Arbeitsbelastungen versus Dienstleistungen

Wir werden in diesem Kapitel oft von "Workloads" sprechen, aber manchmal auch von "Services" und manchmal von "Diensten". Leider haben diese drei Begriffe alle etwas unterschiedliche Bedeutungen:

Service

Eine Kubernetes-Ressource, die häufig verwendet wird, um zu steuern, wie Kubernetes DNS-Namen und IP-Adressen für Dienste zuweist (siehe Abbildung 4-1).

Arbeitsbelastung

Eine Sache, die tatsächlich in deinem Namen arbeitet. Ein Workload empfängt Anfragen über das Netzwerk und führt Code aus, um Aktionen auszuführen. In Kubernetes handelt es sich in der Regel um einen oder mehrere Pods (die die Berechnungen durchführen), die oft von einer Deployment- oder DaemonSet-Ressource verwaltet werden, sowie um einen oder mehrere Services (die die Namen und IP-Adressen verwalten), wie in Abbildung 4-1 dargestellt.

Service

Ein weniger formaler Begriff, der sich je nach Kontext entweder auf einen Service oder einen Workload beziehen kann. Diese Ungenauigkeit ist nur einer von vielen Fällen, in denen die Kubernetes-Terminologie viel verwirrender ist, als wir es gerne hätten.

Abbildung 4-1. Die Arbeitsbelastung im Unterschied zum Dienst

Als Anwendungsentwickler kannst du in der Regel einfach "Dienst" sagen und darauf vertrauen, dass die Leute mit dieser Zweideutigkeit einverstanden sind. Leider müssen wir oft präziser sein, wenn wir über Dienstnetze sprechen - deshalb sprechen wir hier von Workloads und nicht von Diensten.

Was bedeutet es, einen Workload zum Mesh hinzuzufügen?

"Einen Workload zum Mesh hinzufügen" bedeutet eigentlich "den Linkerd-Sidecar zu jedem Pod deines Workloads hinzufügen", wie in Abbildung 4-2 gezeigt.

Letztendlich bedeutet das, dass du die Definition des Pods ändern musst, um den Sidecar-Container einzubinden. Du könntest dazu zwar die YAML-Definition des Pods manuell bearbeiten, aber es ist viel einfacher und sicherer, Linkerd die Arbeit machen zu lassen.

Linkerd beinhaltet einen Kubernetes admission controller, genanntlinkerd-proxy-injector. Seine Aufgabe ist es, Linkerd-Proxys in die Pods der Workloads zu injizieren. Natürlich macht er das nicht blind, sondern sucht nach Kubernetes-Annotationen, die ihm sagen, welche Pods injiziert werden müssen (siehe Abbildung 4-3).

Abbildung 4-2. Hinzufügen eines Workloads zum Netz

Abbildung 4-3. Der Proxy-Injektor

Alle Workloads in einen Namensraum injizieren

Du kannst die Annotation linkerd.io/inject zu einem Namespace und nicht zu einem Pod hinzufügen. Wenn du das getan hast, wird jeder neue Pod, der in diesem Namensraum erstellt wird, injiziert (und auch hier spielt es keine Rolle, warum der neue Pod erstellt wird).

Das kann sehr nützlich sein, wenn die Automatisierung Pods erstellt, es aber schwierig oder fehleranfällig ist, die Annotationen der Pods selbst zu ändern. Einige Ingress-Controller erstellen zum Beispiel jedes Mal, wenn du eine Ressource änderst, neue Deployments. Anstatt die vom Ingress-Controller verwendete Pod-Vorlage mühsam zu ändern (falls das überhaupt möglich ist), kannst du einfach den Namensraum annotieren, in dem die Deployments erstellt werden sollen.

linkerd.io/inject Werte

Der Wert der Anmerkung linkerd.io/inject spielt eine Rolle - es geht nicht nur darum, einen nicht leeren String zu haben. Es gibt drei bestimmte Werte, die von Bedeutung sind:

linkerd.io/inject: enabled

Der häufigste Fall:linkerd-proxy-injector fügt dem Pod einen Proxy-Container hinzu und weist den Proxy an, in seinem "normalen" Modus zu laufen.

