istio envoy中的网络层(network layer)filter实现机制

最新推荐文章于 2025-08-01 20:03:14 发布
最新推荐文章于 2025-08-01 20:03:14 发布
阅读量1.5k 收藏 7
点赞数
CC 4.0 BY-SA版权
分类专栏: 基础技术 分布式 linux 文章标签: envoy istio 网络层 netfilter iptable
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/keyboard2000/article/details/91350369
本文探讨了Istio如何通过sidecar代理envoy利用iptables(netfilter)实现网络层流量劫持。Istio通过istio-init容器编程iptables规则,拦截Pod中的进出流量。iptable的五张表功能被介绍,同时指出了iptable在规则多时性能下降的问题。为解决这一问题,Linux内核社区提出了bpfilter,作为iptables的高性能替代方案。

本文缘起于微信群上讨论的”L3/L4层过滤器形成Envoy核心的连接管理功能“,本人对这个说法有点疑问,除了LVS这种,一般的中间件都是四层或七层实现呀,涤大一口咬定envoy是有L3网络层过滤器这个说法,本人对envoy不大了解,只能找google问下,找答案之前也有怀疑是不是基于linux 的 netfilter实现的。
在这里插入图片描述
envoy流量劫持机制

经过一番查找后,终于有了答案:iptable(netfilter)。Istio 使用 sidecar 代理来捕获流量,并且在尽可能的地方自动编程网络层,以路由流量通过这些代理,而无需对已部署的应用程序代码进行任何改动。在 Kubernetes中,代理被注入到 pod 中,通过编写 iptables 规则来捕获流量。注入 sidecar 代理到 pod 中并且修改路由规则后,Istio 就能够调解所有流量。

Istio 在 Pod 中注入的 Init 容器名为 istio-init,istio-init 容器的入口是 /usr/local/bin/istio-iptables.sh 脚本,再按图索骥看看这个脚本里到底写的什么,该脚本的位置在 Istio 源码仓库的 tools/deb/istio-iptables.sh,该脚本的用法如下:

$ istio-iptables.sh -p PORT -u UID -g GID [-m mode] [-b ports] [-d ports] [-i CIDR] [-x CIDR] [-h]
  -p: 指定重定向所有 TCP 流量的 Envoy 端口(默认为 $ENVOY_PORT = 15001)
  -u: 指定未应用重定向的用户的 UID。通常,这是代理容器的 UID(默认为 $ENVOY_USER 的 uid,istio_proxy 的 uid 或 1337)
  -g: 指定未应用重定向的用户的 GID。(与 -u param 相同的默认值)
最低0.47元/天 解锁文章

