Envoy

本文摘自我的开源图书：《Istio & Envoy 底细》 中的：HCM upstream/downstream 事件驱动合作下的 HTTP 反向代理流程 一节。能够下载 pdf 或在线浏览。如转载图片不清，可回到原文。HTTP 反向代理的总流程整体看，Socket 事件驱动的 HTTP 反向代理总流程如下： 图中看出，有4种事件驱动了整个流程。前面几节会一一剖析。 Downstream Read Request 模块合作 图：Downstream Read-Ready 模块合作 用 Draw.io 关上 大略阐明一下流程： downstream socket 可读回调Http::ConnectionManagerImpl 读取 socket，增量放入 Http1::ConnectionImplHttp1::ConnectionImpl 调用 nghttp2 增量解释 HTTP 申请如果 nghttp2 认为曾经 残缺读取了 HTTP Request 申请，则调用 Http::ServerConnection::onMessageCompleteBase()Http::ServerConnection::onMessageCompleteBase() 首先 进行 downstream ReadReady 监听Http::ServerConnection::onMessageCompleteBase() 调用 Http::FilterManager ，发动 http filter chain 的 decodeHeaders 迭代流程个别，http filter chain 的最初一个 http filter 是 Router::Filter ，Router::Filter::decodeHeaders() 被调用Router::Filter::decodeHeaders() 的逻辑就见下图了。Downstream Request Router 模块合作 ...

文｜朱德江（GitHub ID：doujiang24) MOSN 我的项目外围开发者蚂蚁团体技术专家 专一于云原生网关研发的相干工作 本文 1445 字 浏览 5 分钟 上一篇咱们用一个简略的示例，体验了用 Golang 扩大 Envoy 的极速上手。 这次咱们再通过一个示例，来体验 Golang 扩大的一个弱小的个性： 从 Envoy 接管配置 。 Basic Auth咱们还是从一个小示例来体验，这次咱们实现规范的 Basic Auth 的认证，与上一次示例不同的是，这次认证的用户明码信息，须要从 Envoy 传给 Go，不能在 Go 代码中写死了。 残缺的代码能够看 example-basic-auth[1]，上面咱们开展介绍一番。 获取配置为了更加灵便，在设计上，Envoy 传给 Go 的配置是 Protobuf 的 Any 类型，也就是说，配置内容对于 Envoy 是通明的，咱们在 Go 侧注册一个解析器，来实现这个 Any 配置的解析。 如下示例： func init() { // 注册 parser http.RegisterHttpFilterConfigParser(&parser{})}func (p *parser) Parse(any *anypb.Any) interface{} { configStruct := &xds.TypedStruct{} if err := any.UnmarshalTo(configStruct); err != nil { panic(err) } v := configStruct.Value conf := &config{} if username, ok := v.AsMap()["username"].(string); ok { conf.username = username } if password, ok := v.AsMap()["password"].(string); ok { conf.password = password } return conf}这里为了不便，Any 中的类型是 Envoy 定义的 TypedStruct 类型，这样咱们能够间接应用现成的 Go pb 库。 ...

原文地址：Envoy bazel 学习 & 踩坑 近一年有开始折腾 Envoy 了，在 bazel 这块踩了一些坑，总结记录下的，次要是集体的体感，不肯定精确，欢送批评指正。 bazel 是个啥编译构建工具，跟罕用的 Makefile 是相似的。 只是，bazel 更简单，上手门槛更高，以我的集体的体验来看，次要是为了晋升表达能力，可编程能力更强。 Makefile 通常是用于简略的形容，偶然会搞个函数啥的；然而在 bazel 里，会看到大面积的自定义函数。 为啥 Envoy 须要 bazelEnvoy 是个 C++ 我的项目，C/C++ 这种比拟老的语言，没有内置依赖包管理器这种先进个性（相比较而言，Go 语言在这块就先进了许多）。 我的了解，对于 Envoy 来说，bazel 一个次要的作用就是，补齐了依赖包治理。如果仅仅是编译，Makefile 之类的简略工具，应该也够用了。 几个概念有几个罕用的基本概念，先理解一下的 WORKSPACE在我的项目的根目录，会有一个 WORKSPACE 文件，用于形容整个我的项目的，最次要是形容了依赖库，比拟相似于 Go 语言中的 go.mod，go.sum。 比方 Envoy 的 WORKSPACE 文件中，有这样的形容： load("//bazel:repositories.bzl", "envoy_dependencies")envoy_dependencies()其中，具体依赖库的详细信息，在 bazel/repository_locations.bzl 文件里。比方上面这个示例： boringssl = dict( project_name = "BoringSSL", project_url = "https://github.com/google/boringssl", version = "098695591f3a2665fccef83a3732ecfc99acdcdd", sha256 = "e141448cf6f686b6e9695f6b6459293fd602c8d51efe118a83106752cf7e1280", strip_prefix = "boringssl-{version}", urls = ["https://github.com/google/boringssl/archive/{version}.tar.gz"], ),形容的是依赖库 boringssl，是不是很像 go.mod，go.sum。 ...

原文地址：Envoy 开发入门：搞懂 http filter 状态码 对于 http filter，Envoy 提供了一大堆状态码，尽管每个都有不少的正文，然而仍旧很头大，傻傻搞不清楚。 本文记录一下本人的了解，如有谬误，欢送斧正~ http filter 是什么Envoy 提供的 http 层的扩大机制，开发者能够通过实现 Envoy 约定的接口，在 Envoy 的解决流程中注入逻辑 比方，这两个申请阶段的接口： Http::FilterHeadersStatus decodeHeaders(Http::RequestHeaderMap& headers, bool end_stream)Http::FilterDataStatus decodeData(Buffer::Instance& data, bool end_stream)如果想批改申请头，那就在 decodeHeaders 中批改 headers，如果想批改申请的 body，那就在 decodeData 中批改 data。 本文所关注的状态码，就是这些函数的返回值，比方示例中的 FilterHeadersStatus 和 FilterDataStatus。 Envoy 为 filter 提供了啥流式 这个从下面的从 API 模式就可以看进去，外围是，http header 以及 http body 的每个 data 块，是一个个解决的。 异步 当一个 filter 在处理过程中，如果须要期待内部响应，也能够先反馈给 Envoy 某种状态，等 filter ready 之后再持续。 并发 这个其实很天然，因为有流式，所以，从逻辑上来说，不同的 filter 之间是存在并发的。 然而，又容易被忽视，因为 Envoy 的工作模式中，具体到某个 http 申请是工作在单线程上的，所以容易有误会。 ...

服务网格成熟度一直晋升，云原生环境下流量解决愈发重要， Envoy Gateway 我的项目于近日发表开源，“旨在大幅升高将 Envoy 作为 API 网关的应用门槛”，引发了业界关注。2018 年 11 月，Envoy 成为 CNCF 毕业我的项目，开始作为一款高性能数据和服务代理软件为从业者所知，但尔后两三年，国内 API 网关实际中，选型 Envoy 仍是一条较为孤单的路线。 作为国内云原生实际的先行者，网易数帆轻舟云原生团队早在 2017 年就摸索基于 Istio 和 Envoy 实现服务网格平台及 API 网关，并于 2019 年实现该体系在严选电商业务的成熟利用。践行及今 6 载，在企业侧，网易数帆 Envoy Gateway 承载了互联网、银行、证券、能源等多行业头部企业外围业务流量，禁受了百亿级日流量的考验；在社区侧，团队于 2021 年开源了基于 Istio 和 Envoy 研发的 Hango Gateway，2022 年诞生了国内惟一的 Envoy Maintainer。 在此过程中，网易数帆也屡次分享了 Envoy Gateway 相干实际，并曾于 2020 年就网关技术路线展开讨论，力陈 Envoy Gateway 的劣势，与社区同道独特推动并见证 Envoy 一直成熟。网易数帆认为，Envoy Gateway 的开源，为 Envoy 成为规范数据面组件带来了一个良好的开始。 Envoy Gateway 我的项目：https://github.com/envoyproxy/gatewayHango 我的项目：https://github.com/hango-io/hango-gateway网易数帆云原生架构选定 Envoy在云原生技术体系建设中，网易数帆非常重视对立技术栈，认为这样能力升高研发老本，真正施展云原生的劣势。网格网关体系之所以抉择 Envoy，不仅仅是因为 Envoy 是 Istio 数据面默认的 Sidecar，更因为它是性能与性能都十分优良的“双优生”。尔后在网易严选业务的实际，验证了这一抉择的正确性。 ...

Envoy 能够作为 Sevice Mesh 微服务框架中的代理实现计划，Rainbond 内置的微服务框架同样基于 Envoy 实现。本文所形容的全局限速实际也是基于 Envoy 已有的计划所实现。Envoy 全局限速只管分布式熔断器在大多数状况下管制分布式系统中的吞吐量十分无效，但有时它的成果并不是很好，这时候便须要全局限速。最常见的状况是当大量主机转发到大量主机并且均匀申请提早很短时（例如，发送给数据库服务器的连贯/申请）。若指标主机成为备机，则上游主机将压垮上游集群。在这种状况下，很难对每个上游主机配置足够严格的熔断器，使得零碎能够安稳运行，同时，当零碎开始呈现故障时，依然能够避免级联故障。对于这种状况，全局限速是一个很好的解决方案。 Envoy 全局限速计划须要基于一个全局 RLS（rate limit service）服务实现，RLS 被设计为一种为不同类型利用提供不同限速场景的 Go/gRPC 服务。 构建全局限速服务一种开箱即用的全局限速服务曾经被纳入 Rainbond 内置的开源利用商店中，用户能够基于以下操作一键装置速率限度服务。 拜访内置的开源利用商店抉择左侧的 利用市场 标签页，在页面中切换到 开源利用商店 标签页，搜寻关键词 速率限度** 即可找速率限度服务。 一键装置点击速率限度服务右侧的 装置 能够进入装置页面，填写简略的信息之后，点击 确定 即可开始装置，页面主动跳转到拓扑视图。 参数阐明： 选择项阐明团队名称用户自建的工作空间，以命名空间隔离集群名称抉择速率限度服务被部署到哪一个 K8s 集群抉择利用抉择速率限度服务被部署到哪一个利用，利用中蕴含有若干有关联的组件利用版本抉择速率限度服务的版本，目前版本为 1.4.0期待几分钟后，速率限度服务就会装置实现，并运行起来。 全局限速配置通过在 Rate-limit-service 组件中编辑配置文件 /data/ratelimit/config/config.yaml，能够配置全局限速规范。 默认配置内容如下： domain: limit.commondescriptors: - key: remote_address rate_limit: unit: second requests_per_unit: 10 # Black list IP - key: remote_address value: 50.0.0.5 rate_limit: unit: second requests_per_unit: 0在这一段配置中，定义了面向域名 domain 实现每秒容许 10 个申请通过的限速配置。 ...

作者：Sunjay Bhatia 自2016年以来，将Envoy移植到Windows平台始终是该项目标指标之一，明天咱们冲动地发表了对Envoy的Windows原生反对的Alpha版本。贡献者社区始终在致力，将Envoy的丰盛性能带到Windows中，而这是使网络对任何应用程序（无论语言、架构或操作系统）“通明”的我的项目使命的又一步。 Envoy曾经被许多公司投入生产应用，Windows反对应该会凋谢它的应用到额定的云原生服务、遗留的.NET应用程序，以及一大堆其余的利用架构。特地有前景的是，用户能够将Envoy与运行在数据中心或公共云中Windows服务器上的Windows应用程序、基于Windows的容器，甚至桌面应用程序一起部署。 公布Alpha的路线是漫长的，然而咱们心愿尽了本人的一份力量，通过跨平台代码、新的形象和额定的测试覆盖率来改良Envoy代码库。如果你对将Envoy移植到Windows的过程有趣味，能够看看KubeCon 2019的演示文稿，以及行将在EnvoyCon 2020上的演示文稿。咱们要感激Envoy保护团队，特地是感激Matt Klein和Lizan Zhou使Windows贡献者小组可能达到这一里程碑。 Windows上的Alpha反对意味着什么？ 在Windows上对Envoy的Alpha反对意味着Envoy代码库曾经达到了一个阶段，贡献者和维护者社区置信它在Windows上足够稳固，能够供公众评估。通用可用性（General Availability，GA）也行将公布。咱们心愿通过公布这个Alpha版本，能够放慢收集社区反馈和奉献的过程，从而推动一个GA版本的公布。 因为进入了Alpha，Envoy在Windows上编译，当初每个pull申请和合并提交都须要通过CI测试。此外，还有一组专门的开发人员为Windows做出奉献，他们花工夫筛选报告的问题和bug，修复CI失败和测试缺点，并与保护人员一起确保代码品质和正确性（如果你违心参加这项工作，请参阅上面的内容）。Alpha版本并不意味着Envoy适宜或反对生产工作负载。 在Windows上如何开始应用Envoy？ 该我的项目始终将Envoy的的主分支视为公布候选品质，许多组织在生产中跟踪并部署主分支。因而，没有“标记的”Alpha公布提交，而是主分支应该被认为是Windows上的Alpha公布品质，直到一个GA公布产生。总的来说，Envoy代码库会继续疾速倒退，所以咱们倡议常常刷新源代码签出，以充分利用贡献者社区的反馈和改良。 从源代码构建 目前还不提供Envoy on Windows的二进制文件，必须从源代码构建。对于在Windows上应用Bazel设置构建环境和编译动态链接Envoy可执行文件的文档能够在这里找到。咱们还提供了一个基于Windows Server 2019服务器外围Docker容器镜像与所有须要的工具来构建和动态链接Envoy，请参阅此文件的更多细节。 应用例子 当你有了一个Envoy二进制文件，并且想开始相熟在Windows上应用Envoy，本教程是一个很好的终点。你将运行前端代理沙箱示例的一个批改版本，该示例演示了将Envoy与你的服务并行运行的长处：所有申请都由服务Envoy解决，并无效地路由到你的服务。 有什么特定于windows的区别须要留神吗？ Windows反对方面的工作仍在迅速进行，在这个Alpha版本中，大部分外围Envoy性能应该与Linux雷同。服务网格反对须要额定的平台性能，咱们心愿在行将公布的Windows中启用这个性能。Envoy的配置和应用在不同的平台之间不应该有任何区别，除非有通用平台的特定细节，如文件门路、套接字选项等。也就是说，Envoy的一些现有性能是在设计和实现时首先思考到Linux的，因而可能会在Windows上被禁用或在无限的能力下工作。你能够在这里找到Windows上性能进化或禁用的Envoy API列表。 我如何提供反馈并参加其中？ 咱们预期用户和新贡献者可能会遇到已知的问题，或其他人报告的新bug。如果你遇到问题，在GitHub上的Envoy问题跟踪器中的area/windows标签，和从主分支提取最新的Envoy起源是很好的终点。在任何新问题的题目中包含“Windows:”，并应用现有Envoy新问题模板，这将极大地帮忙分类。判若两人，除了Envoy源代码，欢送PR和问题来改良文档。 想要分割全职的Envoy on Windows贡献者，理解如何更多地参加到这个我的项目中，开发细节，以及具体的用户场景，请拜访Envoy slack的#envoy-windows-dev频道。咱们还专门为Windows贡献者举办了一次社区会议，你能够在Envoy CNCF日历上找到。除了Github的问题之外，每周的会议也是一个很好的中央，能够让你深刻理解并为Windows上的Envoy路线图做出奉献。envoy-dev和envoy-announce谷歌群是咱们征求反馈的另外两个路径。 咱们心愿依附社区，来取得尽可能多的里程，以在Windows上运行Envoy，并在咱们推动GA公布的同时倒退社区。你是否只是想评估Envoy是否适宜你在Windows环境的需要，或有趣味参加踊跃的Windows开发，该我的项目非常感谢具体的反馈。咱们期待与你单干，并听取你如何在Windows上应用Envoy！ 点击浏览网站原文。 CNCF (Cloud Native Computing Foundation)成立于2015年12月，隶属于Linux  Foundation，是非营利性组织。 CNCF（云原生计算基金会）致力于培养和保护一个厂商中立的开源生态系统，来推广云原生技术。咱们通过将最前沿的模式民主化，让这些翻新为公众所用。扫描二维码关注CNCF微信公众号。