linkerd.io/inject: ingress

linkerd-proxy-injector fügt dem Pod einen Proxy-Container hinzu, der jedoch im "Ingress"-Modus läuft (den wir in Kapitel 5 besprechen werden).

linkerd.io/inject: disabled

Damit wird linkerd-proxy-injector explizit angewiesen, das Proxy-Sidecarnicht hinzuzufügen, auch wenn es eine Namespace-Annotation gibt, die andernfalls besagen würde, dass das Sidecar hinzugefügt werden soll.

Auf den Ingress-Modus gehen wir in Kapitel 5 näher ein: Er ist ein Workaround für Ingress-Controller, die nur Anfragen direkt an Workload-Endpunkte weiterleiten können. In den meisten Fällen solltest du linkerd.io/inject: enabled verwenden, um den "normalen" Modus zu erhalten.

Warum solltest du dich entscheiden, einen Workload nichtzum Mesh hinzuzufügen?

Generell:

• Du willst immer deine Anwendungs-Workloads zum Netz hinzufügen.

• Du willst niemals eine Cluster-Infrastruktur zum Netz hinzufügen.

So werden z.B. Dinge, die im kube-system Namensraum stehen, niemals injiziert. Alle diese Pods sind so konzipiert, dass sie sich selbst schützen, egal was sonst noch passiert, und einige von ihnen müssen sicher sein, dass sich nichts zwischen ihnen und der Netzwerkschicht befindet, deshalb solltest du sie nicht injizieren.

Ebenso sollte ein Webhook für die Kubernetes-Konvertierung (wie im application-codeNamensraum in Abbildung 4-3 gezeigt) nicht im Mesh enthalten sein. Der Webhook-Mechanismus selbst stellt bereits besondere Anforderungen an TLS, und das Mesh wird dabei nicht helfen. (Ein weiteres gutes Beispiel sind CNI-Implementierungen: Sie benötigen direkten Zugriff auf die Netzwerkschicht und sollten daher nicht eingefügt werden.

Andererseits sollten die Workloads, die Teil deiner Anwendung sind, die im Cluster läuft, immer in das Mesh injiziert werden. Alle diese Richtlinien sind in Abbildung 4-4 dargestellt.

Abbildung 4-4. Injiziere die Anwendung, nicht die Infrastruktur

Andere Proxy-Konfigurationsoptionen

Obwohl die grundlegende linkerd.io/inject Annotation die einzige Proxy-Konfigurationsoption ist, die du angeben musst, gibt es noch eine ganze Reihe anderer Dinge, die du für den Proxy konfigurieren kannst. Die vollständige Liste findest du in derLinkerd Proxy Configuration Dokumentation, aber zwei Bereiche, über die du dich von Anfang an informieren solltest, sind die Protokollerkennung und dieRessourcenbeschränkungen von Kubernetes.

Protokoll-Erkennung

Wie wir in Kapitel 1 besprochen haben, legt Linkerd großen Wert auf eine einfache Bedienung; wann immer es möglich ist, versucht Linkerd sicherzustellen, dass die Dinge einfach funktionieren, wenn du deine Anwendung ins Netz bringst. Die Protokollerkennung ist dabei ein wichtiger Bestandteil, denn Linkerd muss das Protokoll kennen, das über eine Verbindung verwendet wird, um die Verbindung korrekt zu verwalten, wie in Abbildung 4-5 gezeigt.

Abbildung 4-5. Protokoll-Erkennung

Es gibt mehrere Gründe, warum Linkerd (oder jedes andere Netz) das Protokoll kennen muss, das über die Leitung verwendet wird. Wir gehen hier nur auf ein paar davon ein:

Beobachtbarkeit

Linkerd kann keine richtigen Messwerte liefern, ohne den Fluss des Protokolls zu verstehen. Die Identifizierung von Anfang und Ende einer Anfrage ist entscheidend für die Messung der Anfragerate und der Latenzzeit. Das Lesen des Status einer Anfrage ist entscheidend für die Messung der Erfolgsrate.

