简体中文

Envoy Gateway 任务

前提条件

介绍

在 Gateway API 中应用配置变更时，主要有三种方式：

直接修改 HTTP/TCP/UDP Route 或 Gateway。
通过 Gateway Api 和 Envoy Gateway 提供的 PolicyAttachment 进行修改。
在 envoy-gateway instance 的全局配置层面进行修改。

HTTP/TCP/UDP Route

通过 TargetRefs 的 PolicyAttachment

Envoy Gateway 提供了丰富的自定义策略机制，可以通过 Gateway API 的 PolicyAttachment 模型附加到网关资源上。

Envoy Gateway 的策略分为多种类型，包括安全策略、流量管理策略等。这些策略可以应用于不同层级的资源，如 Gateway、HTTPRoute 或 Service。

Gateway API 的 PolicyAttachment 机制允许用户以声明式方式将策略附加到网关资源上。该机制通过 targetRefs 字段实现，指定策略应用的目标资源。例如，可以将策略附加到特定的 Gateway、HTTPRoute 或 Service。

Envoy Gateway 支持的策略类型包括：

策略类型	描述
ClientTrafficPolicy	与客户端到代理通信路径相关的配置，包括超时、重试、保持连接设置等参数。
BackendTrafficPolicy	与代理到后端通信路径相关的配置，包括超时、重试、保持连接设置等参数。
SecurityPolicy	与安全机制和控制相关的配置，如认证和授权。

通过 PolicyAttachment 机制，用户可以灵活地添加、修改或删除策略，而无需修改核心资源定义，实现关注点分离和更好的资源管理。

全局配置

与 envoy-gateway instance 本身相关的配置，或与所有网关相关的全局级别配置，属于该 envoy-gateway instance，例如部署模式或后端路由。

我们建议使用 EnvoyGatewayCtl 来管理这些全局配置。

Route 配置的常见任务

功能	CR	描述
认证	envoygateway:SecurityPolicy	授权
CORS	gatewayapi:HTTPRoute	跨域资源共享
头部修改	gatewayapi:HTTPRoute	HTTP 头部修改
HTTP 重定向	gatewayapi:HTTPRoute	HTTP 重定向
L7 超时	gatewayapi:HTTPRoute	请求超时
会话亲和性	gatewayapi:HTTPRoute	会话亲和性/粘性会话
L7 保持连接	envoygateway:ClientTrafficPolicy	L7 保持连接超时设置
L4 保持连接	envoygateway:ClientTrafficPolicy	L4 TCP 保持连接设置
URL 重写	gatewayapi:HTTPRoute	URL 重写
重试	gatewayapi:HTTPRoute 或 envoygateway:BackendTrafficPolicy	通过 HTTPRoute 配置请求重试通过 EnvoyGateway 配置请求重试
GZip 压缩	envoygateway:BackendTrafficPolicy	HTTP 压缩

高级配置

OpenTelemetry(Otel)

请按照 OpenTelemetry 集成中的说明操作，但使用 EnvoyGatewayCtl 修改 envoy-gateway-config。

如何附加到其他命名空间创建的 Listener

在 Gateway 的 listener 配置中，需要指定允许哪些命名空间附加 Routes。

apiVersion: gateway.networking.k8s.io/v1
kind: Gateway
metadata:
  name: example-gateway
spec:
  listeners:
    - name: http-80
      protocol: HTTP
      port: 80
      allowedRoutes:
        namespaces:
          from: All # 不限制
    - name: http-81
      protocol: HTTP
      port: 81
      allowedRoutes:
        namespaces:
          from: Same # 仅允许同一命名空间内的 routes
    - name: http-82
      protocol: HTTP
      port: 82
      allowedRoutes:
        namespaces:
          from: Selector
          selector:
            matchLabels:
              team: frontend # 仅允许标签为 team=frontend 的命名空间内的 routes

详情请参考跨命名空间路由。

如何使用其他命名空间创建的证书

要使用其他命名空间创建的证书，需要在证书所在命名空间创建一个 ReferenceGrant。请参照跨命名空间证书引用和 referencegrant 的说明操作。