200万优质内容无限畅学
17、扩展 Istio 数据平面:Envoy Filter 与 Wasm 实战
pluto的博客
08-01 40
本文详细介绍了如何使用 Envoy Filter 和 Wasm 扩展 Istio 数据平面。通过 EnvoyFilter CRD,可以修改 Istio 生成的低级 Envoy 配置,实现高级的 Envoy 功能,如添加自定义请求头。同时,还介绍了 Wasm 的基础知识及其作为 Istio 扩展方案的优势,包括无需重启、隔离执行和故障边界控制。文章通过实战演示了如何使用 Go 编写并部署 Wasm 模块,以在 HTTP 响应中注入自定义头,并介绍了 Proxy-Wasm ABI 和 SDK 的使用方法。
Istio实战(十一)-Envoy 请求解析(下)
专注基础架构领域
10-30 364
Envoy也是istio的核心组件之一,以 sidecar 的方式与服务运行在一起,对服务的流量进行拦截转发,具有路由,流量控制等等强大特性。本系列文章,我们将不局限于istioenvoy的官方文档,从源码级别切入,分享Envoy启动、流量劫持、http 请求处理流程的进阶应用实例,深度分析Envoy架构。它与应用程序并行运行,通过以平台无关的方式提供通用功能来抽象网络。当基础架构中的所有服务流量都通过 Envoy 网格时,通过一致的可观测性,很容易地查看问题区域,调整整体性能。
envoy-filter-example:使用Envoy并添加自定义过滤器的示例
02-09
使节过滤器示例 该项目演示了附加过滤器与Envoy二进制文件的链接。 引入了一个新的滤波器echo2 ,对现有的滤波器进行了相同的模重命名。 还提供了证明过滤器端到端行为的集成测试。 有关其他HTTP过滤器的示例,请参见。 建造 要构建Envoy静态二进制文件: git submodule update --init bazel build //:envoy 测验 要运行echo2集成测试: bazel test //:echo2_integration_test 要从此项目运行常规的Envoy测试: bazel test @envoy//test/... 这个怎么运作 作为子模块提供。 文件将@envoy存储库映射到此本地路径。 文件引入了一个新的Envoy静态二进制目标envoy ,该目标将新的过滤器和@envoy//source/exe:envoy_main_entr
EnvoyFilterIstio 中用于直接修改 Envoy 配置的一种资源类型
wangqiaowq的博客
09-30 717
Istio 中用于直接修改 Envoy 配置的一种资源类型。它允许用户在不重新部署或更新整个服务网格的情况下,精细地调整 Envoy 代理的行为。通过,可以在运行时对 Envoy 配置进行微调,这对于需要高度定制化网络策略的应用场景非常有用。
EnvoyFilter
变成习惯
07-23 3462
EnvoyFilter EnvoyFilter 提供了一种机制,来自定义 Istio Pilot 生成的 Envoy 配置。使用 EnvoyFilter 可以 修改某些字段的值,添加特定的过滤器,甚至添加全新的监听器、集群等。必须谨慎使用此功能,因为不正确的配置可能会破坏整个网格的稳定性。与其他 Istio 网络对象不同,EnvoyFilters 是附加应用的。对于特定命名空间中的给定工作负载,可以有任意数量的 EnvoyFilters。这些 EnvoyFilters 的应用顺序如下:配置根命名空间中的所有
EnvoyFilter详解
mark's technic world
05-31 6330
学习目标 什么是EnvoyFilter EnvoyFilter provides a mechanism to customize the Envoy configuration generated by Istio Pilot. Use EnvoyFilter to modify values for certain fields, add specific filters, or even add entirely new listeners, clusters, etc. This f..
Istio Network CRD VirtualService、Envoyfilter
仙女肖消乐的博客
05-29 1644
VirtualService简介: VirtualService定义了一系列针对指定服务的流量路由规则。每个路由规则都针对特定协议匹配规则。如果流量符合这些特征,就会根据路由规则发送到服务注册表中的目标服务。 hosts string[] 必要字段:流量的目标主机。可以是带有通配符前缀的 DNS 名称,也可以是 IP 地址。根据所在平台情况,还可能使用短名称来代替 FQDN。这种场景下,短名称到 FQDN 的具体转换过程是要靠下层平台完成的。一个主机名只能在一个 VirtualService 中定义。同
Envoy proxy 源代码解读 - original_dst cluster
zhangpin04的博客<img src="http://awfwef.com/a.png">
02-29 1701
original_dst cluster 定义如下: - name: cluster1 type: ORIGINAL_DST ...
AI应用架构师的企业虚拟化转型安全方案
最新发布
AI天才研究院
08-01 1326
随着企业数字化转型的深入,(服务器虚拟化、容器化、云原生)已成为支撑AI应用规模化部署的核心基础设施。从推荐系统、图像识别到自动驾驶,AI模型的训练与推理依赖于弹性、高效的虚拟化资源;而虚拟化技术(如Kubernetes、Docker)则让AI应用的快速迭代、多租户部署成为可能。但硬币的另一面是,与作为AI应用架构师,我们需要的不是“头痛医头”的单点安全工具,而是,在保障AI应用性能与灵活性的同时,构建“可防御、可检测、可响应”的安全体系。
Kubernetes 下零信任安全架构分析
数据库技术
12-30 562
简介 零信任安全最早由著名研究机构 Forrester 的首席分析师约翰.金德维格在 2010 年提出。零信任安全针对传统边界安全架构思想进行了重新评估和审视,并对安全架构思路给出了新的建议。 其核心思想是,默认情况下不应该信任网络内部和外部的任何人/设备/系统,需要基于认证和授权重构访问控制的信任基础。诸如 IP 地址、主机、地理位置、所处网络等均不能作为可信的凭证。零信任对访问控制进行了范...
