在 Istio Ambient 模式中,HTTP/2 CONNECT 隧道是实现 HBONE(基于 HTTP 的覆盖网络环境)的关键机制。通过移除 Sidecar,这种模式显著简化了服务网格的部署和管理,同时依靠代理支持透明流量传输。本篇博客将展示如何使用两个 Envoy 实例搭建 HTTP/2 CONNECT 隧道,并深入解析其工作原理。
这个示例来源于 Envoy 官方文档中关于 Tunneling TCP over HTTP 的说明与示例。通过该示例,两个 Envoy 代理被用于模拟 HBONE 隧道的核心操作过程,其中:
- 客户端:发送诸如
https://www.baidu.com
的 curl 请求。 - Envoy1:封装请求。
- Envoy2:解封装请求并转发到上游服务器。
- 上游服务器:目标服务器,例如
www.baidu.com
。
架构图如下:
通过两个 Envoy 建立 HBONE 隧道,不仅是对其技术原理的验证,还具有重要的实际用途。本文的示例旨在:
- 展示透明代理与流量拦截:无需修改应用程序,Envoy 能透明地代理和转发流量,适用于现有应用场景。
- 确保数据安全与加密传输:隧道内使用 TLS 加密,确保数据在不受信任的网络中传输时的安全性。
- 优化高效流量管理:借助 HTTP/2 的多路复用特性,大幅提高数据传输效率。
- 提供实验环境验证服务网格功能:通过该设置,开发者可以在可控环境中测试和调试服务网格中的通信行为。
这些功能让该示例不仅服务于理论研究,还为实际生产部署提供指导。
为什么选择两个 Envoy 的架构?
在 上一篇博客 中,我着重介绍了 Envoy 与上游服务器建立 HTTP/2 CONNECT 隧道的基本原理,但示例中通过自定义支持 CONNECT 的服务器简化了实际场景。为了更真实地模拟 HBONE 的运行原理,我们选择了两个 Envoy 的架构。这种设置具有以下优势:
1. 更贴近真实网络场景
- 在实际应用中,客户端通常通过本地或企业代理(第一个 Envoy)访问外部网络,而这些代理通过边界代理(第二个 Envoy)与目标服务器通信。
- 两个 Envoy 的设置模拟了这种代理链的结构,清晰展示了隧道的作用和数据流向。
2. 清晰体现隧道的建立过程
- 第一个 Envoy(封装端)接收客户端流量,将其封装为 HTTP/2 CONNECT 请求。
- 第二个 Envoy(解封装端)接收 CONNECT 请求,解封装后将原始数据转发到上游服务器。
- 隧道建立的起点和终点分离,逻辑更清晰。
3. 支持多客户端和多路复用
- 多个客户端可通过第一个 Envoy 发起请求,所有请求通过共享的 HTTP/2 隧道到达第二个 Envoy,再解封装后转发到目标服务器。
- 展示了 HTTP/2 的多路复用能力,提高了通信效率。
4. 灵活演示 HTTP 升级和 CONNECT 功能
- 可以分别演示以下场景:
- HTTP/1.1 升级到 HTTP/2。
- 使用 HTTP/2 CONNECT 创建隧道。
- 隧道内传递 HTTP 流量的过程。
5. 验证 TLS 和安全性
- 两个 Envoy 之间的通信使用 TLS,确保隧道中的数据加密传输。
- Envoy 与客户端及上游服务器之间的 TLS 配置可独立验证其安全管理能力。
两个 Envoy 之间如何建立隧道?