NOTE

不能指定单个 secret 资源，必须允许整个命名空间

如何使用 SSL passthrough

请参考以下文档说明：

如何更改 SSL 密码套件

请参考自定义网关 TLS 参数的说明

cat <<EOF | kubectl apply -f -
apiVersion: gateway.envoyproxy.io/v1alpha1
kind: ClientTrafficPolicy
metadata:
  name: enforce-tls-13
  namespace: default
spec:
  targetRefs:
  - group: gateway.networking.k8s.io
    kind: Gateway
    name: eg
  tls:
    minVersion: "1.3"
EOF

ClientTrafficPolicy 中的 .spec.tls 是 clienttlssettings

使用 NodePort Service 时如何指定 NodePort

使用 NodePort 服务时，kubernetes 会为每个服务端口分配一个 NodePort 端口号。通过节点 IP 访问服务时，应使用对应的 NodePort 端口号，而非服务端口。

有两种方式处理：

手动获取 NodePort 分配，详见从 svc 端口获取 nodeport

在 EnvoyProxy 配置中手动指定 NodePort，而非让 Kubernetes 自动分配。

apiVersion: gateway.envoyproxy.io/v1alpha1
kind: EnvoyProxy
metadata:
  name: demo
spec:
  ipFamily: DualStack
  provider:
    kubernetes:
      envoyDeployment:
        container:
          imageRepository: registry.alauda.cn:60080/acp/envoyproxy/envoy
      envoyService:
        patch:
          type: StrategicMerge
          value:
            spec:
              ports:
                - nodeport: 31888
                  port: 80
        type: NodePort
    type: Kubernetes

使用 patch 字段对生成的 service 资源进行补丁，指定 NodePort

NOTE

NodePort 只能在特定范围内，通常为 30000-32767。如果希望 Gateway listener 端口和 NodePort 一致，则 listener 端口也必须在 NodePort 范围内。

如何在 EnvoyGateway 中添加 Pod 注解

添加 pod 注解

如何为 envoy-gateway-operator 设置 NodeSelector 和 Tolerations

更新 Subscription 资源

# nodeSelector 和 tolerations 示例
kubectl patch subscription envoy-gateway-operator  -n envoy-gateway-operator   --type='merge' -p '
{
  "spec": {
    "config": {
      "nodeSelector": {
        "node-role.kubernetes.io/infra": ""
      },
      "tolerations": [
        {
          "effect": "NoSchedule",
          "key": "node-role.kubernetes.io/infra",
          "operator": "Equal",
          "value": "reserved"
        }
      ]
    }
  }
}'

如何为 envoy-gateway 设置 NodeSelector 和 Tolerations

更新 EnvoyGatewayCtl 资源

# 默认情况下 $NAME=cpaas-default，$NS=envoy-gateway-operator
kubectl patch envoygatewayctl $NAME -n $NS --type='merge' -p '
{
  "spec": {
    "deployment": {
      "pod": {
        "nodeSelector": {
          "node-role.kubernetes.io/infra": ""
        },
        "tolerations": [
          {
            "effect": "NoSchedule",
            "key": "node-role.kubernetes.io/infra",
            "operator": "Equal",
            "value": "reserved"
          }
        ]
      }
    }
  }
}'

如何为 envoy-proxy 设置 NodeSelector 和 Tolerations

更新 EnvoyProxy 资源

kubectl patch envoyproxy $NAME -n $NS --type='merge' -p '
{
  "spec": {
    "provider": {
      "kubernetes": {
        "envoyDeployment": {
          "pod": {
            "nodeSelector": {
              "node-role.kubernetes.io/infra": ""
            },
            "tolerations": [
              {
                "effect": "NoSchedule",
                "key": "node-role.kubernetes.io/infra",
                "operator": "Equal",
                "value": "reserved"
              }
            ]
          }
        }
      }
    }
  }
}'

Envoy Gateway 任务

前提条件

介绍

在 Gateway API 中应用配置变更时，主要有三种方式：

直接修改 HTTP/TCP/UDP Route 或 Gateway。
通过 Gateway Api 和 Envoy Gateway 提供的 PolicyAttachment 进行修改。
在 envoy-gateway instance 的全局配置层面进行修改。

