istio-proxy是什么时候设置的代理规则?

于 2025-03-04 18:20:44 发布
阅读量837 收藏 17
点赞数 13
文章标签: istio 云原生
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/LONG_Yi_1994/article/details/146023564
版权

在 Istio 中,istio-proxy(基于 Envoy 的 Sidecar 容器)本身并不直接设置 IPTables 规则。IPTables 规则的设置是由一个专门的 Init 容器(称为 istio-init)在 Pod 启动的早期阶段完成的。下面我会详细说明这个过程和时间点。

1. Istio 的注入流程

当你在 Pod 上启用 Istio Sidecar 注入(通过 sidecar.istio.io/inject: "true" 注解),Istio 的 MutatingWebhook 会修改 Pod 的 Spec,注入两个关键组件:

  • Init 容器:istio-init:负责初始化网络配置,包括设置 IPTables 规则。
  • Sidecar 容器:istio-proxy:运行 Envoy 代理,处理实际的流量。

这些容器会在 Pod 的生命周期中按特定顺序执行。

2. IPTables 规则设置的时间点

IPTables 规则是在 istio-init Init 容器运行时设置的。具体时间点如下:

  • Pod 创建时:Kubernetes 在 Pod 开始启动时,首先运行所有的 Init 容器。
  • istio-init 执行期间:istio-init 容器启动后,会执行一系列命令来配置 Pod 的网络环境,其中包括设置 IPTables 规则,用于将流量重定向到 istio-proxy(Envoy)。
istio-init 的工作流程
  1. 镜像:istio-init 使用的是 Istio 的代理镜像(例如 istio/proxyv2:1.20.0),但它的入口命令被设置为初始化脚本。
  2. 执行命令:istio-init 的主要任务是通过脚本(通常是 istio-iptables.sh)设置 IPTables 规则。典型规则包括:
    • 将入站流量重定向到 istio-proxy 的监听端口(如 15001)。
    • 将出站流量重定向到 istio-proxy 的出站端口(如 15006)。
    • 绕过某些特定流量(如元数据服务或健康检查)。
  3. 完成并退出:istio-init 完成后会退出(Exit Code 0),标志着 Init 阶段结束。
时间点总结
  • 在所有主容器启动之前:根据 Kubernetes 的生命周期,Init 容器必须在所有主容器(包括业务容器和 istio-proxy)启动之前完成。
  • 早于 istio-proxy 运行:IPTables 规则设置完成后,istio-proxy 才会启动并开始监听流量。

3. 注入后的 Pod 配置示例

以下是注入后 Pod 的简化配置,展示了 istio-init 的角色:

apiVersion: v1
kind: Pod
metadata:
  name: example-pod
  annotations:
    sidecar.istio.io/inject: "true"
spec:
  initContainers:
  - name: istio-init
    image: istio/proxyv2:1.20.0
    args:
    - istio-iptables
    - -p
    - "15001"  # 入站端口
    - -z
    - "15006"  # 出站端口
    - -u
    - "1337"   # UID 重定向绕过
    securityContext:
      capabilities:
        add:
        - NET_ADMIN  # 需要权限修改 IPTables
  containers:
  - name: app
    image: my-app-image
  - name: istio-proxy
    image: istio/proxyv2:1.20.0

4. 为什么 istio-proxy 不设置 IPTables

  • istio-proxy 是流量代理:它的职责是接收和处理通过 IPTables 重定向的流量,而不是配置网络规则。
  • 权限分离:设置 IPTables 需要 NET_ADMIN 权限,而 istio-proxy 通常以非特权用户(UID 1337)运行,不具备直接修改 IPTables 的能力。
  • 启动顺序:如果 istio-proxy 负责设置 IPTables,它需要在自身启动后再配置网络,这会导致逻辑复杂性和潜在的启动延迟。

5. 与 holdApplicationUntilProxyStarts 的关系

即使启用了 holdApplicationUntilProxyStarts: true,IPTables 规则的设置仍然发生在 istio-init 阶段,不受此注解影响。注解只控制业务容器和 istio-proxy 的启动顺序,确保业务容器在 istio-proxy 就绪后再启动,而 IPTables 早已由 istio-init 配置完成。

6. 验证 IPTables 规则设置的时间

你可以通过以下方法验证:

  • 检查 Pod 日志:查看 istio-init 容器的日志,确认其执行时间和退出状态。

    bash

    kubectl logs <pod-name> -c istio-init

  • 查看 IPTables:在 Pod 启动后,使用调试工具进入容器,检查 IPTables 规则。

    bash

    iptables -t nat -L -n -v

总结

Istio 的 IPTables 规则是由 istio-init Init 容器在 Pod 启动的 Init 阶段设置的,具体时间点是:

