Istio シリーズです。
前回の予告通り今回は「外部サービスでも Fault Injection したいぞ」編です。
「Fault Injection 編」でその便利さを取り上げましたが、外部の API を使用している時にもそこに Inject したいですよね?依存している外部サービスでエラーが発生したらどうなるのかとか、レスポンスが遅かった場合どうなるかとか、それを Istio の設定で調整することが可能になります。
前回設定した ServiceEntry の確認
前回は最終的に次の設定を行いました。これで httpbin.org と www.google.com 宛ては通信が許可されました。(outboundTrafficPolicy は REGISTRY_ONLY でした)
$ kubectl apply -f - <<EOF
apiVersion: networking.istio.io/v1beta1
kind: ServiceEntry
metadata:
name: external-svc
spec:
hosts:
- httpbin.org
- www.google.com
location: MESH_EXTERNAL
ports:
- number: 80
name: http
protocol: HTTP
- number: 443
name: tls
protocol: TLS
resolution: DNS
EOF
しかし、これでは直接各サイトに出ていくだけです。Fault Injection は VirtualService の機能でした。「VirtualService 編」を読み返しましょう。VirtualService にはそのサービスの転送先として DestinationRule しました。
VirtualService の作成
httpbin.org
httpbin.org 用の VirtualService を作成します。httpbin.org は HTTPS には対応していないため port 80 だけです。全リクエストに3秒の delay を入れ、30% のリクエストは 500 Internal Server Error を返すようにしてみます。DestinationRule は登録せずとも ServiceEntry があるため接続できます。ServiceEntry がない場合は "response_flags":"NR,DI" で Injection の後でエラーになります。これは outboundTrafficPolicy が ALLOW_ANY でも同じです。ServiceEntry が必要です。
$ kubectl apply -f - <<EOF
apiVersion: networking.istio.io/v1alpha3
kind: VirtualService
metadata:
name: httpbin-org
spec:
hosts:
- httpbin.org
http:
- match:
- port: 80
fault:
delay:
fixedDelay: 3s
percentage:
value: 100
abort:
httpStatus: 500
percentage:
value: 30
route:
- destination:
host: httpbin.org
EOF
Delay だけが適用された時のログです。
{
"authority": "httpbin.org",
"bytes_received": "0",
"bytes_sent": "34",
"downstream_local_address": "35.170.216.115:80",
"downstream_remote_address": "172.17.0.8:43426",
"duration": "3366",
"istio_policy_status": "-",
"method": "GET",
"path": "/ip",
"protocol": "HTTP/1.1",
"request_id": "fa22dc61-1cc5-45c4-bc97-4f02d8a7c468",
"requested_server_name": "-",
"response_code": "200",
"response_flags": "DI",
"route_name": "-",
"start_time": "2020-03-11T15:24:31.272Z",
"upstream_cluster": "outbound|80||httpbin.org",
"upstream_host": "34.230.193.231:80",
"upstream_local_address": "172.17.0.8:54090",
"upstream_service_time": "361",
"upstream_transport_failure_reason": "-",
"user_agent": "curl/7.58.0",
"x_forwarded_for": "-"
}
こちらは Delay と Fault が両方適用された時のログです。
{
"authority": "httpbin.org",
"bytes_received": "0",
"bytes_sent": "18",
"downstream_local_address": "3.232.168.170:80",
"downstream_remote_address": "172.17.0.8:50018",
"duration": "3001",
"istio_policy_status": "-",
"method": "GET",
"path": "/ip",
"protocol": "HTTP/1.1",
"request_id": "98a3a4c5-4a0d-4325-a800-da7c3b6db3e3",
"requested_server_name": "-",
"response_code": "500",
"response_flags": "DI,FI",
"route_name": "-",
"start_time": "2020-03-11T15:24:47.524Z",
"upstream_cluster": "-",
"upstream_host": "-",
"upstream_local_address": "-",
"upstream_service_time": "-",
"upstream_transport_failure_reason": "-",
"user_agent": "curl/7.58.0",
"x_forwarded_for": "-"
}
www.google.com
それでは次に www.google.com の VirtualService を作成します。こちらは https にも対応しています。で、ここがキモですが、そのままでは Envoy は https の中身には関与しませんでした。でも Fault Injection をするためにはそれではいけませんから、http で受けたリクエストを Envoy が proxy する際に https にして接続するようにします。そうすることで元のリクエストは http なので中身をいじることができます。さっきとの違いがわかるように今回は delay を1秒に、abort を 400 Bad Request にしてみます。
今回は destination に tls-origination という subset を指定してあります。これは下に続く DestinationRule で定義してあります。tls.mode を SIMPLE にして sni で www.google.com を指定しています。接続先が SNI 必須の場合はこの sni 指定が必要です。SIMPLE って何?って思いますが、他の選択肢は MUTUAL がクライアント証明書を必要とするやつです。あとは PASSTHROUGH とか。
httpbin.org の時と違って DestinationRule はありますが、こちらも ServiceEntry を消すとアクセスできなくなります。