HTTP/TCP/UDP Route

通过 TargetRefs 的 PolicyAttachment

Envoy Gateway 提供了丰富的自定义策略机制，可以通过 Gateway API 的 PolicyAttachment 模型附加到网关资源上。

Envoy Gateway 的策略分为多种类型，包括安全策略、流量管理策略等。这些策略可以应用于不同层级的资源，如 Gateway、HTTPRoute 或 Service。

Envoy Gateway 支持的策略类型包括：

策略类型	描述
ClientTrafficPolicy	与客户端到代理通信路径相关的配置，包括超时、重试、保持连接设置等参数。
BackendTrafficPolicy	与代理到后端通信路径相关的配置，包括超时、重试、保持连接设置等参数。
SecurityPolicy	与安全机制和控制相关的配置，如认证和授权。

通过 PolicyAttachment 机制，用户可以灵活地添加、修改或删除策略，而无需修改核心资源定义，实现关注点分离和更好的资源管理。

全局配置

与 envoy-gateway instance 本身相关的配置，或与所有网关相关的全局级别配置，属于该 envoy-gateway instance，例如部署模式或后端路由。

我们建议使用 EnvoyGatewayCtl 来管理这些全局配置。

Route 配置的常见任务

功能	CR	描述
认证	envoygateway:SecurityPolicy	授权
CORS	gatewayapi:HTTPRoute	跨域资源共享
头部修改	gatewayapi:HTTPRoute	HTTP 头部修改
HTTP 重定向	gatewayapi:HTTPRoute	HTTP 重定向
L7 超时	gatewayapi:HTTPRoute	请求超时
会话亲和性	gatewayapi:HTTPRoute	会话亲和性/粘性会话
L7 保持连接	envoygateway:ClientTrafficPolicy	L7 保持连接超时设置
L4 保持连接	envoygateway:ClientTrafficPolicy	L4 TCP 保持连接设置
URL 重写	gatewayapi:HTTPRoute	URL 重写
重试	gatewayapi:HTTPRoute 或 envoygateway:BackendTrafficPolicy	通过 HTTPRoute 配置请求重试通过 EnvoyGateway 配置请求重试
GZip 压缩	envoygateway:BackendTrafficPolicy	HTTP 压缩

高级配置

OpenTelemetry(Otel)

请按照 OpenTelemetry 集成中的说明操作，但使用 EnvoyGatewayCtl 修改 envoy-gateway-config。

如何附加到其他命名空间创建的 Listener

在 Gateway 的 listener 配置中，需要指定允许哪些命名空间附加 Routes。

apiVersion: gateway.networking.k8s.io/v1
kind: Gateway
metadata:
  name: example-gateway
spec:
  listeners:
    - name: http-80
      protocol: HTTP
      port: 80
      allowedRoutes:
        namespaces:
          from: All # 不限制
    - name: http-81
      protocol: HTTP
      port: 81
      allowedRoutes:
        namespaces:
          from: Same # 仅允许同一命名空间内的 routes
    - name: http-82
      protocol: HTTP
      port: 82
      allowedRoutes:
        namespaces:
          from: Selector
          selector:
            matchLabels:
              team: frontend # 仅允许标签为 team=frontend 的命名空间内的 routes

详情请参考跨命名空间路由。

如何使用其他命名空间创建的证书

要使用其他命名空间创建的证书，需要在证书所在命名空间创建一个 ReferenceGrant。请参照跨命名空间证书引用和 referencegrant 的说明操作。

NOTE

不能指定单个 secret 资源，必须允许整个命名空间

如何使用 SSL passthrough

请参考以下文档说明：

如何更改 SSL 密码套件

请参考自定义网关 TLS 参数的说明

cat <<EOF | kubectl apply -f -
apiVersion: gateway.envoyproxy.io/v1alpha1
kind: ClientTrafficPolicy
metadata:
  name: enforce-tls-13
  namespace: default
spec:
  targetRefs:
  - group: gateway.networking.k8s.io
    kind: Gateway
    name: eg
  tls:
    minVersion: "1.3"
EOF