Verlässlichkeit

Jede Zuverlässigkeitsfunktion, die über die grundlegendste hinausgeht, erfordert die Kenntnis des Protokolls im Flug. Nehmen wir zum Beispiel den Lastausgleich: Wenn Linkerd das Protokoll nicht kennt, kann er nur einen verbindungsbasierten Lastausgleich durchführen, bei dem eine eingehende TCP-Verbindung einem bestimmten Workload Pod zugewiesen wird.

Der verbindungsbasierte Lastausgleich funktioniert jedoch nicht sehr gut bei Protokollen wie HTTP/2 und gRPC. Bei diesen Protokollen kann eine einzige langlebige Verbindung viele Anfragen befördern, wobei mehrere Anfragen gleichzeitig aktiv sind. Linkerd kann die Zuverlässigkeit und Leistung drastisch verbessern, indem es einzelne Anfragen den Pods zuweist, anstatt eine ganze Verbindung an einen Pod zu binden. (Ein lustiger Linkerd-Faktor ist, dass er dies automatisch und ohne Konfiguration tut; installiere Linkerd einfach und du bekommst es kostenlos).

Sicherheit

Wenn ein Workload eine TLS-Verbindung zu einem anderen Workload herstellt, sollte Linkerd nicht versuchen, sie neu zu verschlüsseln. Er sollte auch nicht versuchen, irgendetwas Ausgefallenes mit der Lastverteilung zu machen, da er nichts innerhalb der Verbindung sehen kann. (Das bedeutet, dass du die besten Ergebnisse mit Linkerd erzielst, wenn deine Workloads bei der Verbindung untereinander kein TLS verwenden: Lass Linkerd mTLS für dich machen!)

Opake Ports versus Skip Ports

Wenn du Linkerd sagst, dass es eine Verbindung überspringen soll, heißt das, dass es mit dieser Verbindung absolut nichts zu tun haben soll. Tatsächlich berühren die Linkerd-Proxys die Verbindung überhaupt nicht: Die Pakete fließen direkt von Workload zu Workload.

Das bedeutet, dass Linkerd kein mTLS, keinen Lastausgleich, keine Metriksammlung oderähnliches durchführen kann. Die Verbindung findet praktisch komplett außerhalb des Netzes statt.

Eine undurchsichtige Verbindung hingegen geht durch die Linkerd-Proxys, was bedeutet, dass sie über mTLS übertragen wird. Sie ist immer noch verschlüsselt und Linkerd setzt alle konfigurierten Richtlinien durch, aber du erhältst nur Metriken pro Verbindung und Lastausgleich (weil Linkerd weiß, dass es nicht in den Stream sehen kann, um einzelne Anfragen zu betrachten).

Diese Unterscheidung ist in Abbildung 4-6 dargestellt.

Abbildung 4-6. Undurchsichtige Ports versus Skip Ports

Wenn du brauchst, um Server-Speaks-First-Protokolle zu verwenden, ist es also besser, sie als undurchsichtig zu markieren, als sie ganz zu überspringen. Das Überspringen sollte nur notwendig sein, wenn das Ziel des Datenverkehrs nicht Teil deines Netzes ist. Da undurchsichtige Verbindungen immer noch auf einen Linkerd-Proxy angewiesen sind, um mTLS auszuführen, können sie nicht funktionieren, wenn es keinen Proxy gibt, der die Verbindung empfängt!

Zusammenfassung

Da hast du es also: eine Anleitung, wie du deine Workloads zu einem effektiven Teil des Linkerd-Netzes machen kannst. Hoffentlich hast du jetzt ein gutes Verständnis dafür, wie alles funktioniert, und kennst die Stolpersteine auf dem Weg dorthin (z.B. Server-Speaks-First-Protokolle). Als Nächstes geht es darum, Linkerd und Ingress-Controller zusammenzubringen.