Configurare il routing del traffico TCP
Questa guida mostra come utilizzare Cloud Service Mesh per instradare il traffico verso i servizi che gestiscono il traffico TCP. Questi servizi includono database, servizi VoIP e piattaforme di gestione, che si aspettano di ricevere traffico TCP su porte o intervalli di porte specifici.
Questa guida si applica al deployment con le API precedenti. Se utilizzi le nuove API di routing dei servizi, disponibili in anteprima, consulta la configurazione di Cloud Service Mesh per i servizi TCP con una risorsa TCPRoute
.
Consulta questa guida per:
- Configura un servizio che rappresenti una raccolta di backend o endpoint identici che accettano richieste TCP dai client.
- Configura una mappa delle regole di routing in modo che i proxy Envoy configurati da Cloud Service Mesh possano inviare richieste TCP.
I seguenti diagrammi mostrano il funzionamento del routing TCP rispettivamente per le istanze di macchine virtuali (VM) e per i gruppi di endpoint di rete (NEG).
preparazione
- Questa guida si basa sulla guida di preparazione di Envoy per il mesh di servizi e presuppone che tu abbia già una conoscenza di base del funzionamento di Cloud Service Mesh.
- La guida si concentra sugli aspetti della configurazione di Cloud Service Mesh che sono diversi quando configuri i servizi e il routing per il traffico TCP.
- La guida presuppone che tu abbia già configurato un gruppo di istanze gestite (MIG) o un gruppo di istanze elastiche (NEG).
Configura le risorse di bilanciamento del carico
Per configurare le risorse di bilanciamento del carico:
Creare un controllo di integrità TCP
Configurazione con le VM
Se stai configurando i MIG, utilizza il seguente comando per creare un controllo di integrità globale; sostituisci PORT
con il numero di porta TCP monitorato da questo controllo di integrità:
gcloud compute health-checks create tcp td-vm-health-check \ --global \ --port=PORT
Configurazione con NEG
Se stai configurando i NEG, utilizza il seguente comando per creare un controllo di stato:
gcloud compute health-checks create tcp td-gke-health-check \ --use-serving-port
Per ulteriori informazioni sui controlli di integrità, consulta le seguenti risorse:
- Creare controlli di integrità nella documentazione di Cloud Load Balancing
gcloud compute health-checks create tcp
nel riferimento del comandogcloud
Crea una regola firewall per il controllo di integrità
Questa regola consente ai controlli di integrità dei controlli di integrità di Google Cloud di raggiungere i tuoi backend.
gcloud
gcloud compute firewall-rules create fw-allow-health-checks \ --action=ALLOW \ --direction=INGRESS \ --source-ranges=35.191.0.0/16,130.211.0.0/22 \ --target-tags=TAGS \ --rules=tcp:80
Per ulteriori informazioni sulle regole firewall per i controlli di integrità, consulta quanto segue:
- Regole firewall per i controlli di integrità nella documentazione di Cloud Load Balancing
gcloud compute firewall-rules create
nel riferimento al comandogcloud
(include indicazioni perTAGS
)
Crea un servizio di backend per i tuoi backend TCP
La configurazione del servizio di backend per TCP con Cloud Service Mesh è leggermente diversa da quella per HTTP. I passaggi che seguono rilevano queste differenze.
Configurazione con le VM
Se stai configurando i MIG, utilizza il seguente comando per creare un servizio di backend e aggiungere il controllo di integrità:
gcloud compute backend-services create td-vm-service \ --global \ --load-balancing-scheme=INTERNAL_SELF_MANAGED \ --health-checks=td-vm-health-check \ --protocol=TCP \ --global-health-checks
Il passaggio finale per configurare il servizio di backend è aggiungere i backend. Poiché questo passaggio è la configurazione standard di Cloud Service Mesh (in altre parole, non è specifico per i servizi basati su TCP), non è mostrato qui. Per ulteriori informazioni, consulta Creare il servizio di backend nella guida alla configurazione delle VM di Compute Engine con deployment di Envoy automatico.
Configurazione con NEG
Se stai configurando i NEG, utilizza i seguenti comandi per creare un servizio di backend e associare il controllo di integrità al servizio di backend:
gcloud compute backend-services create td-gke-service \ --global \ --health-checks=td-gke-health-check \ --protocol=TCP \ --load-balancing-scheme=INTERNAL_SELF_MANAGED
Il passaggio finale per configurare il servizio di backend è aggiungere il gruppo di backend. Poiché questo passaggio è la configurazione standard di Cloud Service Mesh (in altre parole, non è specifico per i servizi basati su TCP), non è mostrato qui. Per ulteriori informazioni, consulta Creare il servizio di backend nella guida alla configurazione dei pod GKE con l'iniezione automatica di Envoy.
Configura il routing per il servizio di backend basato su TCP
In questa sezione crei un proxy TCP target globale e una regola di forwarding globale. Queste risorse consentono alle tue applicazioni di inviare traffico ai backend con i tuoi servizi di backend appena creati.
Considera quanto segue:
- La regola di forwarding deve avere lo schema di bilanciamento del carico
INTERNAL_SELF_MANAGED
. L'indirizzo IP virtuale (VIP) e la porta configurati nella regola di inoltro sono quelli utilizzati dalle applicazioni per inviare traffico ai servizi TCP. Puoi scegliere l'IP virtuale da una delle tue sottoreti. Cloud Service Mesh utilizza questo VIP e questa porta per associare le richieste dei client a un determinato servizio di backend.
Per informazioni su come le richieste dei client vengono associate ai servizi di backend, consulta Discovery dei servizi.
gcloud
Utilizza il seguente comando per creare il proxy TCP di destinazione; sostituisci
BACKEND_SERVICE
con il nome del servizio di backend creato nel passaggio precedente. Nell'esempio seguente, utilizziamotd-tcp-proxy
come nome per il proxy TCP di destinazione, ma puoi scegliere un nome adatto alle tue esigenze.gcloud compute target-tcp-proxies create td-tcp-proxy \ --backend-service=BACKEND_SERVICE
Crea la regola di forwarding. La regola di forwarding specifica l'IP virtuale e la porta utilizzati per abbinare le richieste del client a un determinato servizio di backend. Per ulteriori informazioni, consulta
gcloud compute forwarding-rules create
nel riferimento ai comandigcloud
.gcloud compute forwarding-rules create td-tcp-forwarding-rule \ --global \ --load-balancing-scheme=INTERNAL_SELF_MANAGED \ --address=VIP\ --target-tcp-proxy=td-tcp-proxy \ --ports=PORT \ --network=default
A questo punto, Cloud Service Mesh è configurato per bilanciare il carico del traffico per il VIP specificato nella regola di forwarding tra i tuoi backend.
Risoluzione dei problemi
Se le tue applicazioni tentano di inviare richieste ai tuoi servizi basati su TCP, segui questi passaggi:
- Verifica che la porta del controllo di integrità TCP corrisponda alla porta su cui l'applicazione TCP si aspetta di ricevere il traffico del controllo di integrità.
- Verifica che il nome della porta del servizio di backend corrisponda a quanto specificato nel gruppo di istanze.
Passaggi successivi
- Per visualizzare gli altri passaggi della procedura di configurazione, consulta Prepararsi a configurare Cloud Service Mesh con Envoy.
- Per informazioni generali sulla risoluzione dei problemi di Cloud Service Mesh, consulta Risoluzione dei problemi di implementazione che utilizzano Envoy.