服务网格自动故障检测及流量切换方案

天翼云开发者社区
• 阅读 214

本文分享自天翼云开发者社区《服务网格自动故障检测及流量切换方案》,作者:s****n

随着云原生技术的发展,越来越多的应用采用容器,微服务技术,以istio为代表的服务网格就是其中最广泛使用的一种。它在业务容器创建时,自动向业务服务的pod中注入proxy容器边车,将流入和流出业务容器的网络流量全部劫持到proxy容器,经由proxy容器处理后再进行下一步转发。

Proxy容器的处理规则通过istiod控制面下发,主要分为流量控制、安全、可观测性三大类。以可观测性为例的大量规则都仅对流经的数据进行统计,监控,链路追踪等附加操作,不影响和改变业务本身的请求。但是当proxy容器自身或其依赖的服务出现问题时,因其流量劫持动作,往往会造成整个服务不可用。

目前处理此类问题的方法,以人工干预为主,当服务不可用时,通过告警通知运维人员,运维人员进行现场问题定位及处理。在有proxy边车的场景下,若proxy问题不能快速解决,运维人员也经常需要手动去除proxy容器边车,先恢复业务流量再做细致排查。如果能自动化检测proxy故障并进行及时处理,会大大提供微服务框架下的服务可用性,减少故障带来的损失及人力排查成本

实现方案如下:

整体结构:

服务网格自动故障检测及流量切换方案

具体方法: 1.在istio控制面加入故障检测及流量阻断模块‘hot-switch’.

2.在istio的边车代理proxy内部加入故障检测命令,并与控制面故障检查模块通信,具体检测命令例如: a.Watch相关pod的proxy容器状态,当容器状态为fail时,表示proxy容易已经不再存活; b.通过检查proxy容器的15021 health端口,若返回值false,则proxy存活但不健康等等;

3.自动检测确认代理proxy问题后,hot-switch通过进入pod执行iptables相关命令,停止proxy的流量劫持,将流量模式由proxy控制管理,改为直通业务容器 a.在pod启动前,proxy进行流量劫持的过程:首先运行 Init 容器,Init 容器用于设置 iptables 将进入 pod 的流量劫持到 Envoy sidecar proxy。 具体命令类似 :Istio-iptables -p 15001 -z 15006 -u 1337 -m REDIRECT -i '*' -x "" -b * -d "15090,15201,15020" envoy sidecar proxy 启动之后从pilot获得动态的规则,来对进出流量进行控制,流量劫持后的链路如下