网易如何利用Kubernetes支持全球互联网业务公司：网易地点：中国杭州行业：互联网技术挑战它的游戏业务是世界上最大的游戏业务之一，但这并不是网易为中国消费者提供的唯一服务。该公司还经营电子商务、广告、音乐流媒体、在线教育和电子邮件平台；最后一个通过163.com等网站为近十亿用户提供免费电子邮件服务。2015年，为所有这些系统提供基础设施的网易云团队，意识到他们的研发流程正在减缓开发者的速度。“我们的用户需要自己准备所有基础设施。”网易云和容器服务架构师Feng Changjian说。“我们渴望通过无服务器的容器服务，自动为我们的用户提供基础设施和工具。”解决方法在考虑建立自己的业务流程解决方案后，网易决定将其私有云平台建立在Kubernetes上。这项技术来自Google的事实让团队相信它可以跟上网易的规模。“经过2到3个月的评估，我们相信它可以满足我们的需求。”Changjian说。该团队在2015年开始使用Kubernetes，甚至在1.0之前。今天，网易内部云平台还利用了CNCF项目Prometheus、Envoy、Harbor、gRPC和Helm，在生产集群中运行10,000个节点，并且可以在一个集群中支持多达30,000个节点。基于其内部平台的经验，该公司向外部客户推出了基于Kubernetes的云和面向微服务的PaaS产品，网易轻舟微服务。影响网易团队报告说，Kubernetes使研发效率提高了100％以上。部署效率提高了280％。“在过去，如果我们想进行升级，我们需要与其他团队合作，甚至在其他部门工作。”Changjian说。“我们需要特殊的工作人员来准备一切，所以花了大约半个小时。现在我们可以在5分钟内完成。”新平台还允许使用GPU和CPU资源进行混合部署。“之前，如果我们将所有资源都用于GPU，我们就不会为CPU提供备用资源。但是现在我们通过混合部署得到了改进。”他说。这些改进也提高了资源的利用率。“该系统可以在一个集群中支持30,000个节点。在生产中，我们在单个集群中获得了10,000个节点的数据。整个内部系统正在使用该系统进行开发、测试和生产。” - Zeng Yuxing，网易架构师它的游戏业务是全球第五大，但这并非网易为消费者提供的唯一服务。该公司还在中国经营电子商务、广告、音乐流媒体、在线教育和电子邮件平台；其中最后一个通过163.com和126.com等热门网站为近十亿用户提供免费电子邮件服务。凭借这种规模，网易云团队为所有这些系统提供基础设施，在2015年发现他们的研发流程难以使开发者满足需求。“我们的用户需要自己准备所有基础设施。”网易云和容器服务架构师Feng Changjian说。“我们渴望通过无服务器的容器服务，自动为我们的用户提供基础设施和工具。”在考虑建立自己的业务流程解决方案后，网易决定将其私有云平台建立在Kubernetes上。这项技术来自Google的事实让团队相信它可以跟上网易的规模。“经过2到3个月的评估，我们相信它可以满足我们的需求。”Changjian说。“我们利用Kubernetes的可编程性，以便我们可以构建一个平台来满足内部客户的升级和部署需求。” - Feng Changjian，网易云和容器服务架构师该团队在2015年开始采用Kubernetes，甚至在1.0之前，因为它相对容易使用，并且让公司启用了DevOps。“我们放弃了Kubernetes的一些概念；我们只想使用标准化框架。”Changjian说。“我们利用Kubernetes的可编程性，以便我们可以构建一个平台来满足内部客户的升级和部署需求。”该团队首先专注于构建容器平台，以更好地管理资源，然后通过添加监控等内部系统，将注意力转向改进其对微服务的支持。这意味着整合CNCF项目Prometheus、Envoy、Harbor、gRPC和Helm。“我们努力提供简化和标准化的流程，因此我们的用户和客户可以利用我们的最佳实践。”Changjian说。团队正在继续改进。例如，企业的电子商务部分需要利用混合部署，这在过去需要使用两个独立的平台：基础架构即服务平台和Kubernetes平台。最近，网易创建了一个跨平台的应用程序，可以同时使用单命令部署。“只要公司拥有一支成熟的团队和足够的开发者，我认为Kubernetes是一种非常好的技术，可以帮助他们。” - Li Lanqing，网易Kubernetes开发者今天，网易内部云平台“可以在一个集群中支持30,000个节点。”架构师Zeng Yuxing说。“在生产中，我们在单个集群中获得了10,000个节点的数据。整个内部系统正在使用该系统进行开发、测试和生产。”网易团队报告说，Kubernetes使研发效率提高了100％以上。部署效率提高了280％。“在过去，如果我们想进行升级，我们需要与其他团队合作，甚至在其他部门工作。”Changjian说。“我们需要特殊的工作人员来准备一切，所以花了大约半个小时。现在我们可以在5分钟内完成。”新平台还允许使用GPU和CPU资源进行混合部署。“之前，如果我们将所有资源都用于GPU，我们就不会为CPU提供备用资源。但是现在我们通过混合部署得到了改进。”他说。这些改进也提高了资源的利用率。“通过与这个社区合作，我们可以从中获得一些经验，我们也可以从中受益。我们可以看到社区面临的问题和挑战，并参与其中。” - Li Lanqing，网易Kubernetes开发者基于使用其内部平台的结果和经验，该公司向外部客户推出基于Kubernetes的云和面向微服务的PaaS产品，网易轻舟微服务。“我们的想法是，我们可以找到我们的游戏和电子商务以及云音乐供应商遇到的问题，因此我们可以整合他们的经验，并提供一个平台来满足用户的需求。”Changjian说。无论是否使用网易产品，该团队都鼓励其他公司尝试Kubernetes。“只要公司拥有一支成熟的团队和足够的开发者，我认为Kubernetes是一种非常好的技术，可以帮助他们。”Kubernetes开发者Li Lanqing说。作为最终用户和供应商，网易已经更多地参与社区，向其他公司学习并分享他们所做的事情。该团队一直在为Harbor和Envoy项目做出贡献，并在网易规模测试技术时提供反馈。“我们是一个专注于解决微服务架构挑战的团队。”Changjian说。“通过与这个社区合作，我们可以从中获得一些经验，我们也可以从中受益。我们可以看到社区面临的问题和挑战，并参与其中。”KubeCon + CloudNativeCon + Open Source Summit大会日期：会议日程通告日期：2019 年 4 月 10 日会议活动举办日期：2019 年 6 月 24 至 26 日KubeCon + CloudNativeCon + Open Source Summit赞助方案KubeCon + CloudNativeCon + Open Source Summit多元化奖学金现正接受申请KubeCon + CloudNativeCon和Open Source Summit即将首次合体落地中国KubeCon + CloudNativeCon + Open Source Summit购票窗口，立即购票！CNCF邀请你加入最终用户社区

如何自建一个k8s ingressingress 接入方案我们都知道访问k8s 集群的服务需要ingress 接入。据我所知，ingress 接入的方案有4种1.云厂商提供LoadBalance, 比如aliyun SLB.2.官方的实现 ingress controller 3.第三方实现方案4.自建， 比如使用envoy 这里重点记录一下，如何自建一个ingress 的思路。### ingress 接入方案的原理 在讲如何自建一个k8s ingress 之前，这里分别记录一下ingress 的实现原理。 先说官方的实现。 https://github.com/kubernetes… 官方的ingress 接入实现使用ingress controller + nginx 实现的。如上图所示 ingress 接入分为配置控制和数据代理。 ingress controller 是一个控制中心，监控的数据来源 1.k8s 集群的api-server， 比如node 、service、 pod 变化 2.ingress 实例的configMap ingress controller 发现监控的数据有变化，就把监控的数据转换成为nginx.conf 代理所需要配置。 然后reload nginx. 从而实现数据流量接入路由。 当然，如果ingress controller 这一套部署在k8s 集群内的话，肯定是要暴露端口的。我接触到到的aliyun 的SLB 也类似。 SLB 控制中心是一个叫CMI的程序， 数据代理是有LVS + nginx 组成。ingress 接入方案的原理

Envoy是一个composer扩展包，它的本质作用是代替你登录远程的目标服务器（下称目标机）并执行一系列命令，它的执行环境要有事先装有php与composer，但它不仅仅能在php项目里起作用，原因是前面提到的它的本质是帮你执行命令，而这命令不只针对php的命令。因此你不仅可以把它当作部署项目的工具，甚至可以是对目标机的简单管理工具。下面从本地机对目标机的登录到envoy的安装使用来分步介绍它。实现本地机与目标机的ssh密钥登录假定目标服务器是sorgo@192.168.8.8#如果本地机的用户还没rsa密钥的那先生成ssh-keygen -t rsa -C “your_email@example.com”#发送密钥到目标机，并进行密码验证ssh-copy-id sorgo@192.168.8.8#测试是否能直接ssh登录而不再要求输入密码ssh sorgo@192.168.8.8安装和使用#全局安装composer global require laravel/envoy#一键生成envoy执行文件模板：Envoy.blade.phpenvoy init sorgo@192.168.8.8修改Envoy.blade.php文件{{– 这是blade文件里的注释 –}}{{– web是标识这台服务器的名字 –}}@servers([‘web’ => ‘jeffio@116.85.48.221’]){{– deploy是给这个任务起的名字 –}}@task(‘deploy’) cd /www/wwwroot/sifou.com git pull origin master composer install@endtask执行任务，命令格式是envoy run 任务名envoy run deploy以上即可一键完成：进入指定目录git拉取更新安装composer包这样一个简单的部署就完成了，极大降低了维护的操作成本。参考更多写操作请参考收下文档Envoy详细文档

作者：Andrew Harding你好！这是来自Scytale的Andrew Harding。如果你目前正在使用Envoy提供安全的服务到服务通信，我想向你展示如何利用开源SPIRE项目，通过基于多个因子工作负载认证，自动交付和轮换密钥和证书来显着提高你的身份验证安全性。Envoy和SPIRE已经存在了一段时间，但我们最近才在SPIRE中增加了对Envoy SDS API的支持，这使得设置起来更加容易。我们来探讨一下。背景Envoy是一个流行的开源服务代理，除其他外，广泛用于在服务之间提供抽象、安全、经过身份验证和加密的通信。Envoy享有丰富的配置系统，允许灵活的第三方交互。该配置系统的一个组件是秘密发现服务协议或SDS（Secret Discovery Service）。Envoy使用SDS从SDS供应商处检索并维护更新的“秘密”。在身份验证的意思来说，这些秘密是Envoy用于在服务之间提供安全TLS通信的TLS证书、私钥和可信CA证书。短暂的秘密是安全的一个重要方面，因为它们减少了对撤销列表基础设施的需求，这削弱了安全性并导致攻击面增加。旋转短寿命秘密经常涉及手动审计和部署，并且通常对操作员来说非常麻烦。SDS供应商向Envoy提供更新秘密的能力，是简化秘密管理和为Envoy提供最新服务标识的有用步骤。SPIRE（SPIFFE运行时环境）是一个工具链，用于在各种平台上建立软件系统之间的信任。SPIRE支持容器化和弹性扩展环境，例如Kubernetes、托管基础架构如Azure、AWS和GCP，以及内部裸机部署。这些环境中的服务可以利用SPIRE以X.509证书（X509-SVID）的形式，获取具有关联私钥的服务标识，以及服务可用于验证其他身份的一组可信CA证书。当服务与SPIRE接合时，它会经历一个称为证明（attestation）的过程，其中SPIRE宣称（assert）有关服务及其环境的特征。这些宣称与运营商定义的政策相匹配，以决定应该为服务提供哪个服务标识。（有关证明的更多详细信息，请参阅此视频。）SPIRE根据运营商定义的政策自动轮换服务的X.509证书和密钥。换句话说，Envoy可以通过SDS动态消费服务标识，SPIRE可以动态提供服务标识。听起来很棒！这个怎样运作当Envoy连接到SDS服务器时，SPIRE代理会证明Envoy并确定它应该通过SDS向Envoy提供哪些服务身份和CA证书。随着服务标识和CA证书的轮换，更新将流式传输回Envoy，Envoy可立即将它们应用于新连接，而不会中断或停机，也无需私钥触及磁盘。换句话说，SPIRE丰富的定义和证明服务的方法可用于定位Envoy流程，为其定义身份，并为其提供Xv09证书和Envoy可用于TLS通信的信任信息。在两个服务之间的两个Envoy代理，使用SPIRE代理作为SDS的实现，以获取相互认证的TLS通信的秘密配置SPIRE在SPIRE中设置SDS支持就像在SPIRE代理配置中设置enable_sds = true配置值一样简单。配置EnvoySPIRE代理群集必须将Envoy配置为与SPIRE代理通信，通过配置集群指向SPIRE代理提供的Unix域套接字（domain socket）。例如：clusters: - name: spire_agent connect_timeout: 0.25s http2_protocol_options: {} hosts: - pipe: path: /tmp/agent.sockconnect_timeout会影响Envoy在启动Envoy时SPIRE代理未运行或者如果重启SPIRE代理时能够响应的速度。TLS证书要从SPIRE获取TLS证书和私钥，你可以在TLS上下文中设置SDS配置。例如：tls_context: common_tls_context: tls_certificate_sds_secret_configs: - name: “spiffe://example.org/backend” sds_config: api_config_source: api_type: GRPC grpc_services: envoy_grpc: cluster_name: spire_agentTLS证书的名称是Envoy充当代理服务的SPIFFE ID。验证上下文（Validation Context）Envoy使用可信CA证书来验证对等证书。验证上下文提供这些可信CA证书。SPIRE可以为每个信任域提供验证上下文。要获取信任域的验证上下文，可以在TLS上下文的SDS配置中配置验证上下文，将验证上下文的名称设置为信任域的SPIFFE ID。例如：tls_context: common_tls_context: validation_context_sds_secret_config: name: “spiffe://example.org” sds_config: api_config_source: api_type: GRPC grpc_services: envoy_grpc: cluster_name: spire_agentSPIFFE和SPIRE专注于促进安全认证作为授权的构建块，而不是授权本身，因此对验证上下文中的授权相关字段（例如verify_subject_alt_name）的支持超出范围。相反，我们建议你利用Envoy广泛的过滤器框架来执行授权。此外，你可以将Envoy配置为将客户端证书详细信息转发到目标服务，从而允许它执行自己的授权步骤，例如使用嵌入在客户端X.509 SVID的URI SAN中的SPIFFE ID。试试看！这就是你使用SPIRE改善服务到服务通信中的身份验证安全性的方法！尝试一下，让我们知道你的试用是怎么回事！你可以通过SPIFFE slack与我们联系。计划进行未来的改进，你的经验对于塑造SPIRE对Envoy的支持非常有价值。我要感谢Scytale公司自己的Marcos Yacob和Marcos Yedro，他们的努力有助于SPIRE SDS实施的原型设计和开发。KubeCon + CloudNativeCon和Open Source Summit大会日期：会议日程通告日期：2019 年 4 月 10 日会议活动举办日期：2019 年 6 月 24 至 26 日KubeCon + CloudNativeCon和Open Source Summit赞助方案KubeCon + CloudNativeCon和Open Source Summit多元化奖学金现正接受申请KubeCon + CloudNativeCon和Open Source Summit即将首次合体落地中国KubeCon + CloudNativeCon和Open Source Summit购票窗口，立即购票！ ...

Google Summer of Code（GSoC）是面向开源开发领域新贡献者的最知名和最受欢迎的计划之一，我们很高兴地宣布CNCF（Cloud Native Computing Foundation，云原生计算基金会）参与GSoC 2019！CNCF是过去几年（包括2017年和2018年）GSoC中最活跃的参与者之一，我们将在2019年继续这项工作，有近50个项目构想涉及13个CNCF项目。如果你是学生，计划参加GSoC 2019，现在是审查项目构想，并与导师开始讨论的最佳时机。这里分享一篇去年浙江大学研究生，在谐云实习的Jian Liu，有关“GSoC 18:Kata Containers对containerd的支持”的经验。Kubernetes项目构想Integrate kube-batch with pytorch-operator/mxnet-operatorImplement volume snapshotting support into the external Manila provisionerEnable full e2e tests for external Azure cloud providerCSI driver for AzureDiskCSI driver for AzureFileCSI driver for BlobfuseStreamline and simplify SASS for the Kubernetes websiteFully automate API and reference doc generationAdd support for Custom Resource Definitions to the DashboardAdd plugin mechanism to the DashboardPrometheus项目构想Benchmarks for TSDBContinue the work on PrombenchPersist Retroactive Rule ReevaluationsOptimize queries using regex matchers for set lookupsPackage for bulk importsOpen Policy Agent (OPA)项目构想IntelliJ plugin to experiment with and visualize policy evaluationInteractive website detailing OPA integrationsIntegration with IPTablesCoreDNS项目构想Support source-IP based query block/allowSupport Google Cloud DNS backendSupport Azure DNS backendTiKV项目构想Migrate to tower-grpcIntroduce other storage enginesBuild TiKV clients in different languagesAuto-tune RocksDBRook项目构想Upgrade Rook to a more advanced operator/controller frameworkStorage provider features and enhancementsEnable multiple network interfaces for Rook storage providersEnhance and extend the Rook framework for storage solutionsExpand coverage and scope of Rook’s continuous integration (CI) systemDynamic provisioning for portable workloadsLinkerd and Envoy项目构想Benchmarks for Linkerd and EnvoyVirtual Kubelet项目构想Conformance testing for Virtual KubeletLinkerd项目构想Cross-cloud integration testingAuto-UpdateConformance ValidationAlertmanager IntegrationKafka Introspectionrkt项目构想Add support for the OCI runtime spec by implementing a runc stage2Add native OCI image supportcontainerd项目构想Snapshotter implementation for block devicesp2p or remote blob store implementationFalco项目构想Improved Falco OutputsAdditional Event SourcesLayer 7 Inspection and DetectionFalco integration with AI/ML platformsPrometheus Metrics ExporterPerformance Analysis and OptimizationFalco rules profiles for applications and security benchmarksCortex项目构想Improve Ingester HandoverCentralized Rate LimitingUse etcd in Cortex请在CNCF的GitHub页面上查看2019年项目构想的完整列表，包括描述、推荐技巧和导师资料等。KubeCon + CloudNativeCon和Open Source Summit大会日期：会议日程通告日期：2019 年 4 月 10 日会议活动举办日期：2019 年 6 月 24 至 26 日KubeCon + CloudNativeCon和Open Source Summit赞助方案KubeCon + CloudNativeCon和Open Source Summit多元化奖学金现正接受申请KubeCon + CloudNativeCon和Open Source Summit即将首次合体落地中国KubeCon + CloudNativeCon和Open Source Summit购票窗口，立即购票！ ...

本博客是深入研究Envoy Proxy和Istio.io 以及它如何实现更优雅的方式来连接和管理微服务系列文章的一部分。这是接下来几个部分的想法（将在发布时更新链接):断路器（第一部分）重试/超时（第二部分）分布式跟踪（第三部分）Prometheus的指标收集（第四部分）rate limiter（第五部分）第五部分 - rate limiterEnvoy ratelimit filtersEnvoy通过两个过滤器与Ratelimit服务集成：Network Level Filter： envoy为安装过滤器的侦听器上的每个新连接调用Ratelimit服务。这样，您可以对通过侦听器的每秒连接进行速率限制。HTTP Level Filter：Envoy为安装过滤器的侦听器上的每个新请求调用Ratelimit服务，路由表指定应调用Ratelimit服务。许多工作都在扩展HTTP过滤器的功能。envoy 配置 启用 http rate limiterhttp rate limiter 当请求的路由或虚拟主机具有与过滤器阶段设置匹配的一个或多个速率限制配置时，HTTP速率限制过滤器将调用速率限制服务。该路由可以选择包括虚拟主机速率限制配置。多个配置可以应用于请求。每个配置都会导致将描述符发送到速率限制服务。如果调用速率限制服务，并且任何描述符的响应超出限制，则返回429响应。速率限制过滤器还设置x-envoy-ratelimited标头。果在呼叫速率限制服务中出现错误或速率限制服务返回错误并且failure_mode_deny设置为true，则返回500响应。全部的配置如下： envoy.yaml: |- static_resources: listeners: - address: socket_address: address: 0.0.0.0 port_value: 8000 filter_chains: - filters: - name: envoy.http_connection_manager config: codec_type: auto stat_prefix: ingress_http access_log: - name: envoy.file_access_log config: path: “/dev/stdout” format: “[ACCESS_LOG][%START_TIME%] "%REQ(:METHOD)% %REQ(X-ENVOY-ORIGINAL-PATH?:PATH)% %PROTOCOL%" %RESPONSE_CODE% %RESPONSE_FLAGS% %BYTES_RECEIVED% %BYTES_SENT% %DURATION% %RESP(X-ENVOY-UPSTREAM-SERVICE-TIME)% "%REQ(X-FORWARDED-FOR)%" "%REQ(USER-AGENT)%" "%REQ(X-REQUEST-ID)%" "%REQ(:AUTHORITY)%" "%UPSTREAM_HOST%" "%DOWNSTREAM_REMOTE_ADDRESS_WITHOUT_PORT%"\n” route_config: name: local_route virtual_hosts: - name: gateway domains: - “*” routes: - match: prefix: “/cost” route: cluster: cost rate_limits: # enable rate limit checks for the greeter service actions: - destination_cluster: {} http_filters: - name: envoy.rate_limit # enable the Rate Limit filter config: domain: envoy - name: envoy.router config: {} clusters: - name: cost connect_timeout: 0.25s type: strict_dns lb_policy: round_robin hosts: - socket_address: address: cost.sgt port_value: 80 - name: rate_limit_cluster type: strict_dns connect_timeout: 0.25s lb_policy: round_robin http2_protocol_options: {} hosts: - socket_address: address: limiter.sgt port_value: 80 rate_limit_service: grpc_service: envoy_grpc: cluster_name: rate_limit_cluster timeout: 0.25s admin: access_log_path: “/dev/null” address: socket_address: address: 0.0.0.0 port_value: 9000 通过配置文件可以看出，本demo设置的是一个全局的http filter rate limiter。尽管分布式熔断通常在控制分布式系统中的吞吐量方面非常有效，但有时它不是非常有效并且需要全局速率限制。最常见的情况是当大量主机转发到少量主机并且平均请求延迟较低时（例如，对数据库服务器的连接/请求）。如果目标主机已备份，则下游主机将淹没上游群集。在这种情况下，在每个下游主机上配置足够严格的断路限制是非常困难的，这样系统在典型的请求模式期间将正常运行，但在系统开始出现故障时仍能防止级联故障。全局速率限制是这种情况的一个很好的解决方案。编写rate limiter 服务Envoy直接通过gRPC与速率限制服务集成。Envoy要求速率限制服务支持rls.proto中指定的gRPC IDL。有关API如何工作的更多信息，请参阅IDL文档。本身envoy 只是提供了限流的接口，没有具体的实现，所以必须自己实现一个限流器。下面只是简单实现一下，给大家一个思路。具体的代码如下：package mainimport ( “log” “net” “time” rls “github.com/envoyproxy/go-control-plane/envoy/service/ratelimit/v2” “github.com/juju/ratelimit” “golang.org/x/net/context” “google.golang.org/grpc” “google.golang.org/grpc/reflection”)// server is used to implement rls.RateLimitServicetype server struct { bucket *ratelimit.Bucket}func (s *server) ShouldRateLimit(ctx context.Context, request *rls.RateLimitRequest) (rls.RateLimitResponse, error) { // logic to rate limit every second request var overallCode rls.RateLimitResponse_Code if s.bucket.TakeAvailable(1) == 0 { overallCode = rls.RateLimitResponse_OVER_LIMIT } else { overallCode = rls.RateLimitResponse_OK } response := &rls.RateLimitResponse{OverallCode: overallCode} return response, nil}func main() { // create a TCP listener on port 8089 lis, err := net.Listen(“tcp”, “:8089”) if err != nil { log.Fatalf(“failed to listen: %v”, err) } log.Printf(“listening on %s”, lis.Addr()) // create a gRPC server and register the RateLimitService server s := grpc.NewServer() rls.RegisterRateLimitServiceServer(s, &server{ bucket: ratelimit.NewBucket(100time.Microsecond, 100), }) reflection.Register(s) if err := s.Serve(lis); err != nil { log.Fatalf(“failed to serve: %v”, err) }}具体项目，查阅github。PS:使用了令牌桶算法来限流。令牌桶算法(Token Bucket)和 Leaky Bucket 效果一样但方向相反的算法,更加容易理解.随着时间流逝,系统会按恒定1/QPS时间间隔(如果QPS=100,则间隔是10ms)往桶里加入Token(想象和漏洞漏水相反,有个水龙头在不断的加水),如果桶已经满了就不再加了.新请求来临时,会各自拿走一个Token,如果没有Token可拿了就阻塞或者拒绝服务.该实现存在单点风险。Dockerfile均在代码仓库中，大家可以构建镜像自己测试。结论本文简单讲了envoy的 rate limit功能，提供了全局限流的配置文件，并简单实现了一个基于令牌桶的限流器。希望能帮助你理解Envoy的限速过滤器如何跟gRPC协议协同工作。 ...

