath='{.items[0].metadata.name}')
   
   # The VIP where the following request will be sent. Because all requests
   # from the client container are redirected to the Envoy proxy sidecar, you
   # can use any IP address, including 10.0.0.2, 192.168.0.1, and others.
   VIP='10.0.0.1'
   

2. サービスを保存するリクエストを送信し、レスポンス ヘッダーを出力します。

   TEST_CMD="curl -v -H 'host: example.com' $VIP"
   

3. クライアント コンテナでテストコマンドを実行します。

   kubectl exec -it $CLIENT_POD -c client -- /bin/sh -c "$TEST_CMD"
   

   出力は次のようになります。

   < Trying 10.0.0.1:80...
   < Connected to 10.0.0.1 (10.0.0.1) port 80 (#0)
   < GET / HTTP/1.1
   < Host: example.com
   < User-Agent: curl/7.82.0-DEV
   < Accept: */*
   <
   < Mark bundle as not supporting multiuse
   < HTTP/1.1 200 OK
   < content-type: application/json
   < content-length: 318
   < access-control-allow-origin: *
   < server: envoy
   < date: Tue, 12 Apr 2022 22:30:13 GMT
   <
   {
     "cluster_name": "gke-1",
     "zone": "us-west1-a",
     "host_header": "example.com",
     ...
   }
   

次のステップ

• デプロイに関する問題のトラブルシューティング方法を学習する。