我们最近做了一个envoy代理,使用envoyproxy/envoy:latest镜像进行本地测试,但遇到代理失败的情况,我们将记录整个进程。
配置代理参考了envoyproxy官方前端代理的样例配置作为蓝本,并将其更改为自己的配置。 内容如下。
static _ resources : listeners :-address : socket _ address 3360 address 3360.0.0 port _ value 33609901 filt tor tion _ manager typed _ config : ' @ type ' 3360 type.googleapis.com envoy.extensions.filters.net work.http _ cons 3360 autostat name : local _ route virtual _ hosts :-name : back end domains :-' * ' routes :-match : prefix ' route : cluster 3360 service1 http _ filters 3360-name : envoy.filters.http.router clusters 3360-name 3360 service ect robin load _ assignment 3360 cluster _ name 3360 service1 end points 3360-lb dress : socket _ address : address 3360127.0.0 . log_path3360/tmp/admin _ access.log address 3360 socket _ address : address :0.0 port _ value 33608001 layered _ runtime 3360 layered ce _ limits : listener : example _ listener _ name 3360 connection _ limit 336010000
容器的启动命令如下:
$ docker run-d---RM---name envoy-p 990133609901-p 800133608001-v/config/path/in/host/test.YAML 3360
upstream服务逻辑请求转发到本机8000端口,upstream在go中实现,代码简单,回显hello world,同时打印请求header
包管理器(' flag ' ' fmt ' ' net/http ' ' strings ' ' time ' ) funcgreet ) whttp.responsewriter,r * http.rresponse v :=ranger.header { varheaderstringfor _,v 13360=' } header=strings.trim right (header,',') fmt.printf
port", ":8000", "-port=:8000")flag.Parse()http.HandleFunc("/", greet)if err := http.ListenAndServe(port, nil); err != nil {fmt.Println(err.Error())}}一切就绪,运行服务,开始测试
现象通过本机curl请求,发现提示无法连接到上游主机
$ curl http://localhost:9901/upstream connect error or disconnect/reset before headers. reset reason: connection failure 分析初步判断是由于容器的网络隔离,无法访问宿主机导致的。遂docker exec -it envoy /mgdgs/bash,安装网络包后,请求8000端口,是不通的,验证了网络隔离的猜测。
上网查了一下,在Stack Overflow的这个回答下,针对不同的操作系统环境,给出了不同的解决方案。但是这里首先要理解一下docker的network参数
network参数network参数常见可选值有none、host、bridge
none:fkdmla,禁用容器网络,这个时候容器无法访问外部网络,外部也无法访问容器,你的-p参数也会被忽略
bridge:桥接,也是默认模式,容器会与宿主进行桥接,通过一个桥接的docker0网卡进行通信
host:即撤销网络隔离,这个模式下,你不需要要指定-p参数,容器内监听什么端口,就直接会绑定到宿主的同一端口上,这时容器和宿主是没有隔离的
在综合考虑之后,host模式虽然可以解决问题,但不是我想要的,必要的隔离还是需要的,所以优选bridge模式。
对于bridge模式,在linux环境下,docker deamon会创建一个docker0的网卡,用作网桥,实现容器和宿主的通信,但mac系统下隔离技术与linux不同,所以并不会创建这个网卡。
因为bridge是默认的网络选项,我们不需要修改docker启动命令。
那么mac上如何从容器内访问宿主的服务呢?
我本机安装了Docker desktop for mac,自带docker deamon。版本是3.6.0,内置docker engine是20.10.8。
在17.12版本之前,可以通过host名docker.for.mac.localhost来访问宿主,17.12版本及以后,可以通过docker.for.mac.host.internal来访问宿主。
登录到容器内通过ping进行验证如下:
其中解析IP地址就是我的本机地址
调整envoy配置根据以上分析,调整envoy配置中clusters下的上游主机地址,将127.0.0.1替换为docker.for.mac.localhost或docker.for.mac.host.internal,即可实现代理对宿主机的访问。