本博客是深入研究Envoy Proxy和Istio.io 以及它如何实现更优雅的方式来连接和管理微服务系列文章的一部分。这是接下来几个部分的想法（将在发布时更新链接):断路器（第一部分）重试/超时（第二部分）分布式跟踪（第三部分）Prometheus的指标收集（第四部分）服务发现（第五部分）第四部分 - 使用Prometheus搜集envoy 指标envoy 配置和提供metrics方式在envoy1.9版本中，已经直接暴露了prometheus 格式的metrics，也就是prometheus可以直接去采集，无需再通过配置Statsd来收集metrics了，使用statsd的流程大致上是：首先Envoy推送指标到statsd，然后我们用prometheus（一个时序数据库）从statsd拉取指标。设置envoy 的配置文件中，有如下的设置：admin: access_log_path: “/dev/null” address: socket_address: address: 0.0.0.0 port_value: 9000 envoy 启动成功以后，访问localhost:9000/stats/prometheus，可以返回类似下面的参数：# TYPE envoy_listener_admin_http_downstream_rq_completed counterenvoy_listener_admin_http_downstream_rq_completed{envoy_http_conn_manager_prefix=“admin”} 3154# TYPE envoy_listener_admin_http_downstream_rq_xx counterenvoy_listener_admin_http_downstream_rq_xx{envoy_response_code_class=“1”,envoy_http_conn_manager_prefix=“admin”} 0# TYPE envoy_listener_admin_downstream_cx_total counterenvoy_listener_admin_downstream_cx_total{} 146346envoy_listener_admin_http_downstream_rq_xx{envoy_response_code_class=“5”,envoy_http_conn_manager_prefix=“admin”} 0envoy_listener_admin_http_downstream_rq_xx{envoy_response_code_class=“3”,envoy_http_conn_manager_prefix=“admin”} 0# TYPE envoy_listener_admin_downstream_pre_cx_timeout counterenvoy_listener_admin_downstream_pre_cx_timeout{} 0# TYPE envoy_listener_admin_no_filter_chain_match counterenvoy_listener_admin_no_filter_chain_match{} 0# TYPE envoy_listener_admin_downstream_cx_destroy counterenvoy_listener_admin_downstream_cx_destroy{} 146344envoy_listener_admin_http_downstream_rq_xx{envoy_response_code_class=“2”,envoy_http_conn_manager_prefix=“admin”} 3154envoy_listener_admin_http_downstream_rq_xx{envoy_response_code_class=“4”,envoy_http_conn_manager_prefix=“admin”} 0# TYPE envoy_cluster_upstream_flow_control_paused_reading_total counterenvoy_cluster_upstream_flow_control_paused_reading_total{envoy_cluster_name=“hawkeye”} 0# TYPE envoy_cluster_membership_change counterenvoy_cluster_membership_change{envoy_cluster_name=“hawkeye”} 1# TYPE envoy_cluster_ext_authz_denied counterenvoy_cluster_ext_authz_denied{envoy_cluster_name=“hawkeye”} 15# TYPE envoy_cluster_upstream_rq_completed counterenvoy_cluster_upstream_rq_completed{envoy_cluster_name=“hawkeye”} 255# TYPE envoy_cluster_upstream_rq_pending_failure_eject counterenvoy_cluster_upstream_rq_pending_failure_eject{envoy_cluster_name=“hawkeye”} 0# TYPE envoy_cluster_upstream_cx_connect_attempts_exceeded counterenvoy_cluster_upstream_cx_connect_attempts_exceeded{envoy_cluster_name=“hawkeye”} 0# TYPE envoy_cluster_upstream_rq_timeout counterenvoy_cluster_upstream_rq_timeout{envoy_cluster_name=“hawkeye”} 0# TYPE envoy_cluster_upstream_rq counterenvoy_cluster_upstream_rq{envoy_response_code=“204”,envoy_cluster_name=“hawkeye”} 2# TYPE envoy_cluster_upstream_cx_connect_timeout counterenvoy_cluster_upstream_cx_connect_timeout{envoy_cluster_name=“hawkeye”} 0# TYPE envoy_cluster_upstream_cx_none_healthy counterenvoy_cluster_upstream_cx_none_healthy{envoy_cluster_name=“hawkeye”} 0# TYPE envoy_cluster_upstream_rq_pending_total counterenvoy_cluster_upstream_rq_pending_total{envoy_cluster_name=“hawkeye”} 6# TYPE envoy_cluster_internal_upstream_rq_completed counterenvoy_cluster_internal_upstream_rq_completed{envoy_cluster_name=“hawkeye”} 15envoy_cluster_upstream_rq{envoy_response_code=“200”,envoy_cluster_name=“hawkeye”} 209envoy_cluster_upstream_rq{envoy_response_code=“503”,envoy_cluster_name=“hawkeye”} 29# TYPE envoy_cluster_lb_local_cluster_not_ok counterenvoy_cluster_lb_local_cluster_not_ok{envoy_cluster_name=“hawkeye”} 0# TYPE envoy_cluster_lb_zone_routing_sampled counterenvoy_cluster_lb_zone_routing_sampled{envoy_cluster_name=“hawkeye”} 0# TYPE envoy_cluster_upstream_cx_connect_fail counterenvoy_cluster_upstream_cx_connect_fail{envoy_cluster_name=“hawkeye”} 0# TYPE envoy_cluster_upstream_rq_retry_success counterenvoy_cluster_upstream_rq_retry_success{envoy_cluster_name=“hawkeye”} 0# TYPE envoy_cluster_bind_errors counterenvoy_cluster_bind_errors{envoy_cluster_name=“hawkeye”} 0# TYPE envoy_cluster_upstream_cx_total counterenvoy_cluster_upstream_cx_total{envoy_cluster_name=“hawkeye”} 6# TYPE envoy_cluster_lb_zone_number_differs counterenvoy_cluster_lb_zone_number_differs{envoy_cluster_name=“hawkeye”} 0# TYPE envoy_cluster_original_dst_host_invalid counterenvoy_cluster_original_dst_host_invalid{envoy_cluster_name=“hawkeye”} 0# TYPE envoy_cluster_lb_zone_no_capacity_left counterenvoy_cluster_lb_zone_no_capacity_left{envoy_cluster_name=“hawkeye”} 0# TYPE envoy_cluster_upstream_cx_max_requests counterenvoy_cluster_upstream_cx_max_requests{envoy_cluster_name=“hawkeye”} 0# TYPE envoy_cluster_upstream_rq_per_try_timeout counterenvoy_cluster_upstream_rq_per_try_timeout{envoy_cluster_name=“hawkeye”} 0# TYPE envoy_cluster_upstream_rq_retry_overflow counterenvoy_cluster_upstream_rq_retry_overflow{envoy_cluster_name=“hawkeye”} 0# TYPE envoy_cluster_external_upstream_rq counterenvoy_cluster_external_upstream_rq{envoy_response_code=“204”,envoy_cluster_name=“hawkeye”} 2envoy_cluster_external_upstream_rq{envoy_response_code=“503”,envoy_cluster_name=“hawkeye”} 29# TYPE envoy_cluster_upstream_cx_rx_bytes_total counterenvoy_cluster_upstream_cx_rx_bytes_total{envoy_cluster_name=“hawkeye”} 122326# TYPE envoy_cluster_upstream_cx_http1_total counterenvoy_cluster_upstream_cx_http1_total{envoy_cluster_name=“hawkeye”} 6# TYPE envoy_cluster_upstream_rq_pending_overflow counterenvoy_cluster_upstream_rq_pending_overflow{envoy_cluster_name=“hawkeye”} 0# TYPE envoy_cluster_lb_zone_routing_cross_zone counterenvoy_cluster_lb_zone_routing_cross_zone{envoy_cluster_name=“hawkeye”} 0# TYPE envoy_cluster_lb_subsets_created counterenvoy_cluster_lb_subsets_created{envoy_cluster_name=“hawkeye”} 0# TYPE envoy_cluster_upstream_flow_control_backed_up_total counterenvoy_cluster_upstream_flow_control_backed_up_total{envoy_cluster_name=“hawkeye”} 0# TYPE envoy_cluster_upstream_flow_control_drained_total counterenvoy_cluster_upstream_flow_control_drained_total{envoy_cluster_name=“hawkeye”} 0# TYPE envoy_cluster_external_upstream_rq_xx counterenvoy_cluster_external_upstream_rq_xx{envoy_response_code_class=“2”,envoy_cluster_name=“hawkeye”} 211# TYPE envoy_cluster_upstream_rq_cancelled counterenvoy_cluster_upstream_rq_cancelled{envoy_cluster_name=“hawkeye”} 0# TYPE envoy_cluster_lb_subsets_removed counterenvoy_cluster_lb_subsets_removed{envoy_cluster_name=“hawkeye”} 0envoy_cluster_upstream_rq{envoy_response_code=“401”,envoy_cluster_name=“hawkeye”} 15# TYPE envoy_cluster_retry_or_shadow_abandoned counterenvoy_cluster_retry_or_shadow_abandoned{envoy_cluster_name=“hawkeye”} 0# TYPE envoy_cluster_upstream_cx_tx_bytes_total counterenvoy_cluster_upstream_cx_tx_bytes_total{envoy_cluster_name=“hawkeye”} 179523# TYPE envoy_cluster_lb_zone_cluster_too_small counterenvoy_cluster_lb_zone_cluster_too_small{envoy_cluster_name=“hawkeye”} 0# TYPE envoy_cluster_external_upstream_rq_completed counterenvoy_cluster_external_upstream_rq_completed{envoy_cluster_name=“hawkeye”} 240# TYPE envoy_cluster_internal_upstream_rq_xx counterenvoy_cluster_internal_upstream_rq_xx{envoy_response_code_class=“4”,envoy_cluster_name=“hawkeye”} 15# TYPE envoy_cluster_lb_recalculate_zone_structures counterenvoy_cluster_lb_recalculate_zone_structures{envoy_cluster_name=“hawkeye”} 0# TYPE envoy_cluster_upstream_cx_destroy_with_active_rq counterenvoy_cluster_upstream_cx_destroy_with_active_rq{envoy_cluster_name=“hawkeye”} 0# TYPE envoy_cluster_lb_subsets_fallback counterenvoy_cluster_lb_subsets_fallback{envoy_cluster_name=“hawkeye”} 0# TYPE envoy_cluster_upstream_rq_xx counterenvoy_cluster_upstream_rq_xx{envoy_response_code_class=“5”,envoy_cluster_name=“hawkeye”} 29# TYPE envoy_cluster_upstream_rq_total counterenvoy_cluster_upstream_rq_total{envoy_cluster_name=“hawkeye”} 240# TYPE envoy_cluster_update_no_rebuild counterenvoy_cluster_update_no_rebuild{envoy_cluster_name=“hawkeye”} 18890# TYPE envoy_cluster_upstream_cx_destroy counterenvoy_cluster_upstream_cx_destroy{envoy_cluster_name=“hawkeye”} 0# TYPE envoy_cluster_upstream_cx_destroy_local counterenvoy_cluster_upstream_cx_destroy_local{envoy_cluster_name=“hawkeye”} 0# TYPE envoy_cluster_upstream_rq_rx_reset counterenvoy_cluster_upstream_rq_rx_reset{envoy_cluster_name=“hawkeye”} 0# TYPE envoy_cluster_upstream_cx_destroy_remote_with_active_rq counterenvoy_cluster_upstream_cx_destroy_remote_with_active_rq{envoy_cluster_name=“hawkeye”} 0# TYPE envoy_cluster_upstream_flow_control_resumed_reading_total counterenvoy_cluster_upstream_flow_control_resumed_reading_total{envoy_cluster_name=“hawkeye”} 0# TYPE envoy_cluster_update_attempt counterenvoy_cluster_update_attempt{envoy_cluster_name=“hawkeye”} 18891# TYPE envoy_cluster_upstream_rq_maintenance_mode counterenvoy_cluster_upstream_rq_maintenance_mode{envoy_cluster_name=“hawkeye”} 0# TYPE envoy_cluster_update_failure counterenvoy_cluster_update_failure{envoy_cluster_name=“hawkeye”} 0# TYPE envoy_cluster_ext_authz_ok counterenvoy_cluster_ext_authz_ok{envoy_cluster_name=“hawkeye”} 460envoy_cluster_external_upstream_rq_xx{envoy_response_code_class=“5”,envoy_cluster_name=“hawkeye”} 29# TYPE envoy_cluster_internal_upstream_rq counterenvoy_cluster_internal_upstream_rq{envoy_response_code=“401”,envoy_cluster_name=“hawkeye”} 15# TYPE envoy_cluster_update_empty counterenvoy_cluster_update_empty{envoy_cluster_name=“hawkeye”} 0# TYPE envoy_cluster_lb_zone_routing_all_directly counterenvoy_cluster_lb_zone_routing_all_directly{envoy_cluster_name=“hawkeye”} 0envoy_cluster_upstream_rq_xx{envoy_response_code_class=“2”,envoy_cluster_name=“hawkeye”} 211# TYPE envoy_cluster_upstream_cx_http2_total counterenvoy_cluster_upstream_cx_http2_total{envoy_cluster_name=“hawkeye”} 0# TYPE envoy_cluster_upstream_cx_destroy_remote counterenvoy_cluster_upstream_cx_destroy_remote{envoy_cluster_name=“hawkeye”} 0# TYPE envoy_cluster_upstream_rq_retry counterenvoy_cluster_upstream_rq_retry{envoy_cluster_name=“hawkeye”} 0# TYPE envoy_cluster_upstream_cx_destroy_local_with_active_rq counterenvoy_cluster_upstream_cx_destroy_local_with_active_rq{envoy_cluster_name=“hawkeye”} 0# TYPE envoy_cluster_upstream_cx_overflow counterenvoy_cluster_upstream_cx_overflow{envoy_cluster_name=“hawkeye”} 0# TYPE envoy_cluster_upstream_cx_protocol_error counterenvoy_cluster_upstream_cx_protocol_error{envoy_cluster_name=“hawkeye”} 0# TYPE envoy_cluster_upstream_rq_tx_reset counterenvoy_cluster_upstream_rq_tx_reset{envoy_cluster_name=“hawkeye”} 0# TYPE envoy_cluster_lb_healthy_panic counterenvoy_cluster_lb_healthy_panic{envoy_cluster_name=“hawkeye”} 0# TYPE envoy_cluster_upstream_cx_idle_timeout counterenvoy_cluster_upstream_cx_idle_timeout{envoy_cluster_name=“hawkeye”} 0envoy_cluster_upstream_rq_xx{envoy_response_code_class=“4”,envoy_cluster_name=“hawkeye”} 15envoy_cluster_external_upstream_rq{envoy_response_code=“200”,envoy_cluster_name=“hawkeye”} 209# TYPE envoy_cluster_lb_subsets_selected counterenvoy_cluster_lb_subsets_selected{envoy_cluster_name=“hawkeye”} 0# TYPE envoy_cluster_update_success counterenvoy_cluster_update_success{envoy_cluster_name=“hawkeye”} 18891# TYPE envoy_cluster_upstream_cx_close_notify counterenvoy_cluster_upstream_cx_close_notify{envoy_cluster_name=“hawkeye”} 0envoy_cluster_upstream_cx_close_notify{envoy_cluster_name=“ext-authz”} 0envoy_cluster_upstream_rq_tx_reset{envoy_cluster_name=“ext-authz”} 0envoy_cluster_lb_local_cluster_not_ok{envoy_cluster_name=“ext-authz”} 0envoy_cluster_update_no_rebuild{envoy_cluster_name=“ext-authz”} 18890envoy_cluster_upstream_rq{envoy_response_code=“401”,envoy_cluster_name=“ext-authz”} 15envoy_cluster_upstream_cx_overflow{envoy_cluster_name=“ext-authz”} 0envoy_cluster_internal_upstream_rq{envoy_response_code=“200”,envoy_cluster_name=“ext-authz”} 460envoy_cluster_upstream_rq_xx{envoy_response_code_class=“4”,envoy_cluster_name=“ext-authz”} 15envoy_cluster_upstream_flow_control_paused_reading_total{envoy_cluster_name=“ext-authz”} 0envoy_cluster_internal_upstream_rq_xx{envoy_response_code_class=“2”,envoy_cluster_name=“ext-authz”} 460envoy_cluster_upstream_cx_tx_bytes_total{envoy_cluster_name=“ext-authz”} 142288envoy_cluster_update_empty{envoy_cluster_name=“ext-authz”} 0envoy_cluster_upstream_rq_cancelled{envoy_cluster_name=“ext-authz”} 0envoy_cluster_upstream_cx_destroy_remote{envoy_cluster_name=“ext-authz”} 0envoy_cluster_upstream_rq_timeout{envoy_cluster_name=“ext-authz”} 0envoy_cluster_upstream_rq_retry{envoy_cluster_name=“ext-authz”} 0envoy_cluster_upstream_cx_protocol_error{envoy_cluster_name=“ext-authz”} 0envoy_cluster_upstream_cx_destroy_local{envoy_cluster_name=“ext-authz”} 0envoy_cluster_update_attempt{envoy_cluster_name=“ext-authz”} 18891envoy_cluster_upstream_rq_retry_overflow{envoy_cluster_name=“ext-authz”} 0envoy_cluster_upstream_cx_idle_timeout{envoy_cluster_name=“ext-authz”} 0envoy_cluster_lb_zone_routing_sampled{envoy_cluster_name=“ext-authz”} 0envoy_cluster_original_dst_host_invalid{envoy_cluster_name=“ext-authz”} 0envoy_cluster_upstream_flow_control_resumed_reading_total{envoy_cluster_name=“ext-authz”} 0envoy_cluster_upstream_rq_pending_failure_eject{envoy_cluster_name=“ext-authz”} 0envoy_cluster_upstream_rq_per_try_timeout{envoy_cluster_name=“ext-authz”} 0envoy_cluster_upstream_cx_max_requests{envoy_cluster_name=“ext-authz”} 0envoy_cluster_upstream_cx_http2_total{envoy_cluster_name=“ext-authz”} 0envoy_cluster_lb_zone_no_capacity_left{envoy_cluster_name=“ext-authz”} 0envoy_cluster_upstream_cx_http1_total{envoy_cluster_name=“ext-authz”} 4envoy_cluster_upstream_rq_xx{envoy_response_code_class=“2”,envoy_cluster_name=“ext-authz”} 460envoy_cluster_upstream_rq{envoy_response_code=“200”,envoy_cluster_name=“ext-authz”} 460envoy_cluster_update_success{envoy_cluster_name=“ext-authz”} 18891envoy_cluster_lb_subsets_fallback{envoy_cluster_name=“ext-authz”} 0envoy_cluster_lb_healthy_panic{envoy_cluster_name=“ext-authz”} 0envoy_cluster_upstream_cx_destroy{envoy_cluster_name=“ext-authz”} 0envoy_cluster_upstream_cx_connect_fail{envoy_cluster_name=“ext-authz”} 0envoy_cluster_upstream_cx_connect_attempts_exceeded{envoy_cluster_name=“ext-authz”} 0envoy_cluster_upstream_cx_total{envoy_cluster_name=“ext-authz”} 4envoy_cluster_upstream_cx_rx_bytes_total{envoy_cluster_name=“ext-authz”} 80016envoy_cluster_internal_upstream_rq_completed{envoy_cluster_name=“ext-authz”} 475envoy_cluster_lb_zone_number_differs{envoy_cluster_name=“ext-authz”} 0envoy_cluster_lb_zone_routing_all_directly{envoy_cluster_name=“ext-authz”} 0envoy_cluster_upstream_rq_pending_total{envoy_cluster_name=“ext-authz”} 4envoy_cluster_lb_subsets_created{envoy_cluster_name=“ext-authz”} 0envoy_cluster_upstream_rq_retry_success{envoy_cluster_name=“ext-authz”} 0envoy_cluster_internal_upstream_rq_xx{envoy_response_code_class=“4”,envoy_cluster_name=“ext-authz”} 15envoy_cluster_upstream_rq_maintenance_mode{envoy_cluster_name=“ext-authz”} 0envoy_cluster_lb_zone_routing_cross_zone{envoy_cluster_name=“ext-authz”} 0envoy_cluster_upstream_rq_completed{envoy_cluster_name=“ext-authz”} 475envoy_cluster_upstream_flow_control_drained_total{envoy_cluster_name=“ext-authz”} 0envoy_cluster_membership_change{envoy_cluster_name=“ext-authz”} 1envoy_cluster_upstream_cx_none_healthy{envoy_cluster_name=“ext-authz”} 0envoy_cluster_bind_errors{envoy_cluster_name=“ext-authz”} 0envoy_cluster_upstream_rq_rx_reset{envoy_cluster_name=“ext-authz”} 0envoy_cluster_upstream_cx_destroy_remote_with_active_rq{envoy_cluster_name=“ext-authz”} 0envoy_cluster_upstream_flow_control_backed_up_total{envoy_cluster_name=“ext-authz”} 0envoy_cluster_upstream_cx_connect_timeout{envoy_cluster_name=“ext-authz”} 0envoy_cluster_update_failure{envoy_cluster_name=“ext-authz”} 0envoy_cluster_lb_subsets_removed{envoy_cluster_name=“ext-authz”} 0envoy_cluster_upstream_cx_destroy_with_active_rq{envoy_cluster_name=“ext-authz”} 0envoy_cluster_lb_subsets_selected{envoy_cluster_name=“ext-authz”} 0envoy_cluster_upstream_rq_total{envoy_cluster_name=“ext-authz”} 475envoy_cluster_internal_upstream_rq{envoy_response_code=“401”,envoy_cluster_name=“ext-authz”} 15envoy_cluster_lb_recalculate_zone_structures{envoy_cluster_name=“ext-authz”} 0envoy_cluster_lb_zone_cluster_too_small{envoy_cluster_name=“ext-authz”} 0envoy_cluster_upstream_rq_pending_overflow{envoy_cluster_name=“ext-authz”} 0envoy_cluster_retry_or_shadow_abandoned{envoy_cluster_name=“ext-authz”} 0envoy_cluster_upstream_cx_destroy_local_with_active_rq{envoy_cluster_name=“ext-authz”} 0envoy_cluster_upstream_cx_connect_timeout{envoy_cluster_name=“sso”} 0envoy_cluster_upstream_rq_pending_failure_eject{envoy_cluster_name=“sso”} 0envoy_cluster_upstream_flow_control_paused_reading_total{envoy_cluster_name=“sso”} 0envoy_cluster_upstream_flow_control_drained_total{envoy_cluster_name=“sso”} 0envoy_cluster_lb_local_cluster_not_ok{envoy_cluster_name=“sso”} 0envoy_cluster_lb_subsets_created{envoy_cluster_name=“sso”} 0envoy_cluster_lb_subsets_selected{envoy_cluster_name=“sso”} 0envoy_cluster_lb_zone_routing_cross_zone{envoy_cluster_name=“sso”} 0envoy_cluster_external_upstream_rq{envoy_response_code=“405”,envoy_cluster_name=“sso”} 1envoy_cluster_upstream_rq_timeout{envoy_cluster_name=“sso”} 0envoy_cluster_external_upstream_rq_xx{envoy_response_code_class=“4”,envoy_cluster_name=“sso”} 8envoy_cluster_external_upstream_rq_xx{envoy_response_code_class=“2”,envoy_cluster_name=“sso”} 13envoy_cluster_upstream_cx_overflow{envoy_cluster_name=“sso”} 0envoy_cluster_upstream_rq_per_try_timeout{envoy_cluster_name=“sso”} 0envoy_cluster_upstream_cx_max_requests{envoy_cluster_name=“sso”} 0envoy_cluster_upstream_cx_destroy_remote_with_active_rq{envoy_cluster_name=“sso”} 0envoy_cluster_retry_or_shadow_abandoned{envoy_cluster_name=“sso”} 0envoy_cluster_upstream_cx_close_notify{envoy_cluster_name=“sso”} 0envoy_cluster_upstream_cx_idle_timeout{envoy_cluster_name=“sso”} 0envoy_cluster_upstream_rq{envoy_response_code=“415”,envoy_cluster_name=“sso”} 1envoy_cluster_upstream_cx_destroy_with_active_rq{envoy_cluster_name=“sso”} 0envoy_cluster_lb_zone_cluster_too_small{envoy_cluster_name=“sso”} 0envoy_cluster_upstream_rq_xx{envoy_response_code_class=“4”,envoy_cluster_name=“sso”} 8envoy_cluster_upstream_rq{envoy_response_code=“401”,envoy_cluster_name=“sso”} 6envoy_cluster_upstream_rq{envoy_response_code=“405”,envoy_cluster_name=“sso”} 1envoy_cluster_upstream_flow_control_backed_up_total{envoy_cluster_name=“sso”} 0envoy_cluster_external_upstream_rq{envoy_response_code=“401”,envoy_cluster_name=“sso”} 6envoy_cluster_external_upstream_rq{envoy_response_code=“415”,envoy_cluster_name=“sso”} 1envoy_cluster_upstream_rq_retry{envoy_cluster_name=“sso”} 0envoy_cluster_lb_zone_no_capacity_left{envoy_cluster_name=“sso”} 0envoy_cluster_upstream_cx_http1_total{envoy_cluster_name=“sso”} 7envoy_cluster_upstream_rq_total{envoy_cluster_name=“sso”} 21envoy_cluster_upstream_cx_protocol_error{envoy_cluster_name=“sso”} 0envoy_cluster_upstream_rq_tx_reset{envoy_cluster_name=“sso”} 0envoy_cluster_update_success{envoy_cluster_name=“sso”} 18891envoy_cluster_upstream_rq_completed{envoy_cluster_name=“sso”} 21envoy_cluster_external_upstream_rq{envoy_response_code=“200”,envoy_cluster_name=“sso”} 13envoy_cluster_upstream_cx_destroy{envoy_cluster_name=“sso”} 0envoy_cluster_upstream_cx_destroy_local{envoy_cluster_name=“sso”} 0envoy_cluster_lb_recalculate_zone_structures{envoy_cluster_name=“sso”} 0envoy_cluster_upstream_cx_tx_bytes_total{envoy_cluster_name=“sso”} 13072envoy_cluster_upstream_rq_pending_overflow{envoy_cluster_name=“sso”} 0envoy_cluster_upstream_cx_total{envoy_cluster_name=“sso”} 7envoy_cluster_lb_subsets_fallback{envoy_cluster_name=“sso”} 0envoy_cluster_original_dst_host_invalid{envoy_cluster_name=“sso”} 0envoy_cluster_upstream_rq_pending_total{envoy_cluster_name=“sso”} 7envoy_cluster_upstream_rq_cancelled{envoy_cluster_name=“sso”} 0envoy_cluster_upstream_rq_maintenance_mode{envoy_cluster_name=“sso”} 0envoy_cluster_upstream_rq_retry_success{envoy_cluster_name=“sso”} 0envoy_cluster_lb_healthy_panic{envoy_cluster_name=“sso”} 0envoy_cluster_upstream_cx_http2_total{envoy_cluster_name=“sso”} 0envoy_cluster_update_failure{envoy_cluster_name=“sso”} 0envoy_cluster_upstream_cx_connect_fail{envoy_cluster_name=“sso”} 0envoy_cluster_update_attempt{envoy_cluster_name=“sso”} 18891envoy_cluster_upstream_flow_control_resumed_reading_total{envoy_cluster_name=“sso”} 0envoy_cluster_update_empty{envoy_cluster_name=“sso”} 0envoy_cluster_upstream_cx_destroy_remote{envoy_cluster_name=“sso”} 0envoy_cluster_update_no_rebuild{envoy_cluster_name=“sso”} 18890envoy_cluster_bind_errors{envoy_cluster_name=“sso”} 0envoy_cluster_lb_subsets_removed{envoy_cluster_name=“sso”} 0envoy_cluster_upstream_cx_connect_attempts_exceeded{envoy_cluster_name=“sso”} 0envoy_cluster_upstream_rq_retry_overflow{envoy_cluster_name=“sso”} 0envoy_cluster_upstream_rq_xx{envoy_response_code_class=“2”,envoy_cluster_name=“sso”} 13envoy_cluster_lb_zone_number_differs{envoy_cluster_name=“sso”} 0envoy_cluster_upstream_cx_rx_bytes_total{envoy_cluster_name=“sso”} 12934envoy_cluster_lb_zone_routing_sampled{envoy_cluster_name=“sso”} 0envoy_cluster_lb_zone_routing_all_directly{envoy_cluster_name=“sso”} 0envoy_cluster_upstream_cx_destroy_local_with_active_rq{envoy_cluster_name=“sso”} 0envoy_cluster_upstream_rq_rx_reset{envoy_cluster_name=“sso”} 0envoy_cluster_upstream_cx_none_healthy{envoy_cluster_name=“sso”} 0envoy_cluster_membership_change{envoy_cluster_name=“sso”} 1envoy_cluster_external_upstream_rq_completed{envoy_cluster_name=“sso”} 21envoy_cluster_upstream_rq{envoy_response_code=“200”,envoy_cluster_name=“sso”} 13# TYPE envoy_http_downstream_rq_too_large counterenvoy_http_downstream_rq_too_large{envoy_http_conn_manager_prefix=“admin”} 0# TYPE envoy_http_downstream_cx_protocol_error counterenvoy_http_downstream_cx_protocol_error{envoy_http_conn_manager_prefix=“admin”} 0# TYPE envoy_http_downstream_rq_timeout counterenvoy_http_downstream_rq_timeout{envoy_http_conn_manager_prefix=“admin”} 0# TYPE envoy_runtime_load_error counterenvoy_runtime_load_error{} 0# TYPE envoy_runtime_override_dir_not_exists counterenvoy_runtime_override_dir_not_exists{} 0# TYPE envoy_http_no_cluster counterenvoy_http_no_cluster{envoy_http_conn_manager_prefix=“async-client”} 0# TYPE envoy_server_watchdog_miss counterenvoy_server_watchdog_miss{} 0# TYPE envoy_http_downstream_rq_xx counterenvoy_http_downstream_rq_xx{envoy_response_code_class=“3”,envoy_http_conn_manager_prefix=“admin”} 0# TYPE envoy_cluster_manager_cluster_removed counterenvoy_cluster_manager_cluster_removed{} 0# TYPE envoy_http_downstream_cx_upgrades_total counterenvoy_http_downstream_cx_upgrades_total{envoy_http_conn_manager_prefix=“admin”} 0# TYPE envoy_cluster_manager_update_merge_cancelled counterenvoy_cluster_manager_update_merge_cancelled{} 0# TYPE envoy_http_downstream_cx_overload_disable_keepalive counterenvoy_http_downstream_cx_overload_disable_keepalive{envoy_http_conn_manager_prefix=“admin”} 0envoy_http_downstream_rq_xx{envoy_response_code_class=“1”,envoy_http_conn_manager_prefix=“admin”} 0# TYPE envoy_http_downstream_cx_destroy counterenvoy_http_downstream_cx_destroy{envoy_http_conn_manager_prefix=“admin”} 146344envoy_http_downstream_rq_xx{envoy_response_code_class=“5”,envoy_http_conn_manager_prefix=“admin”} 0# TYPE envoy_http_downstream_cx_tx_bytes_total counterenvoy_http_downstream_cx_tx_bytes_total{envoy_http_conn_manager_prefix=“admin”} 155797820# TYPE envoy_http_downstream_cx_drain_close counterenvoy_http_downstream_cx_drain_close{envoy_http_conn_manager_prefix=“admin”} 0# TYPE envoy_http_downstream_cx_destroy_local_active_rq counterenvoy_http_downstream_cx_destroy_local_active_rq{envoy_http_conn_manager_prefix=“admin”} 0# TYPE envoy_http_downstream_cx_destroy_active_rq counterenvoy_http_downstream_cx_destroy_active_rq{envoy_http_conn_manager_prefix=“admin”} 0# TYPE envoy_http_downstream_cx_destroy_local counterenvoy_http_downstream_cx_destroy_local{envoy_http_conn_manager_prefix=“admin”} 0envoy_http_downstream_rq_xx{envoy_response_code_class=“2”,envoy_http_conn_manager_prefix=“admin”} 3154# TYPE envoy_http_downstream_rq_http1_total counterenvoy_http_downstream_rq_http1_total{envoy_http_conn_manager_prefix=“admin”} 3155# TYPE envoy_http_rq_total counterenvoy_http_rq_total{envoy_http_conn_manager_prefix=“async-client”} 475# TYPE envoy_http_downstream_cx_total counterenvoy_http_downstream_cx_total{envoy_http_conn_manager_prefix=“admin”} 146346# TYPE envoy_runtime_load_success counterenvoy_runtime_load_success{} 0# TYPE envoy_filesystem_reopen_failed counterenvoy_filesystem_reopen_failed{} 0# TYPE envoy_http_downstream_rq_total counterenvoy_http_downstream_rq_total{envoy_http_conn_manager_prefix=“admin”} 3155# TYPE envoy_http_downstream_rq_rx_reset counterenvoy_http_downstream_rq_rx_reset{envoy_http_conn_manager_prefix=“admin”} 0# TYPE envoy_cluster_manager_cluster_modified counterenvoy_cluster_manager_cluster_modified{} 0# TYPE envoy_http_downstream_rq_idle_timeout counterenvoy_http_downstream_rq_idle_timeout{envoy_http_conn_manager_prefix=“admin”} 0# TYPE envoy_http_downstream_cx_destroy_remote_active_rq counterenvoy_http_downstream_cx_destroy_remote_active_rq{envoy_http_conn_manager_prefix=“admin”} 0# TYPE envoy_http_downstream_cx_ssl_total counterenvoy_http_downstream_cx_ssl_total{envoy_http_conn_manager_prefix=“admin”} 0# TYPE envoy_http_downstream_cx_delayed_close_timeout counterenvoy_http_downstream_cx_delayed_close_timeout{envoy_http_conn_manager_prefix=“admin”} 0# TYPE envoy_cluster_manager_update_out_of_merge_window counterenvoy_cluster_manager_update_out_of_merge_window{} 0# TYPE envoy_http_downstream_flow_control_resumed_reading_total counterenvoy_http_downstream_flow_control_resumed_reading_total{envoy_http_conn_manager_prefix=“admin”} 0# TYPE envoy_listener_manager_listener_added counterenvoy_listener_manager_listener_added{} 1# TYPE envoy_http_downstream_rq_overload_close counterenvoy_http_downstream_rq_overload_close{envoy_http_conn_manager_prefix=“admin”} 0# TYPE envoy_http_downstream_cx_http2_total counterenvoy_http_downstream_cx_http2_total{envoy_http_conn_manager_prefix=“admin”} 0# TYPE envoy_listener_manager_listener_create_failure counterenvoy_listener_manager_listener_create_failure{} 0# TYPE envoy_stats_overflow counterenvoy_stats_overflow{} 0# TYPE envoy_listener_manager_listener_create_success counterenvoy_listener_manager_listener_create_success{} 16# TYPE envoy_http_downstream_cx_http1_total counterenvoy_http_downstream_cx_http1_total{envoy_http_conn_manager_prefix=“admin”} 2# TYPE envoy_http_no_route counterenvoy_http_no_route{envoy_http_conn_manager_prefix=“async-client”} 0# TYPE envoy_cluster_manager_cluster_updated counterenvoy_cluster_manager_cluster_updated{} 0# TYPE envoy_http_downstream_cx_destroy_remote counterenvoy_http_downstream_cx_destroy_remote{envoy_http_conn_manager_prefix=“admin”} 146344# TYPE envoy_http_downstream_rq_non_relative_path counterenvoy_http_downstream_rq_non_relative_path{envoy_http_conn_manager_prefix=“admin”} 0# TYPE envoy_http_rs_too_large counterenvoy_http_rs_too_large{envoy_http_conn_manager_prefix=“admin”} 0# TYPE envoy_http_downstream_rq_tx_reset counterenvoy_http_downstream_rq_tx_reset{envoy_http_conn_manager_prefix=“admin”} 0# TYPE envoy_server_watchdog_mega_miss counterenvoy_server_watchdog_mega_miss{} 0# TYPE envoy_http_downstream_flow_control_paused_reading_total counterenvoy_http_downstream_flow_control_paused_reading_total{envoy_http_conn_manager_prefix=“admin”} 0# TYPE envoy_http_downstream_cx_rx_bytes_total counterenvoy_http_downstream_cx_rx_bytes_total{envoy_http_conn_manager_prefix=“admin”} 795620# TYPE envoy_http_downstream_rq_completed counterenvoy_http_downstream_rq_completed{envoy_http_conn_manager_prefix=“admin”} 3154# TYPE envoy_listener_manager_listener_removed counterenvoy_listener_manager_listener_removed{} 0envoy_http_downstream_rq_xx{envoy_response_code_class=“4”,envoy_http_conn_manager_prefix=“admin”} 0# TYPE envoy_http_rq_direct_response counterenvoy_http_rq_direct_response{envoy_http_conn_manager_prefix=“async-client”} 0# TYPE envoy_filesystem_write_completed counterenvoy_filesystem_write_completed{} 3366# TYPE envoy_http_downstream_rq_ws_on_non_ws_route counterenvoy_http_downstream_rq_ws_on_non_ws_route{envoy_http_conn_manager_prefix=“admin”} 0# TYPE envoy_cluster_manager_cluster_updated_via_merge counterenvoy_cluster_manager_cluster_updated_via_merge{} 0# TYPE envoy_filesystem_flushed_by_timer counterenvoy_filesystem_flushed_by_timer{} 18495# TYPE envoy_filesystem_write_buffered counterenvoy_filesystem_write_buffered{} 3669# TYPE envoy_runtime_override_dir_exists counterenvoy_runtime_override_dir_exists{} 0# TYPE envoy_cluster_manager_cluster_added counterenvoy_cluster_manager_cluster_added{} 4# TYPE envoy_listener_manager_listener_modified counterenvoy_listener_manager_listener_modified{} 0# TYPE envoy_http_downstream_rq_http2_total counterenvoy_http_downstream_rq_http2_total{envoy_http_conn_manager_prefix=“admin”} 0# TYPE envoy_http_downstream_rq_response_before_rq_complete counterenvoy_http_downstream_rq_response_before_rq_complete{envoy_http_conn_manager_prefix=“admin”} 0# TYPE envoy_http_downstream_cx_idle_timeout counterenvoy_http_downstream_cx_idle_timeout{envoy_http_conn_manager_prefix=“admin”} 0# TYPE envoy_http_rq_redirect counterenvoy_http_rq_redirect{envoy_http_conn_manager_prefix=“async-client”} 0# TYPE envoy_listener_http_downstream_rq_xx counterenvoy_listener_http_downstream_rq_xx{envoy_response_code_class=“1”,envoy_http_conn_manager_prefix=“ingress_http”,envoy_listener_address=“0.0.0.0_8000”} 0envoy_listener_http_downstream_rq_xx{envoy_response_code_class=“2”,envoy_http_conn_manager_prefix=“ingress_http”,envoy_listener_address=“0.0.0.0_8000”} 456envoy_listener_http_downstream_rq_xx{envoy_response_code_class=“4”,envoy_http_conn_manager_prefix=“ingress_http”,envoy_listener_address=“0.0.0.0_8000”} 30# TYPE envoy_listener_downstream_pre_cx_timeout counterenvoy_listener_downstream_pre_cx_timeout{envoy_listener_address=“0.0.0.0_8000”} 0# TYPE envoy_listener_no_filter_chain_match counterenvoy_listener_no_filter_chain_match{envoy_listener_address=“0.0.0.0_8000”} 0# TYPE envoy_listener_downstream_cx_total counterenvoy_listener_downstream_cx_total{envoy_listener_address=“0.0.0.0_8000”} 147370envoy_listener_http_downstream_rq_xx{envoy_response_code_class=“5”,envoy_http_conn_manager_prefix=“ingress_http”,envoy_listener_address=“0.0.0.0_8000”} 29envoy_listener_http_downstream_rq_xx{envoy_response_code_class=“3”,envoy_http_conn_manager_prefix=“ingress_http”,envoy_listener_address=“0.0.0.0_8000”} 0# TYPE envoy_listener_downstream_cx_destroy counterenvoy_listener_downstream_cx_destroy{envoy_listener_address=“0.0.0.0_8000”} 147369# TYPE envoy_listener_http_downstream_rq_completed counterenvoy_listener_http_downstream_rq_completed{envoy_http_conn_manager_prefix=“ingress_http”,envoy_listener_address=“0.0.0.0_8000”} 515envoy_http_downstream_cx_destroy{envoy_http_conn_manager_prefix=“ingress_http”} 147369envoy_http_downstream_rq_http1_total{envoy_http_conn_manager_prefix=“ingress_http”} 515envoy_http_downstream_cx_destroy_local_active_rq{envoy_http_conn_manager_prefix=“ingress_http”} 0envoy_http_downstream_flow_control_resumed_reading_total{envoy_http_conn_manager_prefix=“ingress_http”} 0# TYPE envoy_http_tracing_health_check counterenvoy_http_tracing_health_check{envoy_http_conn_manager_prefix=“ingress_http”} 0envoy_http_downstream_rq_response_before_rq_complete{envoy_http_conn_manager_prefix=“ingress_http”} 0envoy_http_downstream_cx_protocol_error{envoy_http_conn_manager_prefix=“ingress_http”} 2envoy_http_downstream_cx_destroy_remote{envoy_http_conn_manager_prefix=“ingress_http”} 147367envoy_http_no_route{envoy_http_conn_manager_prefix=“ingress_http”} 7envoy_http_rq_redirect{envoy_http_conn_manager_prefix=“ingress_http”} 0envoy_http_downstream_cx_http1_total{envoy_http_conn_manager_prefix=“ingress_http”} 41# TYPE envoy_http_tracing_random_sampling counterenvoy_http_tracing_random_sampling{envoy_http_conn_manager_prefix=“ingress_http”} 0envoy_http_downstream_cx_total{envoy_http_conn_manager_prefix=“ingress_http”} 147370envoy_http_downstream_cx_destroy_remote_active_rq{envoy_http_conn_manager_prefix=“ingress_http”} 0envoy_http_rs_too_large{envoy_http_conn_manager_prefix=“ingress_http”} 0envoy_http_downstream_rq_idle_timeout{envoy_http_conn_manager_prefix=“ingress_http”} 0envoy_http_downstream_cx_idle_timeout{envoy_http_conn_manager_prefix=“ingress_http”} 0envoy_http_downstream_cx_rx_bytes_total{envoy_http_conn_manager_prefix=“ingress_http”} 306987envoy_http_downstream_rq_xx{envoy_response_code_class=“1”,envoy_http_conn_manager_prefix=“ingress_http”} 0envoy_http_downstream_rq_ws_on_non_ws_route{envoy_http_conn_manager_prefix=“ingress_http”} 0envoy_http_downstream_rq_xx{envoy_response_code_class=“3”,envoy_http_conn_manager_prefix=“ingress_http”} 0envoy_http_downstream_cx_overload_disable_keepalive{envoy_http_conn_manager_prefix=“ingress_http”} 0# TYPE envoy_http_tracing_service_forced counterenvoy_http_tracing_service_forced{envoy_http_conn_manager_prefix=“ingress_http”} 0envoy_http_downstream_cx_drain_close{envoy_http_conn_manager_prefix=“ingress_http”} 0envoy_http_downstream_cx_tx_bytes_total{envoy_http_conn_manager_prefix=“ingress_http”} 227287envoy_http_downstream_cx_delayed_close_timeout{envoy_http_conn_manager_prefix=“ingress_http”} 2envoy_http_downstream_flow_control_paused_reading_total{envoy_http_conn_manager_prefix=“ingress_http”} 0envoy_http_downstream_rq_timeout{envoy_http_conn_manager_prefix=“ingress_http”} 0envoy_http_downstream_rq_rx_reset{envoy_http_conn_manager_prefix=“ingress_http”} 0envoy_http_downstream_cx_destroy_local{envoy_http_conn_manager_prefix=“ingress_http”} 2# TYPE envoy_http_tracing_not_traceable counterenvoy_http_tracing_not_traceable{envoy_http_conn_manager_prefix=“ingress_http”} 0# TYPE envoy_http_cors_origin_invalid counterenvoy_http_cors_origin_invalid{envoy_http_conn_manager_prefix=“ingress_http”} 0envoy_http_no_cluster{envoy_http_conn_manager_prefix=“ingress_http”} 0# TYPE envoy_http_cors_origin_valid counterenvoy_http_cors_origin_valid{envoy_http_conn_manager_prefix=“ingress_http”} 485envoy_http_downstream_rq_completed{envoy_http_conn_manager_prefix=“ingress_http”} 515envoy_http_rq_total{envoy_http_conn_manager_prefix=“ingress_http”} 268envoy_http_downstream_rq_tx_reset{envoy_http_conn_manager_prefix=“ingress_http”} 0envoy_http_downstream_rq_total{envoy_http_conn_manager_prefix=“ingress_http”} 515envoy_http_downstream_rq_overload_close{envoy_http_conn_manager_prefix=“ingress_http”} 0envoy_http_downstream_cx_http2_total{envoy_http_conn_manager_prefix=“ingress_http”} 0envoy_http_downstream_cx_destroy_active_rq{envoy_http_conn_manager_prefix=“ingress_http”} 0envoy_http_downstream_rq_http2_total{envoy_http_conn_manager_prefix=“ingress_http”} 0envoy_http_downstream_cx_upgrades_total{envoy_http_conn_manager_prefix=“ingress_http”} 0envoy_http_downstream_rq_non_relative_path{envoy_http_conn_manager_prefix=“ingress_http”} 0envoy_http_downstream_rq_xx{envoy_response_code_class=“4”,envoy_http_conn_manager_prefix=“ingress_http”} 30envoy_http_downstream_rq_xx{envoy_response_code_class=“5”,envoy_http_conn_manager_prefix=“ingress_http”} 29envoy_http_rq_direct_response{envoy_http_conn_manager_prefix=“ingress_http”} 0envoy_http_downstream_cx_ssl_total{envoy_http_conn_manager_prefix=“ingress_http”} 0envoy_http_downstream_rq_too_large{envoy_http_conn_manager_prefix=“ingress_http”} 0envoy_http_downstream_rq_xx{envoy_response_code_class=“2”,envoy_http_conn_manager_prefix=“ingress_http”} 456# TYPE envoy_http_tracing_client_enabled counterenvoy_http_tracing_client_enabled{envoy_http_conn_manager_prefix=“ingress_http”} 0envoy_cluster_upstream_cx_protocol_error{envoy_cluster_name=“cost”} 0envoy_cluster_upstream_flow_control_paused_reading_total{envoy_cluster_name=“cost”} 0envoy_cluster_upstream_cx_http2_total{envoy_cluster_name=“cost”} 0envoy_cluster_lb_subsets_removed{envoy_cluster_name=“cost”} 0envoy_cluster_upstream_cx_http1_total{envoy_cluster_name=“cost”} 0envoy_cluster_upstream_cx_close_notify{envoy_cluster_name=“cost”} 0envoy_cluster_lb_zone_cluster_too_small{envoy_cluster_name=“cost”} 0envoy_cluster_upstream_cx_max_requests{envoy_cluster_name=“cost”} 0envoy_cluster_membership_change{envoy_cluster_name=“cost”} 0envoy_cluster_upstream_cx_destroy_local{envoy_cluster_name=“cost”} 0envoy_cluster_upstream_rq_cancelled{envoy_cluster_name=“cost”} 0envoy_cluster_update_no_rebuild{envoy_cluster_name=“cost”} 18872envoy_cluster_upstream_rq_timeout{envoy_cluster_name=“cost”} 0envoy_cluster_upstream_cx_rx_bytes_total{envoy_cluster_name=“cost”} 0envoy_cluster_lb_zone_no_capacity_left{envoy_cluster_name=“cost”} 0envoy_cluster_upstream_cx_destroy_local_with_active_rq{envoy_cluster_name=“cost”} 0envoy_cluster_upstream_cx_total{envoy_cluster_name=“cost”} 0envoy_cluster_upstream_rq_per_try_timeout{envoy_cluster_name=“cost”} 0envoy_cluster_bind_errors{envoy_cluster_name=“cost”} 0envoy_cluster_update_success{envoy_cluster_name=“cost”} 18872envoy_cluster_upstream_rq_retry{envoy_cluster_name=“cost”} 0envoy_cluster_upstream_rq_tx_reset{envoy_cluster_name=“cost”} 0envoy_cluster_upstream_rq_retry_success{envoy_cluster_name=“cost”} 0envoy_cluster_upstream_cx_connect_attempts_exceeded{envoy_cluster_name=“cost”} 0envoy_cluster_update_empty{envoy_cluster_name=“cost”} 0envoy_cluster_upstream_cx_destroy_remote{envoy_cluster_name=“cost”} 0envoy_cluster_upstream_cx_tx_bytes_total{envoy_cluster_name=“cost”} 0envoy_cluster_original_dst_host_invalid{envoy_cluster_name=“cost”} 0envoy_cluster_update_failure{envoy_cluster_name=“cost”} 0envoy_cluster_upstream_rq_pending_overflow{envoy_cluster_name=“cost”} 0envoy_cluster_update_attempt{envoy_cluster_name=“cost”} 18872envoy_cluster_upstream_cx_connect_timeout{envoy_cluster_name=“cost”} 0envoy_cluster_lb_zone_routing_all_directly{envoy_cluster_name=“cost”} 0envoy_cluster_upstream_cx_none_healthy{envoy_cluster_name=“cost”} 0envoy_cluster_retry_or_shadow_abandoned{envoy_cluster_name=“cost”} 0envoy_cluster_upstream_flow_control_resumed_reading_total{envoy_cluster_name=“cost”} 0envoy_cluster_upstream_cx_connect_fail{envoy_cluster_name=“cost”} 0envoy_cluster_upstream_rq_retry_overflow{envoy_cluster_name=“cost”} 0envoy_cluster_lb_zone_routing_cross_zone{envoy_cluster_name=“cost”} 0envoy_cluster_upstream_rq_pending_total{envoy_cluster_name=“cost”} 0envoy_cluster_lb_subsets_created{envoy_cluster_name=“cost”} 0envoy_cluster_upstream_rq_maintenance_mode{envoy_cluster_name=“cost”} 0envoy_cluster_upstream_rq_completed{envoy_cluster_name=“cost”} 0envoy_cluster_lb_healthy_panic{envoy_cluster_name=“cost”} 0envoy_cluster_lb_zone_routing_sampled{envoy_cluster_name=“cost”} 0envoy_cluster_upstream_flow_control_drained_total{envoy_cluster_name=“cost”} 0envoy_cluster_upstream_cx_destroy_remote_with_active_rq{envoy_cluster_name=“cost”} 0envoy_cluster_lb_local_cluster_not_ok{envoy_cluster_name=“cost”} 0envoy_cluster_upstream_flow_control_backed_up_total{envoy_cluster_name=“cost”} 0envoy_cluster_upstream_rq_rx_reset{envoy_cluster_name=“cost”} 0envoy_cluster_upstream_cx_destroy_with_active_rq{envoy_cluster_name=“cost”} 0envoy_cluster_lb_subsets_fallback{envoy_cluster_name=“cost”} 0envoy_cluster_lb_zone_number_differs{envoy_cluster_name=“cost”} 0envoy_cluster_upstream_cx_idle_timeout{envoy_cluster_name=“cost”} 0envoy_cluster_upstream_cx_overflow{envoy_cluster_name=“cost”} 0envoy_cluster_lb_subsets_selected{envoy_cluster_name=“cost”} 0envoy_cluster_upstream_rq_total{envoy_cluster_name=“cost”} 0envoy_cluster_upstream_cx_destroy{envoy_cluster_name=“cost”} 0envoy_cluster_lb_recalculate_zone_structures{envoy_cluster_name=“cost”} 0envoy_cluster_upstream_rq_pending_failure_eject{envoy_cluster_name=“cost”} 0# TYPE envoy_listener_admin_downstream_pre_cx_active gaugeenvoy_listener_admin_downstream_pre_cx_active{} 0# TYPE envoy_listener_admin_downstream_cx_active gaugeenvoy_listener_admin_downstream_cx_active{} 2# TYPE envoy_cluster_upstream_cx_rx_bytes_buffered gaugeenvoy_cluster_upstream_cx_rx_bytes_buffered{envoy_cluster_name=“hawkeye”} 3402# TYPE envoy_cluster_membership_healthy gaugeenvoy_cluster_membership_healthy{envoy_cluster_name=“hawkeye”} 1# TYPE envoy_cluster_circuit_breakers_high_cx_open gaugeenvoy_cluster_circuit_breakers_high_cx_open{envoy_cluster_name=“hawkeye”} 0# TYPE envoy_cluster_circuit_breakers_default_rq_pending_open gaugeenvoy_cluster_circuit_breakers_default_rq_pending_open{envoy_cluster_name=“hawkeye”} 0# TYPE envoy_cluster_upstream_cx_tx_bytes_buffered gaugeenvoy_cluster_upstream_cx_tx_bytes_buffered{envoy_cluster_name=“hawkeye”} 0# TYPE envoy_cluster_circuit_breakers_high_rq_retry_open gaugeenvoy_cluster_circuit_breakers_high_rq_retry_open{envoy_cluster_name=“hawkeye”} 0# TYPE envoy_cluster_lb_subsets_active gaugeenvoy_cluster_lb_subsets_active{envoy_cluster_name=“hawkeye”} 0# TYPE envoy_cluster_circuit_breakers_default_cx_open gaugeenvoy_cluster_circuit_breakers_default_cx_open{envoy_cluster_name=“hawkeye”} 0# TYPE envoy_cluster_max_host_weight gaugeenvoy_cluster_max_host_weight{envoy_cluster_name=“hawkeye”} 1# TYPE envoy_cluster_circuit_breakers_default_rq_retry_open gaugeenvoy_cluster_circuit_breakers_default_rq_retry_open{envoy_cluster_name=“hawkeye”} 0# TYPE envoy_cluster_version gaugeenvoy_cluster_version{envoy_cluster_name=“hawkeye”} 0# TYPE envoy_cluster_membership_total gaugeenvoy_cluster_membership_total{envoy_cluster_name=“hawkeye”} 1# TYPE envoy_cluster_circuit_breakers_high_rq_pending_open gaugeenvoy_cluster_circuit_breakers_high_rq_pending_open{envoy_cluster_name=“hawkeye”} 0# TYPE envoy_cluster_circuit_breakers_default_rq_open gaugeenvoy_cluster_circuit_breakers_default_rq_open{envoy_cluster_name=“hawkeye”} 0# TYPE envoy_cluster_circuit_breakers_high_rq_open gaugeenvoy_cluster_circuit_breakers_high_rq_open{envoy_cluster_name=“hawkeye”} 0# TYPE envoy_cluster_upstream_cx_active gaugeenvoy_cluster_upstream_cx_active{envoy_cluster_name=“hawkeye”} 3# TYPE envoy_cluster_upstream_rq_pending_active gaugeenvoy_cluster_upstream_rq_pending_active{envoy_cluster_name=“hawkeye”} 0# TYPE envoy_cluster_upstream_rq_active gaugeenvoy_cluster_upstream_rq_active{envoy_cluster_name=“hawkeye”} 0envoy_cluster_membership_healthy{envoy_cluster_name=“ext-authz”} 1envoy_cluster_circuit_breakers_default_rq_pending_open{envoy_cluster_name=“ext-authz”} 0envoy_cluster_circuit_breakers_default_rq_open{envoy_cluster_name=“ext-authz”} 0envoy_cluster_membership_total{envoy_cluster_name=“ext-authz”} 1envoy_cluster_circuit_breakers_default_rq_retry_open{envoy_cluster_name=“ext-authz”} 0envoy_cluster_upstream_cx_active{envoy_cluster_name=“ext-authz”} 4envoy_cluster_version{envoy_cluster_name=“ext-authz”} 0envoy_cluster_circuit_breakers_high_rq_pending_open{envoy_cluster_name=“ext-authz”} 0envoy_cluster_upstream_cx_rx_bytes_buffered{envoy_cluster_name=“ext-authz”} 714envoy_cluster_upstream_rq_pending_active{envoy_cluster_name=“ext-authz”} 0envoy_cluster_circuit_breakers_high_cx_open{envoy_cluster_name=“ext-authz”} 0envoy_cluster_circuit_breakers_high_rq_retry_open{envoy_cluster_name=“ext-authz”} 0envoy_cluster_max_host_weight{envoy_cluster_name=“ext-authz”} 1envoy_cluster_upstream_rq_active{envoy_cluster_name=“ext-authz”} 0envoy_cluster_circuit_breakers_high_rq_open{envoy_cluster_name=“ext-authz”} 0envoy_cluster_upstream_cx_tx_bytes_buffered{envoy_cluster_name=“ext-authz”} 0envoy_cluster_circuit_breakers_default_cx_open{envoy_cluster_name=“ext-authz”} 0envoy_cluster_lb_subsets_active{envoy_cluster_name=“ext-authz”} 0envoy_cluster_circuit_breakers_default_rq_open{envoy_cluster_name=“sso”} 0envoy_cluster_upstream_rq_pending_active{envoy_cluster_name=“sso”} 0envoy_cluster_membership_healthy{envoy_cluster_name=“sso”} 1envoy_cluster_circuit_breakers_high_rq_pending_open{envoy_cluster_name=“sso”} 0envoy_cluster_circuit_breakers_high_rq_open{envoy_cluster_name=“sso”} 0envoy_cluster_circuit_breakers_high_rq_retry_open{envoy_cluster_name=“sso”} 0envoy_cluster_version{envoy_cluster_name=“sso”} 0envoy_cluster_circuit_breakers_high_cx_open{envoy_cluster_name=“sso”} 0envoy_cluster_membership_total{envoy_cluster_name=“sso”} 1envoy_cluster_upstream_cx_active{envoy_cluster_name=“sso”} 0envoy_cluster_upstream_cx_tx_bytes_buffered{envoy_cluster_name=“sso”} 0envoy_cluster_circuit_breakers_default_rq_pending_open{envoy_cluster_name=“sso”} 0envoy_cluster_lb_subsets_active{envoy_cluster_name=“sso”} 0envoy_cluster_upstream_cx_rx_bytes_buffered{envoy_cluster_name=“sso”} 0envoy_cluster_circuit_breakers_default_cx_open{envoy_cluster_name=“sso”} 0envoy_cluster_upstream_rq_active{envoy_cluster_name=“sso”} 0envoy_cluster_max_host_weight{envoy_cluster_name=“sso”} 1envoy_cluster_circuit_breakers_default_rq_retry_open{envoy_cluster_name=“sso”} 0# TYPE envoy_filesystem_write_total_buffered gaugeenvoy_filesystem_write_total_buffered{} 0# TYPE envoy_http_downstream_cx_http1_active gaugeenvoy_http_downstream_cx_http1_active{envoy_http_conn_manager_prefix=“admin”} 2# TYPE envoy_listener_manager_total_listeners_warming gaugeenvoy_listener_manager_total_listeners_warming{} 0# TYPE envoy_runtime_num_keys gaugeenvoy_runtime_num_keys{} 0# TYPE envoy_http_downstream_cx_rx_bytes_buffered gaugeenvoy_http_downstream_cx_rx_bytes_buffered{envoy_http_conn_manager_prefix=“admin”} 845# TYPE envoy_runtime_admin_overrides_active gaugeenvoy_runtime_admin_overrides_active{} 0# TYPE envoy_server_version gaugeenvoy_server_version{} 3653592# TYPE envoy_cluster_manager_active_clusters gaugeenvoy_cluster_manager_active_clusters{} 4# TYPE envoy_server_live gaugeenvoy_server_live{} 1# TYPE envoy_http_downstream_cx_ssl_active gaugeenvoy_http_downstream_cx_ssl_active{envoy_http_conn_manager_prefix=“admin”} 0# TYPE envoy_http_downstream_cx_http2_active gaugeenvoy_http_downstream_cx_http2_active{envoy_http_conn_manager_prefix=“admin”} 0# TYPE envoy_http_downstream_cx_tx_bytes_buffered gaugeenvoy_http_downstream_cx_tx_bytes_buffered{envoy_http_conn_manager_prefix=“admin”} 0# TYPE envoy_http_downstream_cx_upgrades_active gaugeenvoy_http_downstream_cx_upgrades_active{envoy_http_conn_manager_prefix=“admin”} 0# TYPE envoy_http_downstream_rq_active gaugeenvoy_http_downstream_rq_active{envoy_http_conn_manager_prefix=“admin”} 1# TYPE envoy_listener_manager_total_listeners_active gaugeenvoy_listener_manager_total_listeners_active{} 1# TYPE envoy_server_parent_connections gaugeenvoy_server_parent_connections{} 0# TYPE envoy_cluster_manager_warming_clusters gaugeenvoy_cluster_manager_warming_clusters{} 0# TYPE envoy_http_downstream_cx_active gaugeenvoy_http_downstream_cx_active{envoy_http_conn_manager_prefix=“admin”} 2# TYPE envoy_listener_manager_total_listeners_draining gaugeenvoy_listener_manager_total_listeners_draining{} 0# TYPE envoy_server_total_connections gaugeenvoy_server_total_connections{} 1# TYPE envoy_server_concurrency gaugeenvoy_server_concurrency{} 16# TYPE envoy_server_memory_allocated gaugeenvoy_server_memory_allocated{} 4216000# TYPE envoy_server_hot_restart_epoch gaugeenvoy_server_hot_restart_epoch{} 0# TYPE envoy_server_uptime gaugeenvoy_server_uptime{} 94576# TYPE envoy_server_memory_heap_size gaugeenvoy_server_memory_heap_size{} 6291456# TYPE envoy_server_days_until_first_cert_expiring gaugeenvoy_server_days_until_first_cert_expiring{} 2147483647# TYPE envoy_listener_downstream_cx_active gaugeenvoy_listener_downstream_cx_active{envoy_listener_address=“0.0.0.0_8000”} 1# TYPE envoy_listener_downstream_pre_cx_active gaugeenvoy_listener_downstream_pre_cx_active{envoy_listener_address=“0.0.0.0_8000”} 0envoy_http_downstream_cx_tx_bytes_buffered{envoy_http_conn_manager_prefix=“ingress_http”} 0envoy_http_downstream_cx_upgrades_active{envoy_http_conn_manager_prefix=“ingress_http”} 0envoy_http_downstream_cx_ssl_active{envoy_http_conn_manager_prefix=“ingress_http”} 0envoy_http_downstream_cx_active{envoy_http_conn_manager_prefix=“ingress_http”} 1envoy_http_downstream_cx_http1_active{envoy_http_conn_manager_prefix=“ingress_http”} 1envoy_http_downstream_cx_http2_active{envoy_http_conn_manager_prefix=“ingress_http”} 0envoy_http_downstream_cx_rx_bytes_buffered{envoy_http_conn_manager_prefix=“ingress_http”} 403envoy_http_downstream_rq_active{envoy_http_conn_manager_prefix=“ingress_http”} 0envoy_cluster_upstream_rq_pending_active{envoy_cluster_name=“cost”} 0envoy_cluster_circuit_breakers_default_cx_open{envoy_cluster_name=“cost”} 0envoy_cluster_circuit_breakers_default_rq_pending_open{envoy_cluster_name=“cost”} 0envoy_cluster_upstream_rq_active{envoy_cluster_name=“cost”} 0envoy_cluster_circuit_breakers_high_rq_pending_open{envoy_cluster_name=“cost”} 0envoy_cluster_circuit_breakers_default_rq_open{envoy_cluster_name=“cost”} 0envoy_cluster_max_host_weight{envoy_cluster_name=“cost”} 1envoy_cluster_membership_total{envoy_cluster_name=“cost”} 0envoy_cluster_circuit_breakers_high_cx_open{envoy_cluster_name=“cost”} 0envoy_cluster_circuit_breakers_default_rq_retry_open{envoy_cluster_name=“cost”} 0envoy_cluster_membership_healthy{envoy_cluster_name=“cost”} 0envoy_cluster_version{envoy_cluster_name=“cost”} 0envoy_cluster_upstream_cx_active{envoy_cluster_name=“cost”} 0envoy_cluster_circuit_breakers_high_rq_retry_open{envoy_cluster_name=“cost”} 0envoy_cluster_circuit_breakers_high_rq_open{envoy_cluster_name=“cost”} 0envoy_cluster_lb_subsets_active{envoy_cluster_name=“cost”} 0envoy_cluster_upstream_cx_tx_bytes_buffered{envoy_cluster_name=“cost”} 0envoy_cluster_upstream_cx_rx_bytes_buffered{envoy_cluster_name=“cost”} 0配置prometheus 采集envoy由于我实际测试过程中，envoy是部署在k8s当中，所以，利用prometheus对pod 自动发现的能力，没有在prometheus做静态配置。自动发现的好处，就是当pod hpa的时候，不需要去更改配置文件。要采集envoy metrics，在 envoy deployment当中要加入如下注解：kind: DeploymentapiVersion: apps/v1metadata: name: gateway labels: app: gatewayspec: replicas: 2 selector: matchLabels: app: gateway template: metadata: labels: app: gateway annotations: prometheus.io/scrape: ’true’ prometheus.io/path: ‘/stats/prometheus’ prometheus.io/port: ‘9000’ spec: volumes: - name: config configMap: name: gateway-cm containers: - name: gateway image: ’envoyproxy/envoy:v1.9.0’ env: - name: ‘CPUS’ value: ‘1’ - name: ‘SERVICE_NAME’ value: ‘-gateway’ resources: limits: cpu: ‘1’ memory: 1Gi requests: cpu: ‘1’ memory: 1Gi volumeMounts: - name: config mountPath: /etc/envoy/ imagePullPolicy: Always 注意如下的注解： annotations: prometheus.io/scrape: ’true’ prometheus.io/path: ‘/stats/prometheus’ prometheus.io/port: ‘9000’然后查看prometheus的管理界面，查询一下metrics：prometheus已经成功采集metrics。grafana展示grafana dashbord中，已经有两个做好的模板。大家引入就可以了。具体是envoy global看板（7253）和 Envoy Service Dashboard（7250）。最后效果如下： ...

