Alibaba Cloud Service Mesh:サイドカープロキシが挿入されたサービスへのインバウンドトラフィックのグローバルスロットリングをASMGlobalRateLimiterを使用して構成する

前提条件

• コンテナサービスKubernetes (ACK) マネージドクラスターがASMインスタンスに追加されます。ASMインスタンスのバージョンは V1.18.0.131以降です。詳細については、「ASMインスタンスへのクラスターの追加」をご参照ください。

• ACKクラスターのデフォルトの名前空間で、サイドカープロキシの自動挿入が有効になっています。詳細については、「グローバル名前空間の管理」トピックの「サイドカープロキシの自動挿入を有効にする」セクションをご参照ください。

• ingressgatewayという名前のASMイングレスゲートウェイが作成され、ポート 80 が有効になっています。詳細については、「イングレスゲートウェイの作成」をご参照ください。

• サンプルアプリケーションであるsleepとHTTPBinがデプロイされています。詳細については、「HTTPBinアプリケーションのデプロイ」と「データプレーンのクラスターへのsleepサービスのデプロイ」をご参照ください。

スロットリングサービスのデプロイ

グローバルスロットリング機能を有効にする前に、データプレーンのクラスターにスロットリングサービスをデプロイする必要があります。次の手順では、スロットリングサービスと、スロットリングサービスが依存するサンプルアプリケーションをデプロイする方法について説明します。

1. 次の内容を含む ratelimit-svc.yamlファイルを作成します。

   ratelimit-svc.yamlファイルを表示

   apiVersion: v1
   kind: ServiceAccount
   metadata:
     name: redis
   ---
   apiVersion: v1
   kind: Service
   metadata:
     name: redis
     labels:
       app: redis
   spec:
     ports:
     - name: redis
       port: 6379
     selector:
       app: redis
   ---
   apiVersion: apps/v1
   kind: Deployment
   metadata:
     name: redis
   spec:
     replicas: 1
     selector:
       matchLabels:
         app: redis
     template:
      metadata:
         labels:
           app: redis
           sidecar.istio.io/inject: "false"  // サイドカーインジェクションを無効化
      spec:
         containers:
         - image: redis:alpine
           imagePullPolicy: Always
           name: redis
           ports:
           - name: redis
             containerPort: 6379
         restartPolicy: Always
         serviceAccountName: redis
   ---
   apiVersion: v1
   kind: ConfigMap
   metadata:
     name: ratelimit-config
   data:
     config.yaml: |
       {}
   ---
   apiVersion: v1
   kind: Service
   metadata:
     name: ratelimit
     labels:
       app: ratelimit
   spec:
     ports:
     - name: http-port
       port: 8080
       targetPort: 8080
       protocol: TCP
     - name: grpc-port
       port: 8081
       targetPort: 8081
       protocol: TCP
     - name: http-debug
       port: 6070
       targetPort: 6070
       protocol: TCP
     selector:
       app: ratelimit
   ---
   apiVersion: apps/v1
   kind: Deployment
   metadata:
     name: ratelimit
   spec:
     replicas: 1
     selector:
       matchLabels:
         app: ratelimit
     strategy:
       type: Recreate
     template:
       metadata:
         labels:
           app: ratelimit
           sidecar.istio.io/inject: "false" // サイドカーインジェクションを無効化
       spec:
         containers:
           # Latest image from https://hub.docker.com/r/envoyproxy/ratelimit/tags
         - image: envoyproxy/ratelimit:e059638d
           imagePullPolicy: Always
           name: ratelimit
           command: ["/bin/ratelimit"]
           env:
           - name: LOG_LEVEL
             value: debug
           - name: REDIS_SOCKET_TYPE
             value: tcp
           - name: REDIS_URL
             value: redis:6379
           - name: USE_STATSD
             value: "false"
           - name: RUNTIME_ROOT
             value: /data
           - name: RUNTIME_SUBDIRECTORY
             value: ratelimit
           - name: RUNTIME_WATCH_ROOT
             value: "false"
           - name: RUNTIME_IGNOREDOTFILES
             value: "true"
           ports:
           - containerPort: 8080
           - containerPort: 8081
           - containerPort: 6070
           volumeMounts:
           - name: config-volume
             # $RUNTIME_ROOT/$RUNTIME_SUBDIRECTORY/$RUNTIME_APPDIRECTORY/config.yaml
             mountPath: /data/ratelimit/config  // 設定ファイルをマウント
         volumes:
         - name: config-volume
           configMap:
             name: ratelimit-config

