istio envoy中的网络层(network layer)filter实现机制

最新推荐文章于 2025-08-01 20:03:14 发布
原创 最新推荐文章于 2025-08-01 20:03:14 发布 · 1.6k 阅读 · 7 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#envoy #istio #网络层 #netfilter #iptable

本文探讨了Istio如何通过sidecar代理envoy利用iptables(netfilter)实现网络层流量劫持。Istio通过istio-init容器编程iptables规则,拦截Pod中的进出流量。iptable的五张表功能被介绍,同时指出了iptable在规则多时性能下降的问题。为解决这一问题,Linux内核社区提出了bpfilter,作为iptables的高性能替代方案。

本文缘起于微信群上讨论的”L3/L4层过滤器形成Envoy核心的连接管理功能“,本人对这个说法有点疑问,除了LVS这种,一般的中间件都是四层或七层实现呀,涤大一口咬定envoy是有L3网络层过滤器这个说法,本人对envoy不大了解,只能找google问下,找答案之前也有怀疑是不是基于linux 的 netfilter实现的。
在这里插入图片描述
envoy流量劫持机制

经过一番查找后,终于有了答案:iptable(netfilter)。Istio 使用 sidecar 代理来捕获流量,并且在尽可能的地方自动编程网络层,以路由流量通过这些代理,而无需对已部署的应用程序代码进行任何改动。在 Kubernetes中,代理被注入到 pod 中,通过编写 iptables 规则来捕获流量。注入 sidecar 代理到 pod 中并且修改路由规则后,Istio 就能够调解所有流量。

Istio 在 Pod 中注入的 Init 容器名为 istio-init,istio-init 容器的入口是 /usr/local/bin/istio-iptables.sh 脚本,再按图索骥看看这个脚本里到底写的什么,该脚本的位置在 Istio 源码仓库的 tools/deb/istio-iptables.sh,该脚本的用法如下:

