Proxy sidecar adalah proxy jaringan transparan khusus, seperti Envoy, yang mencegat dan menangani lalu lintas arah masuk dan arah keluar dari kontainer aplikasi terkait. Proxy ini mengabstraksi dan mengelola fitur jaringan dasar, seperti penyeimbangan beban, penemuan layanan, kontrol lalu lintas, pengulangan, serta penanganan batas waktu. Proxy sidecar berkomunikasi dengan komponen control-plane, yang bertanggung jawab untuk mengelola kebijakan dan aturan secara terpusat serta menerbitkannya ke proxy sidecar. Berdasarkan konfigurasi yang diterbitkan secara dinamis oleh control plane, proxy sidecar menyesuaikan perilaku perutean dan kebijakan tata kelola layanan. Topik ini menjelaskan cara menginstal proxy sidecar.
Informasi latar belakang
Jika Anda menginstal proxy sidecar di pod aplikasi, sebuah kontainer independen dibuat di dalam pod untuk menyediakan fitur proxy sidecar. Untuk memanfaatkan sepenuhnya fitur-fitur ini, setiap layanan dalam aplikasi Anda memerlukan proxy sidecar untuk berjalan di pod layanan tersebut. Proxy sidecar mencegat semua lalu lintas HTTP arah masuk dan arah keluar dari layanan serta berkomunikasi dengan komponen Pilot pada control plane Istio dari instance Service Mesh (ASM) yang sesuai.
Langkah 1: Aktifkan injeksi proxy sidecar
Secara default, injeksi proxy sidecar otomatis dinonaktifkan untuk semua namespace. Anda dapat secara manual menyuntikkan proxy sidecar dengan memperbarui konfigurasi Kubernetes dari pod yang sesuai atau menggunakan fitur injeksi proxy sidecar otomatis Istio, yang didasarkan pada webhook. Jalankan perintah berikut untuk mengaktifkan injeksi proxy sidecar otomatis:
kubectl label namespace {namespace} istio-injection=enabled --overwriteDalam perintah sebelumnya, parameter namespace menentukan namespace aplikasi. Jika Anda tidak menentukan parameter ini, namespace bernama default akan digunakan.
Langkah 2: Mulai ulang pod yang sesuai
Proxy sidecar disuntikkan saat pod dibuat. Oleh karena itu, Anda harus memulai ulang pod agar injeksi proxy sidecar berlaku.
Kami sarankan Anda memulai ulang pod di lingkungan pengujian beberapa kali untuk memastikan bahwa layanan Anda tidak akan terpengaruh oleh gangguan lalu lintas apa pun.
Jalankan perintah berikut untuk memulai ulang pod tertentu:
kubectl get pod {podname} -n {namespace} -o yaml | kubectl replace --force -f -Periksa apakah proxy sidecar telah disuntikkan ke setiap pod di namespace.
Setelah proxy sidecar disuntikkan ke pod, setiap beban kerja didukung oleh kontainer utama dan kontainer proxy sidecar.
kubectl get pod -n {namespace} --all
Referensi
Anda dapat menyuntikkan proxy sidecar ke namespace di konsol ASM. Untuk informasi lebih lanjut, lihat Kelola Namespace Global.
ASM menyediakan injector sidecar yang dapat secara otomatis menyuntikkan proxy sidecar ke pod baru. Anda dapat mengonfigurasi kebijakan untuk injector sidecar untuk memenuhi persyaratan spesifik dan menggunakan label untuk memilih pod ke mana proxy sidecar perlu disuntikkan. Ini memungkinkan Anda menggunakan sumber daya lebih efisien dan menyederhanakan manajemen. Berdasarkan ukuran dan beban kluster, Anda juga dapat menyesuaikan konfigurasi sumber daya injector sidecar untuk memastikan bahwa sumber daya yang cukup disediakan untuk menjalankan injector sidecar. Untuk informasi lebih lanjut, lihat Konfigurasikan Kebijakan Injeksi Proxy Sidecar.
Anda dapat menggunakan konsol ASM untuk mengonfigurasi parameter secara fleksibel seperti yang terkait dengan sumber daya, siklus hidup, mode intersepsi lalu lintas, dan observabilitas untuk proxy sidecar berdasarkan kebutuhan bisnis Anda. Untuk informasi lebih lanjut, lihat Konfigurasikan Proxy Sidecar.
Anda dapat menggunakan anotasi untuk memodifikasi sumber daya dan konfigurasi proxy sidecar. Misalnya, Anda dapat memodifikasi durasi drain terminasi dan urutan awal kontainer istio-proxy. Untuk informasi lebih lanjut, lihat Konfigurasikan Proxy Sidecar dengan Menambahkan Anotasi Sumber Daya.
Dalam skenario di mana lalu lintas tidak diharuskan melewati proxy sidecar, Anda dapat mengonfigurasi pengaturan dengan metode berbeda untuk memungkinkan lalu lintas melewati proxy sidecar. Untuk informasi lebih lanjut, lihat Konfigurasikan Pengaturan untuk Memungkinkan Lalu Lintas Melewati Proxy Sidecar.