2. kubeconfigファイルの情報に基づいてkubectlを使用してACKクラスターに接続し、次のコマンドを実行して、スロットリングサービスと、スロットリングサービスが依存するRedisサービスを作成します。

   kubectl apply -f ratelimit-svc.yaml

シナリオ 1： サービスの特定のポートでグローバルスロットリングを設定する

HTTPBinサービスのポート 8000 にスロットリングルールを設定します。スロットリングルールが設定されると、HTTPBinサービスのポート 8000 宛てのすべてのリクエストがスロットリングの対象となります。

1. 次の内容を含む global-ratelimit-svc.yamlファイルを作成します。

   global-ratelimit-svc.yamlファイルを表示

   apiVersion: istio.alibabacloud.com/v1beta1
   kind: ASMGlobalRateLimiter
   metadata:
     name: global-svc-test
     namespace: default
   spec:
     workloadSelector:
       labels:
         app: httpbin
     rateLimitService:
       host: ratelimit.default.svc.cluster.local
       port: 8081
       timeout:
         seconds: 5
     isGateway: false
     configs:
     - name: httpbin
       limit:
         unit: MINUTE
         quota: 1
       match:
         vhost:
           name: '*'
           port: 8000

   次の表に、いくつかのフィールドについて説明します。詳細については、「ASMGlobalRateLimiterフィールドの説明」をご参照ください。

   フィールド	説明
   workloadSelector	スロットリングルールが有効になるワークロード。この例では、グローバルスロットリングをHTTPBinサービスのワークロードで有効にする必要があります。このフィールドに app: httpbin を設定します。
   isGateway	スロットリングルールをゲートウェイで有効にするかどうかを指定します。この例では、値は false に設定されています。
   rateLimitService	スロットリングサービスのドメイン名、ポート、および接続タイムアウト設定。シナリオ 1：サービスの特定のポートでグローバルスロットリングを設定する でデプロイされたスロットリングサービスの設定を次のコードブロックに示します。 host: ratelimit.default.svc.cluster.local port: 8081 timeout: seconds: 5
   limit	有効にするスロットリングパラメーター。unit は、スロットリング検出の時間単位を示します。quota は、単位時間あたりに許可されるリクエストの総数を示します。 この例では、unit は MINUTE に設定され、quota は 1 に設定されています。これは、一致するルートでは1分あたり1つのリクエストしか送信できないことを示します。リクエスト数が1を超えると、スロットリングがトリガーされます。
   vhost	スロットリングが有効になるドメイン名とルート。設定をHTTPBinサービスで有効にするには、name を '*' に設定し、port をHTTPBinサービスのサービスポートに設定する必要があります。

2. kubeconfigファイルの情報に基づいてkubectlを使用してASMインスタンスに接続し、次のコマンドを実行して、HTTPBinサービスのインバウンドトラフィックで有効になるグローバルスロットリングルールを作成します。

   kubectl apply -f global-ratelimit-svc.yaml

3. 次のコマンドを実行して、グローバルスロットリングルールの設定を取得します。

   kubectl get asmglobalratelimiter global-svc-test -o yaml

   予期される出力の表示

   apiVersion: istio.alibabacloud.com/v1
   kind: ASMGlobalRateLimiter
   metadata:
     name: global-svc-test
     namespace: default
   spec:
     configs:
     - limit:
         quota: 1
         unit: MINUTE
       match:
         vhost:
           name: '*'
           port: 8000
       name: httpbin
     isGateway: false
     rateLimitService:
       host: ratelimit.default.svc.cluster.local
       port: 8081
       timeout:
         seconds: 5
     workloadSelector:
       labels:
         app: httpbin
   status:
     config.yaml: |
       descriptors:
       - key: generic_key
         rate_limit:
           requests_per_unit: 1
           unit: MINUTE
         value: RateLimit[global-svc-test.default]-Id[3833670472]
       domain: ratelimit.default.svc.cluster.local
     message: ok
     status: successful

4. 前の手順で生成されたASMGlobalRateLimiterの status セクションにある config.yaml フィールドの内容をコピーして ratelimit-config.yamlファイルに貼り付け、グローバルスロットリングサービス設定を生成します。