ClientTrafficPolicy 中的 .spec.tls 是 clienttlssettings

使用 NodePort Service 时如何指定 NodePort

使用 NodePort 服务时，kubernetes 会为每个服务端口分配一个 NodePort 端口号。通过节点 IP 访问服务时，应使用对应的 NodePort 端口号，而非服务端口。

有两种方式处理：

手动获取 NodePort 分配，详见从 svc 端口获取 nodeport

在 EnvoyProxy 配置中手动指定 NodePort，而非让 Kubernetes 自动分配。

apiVersion: gateway.envoyproxy.io/v1alpha1
kind: EnvoyProxy
metadata:
  name: demo
spec:
  ipFamily: DualStack
  provider:
    kubernetes:
      envoyDeployment:
        container:
          imageRepository: registry.alauda.cn:60080/acp/envoyproxy/envoy
      envoyService:
        patch:
          type: StrategicMerge
          value:
            spec:
              ports:
                - nodeport: 31888
                  port: 80
        type: NodePort
    type: Kubernetes

使用 patch 字段对生成的 service 资源进行补丁，指定 NodePort

NOTE

NodePort 只能在特定范围内，通常为 30000-32767。如果希望 Gateway listener 端口和 NodePort 一致，则 listener 端口也必须在 NodePort 范围内。

如何在 EnvoyGateway 中添加 Pod 注解

添加 pod 注解

如何为 envoy-gateway-operator 设置 NodeSelector 和 Tolerations

更新 Subscription 资源

# nodeSelector 和 tolerations 示例
kubectl patch subscription envoy-gateway-operator  -n envoy-gateway-operator   --type='merge' -p '
{
  "spec": {
    "config": {
      "nodeSelector": {
        "node-role.kubernetes.io/infra": ""
      },
      "tolerations": [
        {
          "effect": "NoSchedule",
          "key": "node-role.kubernetes.io/infra",
          "operator": "Equal",
          "value": "reserved"
        }
      ]
    }
  }
}'

如何为 envoy-gateway 设置 NodeSelector 和 Tolerations

更新 EnvoyGatewayCtl 资源

# 默认情况下 $NAME=cpaas-default，$NS=envoy-gateway-operator
kubectl patch envoygatewayctl $NAME -n $NS --type='merge' -p '
{
  "spec": {
    "deployment": {
      "pod": {
        "nodeSelector": {
          "node-role.kubernetes.io/infra": ""
        },
        "tolerations": [
          {
            "effect": "NoSchedule",
            "key": "node-role.kubernetes.io/infra",
            "operator": "Equal",
            "value": "reserved"
          }
        ]
      }
    }
  }
}'

如何为 envoy-proxy 设置 NodeSelector 和 Tolerations

更新 EnvoyProxy 资源

kubectl patch envoyproxy $NAME -n $NS --type='merge' -p '
{
  "spec": {
    "provider": {
      "kubernetes": {
        "envoyDeployment": {
          "pod": {
            "nodeSelector": {
              "node-role.kubernetes.io/infra": ""
            },
            "tolerations": [
              {
                "effect": "NoSchedule",
                "key": "node-role.kubernetes.io/infra",
                "operator": "Equal",
                "value": "reserved"
              }
            ]
          }
        }
      }
    }
  }
}'

ACP CLI (ac)

节点管理

托管集群

导入集群

公有云集群初始化

网络初始化

存储初始化

如何操作

如何操作

备份管理

恢复管理

操作指南

实用指南

Kube OVN

alb

故障排除

核心概念

操作指南

实用指南

故障排除

对象存储

操作指南

实用指南

安装

核心概念

操作指南

实用指南

灾难恢复

核心概念

操作指南

实用指南

操作指南

实用指南

ALB Operator

合规性

使用指南

API Refiner

用户

操作指南

组

操作指南

角色

操作指南

IDP

操作指南

故障排除

用户策略

操作指南

概览

镜像

操作指南

实用指南

虚拟机

操作指南

实用指南

故障排除

网络

操作指南

实用指南

存储

操作指南

备份与恢复

操作指南

核心概念

命名空间

创建应用

应用的操作与维护

Application Rollout

KEDA(Kubernetes Event-driven Autoscaling)

实用指南

计算组件

配置

应用可观测

实用指南

实用指南

安装

实用指南

概览

安装

升级