SIOS Tech. Lab | エンジニアのタメになるOSS・クラウド・認証の技術トピックス 
初めましてこんにちは、2023年新卒入社のやまなかです。
Envoyは、マイクロサービスアーキテクチャをサポートするOSSのネットワークプロキシとロードバランサです。自分はマイクロサービスアーキテクチャ??ネットワークプロキシ??ロードバランサ??横文字が多くてわからないよ~といった感じでしたので、この記事ではその辺りも噛み砕いてEnvoyの基本的な概念と重要な特徴を紹介します。
目次
用語集
- マイクロサービスアーキテクチャ
機能ごとに独立したサービスとしてシステムを分け、それらを組み合わせて一つの大きなシステムを作るアーキテクチャ - ネットワークプロキシ
インターネットを接続する際に、ネットワークの内部から外部へのアクセスを代理で行うシステム。外部から内部へのアクセスを代理で行う場合はリバースプロキシと呼ばれる。 - ロードバランサ
外部からの通信(トラフィック)を複数のサーバーに分散する装置 - ネットワークトラフィック
一定時間にネットワークを流れるデータ量。 - 分散システム
複数のコンピューターをネットワークで接続し、複数のコンピューターが連携して一つの作業を分担するコンピューターシステムのことをいいます。個々のコンピューターは独立していますが、外からは全体が一つの高性能なシステムに見えるのが特徴です。
Envoyとは?
Envoyは、ネットワークトラフィックを効率的に管理し、分散システムを構築するためのツールです。サービス間のネットワークの制御をライブラリではなくネットワークプロキシとして提供することで、個々のサービスはEnvoyを経由してそれぞれのサービスへ接続します。このようにすることで、ネットワークが抽象化され、アプリケーションとネットワークの切り離しが実現されます。Kubernetesでマイクロサービスを提供するIstioのコアコンポーネントとして一躍注目を集めています。
主な特徴
サービスディスカバリ
新しいサービスの追加や変更を自動的に検出することができます。これにより、手動で設定を更新する手間を省くことができます。
ロードバランシング
トラフィックを複数のサービスインスタンス間で均等に分散することができます。これにより、負荷を適切に分散してシステムのパフォーマンスを向上させることができます。
ヘルスチェック
サービスの状態を監視して異常値がある場合は自動的にトラフィックを避けることができます。これにより、システムの可用性を高めることができます。
暗号化
TLS (Transport layer security) などのセキュリティ機能をサポートしており、通信の暗号化や認証認可を行うことができます。これにより、データの安全性を確保することができます。
構築パターン
Edge Proxy
自分たちのサービス群の中と外の境界に置くプロキシ
Egress Proxy
外部へのトラフィックの通信先などを書き換える
サービスメッシュ
サービス間の通信をEnvoyが媒介する
デモ
ここでは簡単にEnvoyのGetting Startedのうち、Quick startの一部までをやってみたいと思います。
動作環境
- OS : WSL2 – Ubuntu 22.04.2 LTS
- Docker : Docker version 24.0.2, build cb74dfc
デモ構成でEnvoyを動かしてみる
使用するdocker imageについては2023年8月18日時点のものです。Quick start/Run EnvoyのRun Envoy with the demo configurationから最新のドキュメントを参考にしてください。
$ docker run --rm -it -p 9901:9901 -p 10000:10000 envoyproxy/envoy:dev-c745c1956cdaffa35d6f4933b57a431a2d2e9fc7
コンテナが立ち上がったらlocalhost:10000にアクセスしてみるとhttps://www.envoyproxy.io/が表示されます。
カスタムした設定でEnvoyを動かしてみる
コンテナに入ってEnvoyの設定ファイルを覗いてみます。
まずdocker psでコンテナ名を調べて、
$ docker ps
CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES
619631a04dc5 envoyproxy/envoy:dev-c745c1956cdaffa35d6f4933b57a431a2d2e9fc7 "/docker-entrypoint.…" 26 seconds ago Up 24 seconds 0.0.0.0:9901->9901/tcp, :::9901->9901/tcp, 0.0.0.0:10000->10000/tcp, :::10000->10000/tcp ecstatic_wing
コンテナに入って、envoy.yamlを見てみます。
$ docker exec -it ecstatic_wing sh
#cat /etc/envoy/envoy.yaml
admin:
address:
socket_address:
protocol: TCP
address: 0.0.0.0
port_value: 9901
static_resources:
listeners:
- name: listener_0
address:
socket_address:
protocol: TCP
address: 0.0.0.0
port_value: 10000
filter_chains:
- filters:
- name: envoy.filters.network.http_connection_manager
typed_config:
"@type": type.googleapis.com/envoy.extensions.filters.network.http_connection_manager.v3.HttpConnectionManager
scheme_header_transformation:
scheme_to_overwrite: https
stat_prefix: ingress_http
route_config:
name: local_route
virtual_hosts:
- name: local_service
domains: ["*"]
routes:
- match:
prefix: "/"
route:
host_rewrite_literal: www.envoyproxy.io