本博客是深入研究Envoy Proxy和Istio.io 以及它如何实现更优雅的方式来连接和管理微服务系列文章的一部分。这是接下来几个部分的想法（将在发布时更新链接):断路器（第一部分）重试/超时（第二部分）分布式跟踪（第三部分）Prometheus的指标收集（第四部分）服务发现（第五部分）第三部分 - 使用envoy proxy 实现分布式追踪第一篇博文向您介绍了Envoy Proxy的断路功能实现。在第二部分中，仔细研究了如何启用额外的弹性功能，如超时和重试。在第三部分中，我们将了解如何在服务网格中启用分布式跟踪。有意进行一些简单的演示，因此我可以单独说明模式和用法。请下载此演示的源代码并按照说明进行操作！该演示由一个客户端和一个服务组成。客户端是一个Java http应用程序，模拟对“上游”服务进行http调用（注意，我们在这里使用Envoys术语，并贯穿整个repo）。客户端打包在docker.io/ceposta/http-envoy-client:latest的Docker镜像中。除了http-client Java应用程序之外，还有Envoy Proxy的一个实例。在此部署模型中，Envoy被部署为服务的sidercar（在本例中为http客户端）。当http-client进行出站调用（到“上游”服务）时，所有调用都通过Envoy Proxy sidercar。envoy会在服务调用之间添加一些追踪headers，并发送到Zipkin（或您的跟踪提供商…… Envoy目前支持Zipkin和Lightstep）。这些示例的“上游”服务是httpbin.org。 httpbin.org允许我们轻松模拟HTTP服务行为。它很棒，所以如果你没有看到它，请查看它。这个traceing 演示有自己的envoy.json配置文件。我绝对建议您查看配置文件每个部分的参考文档，以帮助理解完整配置。 datawire.io的优秀人员也为Envoy及其配置提供了一个很好的介绍，你也应该检查一下。运行 tracing demo对于跟踪演示，我们将使用以下如下的配置来配置我们的Envoy（请参阅其余上下文的完整配置）： “tracing”: { “operation_name”: “egress” }, … “tracing”: { “http”: { “driver”: { “type”: “zipkin”, “config”: { “collector_cluster”: “zipkin”, “collector_endpoint”: “/api/v1/spans” } } } }, … { “name”: “zipkin”, “connect_timeout_ms”: 1000, “type”: “strict_dns”, “lb_type”: “round_robin”, “hosts”: [ { “url”: “tcp://zipkin:9411” } ] } 这里我们配置跟踪驱动程序和跟踪集群。在这种情况下，要运行此演示，我们需要启动Zipkin服务器：首先我们停止已经存在的演示demo:./docker-stop.sh启动zipkin服务：./tracing/docker-run-zipkin.sh会将zipkin暴露在端口9411上。如果您使用minikube或类似的东西来运行这些演示，您可以直接将minikube端口导出到您的主机，如下所示：./port-forward-minikube.sh 9411一旦你启动并运行Zipkin，访问该服务（即，在minikube上，在进行端口转发后，它将只是http：// localhost：9411）。你应该看看Zipkin：现在我们已经启动了zipkin服务器，让我们启动我们的跟踪演示：/docker-run.sh -d tracing然后让我们用客户端访问服务：./curl.sh -vvvv localhost:15001/get我们将看到如下的输出：< HTTP/1.1 200 OK* Server envoy is not blacklisted< server: envoy< date: Thu, 25 May 2017 06:31:02 GMT< content-type: application/json< access-control-allow-origin: < access-control-allow-credentials: true< x-powered-by: Flask< x-processed-time: 0.000982999801636< content-length: 402< via: 1.1 vegur< x-envoy-upstream-service-time: 142< { “args”: {}, “headers”: { “Accept”: “/*”, “Connection”: “close”, “Host”: “httpbin.org”, “User-Agent”: “curl/7.35.0”, “X-B3-Sampled”: “1”, “X-B3-Spanid”: “0000b825f82b418d”, “X-B3-Traceid”: “0000b825f82b418d”, “X-Ot-Span-Context”: “0000b825f82b418d;0000b825f82b418d;0000000000000000;cs” }, “origin”: “68.3.84.124”, “url”: “http://httpbin.org/get"}现在，如果我们转到Zipkin服务器，我们应该看到此调用的单个跨度/跟踪（注意，您可能需要调整zipkin过滤器中的开始/停止时间：这里我们有一个只有一个span的跟踪（这是我们所期望的，因为我们的Envoy演示客户端直接与没有Envoy的外部服务调用……如果上游服务也有启用了zipkin的Envoy，我们将看到服务之间的全部span）。如果我们点击span以查看更多细节，我们会看到如下内容：PS请注意，服务体系结构中的每个服务都应该与Envoy一起部署并参与分布式跟踪。这种方法的优点在于跟踪是从应用程序带外进行的。但是，为了跟踪要正确传播的上下文，应用程序开发人员有责任正确传播正确的header，以便不同的span正确关联。检查zipkin以获取更多详细信息，但至少要传播这些header（如上所示）：x-request-idx-b3-traceidx-b3-spanidx-b3-parentspanidx-b3-sampledx-b3-flagsx-ot-span-context ...

