Server-Speaks-First 有点坑,Linkerd 2.10 中的协议检测和不透明端口
协议检测(Protocol detection
),顾名思义,允许 Linkerd
自动检测 TCP
连接中使用的协议。 Linkerd
的设计原则之一是“just work”
,协议检测是 Linkerd
如何实现这一目标的重要组成部分。
什么是协议检测?
简而言之,协议检测是通过检查连接上的流量来确定 TCP 连接上使用的协议的能力。
Linkerd
使用 Protocol detection
来避免要求用户指定协议。 Linkered
的代理不需要用户配置每个端口使用的协议,而是简单地执行协议检测来回答问题。
Linkerd
的 Protocol detection
通过查看客户端连接的前几个字节来获取有关流量的信息来工作。 这种实现有一些后果,我们将在下面介绍。
但首先,让我们首先回答为什么 Linkerd
关心任何协议的问题。
可观察性、可靠性和安全性
我们通常将 Linkerd
的广泛功能分为三类:可观察性(Observability
)、可靠性(reliability
)和安全性(security
)。 了解连接(connection
)上使用的协议是每个类别的基础。
可观察性
Linkerd
可观察性功能的核心是流量检测。 这种仪器需要了解正在使用的协议,因为协议的知识可以提供丰富的指标。 例如,知道连接正在使用 HTTP
,Linkerd
就可以解析请求、响应和响应代码,并报告响应延迟、请求量和错误率等指标。 这些指标非常有价值,以至于它们成为谷歌 SRE 书中所谓的“黄金信号”的一部分。 另一方面,如果 Linkerd 只知道连接是 TCP,则它仅限于记录非常基本的信息,例如读取和写入的字节数——无法进一步解释字节。
Linkerd
可观察特性的核心是流量的测量。这种检测需要理解正在使用的协议,因为对协议的了解可以提供丰富的度量。例如,知道一个连接正在使用 HTTP
,就允许 Linkerd
解析请求、响应和响应代码,并报告响应延迟、请求量和错误率等指标。这些指标非常有价值,它们是谷歌的 SRE
书中所谓的“黄金信号”的一部分。另一方面,如果 Linkerd
只知道一个连接是 TCP
,那么它只能记录非常基本的信息,比如读取和写入的字节数——没有进一步解释字节的能力。
安全
双向 TLS (mTLS)
是 Linkerd
的核心功能。从 Linkerd 2.9
开始,网状端点(meshed endpoints
)之间的所有 TCP
流量默认由 Linkerd 代理进行 mTLS
。 (有一些警告 - 请参阅下面有关 skip-ports
的部分。)
在这里,再次了解连接的协议至关重要。例如,如果连接已经是 TLS
的(例如,通过应用程序),则没有理由重新 TLS
。(严格来说,TLS
是一种传输层协议,而不是像 HTTP
那样的应用层协议,但就本文而言,两者之间的区别并不重要。)
可靠性
最后,了解底层连接的协议允许 Linkerd
提供复杂的可靠性功能。 这里的一个例子是负载平衡。 在不知道连接协议的情况下,Linkerd
仅限于平衡连接(balancing connections
):一旦与服务器建立了 TCP
连接,它就无法进一步操作该连接。
但是,如果 Linkerd
知道连接是 HTTP
,它可以从连接平衡(connection balancing
)转移到请求平衡(request balancing
)。Linkerd
将建立一个跨端点的连接池,并平衡这个池中的请求。 由于它现在可以访问 requests
和 responses
,Linkerd
在平衡请求方面可以非常复杂; 事实上,它根据每个可能端点的最近性能(使用称为“指数加权移动平均(exponentially weighted moving average
)”或 EWMA
的指标)来平衡请求,以避免从慢速端点引起尾部延迟(tail latency
)。
( Linkerd
也是 Kubernetes
中负载平衡 gRPC
连接的一个简单解决方案。)
当协议检测失败时
虽然协议检测旨在允许 Linkerd
“just work”
,但在某些情况下它不能:臭名昭著的服务器优先协议(server-speaks-first
)。 这些协议(包括 MySQL
和 SMTP
)通过让客户端建立连接然后等待服务器响应来工作。从 TCP
的角度来看,这是一种完全合法的行为,但这意味着 Linkerd
无法检测到协议,因为相关信息来自服务器,而不是客户端。
(为什么不简单地使用服务器的字节来检测协议?因为在检测协议的时候,Linkerd
甚至还没有建立到服务器的连接。选择与哪个服务器对话是负载均衡器的一个功能,而使用哪个负载均衡器是协议的一个功能。这是一个 delicious
、带有 TCP-flavored
的“先有鸡还是先有蛋(chicken-and-egg
)”问题。)
为了避免这种情况,Linkerd
引入了 skip-inbound-ports
和 skip-outbound-ports
配置选项。 这些选项指示 Linkerd
通过修改 Linkerd
用于通过其 sidecar
代理连接 pod
的 iptables
规则来完全绕过某些端口的代理。例如,将 annotation
config.linkerd.io/skip-outbound-ports: 3306
添加到工作负载的 PodSpec
指示 Linkerd
创建一个 iptables
规则,以确保 Linkerd
代理永远不会处理到端口 3306
(MySQL
端口)的任何流量 . 同样,annotation
config.linkerd.io/skip-inbound-ports: 3306
将编写一个 iptables
规则,以便代理永远不会处理发送给它的 MySQL
流量。
Skip Ports 配置
这些选项为 protocol detection
无法处理 server-speaks-first
协议提供了一种解决方法。 然而,它们有一个明显的缺点:因为它们完全绕过 Linkerd
代理,Linkerd
无法应用 mTLS
或捕获这些端口的任何指标。
Linkerd 2.10 中的不透明端口和改进的协议检测
为了解决 skip-ports
的不足,在 2.10
版本中,Linkerd
将添加不透明端口(opaque ports
)的概念(以及相应的 opaque-ports annotation
)。不透明端口就是 Linkerd
将代理而不执行协议检测的端口。虽然这种方法仍然需要配置,但将端口标记为不透明允许 Linkerd
应用 mTLS
并报告 TCP-level metrics
—— 这比完全跳过它是一个很大的改进。
Opaque Ports 配置
Linkerd 2.10
还将通过使其“fail open”
来改进协议检测的工作方式:如果协议检测代码在 10 秒后没有看到客户端字节,它会将连接视为 TCP
连接并继续,而不是像 2.9
那样失败 . 这意味着不使用 opaque-ports
(或 skip-ports
)annotating server-speaks-first
端口的最坏情况行为是 10
秒的连接时间延迟,而不是连接失败。
总结
Protocol detection
是 Linkerd
最强大的功能之一,也是 Linkerd
“just works”
原则的基础。虽然协议检测不是万灵药,但 Linkerd 2.10
中引入的 opaque-ports
应该解决早期 skip-ports
特性的大部分缺点,并允许 Linkerd
使用者在整个 Kubernetes
环境中扩展 mTLS
,而不管协议是什么。
我是为少
微信:uuhells123
公众号:黑客下午茶
加我微信(互相学习交流),关注公众号(获取更多学习资料~)