  • 早于所有主容器(包括 istio-proxy 和业务容器)启动
  • 在 istio-init 容器运行并完成后

istio-proxy 本身不设置 IPTables,它只依赖 istio-init 配置好的规则来处理流量。这种设计分离了网络初始化和流量代理的职责,确保了启动顺序的清晰性和安全性。如果还有疑问,欢迎继续探讨!

istio-sidecar自动注入
xuehen's log
03-24 827
Sidecar 介绍 在Sidecar部署方式中会为每个应用的容器部署一个伴生容器。对于Istio,Sidecar接管进出应用程序容器的所有网络流量。 使用 Sidecar 模式部署服务网格时,无需在节点上运行代理,但是集群中将运行多个相同的 Sidecar 副本。在 Kubernetes 的 Pod 中,在原有的应用容器旁边运行一个 Sidecar 容器,可以理解为两个容器共享存储、网络等资源,可以广义的将这个注入了 Sidecar 容器的 Pod 理解为一台主机,两个容器共享主机资源。 Sideca
istio 原理简介
m0_38017860的博客
11-19 1206
前导由于 istio 自 1.5 版本以后架构上有了较大变化,控制面从多组件变成了单体的 istiod 组件,所以下文会先介绍 1.5 之前的架构,再介绍 1.5 之后的,是一个由繁到简的过程。istio 1.5 之前架构Istio 的架构分为控制平面和数据平面数据平面:由一组智能代理(Envoy)以 sidecar 模式部署,协调和控制所有服务之间的网络通信。控制平面:负责管理和配置代理路由流量,以及在运行时执行的政策。可以看到控制面(control plane )组件众多,下图是 1.1 版本所包含的组
如何查看istio-proxy设置的iptables规则
最新发布
小诸葛的博客
03-04 307
【代码】如何查看istio-proxy设置的iptables规则
istio-proxy性能洞察之路---性能调研的终点、调优之路的出发点
qq_32783703的博客
11-18 3205
最近配合公司落地 service mesh,整体架构采用了istio 的部署架构,但是最近对envoy的sidecar做了压力测试,sidecar的性能是十分的差 说下istio-proxyistio社区对envoy做了插件,包装成了istio-proxy,git目录是 https://github.com/istio/proxy 落地istio之后我们对istio-proxy性能进行了压测,每年技术大会演讲的envoy做sidecar在我们压测下,是那么单薄,显得差强人意,下面公布我们架构组
Istio中流量劫持机制
心梦无痕
09-25 2305
Istio Service Mesh 中的流量劫持机制
Istio Iptables
罗小爬的技术宝书
08-12 3027
Istio-proxy Iptable规则 Isito官网bookinfo示例 进入Product Page容器查看Iptables配置(注:蓝色:入站流量路由,粉色:出站流量路由,绿色:注释) # 查看 NAT 表中规则配置的详细信息 $ iptables -t nat -L -v # PREROUTING 链:用于目标地址转换(DNAT),将所有入站 TCP 流量跳转到 IS...
深度解析Istio系列之Istio-proxy初始化篇
BoCloud博云
03-20 3125
注:以下讲述的按理环境场景是基于Kubernetes环境基础上部署的Istio环境。 涉及到Envoy概念介绍请参考深度解析Istio系列之流量控制篇。本文重点针对Envoy初始化场景进行拆解。 Istio-proxy(Envoy)作为Istio数据平面的重要组件,基于sidecar方式与业务应用混合部署到同一pod,为应用提供代理服务。Pilot作为控制平面组件,基于元数据的抽象层,屏...
istio: 解决istio-proxy使用了资源配额导致新建pod处于pending状态的问题
Mr_rain的专栏
07-29 6455
本文记录了在mac搭建的istio环境在创建了4个带有istio-proxy的pod后,无法再新建pod的问题,提示 FailedScheduling 0/1 nodes are available: 1 Insufficient cpu. preemption: 0/1 nodes are available: 1 No preemption victims found for incoming pod.,开始查找分析原因,最终找到解决方案。...............
istio浅析(一)了解envoy与istio注入配置
qq_20365437的博客
07-30 5780
一、先了解一下envoy Envoy是Lyft开源的一个C++实现的代理Proxy),和Nginx及HAProxy类似,可代理L3/L4层和L7层。 代理是它最核心和基础的功能,它也是服务网格框架Istio的Sidecar。 重点推荐文章:服务网格代理Envoy入门 二、envoy的静态配置和动态配置(运行时配置) 最好是跟着后面的试跑体验在本地跑一下,对与理解envoy的静态配置和动态配置(运行时配置)很有帮助。 (go build的二进制文件在容器里面跑不起来 ...
基于Istio的灰度平台实践
Docker的专栏