本博客是深入研究Envoy Proxy和Istio.io 以及它如何实现更优雅的方式来连接和管理微服务系列文章的一部分。这是接下来几个部分的想法（将在发布时更新链接):断路器（第一部分）重试/超时（第二部分）分布式跟踪（第三部分）Prometheus的指标收集（第四部分）服务发现（第五部分）第一部分 - 使用envoy proxy 实现超时和重试第一篇博文向您介绍了Envoy Proxy的断路功能实现。在第二部分中，我们将详细介绍如何启用其他弹性功能，如超时和重试。有意进行一些简单的演示，因此我可以单独说明模式和用法。请下载此演示的源代码并按照说明进行操作！该演示由一个客户端和一个服务组成。客户端是一个Java http应用程序，模拟对“上游”服务进行http调用（注意，我们在这里使用Envoys术语，并贯穿整个repo）。客户端打包在docker.io/ceposta/http-envoy-client:latest的Docker镜像中。除了http-client Java应用程序之外，还有Envoy Proxy的一个实例。在此部署模型中，Envoy被部署为服务的sidercar（在本例中为http客户端）。当http-client进行出站调用（到“上游”服务）时，所有调用都通过Envoy Proxy sidercar。这些示例的“上游”服务是httpbin.org。 httpbin.org允许我们轻松模拟HTTP服务行为。它很棒，所以如果你没有看到它，请查看它。重试和超时演示有自己的envoy.json配置文件。我绝对建议您查看配置文件每个部分的参考文档，以帮助理解完整配置。 datawire.io的优秀人员也为Envoy及其配置提供了一个很好的介绍，你也应该检查一下。运行 重试 demo对于重试演示，我们将在Envoy中配置我们的路由，如下所示： “routes”: [ { “timeout_ms”: 0, “prefix”: “/”, “auto_host_rewrite”: true, “cluster”: “httpbin_service”, “retry_policy”: { “retry_on”: “5xx”, “num_retries”: 3 } }这里我们在HTTP状态为5xx时重试最多3次。如果您已经运行过以前的演示，请确保为此（或任何）演示开始一个新的初始化状态。我们为每个演示提供不同的Envoy配置，并希望确保每次都从一个新的初始化状态开始。首先停止已经存在的demo:./docker-stop.sh现在开始运行重试demo:./docker-run.sh -d retries现在让我们通过一次调用来运行客户端，该调用将触发应该返回HTTP 500错误的HTTP端点。我们将使用curl.sh脚本，该脚本设置为在我们的演示容器中调用curl。./curl.sh -vvvv localhost:15001/status/500我们将会看到类似的输出：* Hostname was NOT found in DNS cache* Trying ::1…* connect to ::1 port 15001 failed: Connection refused* Trying 127.0.0.1…* Connected to localhost (127.0.0.1) port 15001 (#0)> GET /status/500 HTTP/1.1> User-Agent: curl/7.35.0> Host: localhost:15001> Accept: /> < HTTP/1.1 500 Internal Server Error* Server envoy is not blacklisted< server: envoy< date: Thu, 25 May 2017 05:55:37 GMT< content-type: text/html; charset=utf-8< access-control-allow-origin: < access-control-allow-credentials: true< x-powered-by: Flask< x-processed-time: 0.000718116760254< content-length: 0< via: 1.1 vegur< x-envoy-upstream-service-time: 684< * Connection #0 to host localhost left intact现在我们检查一下，envoy为我们做了哪些工作：./get-envoy-stats.sh | grep retrycluster.httpbin_service.retry.upstream_rq_500: 3cluster.httpbin_service.retry.upstream_rq_5xx: 3cluster.httpbin_service.upstream_rq_retry: 3cluster.httpbin_service.upstream_rq_retry_overflow: 0cluster.httpbin_service.upstream_rq_retry_success: 0我们在这里看到由于HTTP 500错误，envoy重试了3次。如果从另外一个角度看待，重试可能会对您的服务架构产生有害影响。它们可以帮助传播故障或对可能正在挣扎的内部服务造成DDoS类型攻击。对于重试，需要注意以下几点：envoy将通过抖动进行自动指数重试。有关更多信息，请参阅文档您可以设置重试超时（每次重试超时），但总路由超时（为路由表配置;请参阅超时演示以获取确切配置）仍将保留/应用;这是为了使任何失控的重试/指数退避短路您应始终设置断路器重试配置，以便在可能具有大量连接时限制重试的配额。请参阅Envoy文档中断路器部分的有效重试运行超时 demo对于超时演示，我们将在Envoy中配置我们的路由，如下所示： “routes”: [ { “timeout_ms”: 0, “prefix”: “/”, “auto_host_rewrite”: true, “cluster”: “httpbin_service”, “timeout_ms”: 3000 }此配置为通过此路由到httpbin_service群集的任何调用设置全局（即，包括所有重试）3s超时。每当处理超时时，我们必须知道源自边缘的请求的整体全局超时。当我们深入到网络调用图中时，我们发现自己很难调试超时不会逐渐减少的情况。换句话说，当您浏览调用图时，调用图中更深层次的服务调用的服务超时应该小于先前服务的调用：envoy可以帮助传播超时信息，像gRPC这样的协议可以传播截止时间信息。随着我们继续本系列，我们将看到如何使用Istio Mesh控制Envoy代理，并且控制平面可以帮助我们进行故障注入以发现超时异常。如果您已经运行过以前的演示，请确保为此（或任何）演示开始一个新的初始化状态。我们为每个演示提供不同的Envoy配置，并希望确保每次都从一个新的初始化状态开始。首先停止已经存在的demo:./docker-stop.sh现在开始运超时demo:./docker-run.sh -d timeouts现在让我们用一个调用来运行客户端，该调用将触发HTTP端点，该端点应该将响应延迟大约5秒。此延迟应足以触发envoy超时。我们将使用curl.sh脚本，该脚本设置为在我们的演示容器中调用curl。./curl.sh -vvvv localhost:15001/delay/5我们将看到类似的输出： Hostname was NOT found in DNS cache* Trying ::1…* connect to ::1 port 15001 failed: Connection refused* Trying 127.0.0.1…* Connected to localhost (127.0.0.1) port 15001 (#0)> GET /delay/5 HTTP/1.1> User-Agent: curl/7.35.0> Host: localhost:15001> Accept: /> < HTTP/1.1 504 Gateway Timeout< content-length: 24< content-type: text/plain< date: Thu, 25 May 2017 06:13:53 GMT* Server envoy is not blacklisted< server: envoy< * Connection #0 to host localhost left intactupstream request timeout我们看到我们的请求是超时的。下面我们检查以下envoy的状态:./get-envoy-stats.sh | grep timeout在这里，我们看到1个请求（我们发送的请求！）由Envoy超时。cluster.httpbin_service.upstream_cx_connect_timeout: 0cluster.httpbin_service.upstream_rq_per_try_timeout: 0cluster.httpbin_service.upstream_rq_timeout: 1http.admin.downstream_cx_idle_timeout: 0http.egress_http.downstream_cx_idle_timeout: 0如果我们发送请求，这次延迟较小，我们应该看到调用：./curl.sh -vvvv localhost:15001/delay/2* Hostname was NOT found in DNS cache* Trying ::1…* connect to ::1 port 15001 failed: Connection refused* Trying 127.0.0.1…* Connected to localhost (127.0.0.1) port 15001 (#0)> GET /delay/2 HTTP/1.1> User-Agent: curl/7.35.0> Host: localhost:15001> Accept: /> < HTTP/1.1 200 OK* Server envoy is not blacklisted< server: envoy< date: Thu, 25 May 2017 06:15:41 GMT< content-type: application/json< access-control-allow-origin: < access-control-allow-credentials: true< x-powered-by: Flask< x-processed-time: 2.00246119499< content-length: 309< via: 1.1 vegur< x-envoy-upstream-service-time: 2145< { “args”: {}, “data”: “”, “files”: {}, “form”: {}, “headers”: { “Accept”: “/”, “Connection”: “close”, “Host”: “httpbin.org”, “User-Agent”: “curl/7.35.0”, “X-Envoy-Expected-Rq-Timeout-Ms”: “3000” }, “origin”: “68.3.84.124”, “url”: “http://httpbin.org/delay/2”} Connection #0 to host localhost left intact另请注意，Envoy会传播超时 headers，以便上游服务可以了解所期望的内容。 ...

