进击的 Traefik 杨川胡（阳明） 知群后台负责人 2019.10.26 Service Mesh Meetup #7 成都站 云原生边缘路由器探秘杨川胡（阳明） 知群后台负责人，原小米视频后台高级研发 ，《Prometheus 深入浅出》作者，「k8s技 术圈」社区作者，现阶段专注于云原生技术 领域，希望成为一个有产品思维的工程师1 Traefik 介绍 2 Traefik Traefik 2.0 核心概念 3 Traefik With Docker 4 Traefik With KubernetesTraefik 是什么？ • 云原生的边缘路由器 • 让部署微服务更加便捷而诞生的现 代 HTTP 反向代理、负载均衡工具 • 它支持多种后台 (Docker, Swarm, Kubernetes, M arathon, Mesos, Consul, Etcd, Z ookeeper ....1 Traefik 介绍 2 Traefik 2.0 核心概念 3 Traefik With Docker 4 Traefik With KubernetesTraefik 是一个边缘路由器Traefik 自动服务发现Traefik 2.0 架构 • Providers 用来自动发现平台上的服务 • Entrypoints 监听传入的流量（端口等… ） • Routers 分析请求（host

版本 Istio 1.12.7 Envoy Proxy 1.20.6 Jaeger 1.36 Kiali 1.48.2-1 1.2.2.2.2. 复制路由标签 在这个版本中，除了复制注解外，您还可以为 OpenShift 路由复制特定的标签。Red Hat OpenShift Service Mesh 将 Istio 网关资源中存在的所有标签和注解（从 kubectl.kubernetes 的服务网格支持，包括多集群联邦。 1.2.2.4.4. istio-node DaemonSet 重命名 在此发行版本中，istio-node DaemonSet 被重命名为 istio-cni-node，以匹配上游 Istio 中的名称。 1.2.2.4.5. Envoy sidecar 网络更改 Istio 1.10 更新了 Envoy，默认使用 eth0 而不是 lo 将流量发送到应用程序容器。 要启用这个功能，请在 ServiceMeshControlPlane 中为 Istiod 容器设置以下环境变量： 使用 SameNamespace 或 All 设置在 Gateway API 监听器上限制路由附加功能可能。Istio 会忽略 listeners.allowedRoutes.namespaces 中标签选择器的使用，并恢复到默认行为 (SameNamespace)。 1.2.2.5. Red

1.1. OPENSHIFT CONTAINER PLATFORM DNS 1.2. OPENSHIFT CONTAINER PLATFORM INGRESS OPERATOR 1.2.1. 路由和 Ingress 的比较 第 第 2 章 章 访问 访问主机 主机 2.1. 访问安装程序置备的基础架构集群中 AMAZON WEB SERVICES 上的主机 第 第 3 章 章 网 网络 1. 通过路由标签（label）配置 Ingress Controller 分片 6.8.5.2. 使用命名空间标签配置 Ingress Controller 分片 6.8.6. 配置 Ingress Controller 以使用内部负载均衡器 6.8.7. 将集群的默认 Ingress Controller 配置为内部 6.8.8. 配置路由准入策略 6.8.9. 使用通配符路由 6.8.10 11.2.6. 通过应用 YAML 清单来创建额外网络附加 11.3. 将 POD 附加到额外网络 11.3.1. 将 pod 添加到额外网络 11.3.1.1. 指定特定于 pod 的地址和路由选项 11.4. 从额外网络中删除 POD 11.4.1. 从额外网络中删除 pod 11.5. 编辑额外网络 11.5.1. 修改额外网络附加定义 11.6. 删除额外网络 11.6.1

