使用 Ingress 访问 Dapr 应用

在 上一篇 文章中分享了分布式运行时 Dapr 的使用，在示例中将状态存储能力分离到 Dapr 运行时中，应用通过 Dapr API 来使用该能力。这篇文章将介绍如何通过 Ingress Controller（入口控制器）来访问 Dapr 应用。

方案

如何公开 Dapr 应用的访问，方案有两种：

1. 像传统用法一样，配置应用的 Service 作为后端，由入口控制器直接将流量转发到应用容器，简单说就是支持自动配置的 L7 负载均衡器。
2. 不直接访问应用容器，而是通过 Daprd 运行时来访问。这时，我们就需要将入口控制器也声明为 Dapr 应用，为其注入 Daprd 运行时容器。此时创建入口规则指向的后端，则是 Ingress 的 Dapr Service。

两种方案各有优劣，前者架构简单；后者虽然引入 Daprd 容器，架构复杂，消耗了更多的资源，但也因此可以使用 Dapr 的服务治理能力，如超时、重试、访问控制等等。

接下来我们将通过示例来分别验证两种方案。

演示

前置条件

• helm
• dapr cli

安装集群

export INSTALL_K3S_VERSION=v1.23.8+k3s2
curl -sfL https://get.k3s.io | sh -s - --disable traefik --write-kubeconfig-mode 644 --write-kubeconfig ~/.kube/config

安装 Dapr

dapr init --kubernetes --wait

安装入口控制器

这里使用 Flomesh 的入口控制器。通过 valus.yaml 为入口控制器添加 dapr 相关的注解。这里需要注意由于默认情况下 Daprd 运行时监听的端口是绑定在回环地址上的，而 Ingress 向后端转发请求时使用的是 Pod IP，因此需要注解 dapr.io/sidecar-listen-addresses: "[::],0.0.0.0" 让 Daprd 运行时可以接收来自 Pod IP 的请求。

# values.yaml
fsm:ingress:podAnnotations:dapr.io/sidecar-listen-addresses: "[::],0.0.0.0"dapr.io/enabled: "true"dapr.io/app-id: "ingress"dapr.io/app-port: "8000"dapr.io/enable-api-logging: "true"dapr.io/config: "ingressconfig"

helm repo add fsm https://charts.flomesh.io
helm repo updatehelm install \--namespace flomesh \--create-namespace \--version=0.2.1-alpha.3 \-f values.yaml \fsm fsm/fsm

部署示例应用

示例应用我们使用 kennethreitz/httpbin，为其添加 dapr 相关的注解。

kubectl create ns httpbinkubectl apply -n httpbin -f - <

kubectl apply -n httpbin -f - <

curl HOST_IP:80/httpbin/get
{"args": {},"headers": {"Accept": "*/*","Connection": "keep-alive","Content-Length": "0","Host": "10.0.0.13:80","User-Agent": "curl/7.86.0"},"origin": "10.42.0.18","url": "http://10.0.0.13:80/get"
}

kubectl apply -n flomesh -f - <

curl HOST_IP:80/dapr/get -H 'dapr-app-id:httpbin.httpbin'
{"args": {},"headers": {"Accept": "*/*","Accept-Encoding": "gzip","Connection": "keep-alive","Dapr-App-Id": "httpbin.httpbin","Dapr-Callee-App-Id": "httpbin","Dapr-Caller-App-Id": "ingress","Forwarded": "for=10.42.0.18;by=10.42.0.18;host=fsm-ingress-pipy-864d8d9c76-4kb7r","Host": "127.0.0.1:80","Proto": "HTTP/1.1","Protomajor": "1","Protominor": "1","Referer": "","Traceparent": "00-00000000000000000000000000000000-0000000000000000-00","User-Agent": "curl/7.86.0","X-Forwarded-Host": "fsm-ingress-pipy-864d8d9c76-4kb7r"},"origin": "10.42.0.18","url": "http://fsm-ingress-pipy-864d8d9c76-4kb7r/get"
}

kubectl apply -n httpbin -f - <

kubectl rollout restart deploy httpbin -n httpbin

curl HOST_IP:80/dapr/get -H 'dapr-app-id:httpbin.httpbin'
{"args": {},"headers": {"Accept": "*/*","Accept-Encoding": "gzip","Connection": "keep-alive","Dapr-App-Id": "httpbin.httpbin","Dapr-Callee-App-Id": "httpbin","Dapr-Caller-App-Id": "ingress","Forwarded": "for=10.42.0.40;by=10.42.0.40;host=fsm-ingress-pipy-864d8d9c76-jctcx","Host": "127.0.0.1:80","Proto": "HTTP/1.1","Protomajor": "1","Protominor": "1","Referer": "","Traceparent": "00-00000000000000000000000000000000-0000000000000000-00","User-Agent": "curl/7.86.0","X-Forwarded-Host": "fsm-ingress-pipy-864d8d9c76-jctcx"},"origin": "10.42.0.40","url": "http://fsm-ingress-pipy-864d8d9c76-jctcx/get"
}

curl HOST_IP:80/dapr/headers -H 'dapr-app-id:httpbin.httpbin'
{"errorCode": "ERR_DIRECT_INVOKE","message": "fail to invoke, id: httpbin.httpbin, err: rpc error: code = PermissionDenied desc = access control policy has denied access to appid: ingress operation: headers verb: GET"
}

本文来自互联网用户投稿，文章观点仅代表作者本人，不代表本站立场，不承担相关法律责任。如若转载，请注明出处。 如若内容造成侵权/违法违规/事实不符，请点击【内容举报】进行投诉反馈！