本博客是深入研究Envoy Proxy和Istio.io 以及它如何实现更优雅的方式来连接和管理微服务系列文章的一部分。这是接下来几个部分的想法（将在发布时更新链接):断路器（第一部分）重试/超时（第二部分）分布式跟踪（第三部分）Prometheus的指标收集（第四部分）服务发现（第五部分）第一部分 - 使用envoy proxy 熔断这篇第一篇博文向您介绍了Envoy Proxy实现的熔断功能。有意进行一些简单的演示，因此我可以单独说明模式和用法。请下载此演示的源代码并按照说明进行操作！该演示由一个客户端和一个服务组成。客户端是一个Java http应用程序，模拟对“上游”服务进行http调用（注意，我们在这里使用Envoys术语，并贯穿整个repo）。客户端打包在docker.io/ceposta/http-envoy-client:latest的Docker镜像中。除了http-client Java应用程序之外，还有Envoy Proxy的一个实例。在此部署模型中，Envoy被部署为服务的sidercar（在本例中为http客户端）。当http-client进行出站调用（到“上游”服务）时，所有调用都通过Envoy Proxy sidercar。这些示例的“上游”服务是httpbin.org。 httpbin.org允许我们轻松模拟HTTP服务行为。它很棒，所以如果你没有看到它，请查看它。这个熔断器演示有自己的envoy.json配置文件。我绝对建议您查看配置文件每个部分的参考文档，以帮助理解完整配置。 datawire.io的优秀人员也为Envoy及其配置提供了一个很好的介绍，你也应该检查一下。运行 circuit-breaker demo运行熔断器演示，请熟悉演示框架，然后运行：./docker-run.sh -d circuit-breaker熔断器的Envoy配置如下所示（请参阅此处的完整配置）：“circuit_breakers”: { “default”: { “max_connections”: 1, “max_pending_requests”: 1, “max_retries”: 3 }}该配置文件允许我们实现下面的功能：限制我们对上游集群的HTTP / 1连接的数量，如果我们超过设定限制则将它们短路。限制排队/等待连接可用的请求数量，如果我们超过设定限制则将它们短路。限制在任何给定时间的总并发重试次数（假设重试策略已到位）有效地实施重试配额。我们来看看每个配置。我们现在将忽略最大重试次数设置有两个原因：我们的设置并没有多大意义;我们不能有3个并发重试，因为我们只允许1个HTTP连接和1个排队请求。我们实际上没有为此演示制定任何重试政策;我们可以在重试演示中看到重试。无论如何，此处的重试设置允许我们避免大型重试风暴 - 在大多数情况下，这可能会在处理与群集中所有实例的连接时出现问题。这是一个重要的设置，我们将回到重试演示。max_connections让我们看看当应用程序中有太多线程试图与上游集群建立太多并发连接时，envoy会做什么。回想一下我们的上游httbin集群的熔断设置如下所示（请参阅此处的完整配置）：“circuit_breakers”: { “default”: { “max_connections”: 1, “max_pending_requests”: 1, “max_retries”: 3 }}如果我们查看./circuit-breaker/http-client.env设置文件，我们将看到最初我们将开始运行单个线程，该线程创建一个连接并进行五次调用并关闭。NUM_THREADS=1DELAY_BETWEEN_CALLS=0NUM_CALLS_PER_CLIENT=5URL_UNDER_TEST=http://localhost:15001/getMIX_RESPONSE_TIMES=false我们来验证一下。运行演示：./docker-run.sh -d circuit-breaker这将启动了客户端应用程序，并启动了Envoy Proxy。我们将直接向Envoy Proxy发送流量，以使其帮帮助处理熔断。让我们调用我们的服务：docker exec -it client bash -c ‘java -jar http-client.jar’我们将看到以下的输出：using num threads: 1Starting pool-1-thread-1 with numCalls=5 delayBetweenCalls=0 url=http://localhost:15001/get mixedRespTimes=falsepool-1-thread-1: successes=[5], failures=[0], duration=[545ms]我们也能看到我们五次的调用成功了。让我们看一下，Envoy为我们收集的metrics指标：./get-envoy-stats.shEnvoy为我们采集了很多的追踪指标！让我们通过以下方式查看：/get-envoy-stats.sh | grep cluster.httpbin_service这将显示我们配置的名为httpbin_service的上游群集的度量标准。快速浏览一下这些统计数据，并在Envoy文档中查找它们的含义。需要注意的重要事项在这里提到：cluster.httpbin_service.upstream_cx_http1_total: 1cluster.httpbin_service.upstream_rq_total: 5cluster.httpbin_service.upstream_rq_200: 5cluster.httpbin_service.upstream_rq_2xx: 5cluster.httpbin_service.upstream_rq_pending_overflow: 0cluster.httpbin_service.upstream_rq_retry: 0这告诉我们我们有1个http / 1连接，有5个请求（总数），其中5个以HTTP 2xx（甚至200个）结束。大！但是如果我们尝试使用两个并发连接会发生什么？首先，让我们重置统计数据：./reset-envoy-stats.shOK让我们用2个线程发起这些调用：docker exec -it client bash -c ‘NUM_THREADS=2; java -jar http-client.jar’我们应该可以看到如下的输出：using num threads: 2Starting pool-1-thread-1 with numCalls=5 delayBetweenCalls=0 url=http://localhost:15001/get mixedRespTimes=falseStarting pool-1-thread-2 with numCalls=5 delayBetweenCalls=0 url=http://localhost:15001/get mixedRespTimes=falsepool-1-thread-1: successes=[0], failures=[5], duration=[123ms]pool-1-thread-2: successes=[5], failures=[0], duration=[513ms]我们启动的一个线程中有5个成功，但其中另外一个线程一个都没有成功！该线程的所有5个请求都失败了！让我们再看看envoy的统计数据：./get-envoy-stats.sh | grep cluster.httpbin_service我们将看到如下的输出：cluster.httpbin_service.upstream_cx_http1_total: 1cluster.httpbin_service.upstream_rq_total: 5cluster.httpbin_service.upstream_rq_200: 5cluster.httpbin_service.upstream_rq_2xx: 5cluster.httpbin_service.upstream_rq_503: 5cluster.httpbin_service.upstream_rq_5xx: 5cluster.httpbin_service.upstream_rq_pending_overflow: 5cluster.httpbin_service.upstream_rq_retry: 0从这个输出中我们可以看到只有一个连接成功！我们最终得到5个请求，导致HTTP 200和5个请求以HTTP 503结束。我们还看到upstream_rq_pending_overflow已经增加到5.这表明断路器在这里完成了它的工作。它会使任何与我们的配置设置不匹配的调用短路。我们将max_connections人为设置为一个小点的数字，在这种情况下为1，为了说明Envoy的断路功能。这不是一个现实的设置，但希望有助于说明这一点。max_pending_requests让我们运行一些类似的测试来运行max_pending_requests设置。回想一下我们的上游httbin集群的熔断设置如下所示（请参阅此处的完整配置）：“circuit_breakers”: { “default”: { “max_connections”: 1, “max_pending_requests”: 1, “max_retries”: 3 }}我们想要做的是模拟在单个HTTP连接上同时发生的多个请求（因为我们只允许max_connections为1）。我们期望请求排队，但是Envoy应该拒绝排队的消息，因为我们将max_pending_requests设置为1。我们想要设置队列深度的上限，目的不允许重试风暴，恶意下游请求，DoS和我们系统中的bug。继续上一节，让我们重置特使的统计数据：./reset-envoy-stats.shOK让我们启动1个线程（即1个HTTP连接）调用客户端，但是并行发送我们的请求（默认情况下是5个批次）。我们还希望随机化我们发送的延迟，以便事情可以排队：docker exec -it client bash -c ‘NUM_THREADS=1 && PARALLEL_SENDS=true && MIX_RESPONSE_TIMES=true; java -jar http-client.jar’我们应该看到如下的输出：Starting pool-1-thread-1 with numCalls=5 parallelSends=true delayBetweenCalls=0 url=http://localhost:15001/get mixedRespTimes=truepool-2-thread-3: using delay of : 3pool-2-thread-2: using delay of : 0pool-2-thread-1: using delay of : 2pool-2-thread-4: using delay of : 4pool-2-thread-5: using delay of : 0finished batch 0pool-1-thread-1: successes=[1], failures=[4], duration=[4242ms]我们的四个要求失败了……让我们查看envoy的统计数据:./get-envoy-stats.sh | grep cluster.httpbin_service | grep pending果然，我们看到我们的4个请求被短路了：cluster.httpbin_service.upstream_rq_pending_active: 0cluster.httpbin_service.upstream_rq_pending_failure_eject: 0cluster.httpbin_service.upstream_rq_pending_overflow: 4cluster.httpbin_service.upstream_rq_pending_total: 1什么时候服务完全停止？我们已经看到了Envoy对集群的短路和批量处理线程有什么断路设施，但是如果集群中的节点完全崩溃（或者似乎下降）怎么办？Envoy具有“离群值检测”设置，可以检测群集中的主机何时不可靠，并且可以完全从群集摘掉它们（一段时间）。需要了解的一个有趣现象是，默认情况下，Envoy会根据负载平衡算法，最多摘除某一数量的不可靠的主机。如果太多（即> 50％）的主机被认为是不健康的，那么Envoy的负载均衡器算法将检测到一个恐慌阈值，并且只会对所有主机进行负载均衡。此恐慌阈值是可配置的，并且为了获得断电功能，可以在严重中断期间为所有主机提供负载（一段时间），您可以配置异常值检测设置。在我们的示例断路器）envoy.json配置中，您可以看到以下内容：outlier_detection" : { “consecutive_5xx”: 5, “max_ejection_percent”: 100, “interval_ms”: 3 } 让我们测试一下这个案例，看看会发生什么。首先，重置统计数据：./reset-envoy-stats.shOK接下来，让我们使用一个URL来调用我们的客户端，该URL将返回HTTP 500结果。我们将发起十次调用，因为我们的异常检测将检查5个连续的5xx响应，因此我们将要发起多于5次的调用。docker exec -it client bash -c ‘URL_UNDER_TEST=http://localhost:15001/status/500 && NUM_CALLS_PER_CLIENT=10; java -jar http-client.jar’我们应该看到这样的响应，其中所有调用都失败了（正如我们所期望的那样：其中至少有5个会返回HTTP 500）：using num threads: 1Starting pool-1-thread-1 with numCalls=10 parallelSends=false delayBetweenCalls=0 url=http://localhost:15001/status/500 mixedRespTimes=falsepool-1-thread-1: successes=[0], failures=[10], duration=[929ms]现在让我们检查一下Envoy的统计数据，看看究竟发生了什么：./get-envoy-stats.sh | grep cluster.httpbin_service | grep outliercluster.httpbin_service.outlier_detection.ejections_active: 0cluster.httpbin_service.outlier_detection.ejections_consecutive_5xx: 1cluster.httpbin_service.outlier_detection.ejections_overflow: 0cluster.httpbin_service.outlier_detection.ejections_success_rate: 0cluster.httpbin_service.outlier_detection.ejections_total: 1我们可以看到我们断电了连续5xx检测！我们还从负载均衡组中删除了该主机。 ...