$ istio-iptables.sh -p PORT -u UID -g GID [-m mode] [-b ports] [-d ports] [-i CIDR] [-x CIDR] [-h]
  -p: 指定重定向所有 TCP 流量的 Envoy 端口(默认为 $ENVOY_PORT = 15001)
  -u: 指定未应用重定向的用户的 UID。通常,这是代理容器的 UID(默认为 $ENVOY_USER 的 uid,istio_proxy 的 uid 或 1337)
  -g: 指定未应用重定向的用户的 GID。(与 -u param 相同的默认值)
最低0.47元/天 解锁文章
Istio实战(十一)-Envoy 请求解析(下)
专注基础架构领域
10-30 399
Envoy也是istio的核心组件之一,以 sidecar 的方式与服务运行在一起,对服务的流量进行拦截转发,具有路由,流量控制等等强大特性。本系列文章,我们将不局限于istioenvoy的官方文档,从源码级别切入,分享Envoy启动、流量劫持、http 请求处理流程的进阶应用实例,深度分析Envoy架构。它与应用程序并行运行,通过以平台无关的方式提供通用功能来抽象网络。当基础架构中的所有服务流量都通过 Envoy 网格时,通过一致的可观测性,很容易地查看问题区域,调整整体性能。
Envoy proxy 源代码解读 - original_dst cluster
zhangpin04的博客<img src="http://awfwef.com/a.png">
02-29 1725
original_dst cluster 定义如下: - name: cluster1 type: ORIGINAL_DST ...
EnvoyFilterIstio 中用于直接修改 Envoy 配置的一种资源类型
wangqiaowq的博客
09-30 825
Istio 中用于直接修改 Envoy 配置的一种资源类型。它允许用户在不重新部署或更新整个服务网格的情况下,精细地调整 Envoy 代理的行为。通过,可以在运行时对 Envoy 配置进行微调,这对于需要高度定制化网络策略的应用场景非常有用。
envoy-filter-example:使用Envoy并添加自定义过滤器的示例
02-09
使节过滤器示例 该项目演示了附加过滤器与Envoy二进制文件的链接。 引入了一个新的滤波器echo2 ,对现有的滤波器进行了相同的模重命名。 还提供了证明过滤器端到端行为的集成测试。 有关其他HTTP过滤器的示例,请参见。 建造 要构建Envoy静态二进制文件: git submodule update --init bazel build //:envoy 测验 要运行echo2集成测试: bazel test //:echo2_integration_test 要从此项目运行常规的Envoy测试: bazel test @envoy//test/... 这个怎么运作 作为子模块提供。 文件将@envoy存储库映射到此本地路径。 文件引入了一个新的Envoy静态二进制目标envoy ,该目标将新的过滤器和@envoy//source/exe:envoy_main_entr
Envoy架构理解--理解xDS/Listener/Cluster/Router/Filter
网络安全研究
06-01 4375
Envoy 是一个开源的边缘服务代理,也是 Istio Service Mesh 默认的数据平面,专为云原生应用程序设计。
EnvoyFilter
变成习惯
07-23 3519
EnvoyFilter EnvoyFilter 提供了一种机制,来自定义 Istio Pilot 生成的 Envoy 配置。使用 EnvoyFilter 可以 修改某些字段的值,添加特定的过滤器,甚至添加全新的监听器、集群等。必须谨慎使用此功能,因为不正确的配置可能会破坏整个网格的稳定性。与其他 Istio 网络对象不同,EnvoyFilters 是附加应用的。对于特定命名空间中的给定工作负载,可以有任意数量的 EnvoyFilters。这些 EnvoyFilters 的应用顺序如下:配置根命名空间中的所有
EnvoyFilter详解
mark's technic world
05-31 6381
学习目标 什么是EnvoyFilter EnvoyFilter provides a mechanism to customize the Envoy configuration generated by Istio Pilot. Use EnvoyFilter to modify values for certain fields, add specific filters, or even add entirely new listeners, clusters, etc. This f..
云原生小课堂|Envoy请求流程源码解析(三):请求解析
alauda_andy的博客
03-24 1362
Envoy 是一款面向 Service Mesh 的高性能网络代理服务。本期【云原生小课堂】将继续为您分享Envoy的outbound方向下篇,包含:接收请求、发送请求、接收响应、返回响应。
AI应用架构师的企业虚拟化转型安全方案
最新发布
AI天才研究院
08-01 1447
随着企业数字化转型的深入,(服务器虚拟化、容器化、云原生)已成为支撑AI应用规模化部署的核心基础设施。从推荐系统、图像识别到自动驾驶,AI模型的训练与推理依赖于弹性、高效的虚拟化资源;而虚拟化技术(如Kubernetes、Docker)则让AI应用的快速迭代、多租户部署成为可能。但硬币的另一面是,与作为AI应用架构师,我们需要的不是“头痛医头”的单点安全工具,而是,在保障AI应用性能与灵活性的同时,构建“可防御、可检测、可响应”的安全体系。
Istio Network CRD VirtualService、Envoyfilter
仙女肖消乐的博客
05-29 1692
VirtualService简介: VirtualService定义了一系列针对指定服务的流量路由规则。每个路由规则都针对特定协议匹配规则。如果流量符合这些特征,就会根据路由规则发送到服务注册表中的目标服务。 hosts string[] 必要字段:流量的目标主机。可以是带有通配符前缀的 DNS 名称,也可以是 IP 地址。根据所在平台情况,还可能使用短名称来代替 FQDN。这种场景下,短名称到 FQDN 的具体转换过程是要靠下层平台完成的。一个主机名只能在一个 VirtualService 中定义。同
一张图快速了解 IstioEnvoyFilter
万猫学社
07-18 3300
EnvoyFilter 提供了一种机制来定制 Istio Pilot 生成的 Envoy 配置。使用 EnvoyFilter 修改某些字段的值,添加特定的过滤器,甚至添加
Kubernetes上的Service Mesh实践:用EnvoyFilter扩展Istio
ServiceMesher
09-05 4880
KUN(中文名鲲)是UCloud面向内部的基于Kubernetes的资源交付平台,提供监控告警、CI/CD、网络双栈、Service Mesh等能力。在践行Service...
EnvoyFilter实践: 通过解析子域名注入环境标识
开心就好的专栏
08-28 882
istio EnvoyFilter实践: 自动注入环境标识header
envoyfilter 使用 lua 案例
tanjunchen的博客
09-08 1293
使用 envoyfilter 与 lua 拓展 istio 案例。
待调研技术(EnvoyIstio控制的主要部分,Envoy核心功能可以被认为是一个第7层路由表)
xiaoxiaoyu85的专栏
09-16 185
bugly tokeningdata
不懂envoyfilter也敢说精通istio系列-ratelimit-istio ratelimit完全手册
mark's technic world
10-07 3726
欢迎关注我的公众号: 目前刚开始写一个月,一共写了18篇原创文章,文章目录如下: istio多集群探秘,部署了50次多集群后我得出的结论 istio多集群链路追踪,附实操视频 istio防故障利器,你知道几个,istio新手不要读,太难! istio业务权限控制,原来可以这么玩 istio实现非侵入压缩,微服务之间如何实现压缩 不懂envoyfilter也敢说精通istio系列-http-rbac-不要只会用AuthorizationPolicy配置权限 不懂envoyfilter...
envoy-知识篇
weixin_44515412的博客
12-14 738
一、envoy basics 1、What is Envoy? Envoy是一个7层代理和通信总线,专为大型现代面向服务的体系结构设计。 这个项目诞生于这样的信念: ◼网络对应用程序应该是透明的。 ◼当网络和应用程序问题确实发生时,应该很容易确定问题的根源。 高水平的特性 ⚫流程外的架构 ⚫L3/L4过滤器架构 ⚫HTTP L7过滤器架构 ⚫一流的HTTP/2支持 ⚫HTTP/3支持(目前还在alpha版本) ⚫HTTP L7路由 ⚫gRPC支持 ⚫业务发现和动态配置 ⚫健康检查 ⚫高级负载均衡 ⚫前端/边
istio之流量治理篇
zhghost的专栏
07-03 1684
对于service mesh来说,一个比较大的特点就是把路由转发和流量控制这一层下沉到这一层面来做,可以让业务不去操心这部分事情。本篇文章就是来整理和讲解istio中的流量治理功能,更准确...
Istio-EnvoyFilter配置浅谈
m0_47495420的博客
11-07 557
EnvoyFilterEnvoyFilter提供了一种机制来定制 Istio Pilot 生成的 Envoy 配置。使用 EnvoyFilter 来修改某些字段的值,添加特定的过滤器,甚至添加全新的 listener、cluster 等。这个功能必须谨慎使用,因为不正确的配置可能破坏整个网格的稳定性。对于特定命名空间中的特定工作负载,可以存在任意数量的 EnvoyFilter。这些 EnvoyF...
istio envoy
02-21
这些能力都是由Istio中的控制平面(Control Plane)——即Pilot, Citadel等模块所配置下发至各个节点上的Envoy实例完成具体操作。 ```yaml apiVersion: networking.istio.io/v1alpha3 kind: VirtualService ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值