本文探讨了Istio如何通过sidecar代理envoy利用iptables(netfilter)实现网络层流量劫持。Istio通过istio-init容器编程iptables规则,拦截Pod中的进出流量。iptable的五张表功能被介绍,同时指出了iptable在规则多时性能下降的问题。为解决这一问题,Linux内核社区提出了bpfilter,作为iptables的高性能替代方案。
本文缘起于微信群上讨论的”L3/L4层过滤器形成Envoy核心的连接管理功能“,本人对这个说法有点疑问,除了LVS这种,一般的中间件都是四层或七层实现呀,涤大一口咬定envoy是有L3网络层过滤器这个说法,本人对envoy不大了解,只能找google问下,找答案之前也有怀疑是不是基于linux 的 netfilter实现的。
envoy流量劫持机制
经过一番查找后,终于有了答案:iptable(netfilter)。Istio 使用 sidecar 代理来捕获流量,并且在尽可能的地方自动编程网络层,以路由流量通过这些代理,而无需对已部署的应用程序代码进行任何改动。在 Kubernetes中,代理被注入到 pod 中,通过编写 iptables 规则来捕获流量。注入 sidecar 代理到 pod 中并且修改路由规则后,Istio 就能够调解所有流量。
Istio 在 Pod 中注入的 Init 容器名为 istio-init,istio-init 容器的入口是 /usr/local/bin/istio-iptables.sh 脚本,再按图索骥看看这个脚本里到底写的什么,该脚本的位置在 Istio 源码仓库的 tools/deb/istio-iptables.sh,该脚本的用法如下:
$ istio-iptables.sh -p PORT -u UID -g GID [-m mode] [-b ports] [-d ports] [-i CIDR] [-x CIDR] [-h]
-p: 指定重定向所有 TCP 流量的 Envoy 端口(默认为
最低0.47元/天 解锁文章
扫一扫
3098
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
