mirwide Feb 23 2020 at 17:26

Envoy. 1. Введение

6 min

53K

Nginx*Microservices*

+11

Comments 19

farcaller Feb 23 2020 at 18:38

Envoy можно использовать как относительно легковесную обертку для общих задач HTTP: логи, авторизация. Я тут несколько дней назад курил envoy для JWT-авторизации gRPC бекенда, получилось очень даже неплохо. Выбор envoy был обоснован тем что он имеет встроенный фильтр для проксирования gRPC-Web в gRPC, решил заодно и JWT прикрутить.

Впрочем, настраивать его иногда нетривиально, вот например заметка о том как правильно прикручивать TLS к апстримам.

shuron Feb 25 2020 at 11:56

Звучит будто envoy можно настроить как (микро) api gateway в кубернетовском сценарии.
Може ту вас есть опыт или идеи?
JWT поддержка (поверка хотябы, но лучше и сценарий получение его из opaque token)
А то я начал вчера с Spring cloud и security библиотхеками это делать, не покидает желание сравнить с чем-то другим..

farcaller Feb 25 2020 at 12:25

Можно, и есть, я как раз черновик на эту тему заканчиваю :-)

shuron Feb 26 2020 at 11:22

Если можно пинганите нам тут, почитаем с удовольствием ;)

farcaller Feb 27 2020 at 00:32

https://farcaller.net/simple-jwt-authentication-with-envoy-and-auth0/ держите. будет любопытно получить отзыв насколько это информативно и полезно.

shuron Feb 27 2020 at 23:25

Ну как вводная тема ок. Полез таки смотреть доки.

ProFfeSsoRr Feb 26 2020 at 13:48

Есть же gloo — реализация api gateway с envoy внутри.

shuron Feb 26 2020 at 20:21

я посмотрел и мне как-то пока не понравилось громоскостью и новыми конецепциями и обвязками, с непонятным бенефитом.
За вечер накатали на Spring Cloud Gateway более привычные пока. Гоням на этом пока…
Нужна простота и понятность на данный момент.

VolCh Feb 23 2020 at 22:04

А насколько легко на нём решаются задачи типа: входящий http запрос (для простоты в неизменно виде, в идеале вытащить что-то из json тела) отправить на первый апстрим, ответ (для простоты один из заголовков ответа) добавить к оригинальном запросу и отправить на второй апстрим?

mirwide Feb 23 2020 at 22:14

Насколько я знаю, из коробки не решается. Только если писать на Lua или свой плагин.

danfe Feb 24 2020 at 05:24

Envoy распространяется в бинарниках только как docker образ.

Более того, разработчики прямо говорят: собирать самостоятельно, мол, не советуем, ставьте через докер, а ведь это подходит далеко не всем. Я когда-то хотел заиспользовать Envoy в одном проекте на работе в качестве умного балансера, но оттолкнули его аццкая система сборки (для фрёвого порта я всё это безобразие переписал на обычный make) и жесткая зависимость от BoringSSL (из него вообще уши гугловых методологий разработки торчат довольно сильно). Ну и конфигурируется он действительно нетривиально.

mirwide Feb 24 2020 at 11:22

По конфигурированию не соглашусь, дело привычки видимо. Мне кажется всё очень логично и понятно, тем более что всё не плохо задокументировано.
А сборка, да, замудреная, надо с bazel уметь работать. Сечас собирается в докере и базовый образ есть только для linux x86. Для всего остального придется погружаться в их ci скрипты.

dmitry_rozhkov Feb 24 2020 at 12:05

Зависимость на BoringSSL не такая уж и жёсткая. Я сделал OpenSSL extension заменяющий BoringSSL.

danfe Feb 24 2020 at 15:15

О, как интересно! Спасибо, поковыряю на досуге и, не ровён час, переведу фрёвый порт на ваш форк. Надеюсь, что рано или поздно возможность сборки с ванильным OpenSSL появится и в апстриме.

chemtech Feb 24 2020 at 06:57

Телеграм чат по Envoy: t.me / envoyproxy_ru

UFO just landed and posted this here

mirwide Feb 24 2020 at 13:13

Почему? Их через запятую можно указывать x-envoy-retry-on
Если настроить активные хелсчеки и outlier detection, ретраи почти не нужны.

Elufimov Feb 25 2020 at 09:16

У хапрокси есть отдельный проект с http api для точечного изменения конфигурации и валидации конфига перед применением github.com/haproxytech/dataplaneapi

romy4 Aug 2 2020 at 21:36

Мне кажется, ещё не исчерпались возможности nginx+lua.