cluster: service_envoyproxy_io
http_filters:
- name: envoy.filters.http.router
typed_config:
"@type": type.googleapis.com/envoy.extensions.filters.http.router.v3.Router
clusters:
- name: service_envoyproxy_io
connect_timeout: 30s
type: LOGICAL_DNS
# Comment out the following line to test on v6 networks
dns_lookup_family: V4_ONLY
lb_policy: ROUND_ROBIN
load_assignment:
cluster_name: service_envoyproxy_io
endpoints:
- lb_endpoints:
- endpoint:
address:
socket_address:
address: www.envoyproxy.io
port_value: 443
transport_socket:
name: envoy.transport_sockets.tls
typed_config:
"@type": type.googleapis.com/envoy.extensions.transport_sockets.tls.v3.UpstreamTlsContext
sni: www.envoyproxy.io先ほど確認した通りwww.envoyproxy.ioに転送することになっていそうです。
ローカル上にenvoy-custom.yamlという新しいファイルを作成して確認したenvoy.yamlをコピペします。
www.envoyproxy.ioをwww.sios.comに変更して、一応cluster_nameもservice_siosとかに変えておきます。
$ docker exec -it ecstatic_wing sh
#cat /etc/envoy/envoy.yaml
admin:
address:
socket_address:
protocol: TCP
address: 0.0.0.0
port_value: 9901
static_resources:
listeners:
- name: listener_0
address:
socket_address:
protocol: TCP
address: 0.0.0.0
port_value: 10000
filter_chains:
- filters:
- name: envoy.filters.network.http_connection_manager
typed_config:
"@type": type.googleapis.com/envoy.extensions.filters.network.http_connection_manager.v3.HttpConnectionManager
scheme_header_transformation:
scheme_to_overwrite: https
stat_prefix: ingress_http
route_config:
name: local_route
virtual_hosts:
- name: local_service
domains: ["*"]
routes:
- match:
prefix: "/"
route:
host_rewrite_literal: www.sios.com
cluster: service_sios
http_filters:
- name: envoy.filters.http.router
typed_config:
"@type": type.googleapis.com/envoy.extensions.filters.http.router.v3.Router
clusters:
- name: service_sios
connect_timeout: 30s
type: LOGICAL_DNS
# Comment out the following line to test on v6 networks
dns_lookup_family: V4_ONLY
lb_policy: ROUND_ROBIN
load_assignment:
cluster_name: service_sios
endpoints:
- lb_endpoints:
- endpoint:
address:
socket_address:
address: www.sios.com
port_value: 443
transport_socket:
name: envoy.transport_sockets.tls
typed_config:
"@type": type.googleapis.com/envoy.extensions.transport_sockets.tls.v3.UpstreamTlsContext
sni: www.sios.com構成ファイルのマウント、パスを指定する下記のコマンドを実行します。
$ docker run --rm -it -v $(pwd)/envoy-custom.yaml:/envoy-custom.yaml -p 9901:9901 -p 10000:10000 envoyproxy/envoy:dev-c745c1956cdaffa35d6f4933b57a431a2d2e9fc7 -c /envoy-custom.yaml再びlocalhost:10000にアクセスしてみると、サイオスのトップページにリダイレクトされました。
まとめ
Envoyはマイクロサービスアーキテクチャをサポートするネットワークプロキシとロードバランサの優れたツールです。サービスディスカバリ、ロードバランシング、ヘルスチェック、暗号化などの特徴により、分散システムのパフォーマンスと可用性を向上させる役割を果たします。様々な構築パターンがあり、クラウドネイティブなWebサービスにおいて重要な役割を果たします。
参考文献
https://www.envoyproxy.io/docs/envoy/v1.27.0/
https://openstandia.jp/oss_info/envoy/
https://qiita.com/miyuki_samitani/items/bbe9e1d162574a00c04c
https://i-beam.org/2019/01/22/hello-envoy/
Be the first to comment