服务网格自动故障检测及流量切换方案

b.检测确认proxy问题后,通过iptables的反向命令,清除流量劫持规则,可用命令为 istio-clean-iptables

该方案无需人工参与,可自动检测问题,快速处理,在网格边车出现故障的时候也能通过一定程度的服务降级,最大程度保障服务的基本可用性

点赞
收藏
评论区
推荐文章
KubeCon 2021|使用 eBPF 代替 iptables 优化服务网格数据面性能
作者刘旭,腾讯云高级工程师,专注容器云原生领域,有多年大规模Kubernetes集群管理及微服务治理经验,现负责腾讯云服务网格TCM数据面产品架构设计和研发工作。引言目前以Istioiptables实现流量劫持首先看一下当前社区使用的基于iptables的流量劫持方案,下图是一个Pod的创建过程,sidecarinjector会向
虚拟节点轻松应对 LOL S11 百万并发流量——腾竞体育的弹性容器实践
作者刘如梦,腾竞体育研发工程师,擅长高并发、微服务治理、DevOps,主要负责电竞服务平台架构设计和基础设施建设。詹雪娇,腾讯云弹性容器服务EKS产品经理,主要负责EKS虚拟节点、容器实例相关的产品策划。业务介绍自2019年,腾竞整个电竞赛事数据服务完全由腾讯云TKE容器服务承载。腾竞赛事数据开放平台目前主要提供职业赛事数据的授权与查询,随着斗
大规模服务网格性能优化 | Aeraki xDS 按需加载
作者钟华,腾讯云专家工程师,Istioprojectmember、contributor,专注于容器和服务网格,在容器化和服务网格生产落地方面具有丰富经验,目前负责TencentCloudMesh研发工作。Istio在大规模场景下xDS性能瓶颈xDS是istio控制面和数据面envoy之间的通信协议,x表示包含多种协议的集合,
Stella981 Stella981
3年前
Istio Sidecar注入原理
概念简单来说,Sidecar注入会将额外容器的配置添加到Pod模板中。这里特指将Envoy容器注应用所在Pod中。Istio服务网格目前所需的容器有:istioinit用于设置iptables规则,以便将入站/出站流量通过Sidecar代理。初始化容器与应用程序容器在以下方面有所不同:
Wesley13 Wesley13
3年前
1. 容器化部署一套云服务 第一讲 Jenkins(Docker + Jenkins + Yii2 + 云服务器))
容器化部署一套云服务系列1\.容器化部署一套云服务之Jenkins(https://www.oschina.net/action/GoToLink?urlhttps%3A%2F%2Fwww.cnblogs.com%2Fjackson0714%2Fp%2Fdeploy1.html)一、购买服务器服务器!caeef00
Stella981 Stella981
3年前
Kubernetes 现终于成熟了,不在是大厂的标配
过去几年,以Docker、Kubernetes为代表的容器技术已发展为一项通用技术,BAT、滴滴、京东、头条等大厂,都争相把容器和K8S项目作为技术重心,试图“放长线钓大鱼”。就说阿里吧,目前基本所有业务都跑在云上,其中有一半已迁移到自己定制Kubernetes集群上。据说,今年计划完成100%基于K8S集群的业务部署。而服务网格这块
Stella981 Stella981
3年前
Istio旨在成为容器化微服务的网格管道
在精彩的软件容器世界中,当新项目涌现并解决你认为早已解决的问题时,这感觉就像地面在你的脚下不断地移动。在许多情况下,这些问题很久以前被解决,但现在的云原生架构正在推动着更大规模的应用程序部署,这就需要新的工具和方法。微服务就是一个很好地例子。在此模型下,典型的应用程序或服务将被分解成可以独立部署的功能模块,这些功能模块能彼此分开扩展和维护,并且链接在一起
Kubernetes 资源拓扑感知调度优化
作者星辰算力团队,星辰算力平台基于深入优化云原生统一接入和多云调度,加固容器运行态隔离,挖掘技术增量价值,平台承载了腾讯内部的CPU和异构算力服务,是腾讯内部大规模离线作业、资源统一调度平台。背景问题源起近年来,随着腾讯内部自研上云项目的不断发展,越来越多的业务开始使用云原生方式托管自己的工作负载,容器平台的规模因此不断增大。以Kubernetes
容器镜像服务:云原生时代的核心基石
随着云计算技术的快速发展,容器化技术已成为应用部署的主流方式。容器镜像服务作为容器技术的重要组成部分,为应用提供了可靠、高效、一致的运行环境。本文将对容器镜像服务的概念、原理、应用场景以及未来发展趋势进行深入探讨,旨在帮助读者更好地理解和应用容器镜像服务。
容器、容器云和容器化PaaS平台之间到底是什么关系?
容器是一种操作系统级虚拟化技术,Docker是一种容器引擎。使用Docker来运行操作容器。但从容器自身来说,其提供的是IaaS层能力。Kubernetes提供了容器调度和管理的能力,加上云计算租户功能,实现容器云平台功能。而基于容器技术所构建的应用开发、应用托管和应用运维平台则可以称为容器化PaaS平台,它是一种轻量化PaaS实现。结合日志、监控、认证、权限等基础能力则可以构建企业级的平台和可复用服务,采用微服务架构实现企业技术服务中台能力,支撑企业业务敏捷研发和模式转型。
天翼云开发者社区
天翼云开发者社区
Lv1
天翼云是中国电信倾力打造的云服务品牌,致力于成为领先的云计算服务提供商。提供云主机、CDN、云电脑、大数据及AI等全线产品和场景化解决方案。
文章
696
粉丝
15
获赞
40