作者：Daniel Bryant，Datawire产品架构师；Flynn，Datawire Ambassador首席开发者；Richard Li，Datawire首席执行官兼联合创始人Kubernetes已经成为基于容器的微服务应用程序的事实上的运行引擎，但是这个编排框架本身并不提供运行分布式系统所需的所有基础结构。微服务通常通过第7层协议，如HTTP、gRPC或WebSockets，进行通信，因此能够制定路由决策，操作协议元数据，以及在此层进行观察至关重要。然而，传统的负载平衡器和边缘代理主要关注L3/4流量。这就是Envoy Proxy发挥作用的地方。Envoy代理由Lyft工程团队从头开始设计为通用数据平面，用于当今分布式，以L7为中心的世界，广泛支持L7协议，用于管理其配置的实时API，一流的可观察性，在小内存空间内实现高性能。然而，Envoy庞大的功能集和操作灵活性也使其配置非常复杂 - 从查看其丰富但冗长的控制平面语法可以看出这一点。通过开源Ambassador API网关，我们想要解决创建新控制平面的挑战，该控制平面侧重于在Kubernetes集群中部署Envoy作为前向边缘代理的用例，采用Kubernetes operator惯用的方式。在本文中，我们将介绍Ambassador设计的两个主要迭代，以及我们如何将Ambassador与Kubernetes相结合。2019年之前的Ambassador：Envoy v1 API、Jinja模板文件和热重启Ambassador本身作为Kubernetes服务部署在容器中，使用添加到Kubernetes Services的注释作为其核心配置模型。此方法使应用程序开发者能够将路由作为Kubernetes服务定义的一部分进行管理。由于当前Ingress API规范的限制，我们明确决定采用这种方式，我们也喜欢扩展Kubernetes服务的简单性，而不是引入另一种自定义资源类型。这里可以看到Ambassador注释的一个例子：kind: ServiceapiVersion: v1metadata: name: my-service annotations: getambassador.io/config: | — apiVersion: ambassador/v0 kind: Mapping name: my_service_mapping prefix: /my-service/ service: my-servicespec: selector: app: MyApp ports: - protocol: TCP port: 80 targetPort: 9376将这个简单的Ambassador注释配置转换为有效的Envoy v1配置并不是一项简单的任务。按照设计，Ambassador的配置不是基于与Envoy配置相同的概念模型 - 我们故意想要聚合和简化操作和配置。因此，将一组概念转换为另一组概念涉及Ambassador内部的相当多的逻辑。在Ambassador的第一次迭代中，我们创建了一个基于Python的服务，该服务监视Kubernetes API以更改Service对象。当检测到新的或更新的Ambassador注释时，这些注释从Ambassador语法转换为中间表示（intermediate representation，IR），其体现了我们的核心配置模型和概念。接下来，Ambassador将此IR转换为Envoy配置，该配置在运行的Ambassador k8s服务相关联的pod中被保存为文件。Ambassador然后“热重启”在Ambassador pod内运行的Envoy进程，这引发了新配置的加载。这个初始实现有很多好处。所涉及的机制基本上很简单，将Ambassador配置转换为Envoy配置是可靠的，Envoy基于文件的热重启集成是可靠的。但是，这一版本的Ambassador也面临着显着的挑战。首先，虽然热启动对我们大多数客户的用例有效，但速度并不快，一些客户（特别是那些具有大量应用程序部署的客户）发现它限制了更改配置的频率。热重启也可以丢弃连接，尤其是长期连接，如WebSockets或gRPC流。但更重要的是，IR的第一次实施允许快速原型设计，但有点原始，事实证明很难做出实质性的改变。虽然从一开始就是一个痛点，但当Envoy转向Envoy v2 API时，它成了一个关键问题。显然，v2 API将为Ambassador提供许多好处 - 正如Matt Klein在他的博客文章中概述的“通用数据平面API” - 包括访问新功能和上述连接丢弃问题的解决方案，但同时明确表示现有的IR实施无法实现跨越式发展。Ambassador >= v0.50：Envoy v2 API（ADS）、使用KAT测试和Golang在与Ambassador社区协商后，Datawire团队在2018年对Ambassador内部进行了重新设计。这是由两个关键目标驱动的。首先，我们希望集成Envoy的v2配置格式，这将支持SNI、速率限制和gRPC身份验证API等功能。其次，我们还希望对Envoy配置进行更强大的语义验证，因为它的复杂性越来越高（特别是在大规模应用程序部署时）。初始阶段我们首先通过多通道编译器对Ambassador内部进行重组。类层次结构是为了更密切地反映Ambassador配置资源、IR和Envoy配置资源之间的关注点分离（separation of concerns）。Ambassador的核心部分也进行了重新设计，以促进Datawire以外社区的贡献。我们决定采用这种方法有几个原因。首先，Envoy Proxy是一个非常快速发展的项目，我们意识到我们需要一种方法，即看似微小的Envoy配置变更不会导致Ambassador内部的重新设计。此外，我们希望能够提供配置的语义验证。当我们开始与Envoy v2更紧密地合作时，很快就发现了测试挑战。随着Ambassador支持越来越多的功能，Ambassador处理不太常见但完全有效的功能组合时出现了越来越多的漏洞。这促使创建一个新的测试要求，这意味着Ambassador的测试套件需要重新设计，以自动管理许多功能组合，而不是依靠人手单独编写每个测试。此外，我们希望测试套件快速，以最大限度地提高工程效率。因此，作为Ambassador重构的一部分，我们引入了Kubernetes验收测试（KAT）框架。KAT是一个可扩展的测试框架：将一堆服务（与Ambassador一起）部署到Kubernetes集群针对启动的API运行一系列验证查询对这些查询结果执行一堆认定KAT专为性能而设计 - 它预先批量测试设置，然后在步骤3中与高性能客户端异步运行所有查询。KAT中的流量驱动程序使用Telepresence在本地运行，这使得调试问题变得更加容易。将Golang引入Ambassador堆栈随着KAT测试框架到位，我们很快遇到了Envoy v2配置和热重启的一些问题，这提供了切换到使用Envoy的聚合发现服务（ADS）API而不是热重启的机会。这完全消除了重新配置更改的要求，我们发现这可能导致在高负载或长期连接下断开连接。然而，当我们考虑转向ADS时，我们遇到了一个有趣的问题。ADS并不像人们想象的那么简单：在向Envoy发送更新时存在明确的排序依赖性。Envoy项目具有排序逻辑的参考实现，但仅限于Go和Java，而Ambassador主要使用Python。我们挣扎了一点，决定最简单的方法是接受我们世界的多语言性质，并使用Go来实施我们的ADS。我们还发现，在KAT的情况下，我们的测试已经达到了Python在许多网络连接中的性能受到限制的程度，因此我们在这里利用Go，主要使用Go编写KAT的查询和后端服务。毕竟，当你已经投入采取了Golang，另一个依赖是什么？通过新的测试框架、新的IR生成有效的Envoy v2配置和ADS，我们认为我们完成了0.50Ambassador的主要体系结构更改。唉，我们又遇到了一个问题。在Azure Kubernetes服务上，不再检测到Ambassador注释更改。与高度响应的AKS工程团队合作，我们能够确定问题 - 在AKS中的Kubernetes API服务器通过一系列代理公开，要求客户端更新，以了解如何使用API的FQDN连接服务器，这是通过AKS中的变异webhook提供。不幸的是，官方Kubernetes Python客户端没有对此功能的支持，所以这是我们选择切换到Go而不是Python的第三个原因。这提出了一个有趣的问题，“为什么不放弃所有的Python代码，只是完全用Go重写Ambassador？”这是一个有效的问题。重写的主要问题是Ambassador和Envoy在不同的概念层面上运作，而不是简单地用不同的语法表达相同的概念。确信我们已经用新语言表达了概念桥梁并不是一个微不足道的挑战，如果没有真正优秀的测试覆盖范围就无法实行。在这一点上，我们使用Go覆盖非常具体、包含良好的函数，可以更容易地验证它们的正确性，以便我们可以验证完整的Golang重写。在将来，谁知道？但是对于0.50.0，这个功能分坼让我们既利用Golang的优势，又让我们对已经在0.50的所有变化保持更多信心。得到的教训我们在建立Ambassador 0.50的过程中学到了很多东西。我们的一些关键要点：Kubernetes和Envoy是非常强大的框架，但它们也是极其快速移动的目标 - 有时候无法替代阅读源代码并与维护者交谈（幸运的是，所有人都非常容易访问！）Kubernetes/Envoy生态系统中最受支持的库是用Go编写的。虽然我们喜欢Python，但我们不得不采用Go，这样我们就不会被迫自己维护太多的组件。有时需要重新设计测试工具来推动软件的发展。重新设计测试工具的实际成本通常是将旧测试移植到新的线束实现中。为边缘代理用例设计（和实现）一个有效的控制平台一直是一个挑战，来自Kubernetes、Envoy和Ambassador的开源社区的反馈非常有用。将Ambassador迁移到Envoy v2配置和ADS API是一个漫长而艰难的过程，需要大量的架构和设计讨论，以及大量编码，但结果的早期反馈是积极的。Ambassador 0.50现已发布，因此你可以使用参加测试，并在我们的Slack频道或Twitter上与社区分享你的反馈。KubeCon + CloudNativeCon中国论坛提案征集（CFP）2月22日截止KubeCon + CloudNativeCon 论坛让用户、开发人员、从业人员汇聚一堂，面对面进行交流合作。与会人员有 Kubernetes、Prometheus 及其他云原生计算基金会 (CNCF) 主办项目的领导，和我们一同探讨云原生生态系统发展方向。Open Source Summit中国提案征集（CFP）2月22日截止在Open Source Summit中国，与会者将共同合作及共享信息，了解最新和最有趣的开源技术，包括Linux、IoT、区块链、AI、网络等；并获得如何在开源社区中导向和引领的信息。大会日期：提案征集截止日期：太平洋标准时间 2 月 22 日，星期五，晚上 11:59提案征集通知日期：2019 年 4 月 8 日会议日程通告日期：2019 年 4 月 10 日会议活动举办日期：2019 年 6 月 24 至 26 日提醒：这是一场社区会议。因此，让我们尽量避开公然推销产品和/或供应商销售宣传。KubeCon + CloudNativeCon和Open Source Summit赞助方案出炉KubeCon + CloudNativeCon和Open Source Summit多元化奖学金现正接受申请KubeCon + CloudNativeCon和Open Source Summit即将首次合体落地中国 ...

