文章插图
Sleep到Productpage的Cluster
文章插图
Sleep到Productpage的Endpoint
Waypoint转发(1)Waypoint首先通过”inbound_CONNECT_terminate”监听器接收Sleep访问Productpage的请求 。此监听器上面配置有DownstreamTlsContext,其负责对下游请求进行TLS终止 。另外此监听器只有一个FilterChain,包含用于处理HTTP请求的HTTP Connection Manager过滤器 。它的核心思想是通过匹配Authority(10.96.179.71:9080,也是原始目的地址)以及CONNECT请求方法进行路由,匹配成功后,选择”inbound-vip|9080|internal|productpage.default.svc.cluster.local” 的 Cluster进行处理 。
文章插图
inbound_CONNECT_terminate监听器
(2)”inbound-vip|9080|internal|productpage.default.svc.cluster.local” Cluster是一个内部静态类型Cluster,其主要是将流量递交给内部VIP监听器”inbound-vip|9080||productpage.default.svc.cluster.local”,不做其他额外的处理 。
文章插图
Internal productpage cluster
(3)Vip监听器非常重要,一些服务治理策略,比如VirtualService设置的路由策略都在此监听器中加载,这里我们没有配置任何的策略,因此它主要是通过"inbound-vip|9080|http|productpage.default.svc.cluster.local" Cluster进行负载均衡,将将流量转发到Pod监听器处理 。
文章插图
Inbound-vip监听器
文章插图
Inbound vip cluster
文章插图
Inbound endpoint
(4)Pod 监听器上会配置服务相关的策略,包括认证、鉴权、Telemetry等策略 。这里我们并没有设置任何的流量治理策略,因此Pod监听器比较简单,没有复杂的过滤器 。
在本例中,我们启动了两个Productpage服务实例,假设经过"inbound-vip|9080|http|productpage.default.svc.cluster.local" Cluster负载均衡后,流量被转发到10.244.2.8这个Pod监听器 。那么流量进而被关联的"inbound-pod|9080||10.244.2.8" Cluster接管 。
文章插图
Inbound-pod监听器
(5)"inbound-pod|9080||10.244.2.8" 是一个静态的Cluster,其主要设置建立CONNECT 相关的metadata,然后将流量转发给” inbound_CONNECT_originate”监听器
文章插图
Inbound pod cluster
(6)”inbound_CONNECT_originate”监听器是waypoint处理流程中的最后一个过滤器,它会通过HTTP Connect方法告诉目标ztunnel建立到"%DYNAMIC_METADATA(tunnel:destination)%的隧道,这里CONNECT地址即10.244.2.8:9080 。并且通过“set_dst_address”将数据包的目的地址设置为10.244.2.8:15008 。
文章插图
Inbound connect originate监听器
(7)” inbound_CONNECT_originate” Cluster为ORIGINAL_DST类型,并且设置有TLS Context 。因此最后经过TLS加密后,数据包最终被发往10.244.2.8:15008 。
文章插图
Inbound connect originate Cluster
Productpage接收流量处理Productpage接收测七层的流量处理与四层处理完全相同,请参考https://bbs.huaweicloud.com/blogs/375712
Ambient Mesh七层流量治理小结
经验总结扩展阅读
- 十三 Istio:Istio项目实际案例——Online Boutique
- 十一 Istio:向istio服务网格中引入虚拟机
- 九 Istio:istio安全之授权
- 五 Istio:使用服务网格Istio进行流量路由
- 鹅长微服务发现与治理巨作PolarisMesh实践-上
- 二 Istio:在Kubernetes(k8s)集群上安装部署istio1.14
- 如何用AR Engine环境Mesh能力实现虚实遮挡
- mesh是什么意思 英语mesh是什么意思
- mesh和无线桥接有什么不同