图
1-1
API7
架构图
上图为
API7
产品中控制平⾯（简称
CP）与数据平⾯（简称
DP）的架构⽰意图，并包含了3个部分：
API
⽹关
1. ⽤于承载并处理业务流量，管理员在配置路由规则后，⽹关将根据预设规则将请求转发⾄上游服务。 此外，借助
API7
内置的
50
多种插件，可实现⾝份验证、安全防护、流量控制、分析监控、请求/响应 转换等常⻅业务需求；若内置插件⽆法满⾜需 实现对路由、上游、证书、全局插件、消 费者等资源的管理。 控制⾯板 3. 为了简化⽹关管理，管理员可以通过
Dashboard
控制⾯板以可视化形式操作⽹关，⽀持监控分析、⽇ 志审计、多租⼾管理、多集群切换、多⼯作分区等能⼒。 1.1
技术架构
数据平⾯ 1. 数据平⾯⽤于接收并处理调⽤⽅请求，使⽤
Lua
与
Nginx
动态控制请求流量。当请求进⼊时，将根据 预设路由规则进⾏ 预设路由规则进⾏匹配，匹配到的请求将被⽹关转发⾄对应上游服务。在此过程中，⽹关有能⼒根据 预设规则中不同插件的配置，使⽤⼀系列插件对请求从进⼊到离开的各个阶段进⾏操作。例如：请求 可能会经过⾝份认证（避免重放攻击、参数篡改等）、请求审计（请求来源信息、上游处理时⻓ 等）、路由处理（根据预设规则获取最终上游服务地址）、请求转发（⽹关将请求转发⾄上游⽬标节 点）、请求响应（上游处理完成后，⽹关将结果返回给调⽤⽅）等⼏个步骤。

12.7. 为项目定义默认网络策略 12.8. 使用网络策略配置多租户隔离 第 第 13 章 章 多网 多网络 络 13.1. 了解多网络 13.2. 配置额外网络 13.3. 关于虚拟路由和转发 13.4. 配置多网络策略 13.5. 将 POD 附加到额外网络 13.6. 从额外网络中删除 POD 13.7. 编辑额外网络 13.8. 删除额外网络 13.9. 为 VRF 为项目编辑出口防火墙 15.6. 从项目中删除出口防火墙 15.7. 使用出口路由器 POD 的注意事项 15.8. 以重定向模式部署出口路由器 POD 15.9. 以 HTTP 代理模式部署出口路由器 POD 15.10. 以 DNS 代理模式部署出口路由器 POD 15.11. 从配置映射配置出口路由器 POD 目的地列表 15.12. 为项目启用多播 15.13. 为项目禁用多播 16.11. 分配出口 IP 地址 16.12. 使用出口路由器 POD 的注意事项 16.13. 以重定向模式部署出口路由器 POD 16.14. 为项目启用多播 16.15. 为项目禁用多播 16.16. 跟踪网络流 16.17. 配置混合联网 第 第 17 章 章 配置路由 配置路由 17.1. 路由配置 17.2. 安全路由 第 第 18 章 章 配置集群入口流量 配置集群入口流量

OPENSHIFT CONTAINER PLATFORM 中的 中的 INGRESS 分片 分片 8.1. INGRESS CONTROLLER 分片 8.2. 为 INGRESS CONTROLLER 分片创建路由 8 9 9 9 10 13 13 14 14 14 14 14 14 14 15 15 15 16 16 16 23 24 24 24 25 26 26 30 30 30 . . . . . . . . . . . . . . . . . . . . 第 第 25 章 章 多网 多网络 络 25.1. 了解多网络 25.2. 配置额外网络 25.3. 关于虚拟路由和转发 25.4. 配置多网络策略 25.5. 将 POD 附加到额外网络 25.6. 从额外网络中删除 POD 25.7. 编辑额外网络 25.8. 删除额外网络 25.9. 为 VRF 分配从属网络 13. 为项目编辑出口防火墙 27.14. 从项目中删除出口防火墙 27.15. 配置出口 IP 地址 27.16. 分配出口 IP 地址 27.17. 使用出口路由器 POD 的注意事项 27.18. 以重定向模式部署出口路由器 POD 27.19. 为项目启用多播 27.20. 为项目禁用多播 27.21. 跟踪网络流 27.22. 配置混合联网 第 第 28 章 章 OPENSHIFT