   ASMGlobalRateLimiterの status セクションにある config.yaml フィールドの文字列コンテンツは、変更せずにConfigMapの data セクションにある config.yaml フィールドに貼り付ける必要があります。

   ratelimit-config.yamlファイルを表示

   apiVersion: v1
   kind: ConfigMap
   metadata:
     name: ratelimit-config
   data:
     config.yaml: |
       descriptors:
       - key: header_match
         rate_limit:
           requests_per_unit: 1
           unit: MINUTE
         value: RateLimit[global-svc-test.default]-Id[1492204717]
       domain: ratelimit.default.svc.cluster.local

5. kubeconfigファイルの情報に基づいてkubectlを使用してACKクラスターに接続し、次のコマンドを実行して、ACKクラスターのグローバルスロットリングサービス設定を更新します。

   kubectl apply -f ratelimit-config.yaml

6. 次のコマンドを実行して、sleepサービスのbashを有効にします。

   kubectl exec -it deploy/sleep -- sh

7. 次のコマンドを実行して、HTTPBinサービスに2回アクセスします。

   curl httpbin:8000/get -v
   curl httpbin:8000/get -v

   予期される出力：

   < HTTP/1.1 429
   < x-envoy-ratelimited: true
   < x-ratelimit-limit: 1, 1;w=60
   < x-ratelimit-remaining: 0
   < x-ratelimit-reset: 5
   < date: Thu, 26 Oct 2023 04:23:54 GMT
   < server: envoy
   < content-length: 0
   < x-envoy-upstream-service-time: 2
   < 
   * Connection #0 to host httpbin left intact

   グローバルスロットリング設定では、1分以内にHTTPBinアプリケーションにアクセスできるリクエストは1つだけです。HTTPBinアプリケーションに2回アクセスすると、2番目のリクエストでスロットリングがトリガーされることがわかります。これは、サイドカープロキシが挿入されたサービスのインバウンドトラフィックでグローバルスロットリングが有効になっていることを示します。

シナリオ 2：サービスの特定のポートの指定されたパス宛てのリクエストに対してスロットリングルールを設定する

HTTPBinサービスのポート 8000 にスロットリングルールを設定し、/headers パス宛てのリクエストに対してのみスロットリングが有効になるように指定します。スロットリングルールが設定されると、HTTPBinサービスのポート 8000 と /headers パス宛てのすべてのリクエストがスロットリングの対象となります。

1. ASMインスタンスのバージョンに基づいて、必要に応じて次のコンテンツを使用して global-ratelimit-svc.yamlファイルを作成します。

   • v1.19.0より前のASMインスタンスの場合

     YAMLファイルを表示

     apiVersion: istio.alibabacloud.com/v1beta1
     kind: ASMGlobalRateLimiter
     metadata:
       name: global-svc-test
       namespace: default
     spec:
       workloadSelector:
         labels:
           app: httpbin
       rateLimitService:
         host: ratelimit.default.svc.cluster.local
         port: 8081
         timeout:
           seconds: 5
       isGateway: false
       configs:
       - name: httpbin
         limit:
           unit: MINUTE
           quota: 1
         match:
           vhost:
             name: '*'
             port: 8000
             route:  // ルートマッチングルールを追加
               header_match:
               - name: ":path"
                 prefix_match: "/headers"

   • v1.19.0以降のASMインスタンスの場合

     YAMLファイルを表示

     apiVersion: istio.alibabacloud.com/v1beta1
     kind: ASMGlobalRateLimiter
     metadata:
       name: global-svc-test
       namespace: default
     spec:
       workloadSelector:
         labels:
           app: httpbin
       rateLimitService:
         host: ratelimit.default.svc.cluster.local
         port: 8081
         timeout:
           seconds: 5
       isGateway: false
       configs:
       - name: httpbin
         limit:
           unit: SECOND
           quota: 100000
         match:
           vhost:
             name: '*'
             port: 8000
         limit_overrides: // limit_overridesフィールドを追加
         - request_match:
             header_match:
             - name: ":path"
               prefix_match: "/headers"
           limit:
             unit: MINUTE
             quota: 1