07-24 982
Istio目前是Service Mesh最受欢迎的实现方式,流量管理是Istio一个非常核心的功能。本文主要介绍在Kubernetes平台上面基于Istio的流量管理做灰...
Istio常见问题:默认重试2次、超时、503
a605692769的博客
04-12 6692
1. Istio与Envoy Envoy 是专为大型现代 SOA(面向服务架构)架构设计的 L7 代理和通信总线。Envoy支持同时在L3\L4\L7层来对数据进行处理操作。 Istio默认使用Envoy作为其智能代理工作在数据平面。 Pilot是istio中的一个组件,pilot-agent进程根据K8S API Server中的配置信息生成Envoy的配置文件,并负责启动Envoy进程。Pilot在启动Envoy时会为其bootstrap静态配置,配置文件在/etc/istio/proxy/env
一探istio-proxy(envoy)容器里的秘密
weixin_30357231的博客
07-25 675
今天,在测试环境跑通了istio。 惭愧,是用MicroK8s跑的,其它环境,不敢呀。 基本功能都OK了。 在运行了istio-injection=enabled之后,每个pod运行时,会多一个istio-proxy容器。这是istio功能实现的关键。 那,这里面都有什么进程呢? /usr/local/bin/pilot-agent /usr/local/bin/envoy 而p...
Istio代理(Envoy)proxy-wasm扩展(oci)
weixin_40814867的博客
02-06 945
场景描述 部署在istio的http服务需要拦截请求做处理,使用proxy-wasm作为envoy的扩展,harbor2作为仓库 安装WebAssembly Hub CLI 安装cli curl -sL https://run.solo.io/wasme/install | sh export PATH=$HOME/.wasme/bin:$PATH 验证cli wasme --version wasme version 0.0.32 初始化filter项目 可以修改assemblyscript的代码
云原生 | Kubernetes 系列】--Istio基础和部署
Q先生
10-17 1247
云原生 | Kubernetes 系列】--Istio基础和部署
Istio Proxy【Envoy扩展】详解
weixin_33835103的博客
10-19 762
[TOC] Istio Proxy【Envoy扩展】详解 源码工程和基本介绍 istio proxy工程概要 istio官方源码中有说明,istio项目的仓库除了istio本身外,还有istio proxy这个仓库,istio proxy官方源码和Envoy一样,采用C++编写,注意,这里的编译方式,不再是Makefile,也不是CMake,是Google出品的bazel。bazel可以直接在编译...
Istio组件日志设置
热门推荐
罗小爬的技术宝书
09-24 2万+
1.istio-pilot日志级别 编辑istio-system.deployment.istio-pilot,修改args中--log_output_level=default:指定日志级别 2.istio-policy日志级别设置istio-pilot 3.istio-proxy(envoy)日志级别设置 进入istio-proxy容器中,通过如下命令进行设置: curl -...
helm安装istio_Istio 庖丁解牛二:sidecar injector
weixin_28876083的博客
01-06 929
作者: 钟华,腾讯云容器团队高级工程师,热衷于容器、微服务、service mesh、istio、devops 等领域技术。今天我们分析下 istio-sidecar-injector 组件:用户空间的Pod要想加入mesh, 首先需要注入sidecar 容器, istio 提供了2种方式实现注入:自动注入: 利用Kubernetes Dynamic Admission Webhook...
isito之proxy_init
jinyidong的博客
03-27 607
1、shell脚本 istio-iptables.sh 2、参数解析 istio-iptables.sh -p PORT -u UID -g GID [-m mode] [-b ports] [-d ports] [-i CIDR] [-x CIDR] [-h] -p: 指定重定向所有 TCP 流量的 Envoy 端口(默认为 $ENVOY_PORT = 15001) -u: 指定...
Istio、Envoy Proxy 安装使用介绍【转载link】
z69183787的专栏
12-06 942
Istio:https://www.lijiaocn.com/soft/istio/ Envoy使用手册:https://www.lijiaocn.com/soft/envoy/ Envoy介绍教程:https://www.lijiaocn.com/%E9%A1%B9%E7%9B%AE/2018/12/12/envoy-01-usage.html
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值