RED HAT OPENSHIFT SERVICE MESH 上部署应用程序 4.2. 为服务网格配置分布式追踪 4.3. 应用程序示例 4.4. KIALI 教程 4.5. 分布式追踪 4.6. 自动路由创建 第 第 5 章 章 SERVICE MESH 用 用户 户指南 指南 5.1. 流量管理 第 第 6 章 章 支持 支持 6.1. 为红帽支持收集 RED HAT OPENSHIFT SERVICE OperatorHub 安装 Elasticsearch 、Jaeger 、Kiali 和 Service Mesh Operators。 您可以创建并指定 control plane 模板。 这个版本删除了自动路由创建功能。 1.4. 已知问题 Red Hat OpenShift Service Mesh 中存在以下限制： Red Hat OpenShift Service Mesh 不支持 IPv6 ，因为上游 istio-operator 中默认的 Jaeger 版本为 1.12.0，它与 Red Hat OpenShift Service Mesh 0.12.TechPreview 提供的 Jaeger 版本 1.13.1 不匹配。 MAISTRA-622 在 Maistra 0.12.0/TP12 中，permissive 模式无法正常工作。用户可以使用 Plain text 模式或 Mutual TLS 模式，但不能使用

Platform 的要求 4.1.3. 选择在 AWS 上安装 OpenShift Container Platform 的方法 4.1.4. 后续步骤 4.2. 配置 AWS 帐户 4.2.1. 配置路由 53（Route 53） 4.2.1.1. AWS Route 53 的 Ingress Operator 端点配置 4.2.2. AWS 帐户限值 4.2.3. IAM 用户所需的 AWS 权限 7. 在 AZURE 上安装私有集群 5.7.1. 先决条件 5.7.2. 私有集群 5.7.2.1. Azure 中的私有集群 5.7.2.1.1. 限制： 5.7.2.2. 用户定义的出站路由 带有网络地址转换的专用集群 使用 Azure 防火墙的私有集群 带有代理配置的私有集群 没有互联网访问的私有集群 5.7.3. 关于为 OpenShift Container Platform 5.8.1. 先决条件 5.8.2. Azure 政府区域 5.8.3. 私有集群 5.8.3.1. Azure 中的私有集群 5.8.3.1.1. 限制： 5.8.3.2. 用户定义的出站路由 带有网络地址转换的专用集群 使用 Azure 防火墙的私有集群 带有代理配置的私有集群 没有互联网访问的私有集群 5.8.4. 关于为 OpenShift Container Platform

管理接口，并可以根据具体用户的 需要灵活地添加自定义性能优化设置。 如果您禁用了 NodeTuning 功能，一些默认的性能优化设置不会应用到 control-plane 节点。这可能会限 制具有 900 个节点或 900 路由的大型集群的可扩展性和性能。 其他 其他资 资源 源 第 第 3 章 章 集群功能 集群功能 27 使用 Node Tuning Operator 3.2.11. OpenShift 示例功能 重新定位）可能会失败。因此， 您必须以高度可用的方式运行镜像 registry，镜像 registry 至少必须与 OpenShift Container Platform 集 群的生产环境可用性相匹配。 使用 OpenShift Container Platform 镜像填充镜像 registry 时，可以遵循以下两种情况。如果您的主机可 以同时访问互联网和您的镜像 registry，而不能访 重新定位）可能会失败。因此， 您必须以高度可用的方式运行镜像 registry，镜像 registry 至少必须与 OpenShift Container Platform 集 群的生产环境可用性相匹配。 使用 OpenShift Container Platform 镜像填充镜像 registry 时，可以遵循以下两种情况。如果您的主机可 以同时访问互联网和您的镜像 registry，而不能访

管理接口，并可以根据具体用户的 需要灵活地添加自定义性能优化设置。 如果您禁用了 NodeTuning 功能，一些默认的性能优化设置不会应用到 control-plane 节点。这可能会限 制具有 900 个节点或 900 路由的大型集群的可扩展性和性能。 OpenShift Container Platform 4.13 安装 安装 26 其他 其他资 资源 源 使用 Node Tuning Operator 3 重新定位）可能会失败。因此， 您必须以高度可用的方式运行镜像 registry，镜像 registry 至少必须与 OpenShift Container Platform 集 群的生产环境可用性相匹配。 使用 OpenShift Container Platform 镜像填充镜像 registry 时，可以遵循以下两种情况。如果您的主机可 以同时访问互联网和您的镜像 registry，而不能访 重新定位）可能会失败。因此， 您必须以高度可用的方式运行镜像 registry，镜像 registry 至少必须与 OpenShift Container Platform 集 群的生产环境可用性相匹配。 使用 OpenShift Container Platform 镜像填充镜像 registry 时，可以遵循以下两种情况。如果您的主机可 以同时访问互联网和您的镜像 registry，而不能访