     次の表に、いくつかのフィールドについて説明します。詳細については、「ASMGlobalRateLimiterフィールドの説明」をご参照ください。

     フィールド	説明
     workloadSelector	スロットリングルールが有効になるワークロード。この例では、グローバルスロットリングをHTTPBinサービスのワークロードで有効にする必要があります。このフィールドに app: httpbin を設定します。
     isGateway	スロットリングルールをゲートウェイで有効にするかどうかを指定します。この例では、値は false に設定されています。
     rateLimitService	スロットリングサービスのドメイン名、ポート、および接続タイムアウト設定。シナリオ 1：サービスの特定のポートでグローバルスロットリングを設定する でデプロイされたスロットリングサービスの設定を次のコードブロックに示します。 host: ratelimit.default.svc.cluster.local port: 8081 timeout: seconds: 5
     limit	有効にするスロットリングパラメーター。unit は、スロットリング検出の時間単位を示します。quota は、単位時間あたりに許可されるリクエストの総数を示します。 この例では、unit は MINUTE に設定され、quota は 1 に設定されています。これは、一致するルートでは1分あたり1つのリクエストしか送信できないことを示します。リクエスト数が1を超えると、スロットリングがトリガーされます。 ASMインスタンスが V1.19.0以降の場合は、unitは SECOND に設定され、quotaは 100000 に設定されます。これは、一致するルートでは1秒あたり 100,000 件のリクエストを送信できることを示します。スロットリングが設定されていないとみなすことができます。limit_overrides フィールドを使用して、特定の要件を満たすリクエストに対してスロットリングを設定できます。
     vhost	スロットリングが有効になるドメイン名とルート。設定をHTTPBinサービスで有効にするには、name を '*' に設定し、port をHTTPBinサービスのサービスポートに設定する必要があります。 ASMインスタンスが V1.19.0より前の場合、route セクションでリクエストのヘッダー照合ルールを設定することもできます。この例では、:path という名前の特殊なヘッダーを使用してリクエストパスを照合します。これは、パスがスラッシュ (/) で始まるすべてのリクエストが一致することを示します。 ASMインスタンスが V1.19.0以降の場合は、limit_overrides フィールドでリクエストのヘッダー照合ルールを設定できます。
     limit_overrides	スロットリングしきい値のオーバーライド設定。このフィールドは、V1.19.0以降のASMインスタンスでのみサポートされています。さまざまなリクエスト属性を照合できます。オーバーライド設定で指定されたスロットリングアクションは、一致するリクエストに適用されます。この例では、limit_overrides フィールドで、:path という名前の特殊なヘッダーを使用してリクエストパスを照合するように指定しています。これは、パスが /headers で始まるすべてのリクエストが一致することを示します。

2. kubeconfigファイルの情報に基づいてkubectlを使用してASMインスタンスに接続し、次のコマンドを実行して、HTTPBinサービスのインバウンドトラフィックで有効になるグローバルスロットリングルールを作成します。

   kubectl apply -f global-ratelimit-svc.yaml

3. 次のコマンドを実行して、グローバルスロットリングルールの設定を取得します。

   kubectl get asmglobalratelimiter global-svc-test -o yaml

   予期される出力の表示

   apiVersion: istio.alibabacloud.com/v1
   kind: ASMGlobalRateLimiter
   metadata:
     name: global-svc-test
     namespace: default
   spec:
     configs:
     - limit:
         quota: 100000
         unit: SECOND
       limit_overrides:
       - limit:
           quota: 1
           unit: MINUTE
         request_match:
           header_match:
           - name: :path
             prefix_match: /headers
       match:
         vhost:
           name: '*'
           port: 8000
       name: httpbin
     isGateway: false
     rateLimitService:
       host: ratelimit.default.svc.cluster.local
       port: 8081
       timeout:
         seconds: 5
     workloadSelector:
       labels:
         app: httpbin
   status:
     config.yaml: |
       descriptors:
       - descriptors:
         - key: header_match
           rate_limit:
             requests_per_unit: 1
             unit: MINUTE
           value: RateLimit[global-svc-test.default]-Id[2613586978]
         key: generic_key
         rate_limit:
           requests_per_unit: 100000
           unit: SECOND
         value: RateLimit[global-svc-test.default]-Id[2613586978]
       domain: ratelimit.default.svc.cluster.local
     message: ok
     status: successful