$ kubectl apply -f - <<EOF
apiVersion: networking.istio.io/v1alpha3
kind: VirtualService
metadata:
name: www-google-com
spec:
hosts:
- www.google.com
http:
- match:
- port: 80
fault:
delay:
fixedDelay: 1s
percentage:
value: 100
abort:
httpStatus: 400
percentage:
value: 30
route:
- destination:
host: www.google.com
subset: tls-origination
port:
number: 443
---
apiVersion: networking.istio.io/v1alpha3
kind: DestinationRule
metadata:
name: www-google-com
spec:
host: www.google.com
subsets:
- name: tls-origination
trafficPolicy:
portLevelSettings:
- port:
number: 443
tls:
mode: SIMPLE
sni: www.google.com
EOF
これで http://www.google.com/ にアクセスすれば Envoy が Injection したうえで https で www.google.com に proxy してくれます。
ログです。"downstream_local_address": "216.58.197.196:80" で curl は www.google.com の port 80 にアクセスしようとしたことがわかります。"upstream_cluster": "outbound|443|tls-origination|www.google.com" で Envoy 内の経路がわかります。DestinationRule の tls-origination が使われています。"upstream_host": "216.58.197.196:443" で proxy 先が port 443 (https) であることがわかります。
{
"authority": "www.google.com",
"bytes_received": "0",
"bytes_sent": "13062",
"downstream_local_address": "216.58.197.196:80",
"downstream_remote_address": "172.17.0.8:41130",
"duration": "1189",
"istio_policy_status": "-",
"method": "GET",
"path": "/",
"protocol": "HTTP/1.1",
"request_id": "069baa9b-7d0a-4e84-9b4b-a11e34226fce",
"requested_server_name": "-",
"response_code": "200",
"response_flags": "DI",
"route_name": "-",
"start_time": "2020-03-11T15:38:11.379Z",
"upstream_cluster": "outbound|443|tls-origination|www.google.com",
"upstream_host": "216.58.197.196:443",
"upstream_local_address": "172.17.0.8:43430",
"upstream_service_time": "186",
"upstream_transport_failure_reason": "-",
"user_agent": "curl/7.58.0",
"x_forwarded_for": "-"
}
次は Fault が Inject された時のログです。これは proxy せずに 400 を返しているため proxy 先の情報はありません。
{
"authority": "www.google.com",
"bytes_received": "0",
"bytes_sent": "18",
"downstream_local_address": "216.58.197.196:80",
"downstream_remote_address": "172.17.0.8:41304",
"duration": "1001",
"istio_policy_status": "-",
"method": "GET",
"path": "/",
"protocol": "HTTP/1.1",
"request_id": "78dabd1b-fe57-41fb-8eaf-44ccc6517e3b",
"requested_server_name": "-",
"response_code": "400",
"response_flags": "DI,FI",
"route_name": "-",
"start_time": "2020-03-11T15:38:21.648Z",
"upstream_cluster": "-",
"upstream_host": "-",
"upstream_local_address": "-",
"upstream_service_time": "-",
"upstream_transport_failure_reason": "-",
"user_agent": "curl/7.58.0",
"x_forwarded_for": "-"
}
www.google.com に https でアクセスしようとするとどうなるか
本来、https でアクセスするべきところに http でアクセスするようにしなければならないわけですが、https のままアクセスしようとするとどうなるでしょうか。
冒頭で前回までの設定を確認しましたが、そこで ServiceEntry に https の設定が残っているため、https の場合はその設定が有効でそのままアクセスできます。もちろん outboundTrafficPolicy が ALLOW_ANY であればその ServiceEntry も不要ですね。
コンテナ化されたアプリケーションでは外部リソースの定義は ConfigMap などを使って容易に変更可能なはずですよね。Fault Injection 使っていきましょう。
まとめ
クラスタ外へのアクセスでも VirtualService を使うことができ、Fault Injection することができることを確認しました。https の termination だけじゃなくて orinination も Envoy に任せられることも確認できました。
Accessing External Services とか Egress TLS Origination に書いてあります。
は〜〜、まだまだいろいろあるなあ、先は長い。続く
Istio 導入への道シリーズ
- Istio 導入への道 (1) – インストール編
- Istio 導入への道 (2) – サービス間通信編
- Istio 導入への道 (3) – VirtualService 編
- Istio 導入への道 (4) – Fault Injection 編
- Istio 導入への道 (5) – OutlierDetection と Retry 編
- Istio 導入への道 (6) – Ingress Gatway 編
- Istio 導入への道 (7) – 外部へのアクセス / ServiceEntry 編
- Istio 導入への道 (8) – 外部へのアクセスでも Fault Injection 編
- Istio 導入への道 (9) – gRPC でも Fault Injection 編
- Istio 導入への道 (10) – 図解
- Istio 導入への道 (11) – Ingress Gateway で TLS Termination 編