Deis项目路由组件深度配置指南

Deis项目路由组件深度配置指南

deis Deis v1, the CoreOS and Docker PaaS: Your PaaS. Your Rules. 项目地址: https://gitcode.com/gh_mirrors/de/deis

前言

Deis作为一款开源的PaaS平台，其路由组件(Router)承担着至关重要的流量分发功能。本文将深入解析Deis路由组件的各项配置参数，帮助系统管理员和DevOps工程师根据实际业务需求进行精细化调优。

路由组件基础架构

Deis路由组件基于Nginx构建，主要负责：

• 应用流量的负载均衡
• SSL/TLS终端处理
• 访问控制与安全策略
• 协议转换与代理

核心配置参数详解

基础网络配置

1. 主机注册
   每个路由实例启动时会自动注册其IP和端口到etcd的/deis/router/hosts/$HOST路径下，支持多路由实例部署。

2. 组件连接
   路由需要与以下核心组件交互：

   • Builder组件：/deis/builder/host和/deis/builder/port
   • Controller组件：/deis/controller/host和/deis/controller/port
   • Store网关：/deis/store/gateway/host和/deis/store/gateway/port

性能调优参数

| 参数 | 默认值 | 说明 | |------|--------|------| | maxWorkerConnections | 768 | 每个worker进程的最大并发连接数 | | workerProcesses | auto(CPU核心数) | Nginx worker进程数 | | serverNameHashMaxSize | 512 | 服务器名称哈希表的最大大小 | | serverNameHashBucketSize | 64 | 服务器名称哈希表的桶大小 |

超时控制

- defaultTimeout: 1300秒(应大于前端LB的超时设置)
- Builder连接超时: 10000毫秒
- Builder TCP超时: 1200000毫秒
- Controller连接超时: 10分钟
- Controller读写超时: 各20分钟

安全配置

1. 访问控制

   • deis_whitelist: 应用容器访问白名单(CIDR格式)
   • enforceWhitelist: 是否强制白名单检查(默认false)
   • controller/whitelist: Controller访问白名单

2. HTTPS强化

   • enforceHTTPS: HTTP强制跳转HTTPS(默认false)
   • HSTS相关配置：
     • hsts/enabled: 启用HSTS头
     • hsts/maxAge: 有效期(默认10886400秒)
     • hsts/includeSubDomains: 包含子域名
     • hsts/preload: 允许加入HSTS预加载列表

3. SSL配置

   • sslProtocols: 默认TLSv1 TLSv1.1 TLSv1.2
   • sslSessionCache: 会话缓存设置
   • sslSessionTickets: 会话票据(默认on)
   • sslSessionTimeout: 会话超时(默认10分钟)

压缩优化

gzip: on(默认开启)
gzipCompLevel: 5(压缩级别)
gzipMinLength: 256(最小压缩长度)
gzipTypes: 包含常见文本和Web资源类型

高级功能配置

PROXY协议支持

PROXY协议用于在负载均衡器后获取原始客户端IP。启用后，路由组件会从协议头中提取真实IP并放入X-Forwarded-For头。

配置参数：

• proxyProtocol: 启用PROXY协议
• proxyRealIpCidr: 前端LB的IP范围(默认10.0.0.0/8)

典型使用场景：

• WebSocket通过不支持WS的LB(如AWS ELB)
• 需要获取原始客户端IP的TCP服务

自定义路由镜像

Deis允许使用自定义Docker镜像替代默认路由镜像：

# 使用公有仓库镜像
deisctl config router set image=myaccount/myimage:latest

# 使用私有仓库镜像
deisctl config router set image=registry.mydomain.org:5000/myaccount/myimage:latest

注意事项：

• 自定义镜像必须保持与标准路由相同的etcd交互逻辑
• 需要实现所有必要的健康检查接口
• 建议基于官方镜像进行定制

监控与诊断

1. 状态页面
   通过enableNginxStatus启用Nginx状态页面，监控各虚拟主机的流量情况。

2. 日志级别
   errorLogLevel可设置为debug到emerg的不同级别，默认为error。

3. 流量统计
   trafficStatusZoneSize控制状态统计的内存区域大小(默认1m)。

最佳实践建议

1. 生产环境应始终启用enforceHTTPS和HSTS
2. 根据实际并发量调整maxWorkerConnections
3. 前端有LB时，确保超时设置协调一致
4. 敏感服务应启用enforceWhitelist并配置精确的IP白名单
5. 高流量场景考虑调整workerProcesses数量

通过合理配置这些参数，可以显著提升Deis平台的路由性能和安全性，满足不同业务场景的需求。

deis Deis v1, the CoreOS and Docker PaaS: Your PaaS. Your Rules. 项目地址: https://gitcode.com/gh_mirrors/de/deis