4. 前の手順で生成されたASMGlobalRateLimiterの status セクションにある config.yaml フィールドの内容をコピーして ratelimit-config.yamlファイルに貼り付け、グローバルスロットリングサービス設定を生成します。

   ASMGlobalRateLimiterの status セクションにある config.yaml フィールドの文字列コンテンツは、変更せずにConfigMapの data セクションにある config.yaml フィールドに貼り付ける必要があります。

   ratelimit-config.yamlファイルを表示

   apiVersion: v1
   kind: ConfigMap
   metadata:
     name: ratelimit-config
   data:
     config.yaml: |
       descriptors:
       - descriptors:
         - key: header_match
           rate_limit:
             requests_per_unit: 1
             unit: MINUTE
           value: RateLimit[global-svc-test.default]-Id[2613586978]
         key: generic_key
         rate_limit:
           requests_per_unit: 100000
           unit: SECOND
         value: RateLimit[global-svc-test.default]-Id[2613586978]
       domain: ratelimit.default.svc.cluster.local

5. kubeconfigファイルの情報に基づいてkubectlを使用してACKクラスターに接続し、次のコマンドを実行して、ACKクラスターのグローバルスロットリングサービス設定を更新します。

   kubectl apply -f ratelimit-config.yaml

6. 次のコマンドを実行して、sleepサービスのbashを有効にします。

   kubectl exec -it deploy/sleep -- sh

7. 次のコマンドを実行して、HTTPBinサービスの /headers パスに2回アクセスします。

   curl httpbin:8000/headers -v
   curl httpbin:8000/headers -v

   予期される出力：

   < HTTP/1.1 429 Too Many Requests
   < x-envoy-ratelimited: true
   < x-ratelimit-limit: 1, 1;w=60
   < x-ratelimit-remaining: 0
   < x-ratelimit-reset: 5
   < date: Thu, 26 Oct 2023 04:23:54 GMT
   < server: envoy
   < content-length: 0
   < x-envoy-upstream-service-time: 2
   < 
   * Connection #0 to host httpbin left intact

   グローバルスロットリング設定では、1分以内にHTTPBinサービスの /headers パスにアクセスできるリクエストは1つだけです。1分以内にHTTPBinサービスの /headers パスに2回アクセスすると、2番目のリクエストがスロットリングされることがわかります。これは、サイドカープロキシが挿入されたHTTPBinサービスのインバウンドトラフィックでグローバルスロットリングが有効になっていることを示します。

8. 次のコマンドを実行して、HTTPBinサービスの /get パスにアクセスします。

   curl httpbin:8000/get -v

   予期される出力の表示

   *   Trying 192.168.243.21:8000...
   * Connected to httpbin (192.168.243.21) port 8000 (#0)
   > GET /get HTTP/1.1
   > Host: httpbin:8000
   > User-Agent: curl/8.1.2
   > Accept: */*
   >
   < HTTP/1.1 200 OK
   < server: envoy
   < date: Thu, 11 Jan 2024 06:25:09 GMT
   < content-type: application/json
   < content-length: 431
   < access-control-allow-origin: *
   < access-control-allow-credentials: true
   < x-envoy-upstream-service-time: 7
   <
   {
     "args": {},
     "headers": {
       "Accept": "*/*",
       "Host": "httpbin:8000",
       "User-Agent": "curl/8.1.2",
       "X-Envoy-Attempt-Count": "1",
       "X-Forwarded-Client-Cert": "By=spiffe://cluster.local/ns/default/sa/httpbin;Hash=be10819991ba1a354a89e68b3bed1553c12a4fba8b65fbe0f16299d552680b29;Subject=\"\";URI=spiffe://cluster.local/ns/default/sa/sleep"
     },
     "origin": "127.0.0.6",
     "url": "http://httpbin:8000/get"
   }
   * Connection #0 to host httpbin left intact

   出力は、HTTPBinサービスの /get パス宛てのリクエストが成功したことを示しています。これは、HTTPBinサービスの他のパスへのリクエストはスロットリングルールの対象ではないことを示しています。

関連操作

グローバルスロットリングに関連するメトリックを表示する

次の表に、グローバルスロットリングに関連するメトリックを示します。

サイドカープロキシの proxyStatsMatcher パラメーターを設定して、サイドカープロキシがメトリックを報告できるようにすることができます。その後、Prometheusを使用して、スロットリングに関連するメトリックを収集して表示できます。

