随笔分类 - envoy_v1.23.0
摘要:架构示例 envoy.yaml node: id: "backend" cluster: "demo-cluster-spire" static_resources: listeners: - address: socket_address: address: 0.0.0.0 port_value:
阅读全文
摘要:外部授权 外部授权(External Authorization)即调用第三方的授权服务来核验用户权限的机制; Envoy通过外部授权过滤器调用外部的授权服务以检查传入的请求是否已经获取授权; 此过滤器可以配置为网络过滤器(config.filter.network.ext_authz.v3.Ext
阅读全文
摘要:Service Mesh Authorization Authorization A service mesh provides the ability to enforce service-to-service and enduser-to-service authorization. Using
阅读全文
摘要:JWT 认证 目前,无状态的HTTP协议用以跟踪用户状态的常用解决方案有两种 基于Session的认证 用户成功登录后,服务器为其创建并存储一个Session(map结构,有SessionID),并通过Set-Cookie将SessionID返回给客户端作为Cookie 客户端随后的请求都将在标头中
阅读全文
摘要:环境说明 Envoy Mesh使用的网络: 172.31.92.0/24 3个Service: web-server:ip地址172.31.92.5 echo-server:ip地址172.31.92.6 spire-server:ip地址172.31.92.7 生成ca证书 openssl.con
阅读全文
摘要:Service Mesh Authentication A service mesh provides the ability to do authentication between your services to ensure traffic flowing in your clusters
阅读全文
摘要:系统环境 网络:172.31.81.0/24 服务: Front-Proxy:前端代理,监听端口8000/tcp 2个后端服务 service1:接收Front-Envoy的请求,并会请求service2 service2:接收service1的请求 追踪服务zipkin,监听端口9411 环境配置
阅读全文
摘要:系统环境 网络:172.31.81.0/24 服务: Front-Proxy:前端代理,监听端口8000/tcp 2个后端服务 service1:接收Front-Envoy的请求,并会请求service2 service2:接收service1的请求 追踪服务zipkin,监听端口9411 环境配置
阅读全文
摘要:系统环境 网络:172.31.81.0/24 服务: Front-Proxy:前端代理,监听端口8000/tcp 2个后端服务 service1:接收Front-Envoy的请求,并会请求service2 service2:接收service1的请求 追踪服务zipkin,监听端口9411 环境配置
阅读全文
摘要:系统环境 网络:172.31.81.0/24 服务: Front-Proxy:前端代理,监听端口8000/tcp 2个后端服务 service1:接收Front-Envoy的请求,并会请求service2 service2:接收service1的请求 追踪服务zipkin,监听端口9411 环境配置
阅读全文
摘要:追踪概述 分布式跟踪允许开发人员在大型面向服务的架构中获得调用流的可视化。它对于理解序列化、并行性和延迟来源非常重要。Envoy 支持与系统范围跟踪相关的三个功能: 请求 ID 生成:Envoy 将在需要时生成 UUID 并填充 x-request-id HTTP 标头。应用程序可以转发 x-req
阅读全文
摘要:访问记录 HTTP 连接管理器、 tcp 代理和 thrift 代理 支持具有以下特性的可扩展访问日志记录: 每个连接流的任意数量的访问日志。 可定制的访问日志过滤器,允许将不同类型的请求和响应写入不同的访问日志。 可以使用侦听器访问日志启用下游连接访问日志记录。侦听器访问日志是对 HTTP 请求访
阅读全文
摘要:环境说明 宿主机地址为:192,.168.174.103 envoy:Front Proxy,地址为172.31.10.2 webserver01:第一个后端服务 webserver01-sidecar:第一个后端服务的Sidecar Proxy,地址为172.31.10.11 webserver0
阅读全文
摘要:Envoy状态统计 Envoy运行过程中会生成大量的统计数据,这些统计数据大体可以分为三类 下游:与传入Envoy的连接相关的统计信息,主要由侦听器、HTTP连接管理器和TCP代理过滤器等生成; 上游:与离开Envoy的连接相关的统计信息,主要由连接池、路由器过滤器和TCP代理过滤器等生成; Env
阅读全文
摘要:HTTP upgrades Envoy Upgrade主要用于 WebSocket 和 CONNECT 支持,但也可用于任意Upgrade。 HTTP upgrades配置格式 static_resources: listeners: name: ... address: {...} additio
阅读全文
摘要:CORS 跨域资源共享(CORS) 是HTTP的访问控制机制 它使用额外的 HTTP 头来告诉浏览器 让运行在一个 origin (domain) 上的Web应用被准许访问来自不同源服务器上的指定的资源 当一个资源从与该资源本身所在的服务器不同的域、协议或端口请求一个资源时,资源会发起一个跨域 HT
阅读全文
摘要:局部故障处理机制 retry:分布式环境中对远程资源和服务的调用可能会由于瞬态故障(短时间内可自行恢复的故障)而失败,一般情况下,重试机制可解决此类问题 常见的瞬态故障有网络连接速度慢、超时、资源过量使用或暂时不可用等 timeout:此外,也存在因意外事件而导致故障,并且可能需要较长的时间才能得以
阅读全文
摘要:故障注入 故障注入过滤器可用于测试微服务对不同形式故障的弹性。过滤器可用于注入延迟并使用用户指定的错误代码中止请求,从而提供分级不同故障场景的能力,例如服务故障、服务过载、高网络延迟、网络分区等。故障注入可以限制为基于请求的(目标)上游集群和/或一组预定义的请求标头的一组特定请求。 故障范围仅限于通
阅读全文
摘要:混沌工程发展简介 2010年 Netflix 内部开发了 AWS 云上随机终止 EC2 实例的混沌实验工具: Chaos Monkey 2011年 Netflix 释出了其猴子军团工具集: Simian Army 2012年 Netflix 向社区开源由 Java 构建 Simian Army,其中
阅读全文
摘要:流量镜像 流量镜像,也称为流量复制或影子镜像 流量镜像功能通常用于在生产环境进行测试,通过将生产流量镜像拷贝到测试集群或者新版本集群,实现新版本接近真实环境的测试,旨在有效地降低新版本上线的风险; 将流量转发至一个集群(主集群)的同时再转发到另一个集群(影子集群) 无须等待影子集群返回响应 支持收集
阅读全文