EnvoyFilter 是 Istio 中用于直接修改 Envoy 配置的一种资源类型。它允许用户在不重新部署或更新整个服务网格的情况下,精细地调整 Envoy 代理的行为。通过 EnvoyFilter,可以在运行时对 Envoy 配置进行微调,这对于需要高度定制化网络策略的应用场景非常有用。
EnvoyFilter 的用途
-
配置覆盖:EnvoyFilter 可以用来覆盖 Envoy 的默认配置,如添加或删除特定的监听器、过滤器、集群配置等。
-
高级配置:可以用来配置 Envoy 的高级特性,比如 HTTP 过滤器、TLS 配置、健康检查等。
-
动态更新:允许在不重启 Envoy 的情况下更新配置,从而实现平滑过渡到新的配置。
EnvoyFilter 的结构
一个 EnvoyFilter 资源包含以下几个主要部分:
- Metadata:指定 EnvoyFilter 应用的目标,包括命名空间、目标工作负载等。
- Spec :定义要应用的配置修改,包括
filter_match和filter_patch字段,用于指定要匹配的 Envoy 配置模板和实际要应用的补丁。
示例
下面是一个简单的 EnvoyFilter 示例,用于向 Envoy 的 HTTP 连接管理器添加一个自定义的 HTTP 过滤器:
Yaml
深色版本
apiVersion: networking.istio.io/v1alpha3
kind: EnvoyFilter
metadata:
name: custom-http-filter
spec:
configPatches:
- applyTo: HTTP_FILTER
match:
context: SIDECAR_INBOUND
proxyListener:
filterChain:
filter:
name: "envoy.filters.network.http_connection_manager"
patch:
operation: INSERT_BEFORE
value:
name: custom_http_filter
typed_config:
"@type": type.googleapis.com/udpa.type.v1.TypedStruct
type_url: type.googleapis.com/envoy.extensions.http.filters.custom.v3.CustomHttpFilter
value:
name: envoy.filters.http.custom_filter_name
在这个例子中,EnvoyFilter 会向 Envoy 的 HTTP 连接管理器插入一个名为 custom_http_filter 的 HTTP 过滤器。applyTo 指定要应用的配置类型,match 定义了配置模板匹配的条件,而 patch 则定义了实际要应用的更改。
注意事项
虽然 EnvoyFilter 提供了强大的灵活性,但在使用时需要注意以下几点:
- 确保 EnvoyFilter 不会导致 Envoy 配置冲突或不一致。
- 对于复杂的配置更改,应仔细测试以避免引入错误。
- 保持 EnvoyFilter 的数量在合理范围内,过多的 EnvoyFilter 可能会使配置难以维护。
总之,EnvoyFilter 是 Istio 提供的一种强大的工具,可以让管理员或开发者根据特定需求对 Envoy 的行为进行细致的调整。