1. proxyStatsMatcherパラメーターを設定して、サイドカープロキシがスロットリング関連のメトリックを報告できるようにします。proxyStatsMatcherを選択した後、[正規表現一致] を選択し、値を .*ratelimit.* に設定します。詳細については、「サイドカープロキシの設定」トピックの「proxyStatsMatcher」セクションをご参照ください。

2. HTTPBinサービスを再デプロイします。詳細については、「サイドカープロキシの設定」トピックの「(オプション) ワークロードの再デプロイ」セクションをご参照ください。

3. ローカルスロットリングを設定し、リクエストテストを実行します。詳細については、シナリオ 1 または「Traffic Management Centerでのローカルスロットリングの設定」をご参照ください。

4. 次のコマンドを実行して、HTTPBinサービスのグローバルスロットリングメトリックを表示します。

   kubectl exec -it deploy/httpbin -c istio-proxy -- curl localhost:15090/stats/prometheus|grep envoy_cluster_ratelimit

   予期される出力：

   # TYPE envoy_cluster_ratelimit_ok counter
   envoy_cluster_ratelimit_ok{cluster_name="inbound|80||"} 904
   # TYPE envoy_cluster_ratelimit_over_limit counter
   envoy_cluster_ratelimit_over_limit{cluster_name="inbound|80||"} 3223

グローバルスロットリングのメトリック収集とアラートを設定する

Prometheusインスタンスを設定して、メッシュプロキシによって公開されるグローバルスロットリングメトリックを収集できます。また、主要なメトリックに基づいてアラートルールを設定して、スロットリングが発生したときにアラートが生成されるようにすることもできます。このセクションでは、グローバルスロットリングのメトリック収集とアラートを設定する方法について説明します。この例では、Managed Service for Prometheusを使用します。

1. Managed Service for Prometheusで、データプレーンのACKクラスターを [alibaba Cloud ASM] コンポーネントに接続するか、Alibaba Cloud ASMコンポーネントを最新バージョンにアップグレードします。これにより、グローバルスロットリングメトリックを Managed Service for Prometheus で確実に収集できます。コンポーネントをARMSに接続する方法の詳細については、「コンポーネントの管理」をご参照ください。(自己管理型Prometheusインスタンスを統合してASMインスタンスのメトリックを収集している場合は、追加の操作は必要ありません。詳細については、「自己管理型Prometheusインスタンスを使用したASMインスタンスの監視」をご参照ください。)

2. グローバルスロットリングのアラートルールを作成します。詳細については、「カスタムPromQLステートメントを使用したアラートルールの作成」をご参照ください。次の表に、アラートルールを設定するための主要なパラメーターの指定方法を示します。その他のパラメーターの詳細については、上記のドキュメントをご参照ください。

   パラメーター	例	説明
   カスタム PromQL ステートメント	(sum by(namespace, service_istio_io_canonical_name) (increase(envoy_cluster_ratelimit_over_limit[1m]))) > 0	increaseステートメントを実行して、過去1分以内にスロットリングが実行されたリクエスト数をクエリできます。スロットリングされたリクエスト数は、スロットリングをトリガーしたサービスの名前空間と名前でグループ化されます。1分以内にスロットリングされたリクエスト数が 0 より大きい場合、アラートがトリガーされます。
   アラートメッセージ	グローバルスロットリングが発生しました! 名前空間:{{$labels.namespace }}. スロットリングをトリガーしたサービス:{{$labels.service_istio_io_canonical_name}}. 現在の1分間にスロットリングされたリクエスト数 :{{ $value }}	この例の警告情報には、スロットリングをトリガーしたサービスの名前空間、サービスの名前、および過去1分間にサービスに送信されてスロットリングされたリクエスト数が表示されます。

参照

• ASMGlobalRateLimiterフィールドの詳細については、「ASMGlobalRateLimiterフィールドの説明」をご参照ください。

• Traffic Management Centerでローカルスロットリングを設定する方法の詳細については、「Traffic Management Centerでのローカルスロットリングの設定」をご参照ください。

• イングレスゲートウェイでグローバルスロットリングを設定する方法の詳細については、「イングレスゲートウェイでのグローバルスロットリングの設定」をご参照ください。