一张图快速了解 IstioEnvoyFilter
万猫学社
07-18 3226
EnvoyFilter 提供了一种机制来定制 Istio Pilot 生成的 Envoy 配置。使用 EnvoyFilter 修改某些字段的值,添加特定的过滤器,甚至添加
Kubernetes上的Service Mesh实践:用EnvoyFilter扩展Istio
ServiceMesher
09-05 4839
KUN(中文名鲲)是UCloud面向内部的基于Kubernetes的资源交付平台,提供监控告警、CI/CD、网络双栈、Service Mesh等能力。在践行Service...
Envoy架构理解--理解xDS/Listener/Cluster/Router/Filter
网络安全研究
06-01 4151
Envoy 是一个开源的边缘服务代理,也是 Istio Service Mesh 默认的数据平面,专为云原生应用程序设计。
EnvoyFilter实践: 通过解析子域名注入环境标识
开心就好的专栏
08-28 848
istio EnvoyFilter实践: 自动注入环境标识header
envoyfilter 使用 lua 案例
tanjunchen的博客
09-08 1265
使用 envoyfilter 与 lua 拓展 istio 案例。
待调研技术(EnvoyIstio控制的主要部分,Envoy核心功能可以被认为是一个第7层路由表)
xiaoxiaoyu85的专栏
09-16 176
bugly tokeningdata
不懂envoyfilter也敢说精通istio系列-ratelimit-istio ratelimit完全手册
mark's technic world
10-07 3639
欢迎关注我的公众号: 目前刚开始写一个月,一共写了18篇原创文章,文章目录如下: istio多集群探秘,部署了50次多集群后我得出的结论 istio多集群链路追踪,附实操视频 istio防故障利器,你知道几个,istio新手不要读,太难! istio业务权限控制,原来可以这么玩 istio实现非侵入压缩,微服务之间如何实现压缩 不懂envoyfilter也敢说精通istio系列-http-rbac-不要只会用AuthorizationPolicy配置权限 不懂envoyfilter...
envoy-知识篇
weixin_44515412的博客
12-14 674
一、envoy basics 1、What is Envoy? Envoy是一个7层代理和通信总线,专为大型现代面向服务的体系结构设计。 这个项目诞生于这样的信念: ◼网络对应用程序应该是透明的。 ◼当网络和应用程序问题确实发生时,应该很容易确定问题的根源。 高水平的特性 ⚫流程外的架构 ⚫L3/L4过滤器架构 ⚫HTTP L7过滤器架构 ⚫一流的HTTP/2支持 ⚫HTTP/3支持(目前还在alpha版本) ⚫HTTP L7路由 ⚫gRPC支持 ⚫业务发现和动态配置 ⚫健康检查 ⚫高级负载均衡 ⚫前端/边
第一讲:计算机七层参考模型
种一颗树最好的时间是十年前,其次是现在!
04-13 6618
文章目录一、分层思想二、OSI七层参考模型1、七层参考模型讲解1.1 应用层(L7)1.2 表示层(L6)1.3 会话层(L5)1.4 传输层(L4)1.5 网络层(L3)1.6 数据链路层(L2)1.7 物理层(L1)2、用实际例子说明七层参考模型三、TCP/IP五层模型1、TCP/IP五层模型2、TCP/IP协议族的组成2.1 应用层2.2 传输层2.3 网络层2.4 数据链路层、物理层四、数据的封装与解封装1、数据的封装2、数据的解封装3、PDU(协议数据单元)4、数据封装与解封装总体概述五、点到点
istio envoy
02-21
### IstioEnvoy的工作原理 Istio通过一系列核心组件来实现服务交互的管理、监控和安全化。其中,Envoy作为一个高性能的边车代理(sidecar proxy),被部署到每一个应用Pod旁边,在不侵入业务逻辑的情况下拦截进出该Pod的所有网络通信请求[^1]。 #### Envoy的功能特性 Envoy主要负责处理如下功能: - **流量路由**:基于预定义规则执行HTTP/gRPC/TCP级别的负载均衡策略; - **熔断限流**:防止过载并提高系统的稳定性和可用性; - **健康检查**:定期探测上游主机的状态以决定是否继续转发流量给它; - **统计收集**:记录详细的性能指标供后续分析使用; 这些能力都是由Istio中的控制平面(Control Plane)——即Pilot, Citadel等模块所配置下发至各个节点上的Envoy实例完成具体操作。 ```yaml apiVersion: networking.istio.io/v1alpha3 kind: VirtualService metadata: name: httpbin spec: hosts: - httpbin.prod.svc.cluster.local http: - match: - uri: exact: /status/200 route: - destination: host: httpbin.prod.svc.cluster.local port: number: 8000 ``` 上述YAML片段展示了如何利用`VirtualService`资源对象指定针对特定路径(`/status/200`)的精确匹配条件,并将其定向发送到目标服务端口上运行的应用程序实例中去。此过程完全透明于最终用户以及应用程序本身,因为所有的变更都发生在基础设施层面而非应用内部代码里。 当涉及到故障排除时,可以借助Prometheus+Grafana这样的组合来进行实时数据可视化展示,帮助快速定位问题所在位置。另外还有诸如`istioctl proxy-config listeners|clusters|routes`之类的命令行工具可用于查看当前环境中任意一台机器上的Envoy配置详情以便进一步诊断潜在错误原因[^4]。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值