client 抓包的情况（补图）服务器的抓包情况service1 情况service 2 情况其中返回400失败. 可以看到x-forwarded-for 的值是有填的。还是被envoy ring hash 到了service2.

envoy 代理 socket.io最近在做web 长连接消息通道的方案与实现， 目前web 的方案主要有websocket。 后来经过调研发现socket.io 的浏览器兼容性更好。于是 使用socket.io 作用通信连接。本文记录在此过程中遇到的问题。 主要的问题： envoy 代理socket.io .为什么会有envoy 代理socket.io ？ 这和我们是实现方案有关， 下面是我们的服务简单的部署拓扑。

上周一，我们举办了第一届EnvoyCon，这是致力于Envoy的会议，在KubeCon以同场活动的方式举办。会议门票几周前售罄，约有350人参加。我以欢迎和简短的项目历史，开始了那天。然后，我们进行了一系列最终用户和深度技术会谈。那天最后进行了简短的路线图讨论，随后与所有维护人员进行了问答。我不打算强调任何特别的演讲，因为老实说，他们都太棒了！我鼓励那些无法参加活动的人查看现已发布的视频。EnvoyCon 2018 - SeattleDon’t miss KubeCon + CloudNativeCon + Open Source Summit Shanghai June 24-26, 2019.TopicYouTubeTencent快闪演讲：谁是EnvoyLightning Talk: Who is Envoy - Harvey Tuch, GoogleVideo视频欢迎+简介：Matt Klein, LyftWelcome + Introduction - Matt Klein, LyftVideo视频闭幕致辞：Matt Klein, LyftClosing Remarks - Matt Klein, LyftVideo视频在一个中等规模的公司构建 + 运营服务网格Building + operating a service mesh at a mid-size company - Taiki Ono, Cookpad Inc.Video视频在Azure服务织物使用Envoy作数据感知的流量路由Using Envoy for data aware traffic routing in Azure Service Fabric - Vaclav Turecek, MicrosoftVideo视频快闪演讲：如何（在没有破坏一切）部署相互验证TLSLightning Talk: How to deploy mutually authenticated TLS without ruining everything - Spike CurtisVideo视频快闪演讲：整合Envoy与基于DPDK的虚拟网络Lightning Talk: Integrating Envoy with DPDK-based virtual networks - Raja SivaramakrishnanVideo视频加固EnvoyHardening Envoy - Alyssa Wilk, GoogleVideo视频快闪演讲：使用Envoy和Squash调试微服务应用程序Lightning Talk: Debugging microservices applications with Envoy + Squash - Idit Levine, Solo.ioVideo视频快闪演讲：使用Go来扩展EnvoyLightning Talk: Extending Envoy with Go - Thomas Graf, CovalentVideo视频使用Envoy如何DDOS自己（和其它迁移的恐怖故事）How to DDOS yourself with Envoy (and other tales of migration horror) - Ben Plotnick + John BillingsVideo视频在边缘运行EnvoyRunning Envoy at the Edge - Derek Argueta, PinterestVideo视频运行Envoy为边缘代理Running Envoy as an Edge Proxy - Bala Madhaven, eBay + Qiu Yu, eBayVideo视频使用Envoy+Knative自动扩展Java RPC微服务Use Envoy + Knative to auto scale Java RPC micro service - Andy Shi, AlibabaVideo视频Square是如何使用EnvoyEnvoy at Square - Michael Puncel + Snow Petteren, Square, Inc.Video视频快闪演讲：这是晚上10点，你知道你的代理服务器在干什么吗？理解…Lightning Talk: It’s 10pm, do you know what your proxy is doing? Understanding… - Isaac DiamondVideo视频我个人非常感谢所有使这次活动取得巨大成功的人：计划委员会、来自Linux基金会活动策划小组的Megan Lehn、维护者、最后也是最重要的是我们这个更大的社区，充满热情，既可以在活动中发言，也可以听取其他人的意见。这是一个让最终用户、贡献者和维护者聚在一起进行会谈和热烈讨论的特殊机会。该活动的反馈非常积极，我们已经期待第二次迭代将与圣地亚哥的KubeCon 2019北美同场举办。前进！非常感谢EnvoyCon赞助商！钻石：DatawireTurbine Labs黄金：Lyft社交：AWS ...

Airbnb，eBay，Google，Pinterest，Salesforce等采用快速增长的服务和边缘代理内华达州拉斯维加斯 - 2018年11月28日 - AWS re:Invent - 支持Kubernetes®和Prometheus™等开源技术的Cloud NativeComputingFoundation®（CNCF®）今天宣布，Envoy代理现已成为第三个项目毕业，继Kubernetes和Prometheus之后。要从孵化的成熟水平升级到毕业，项目必须表现出蓬勃的采用，有记录而且是中立的治理流程，多组织的提交，以及对社区可持续性和包容性的坚定承诺。“自从加入CNCF以来，Envoy代理一直是我们发展最快的项目之一，无疑为我们在服务和边缘代理领域中看到的势头做出了贡献，”CNCF首席运营官Chris Aniszczyk说。 “随着当今许多规模最大的组织的用户，以及一些非常聪明的开发人员的关注，我们很高兴继续培养Envoy社区作为一个新毕业的项目。”Envoy最初是在Lyft创建的，是一个高性能的开源边缘，中间和服务代理。该项目通过管理微服务之间的交互以确保应用程序性能，有助于简化云原生架构的过渡和操作。Envoy的进程外架构可以用于任何应用程序，任何语言或运行时；支持的协议和功能包括HTTP/2，gRPC，MongoDB，Redis，Thrift，外部授权，全局速率限制，丰富的配置API等等。Lyft的软件工程师兼Envoy的架构师Matt Klein表示：“过去两年来，Envoy的成长令人震惊，超出了我在项目启动时所能想到的任何事情。从最终用户，到更高级别产品的创造者，再到主要的云提供商，基于Envoy的解决方案的广度继续增长并让我感到惊讶。从CNCF毕业是一个重要的里程碑，表明Envoy的社区很强大，该项目已准备好进行广泛的企业采用。”得益于其活跃的维护者基础和近250名贡献者的特色，Envoy被InfoWorld评为2018年云计算最佳开源软件之一。该项目不断增长的用户社区 - 包括Airbnb，Booking.com，eBay，F5，Google，IBM，Lyft，Medium，Microsoft，Netflix，Pinterest，Salesforce，Square，Stripe，腾讯，Twilio，Verizon，VSCO等等 - 截至目前已提交了3,000多份提交。“我们非常高兴能够庆祝Envoy从CNCF孵化阶段毕业，”Actapio的Hirotaka Ichikawa说道。 “它证明了Envoy对于像我们这样的企业用例的成熟度。例如，雅虎日本子公司Actapio与Heptio合作，利用Envoy代理构建开源项目Heptio Gimbal，该项目可以处理私有云中数百个Kubernetes和OpenStack集群的大规模进入。在Envoy的帮助下，我们已经能够大大加快我们的软件开发和发布周期。”“Envoy Proxy已迅速成为业界领先的云原生L7代理。 Datawire首席执行官Richard Li表示，数以千计的组织已经与Ambassador API Gateway一起在Kubernetes上部署了Envoy。 “我们喜欢Envoy的功能集和行业领先的架构，我们很高兴能成为Envoy充满活力的社区的一员。”“Envoy不仅是Istio的重要组成部分，它还是我们即将推出的云网络服务的重要组成部分，”Google Cloud和Envoy高级维护人员软件工程师Harvey Tuch说。 “Envoy和Istio部署在全球的生产环境中。作为Envoy的强大贡献者和支持者，我们很高兴看到Envoy毕业并因其技术，社区发展和对各种用例的适用性而获得认可。”“Envoy提供应用程序网络抽象，为Lyft的实时微服务架构中100％的边缘和服务到服务流量提供支持。 Lyft的工程副总裁Peter Morelli表示，它已成为一个至关重要且可靠的组件，使Lyft可以扩展到数百种服务，数千名工程师，以及每秒数百万的流量请求。 “我毫不怀疑，如果没有Envoy，实现我们的目标和规模将是一条更难的道路。”“我们在Pinterest使用Envoy作为边缘代理，为每月超过2.5亿的独立用户提供服务。作为用户和代码贡献者，我们很享受与Envoy项目的合作，我们对该项目的毕业感到兴奋，”Pinterest的工程经理Brian Pane说。 “我们期待着应用Envoy来解决未来的新扩展挑战，并继续为Envoy项目提供功能和优化。”“Envoy成为如此成功和广泛有用的项目的原因在于其强大且可扩展的架构，”Solo的创始人兼首席执行官Idit Levine说。 “Envoy用户可以以任何最能称赞他们自己技术的方式扩展Envoy。这使我们Solo能够轻松地在Envoy之上开发我们的技术，并加速我们的创新。我们也为上游开发工作做出了贡献。我们非常高兴我们在Envoy的朋友们获得了应得的毕业。““Envoy是一个高性能和可靠性的伟大项目。我们的团队在我们的TSF（腾讯服务框架）产品中采用了Envoy，”腾讯的中间件高级工程师Andrew Shan（单家骏）表示。 “我们现在正致力于Envoy的一些优化和插件，并期待与社区合作。”“在Envoy之前，从来没有一个集中的软件是开放的，高性能的，可扩展的，并且提供网络和安全行为的可编程性作为一流的概念，”Tetrate的首席执行官Varun Talwar说道，这是一个关于Envoy和服务网格的隐形创业公司。为了正式从孵化状态毕业，该项目还采用了CNCF行为准则。Envoy背景Envoy扮演服务和边缘代理的角色，通过管理微服务之间的交互以确保应用程序性能，有助于简化云原生架构的过渡和操作。 需要高级功能，如超时，速率限制，断路，负载平衡，重试，统计，日志记录和分布式跟踪，以便以容错和可靠的方式处理网络故障。该项目的首次举办活动EnvoyCon与Kubecon + CloudNativeCon North America共同举办 - 在12月10日开幕前几周售罄，并将迎来350多名社区成员前往西雅图。有关参与项目的下载，文档和背景信息，请访问https://github.com/envoyproxy…。其他资源CNCF博客加入Slack上的CNCF对话CNCF通讯CNCF推特Envoy推特