下图展示了两个 Envoy 之间通过 HTTP/2 CONNECT 建立隧道的过程。
下面是详细步骤说明:
客户端连接到第一个 Envoy(封装端):
- 客户端发送 TCP 或 HTTP 流量到 Envoy1。
- Envoy1 配置了一个监听器,用于接收客户端的流量并将其转发到指定的上游。
封装流量为 HTTP/2 CONNECT 请求:
- Envoy1 将接收到的流量通过
tunneling_config
配置,封装为 HTTP/2 CONNECT 请求。 - CONNECT 请求的目标地址和端口信息嵌入到请求头部。
- 通过 TLS 加密,确保传输过程中的数据安全。
- Envoy1 将接收到的流量通过
发送 CONNECT 请求到第二个 Envoy(解封装端):
- Envoy1 通过其
cluster
配置,将封装后的 CONNECT 请求发送到 Envoy2。 - HTTP/2 协议的多路复用能力使多个客户端的流量可以复用同一个隧道连接。
- Envoy1 通过其
第二个 Envoy 解封装 CONNECT 请求:
- Envoy2 接收到 CONNECT 请求后,验证 TLS 连接的完整性和有效性。
- 解封装 CONNECT 请求,从数据流中提取原始 TCP 数据包。
转发解封装后的数据到目标服务器:
- Envoy2 通过其
route
和cluster
配置,将解封装后的数据发送到上游服务器。 - 这一过程对客户端和目标服务器透明,无需它们感知中间代理的存在。
- Envoy2 通过其
两个 Envoy 实现了从客户端到目标服务器之间的透明通信,同时保持了数据传输的安全性和高效性。
实现步骤
这种设置的具体示例可以在 Envoy 示例配置目录 中找到。
准备环境
在开始之前,请确保你的环境满足以下要求:
# 检查 Envoy 版本
envoy --version
# 创建工作目录
mkdir envoy-tunnel-demo
cd envoy-tunnel-demo
建议使用 Envoy v1.28+ 版本以确保所有功能正常工作。
Envoy 1(封装端)配置
示例文件: encapsulate_in_http2_connect.yaml
Envoy 1 接收客户端的 TCP 或 HTTP 流量,并将其封装为 HTTP/2 CONNECT 请求发送到 Envoy 2:
|
|
配置关键点解析:
- 监听器配置:在
:10000
端口监听客户端连接 - 隧道配置:
tunneling_config
指定如何封装流量 - TLS 配置:使用自签名证书进行安全传输
- 上游集群:指向第二个 Envoy 实例(
:20000
端口)
说明:hostname
配置成什么值都无关紧要,因为它仅用于 HTTP/2 CONNECT 请求的 :authority
头,作为协议的标识字段,不会影响隧道内透明传输的数据,也不会对实际的流量处理产生作用,除非下游对该字段进行验证。
运行 Envoy 1:
envoy -c encapsulate_in_http2_connect.yaml
Envoy 2(解封装端)配置
示例文件: terminate_http2_connect.yaml
Envoy 2 接收来自 Envoy 1 的 HTTP/2 CONNECT 流量,解封装并将原始数据转发到上游服务器:
|
|
配置关键点解析:
- CONNECT 处理器:专门处理 HTTP/2 CONNECT 请求
- 路由配置:将解封装的流量路由到外部服务器
- TLS 终止:接收并解密来自 Envoy 1 的加密流量
- 上游配置:支持动态转发到任意目标服务器
运行 Envoy 2:
envoy -c terminate_http2_connect.yaml
证书生成
为了确保两个 Envoy 之间的 TLS 通信,我们需要生成必要的证书:
# 生成 CA 私钥
openssl genrsa -out ca-key.pem 2048
# 生成 CA 证书
openssl req -new -x509 -key ca-key.pem -out ca-cert.pem -days 365 -subj "/CN=Test CA"
# 生成服务器私钥
openssl genrsa -out server-key.pem 2048
# 生成服务器证书签名请求
openssl req -new -key server-key.pem -out server.csr -subj "/CN=localhost"
# 签发服务器证书
openssl x509 -req -in server.csr -CA ca-cert.pem -CAkey ca-key.pem -CAcreateserial -out server-cert.pem -days 365
测试验证
基本连通性测试
发送 curl 请求测试隧道功能:
curl -H 'Host: www.baidu.com' --resolve www.baidu.com:10000:127.0.0.1 https://www.baidu.com:10000 -k
|
|
结果显示成功建立 TLS 连接,并返回目标服务器的 HTTP 响应。
将两个 Envoy 合并为一个 Envoy 实例既作为封装端(处理客户端的 TCP/HTTP 请求并将其封装为 HTTP/2 CONNECT 请求),又作为解封装端(接收封装流量并转发到目标服务器)。
这种合并配置在某些简化场景下很有用,特别是在测试环境或需要减少组件数量的情况下。
|
|
总结
通过两个 Envoy 实例的协作,我们清晰地展示了 HTTP/2 CONNECT 隧道的建立过程及其在代理链中的作用。这种设置不仅真实模拟了 Istio Ambient 模式中 HBONE 的通信机制,也验证了 Envoy 在透明代理、安全通信和高效流量管理中的强大能力。
关键收获
- 技术理解:深入理解了 HTTP/2 CONNECT 隧道的工作原理
- 实践经验:掌握了 Envoy 配置和调试技巧
- 架构洞察:了解了现代服务网格的发展趋势
- 应用价值:认识到 HBONE 在云原生环境中的重要作用
下一步探索
- 尝试在生产环境中部署类似的隧道架构
- 探索与其他云原生工具的集成
- 深入研究性能优化和安全加固
- 关注相关技术标准的发展动态
随着云原生技术的不断发展,HTTP/2 CONNECT 隧道和 HBONE 技术将在服务网格、边缘计算和混合云架构中发挥越来越重要的作用。掌握这些技术不仅有助于理解现有系统的工作原理,更为未来的技术选型和架构设计提供了有力支撑。