どんどんと「Try Envoy」を進めていく．今回は Envoy で HTTPS 接続を試すコンテンツ「Securing traffic with HTTPS and SSL/TLS」を紹介する．今まで nginx を使う場合は ssl_certificate や ssl_certificate_key を設定したり，HTTP から HTTPS にリダイレクトをするために 301 を返していたけど，Envoy を使う場合はどのように envoy.yaml を設定するのか？を学べる．

Securing traffic with HTTPS and SSL/TLS

手順は以下の「計4種類」ある．

• Step.1 「SSL Certificates」
• Step.2 「Securing Traffic」
• Step.3 「Redirecting HTTP Traffic」
• Step.4 「Start Proxy」

www.envoyproxy.io

www.katacoda.com

Step.1 「SSL Certificates」

まず，検証のために example.com に対するオレオレ証明書を作成する．以下のコマンドを実行し，証明書 example-com.key と署名リクエスト example-com.crt を作成する．

$ openssl req -nodes -new -x509 \
  -keyout example-com.key -out example-com.crt \
  -days 365 \
  -subj '/CN=example.com/O=My Company Name LTD./C=US';

Step.2 「Securing Traffic」

Envoy で HTTPS 接続をする場合，filters に tls_context を設定する．以下の envoy.yaml を読み解くと，8443 Port でリクエストを受けて，/service/1 と /service/2 のパスごとに異なる Cluster に転送する．そして tls_context に Step.1 で作成した example-com.key と example-com.crt を設定することにより，HTTPS 接続となる．

- name: listener_https
  address:
    socket_address: { address: 0.0.0.0, port_value: 8443 }
  filter_chains:
  - filters:
    - name: envoy.http_connection_manager
      config:
        codec_type: auto
        stat_prefix: ingress_http
        route_config:
          name: local_route
          virtual_hosts:
          - name: backend
            domains:
            - "example.com"
            routes:
            - match:
                prefix: "/service/1"
              route:
                cluster: service1
            - match:
                prefix: "/service/2"
              route:
                cluster: service2
        http_filters:
        - name: envoy.router
          config: {}
    tls_context:
      common_tls_context:
        tls_certificates:
          - certificate_chain:
              filename: "/etc/envoy/certs/example-com.crt"
            private_key:
              filename: "/etc/envoy/certs/example-com.key"

Step.3 「Redirecting HTTP Traffic」

Envoy で HTTP から HTTPS にリダイレクトをする場合は route に redirect を設定する．

- name: listener_http
  address:
    socket_address: { address: 0.0.0.0, port_value: 8080 }
  filter_chains:
  - filters:
    - name: envoy.http_connection_manager
      config:
        codec_type: auto
        stat_prefix: ingress_http
        route_config:
          virtual_hosts:
          - name: backend
            domains:
            - "example.com"
            routes:
            - match:
                prefix: "/"
              redirect:
                path_redirect: "/"
                https_redirect: true
        http_filters:
        - name: envoy.router
          config: {}

実際にドキュメントを読むと，例えば response_code でレスポンスコードを 301 以外に設定したり，strip_query: true でクエリパラメータを削除したり，他のパラメータも用意されていた．

www.envoyproxy.io

Step.4 「Start Proxy」

最後は Envoy を起動する．今回は Envoy に対して「計3種類」のポートに接続できるようになっている．さらに，前回と同様にホスト名（コンテナ ID）を返す HTTP コンテナ katacoda/docker-http-server を2個起動し，最終的に以下の構成図のようになる．

• 8080 (HTTP)
• 8443 (HTTPS)
• 8001 (管理画面)

$ docker run -it --name proxy1 -p 80:8080 -p 443:8443 -p 8001:8001 -v /root/:/etc/envoy/ envoyproxy/envoy
$ docker run -d katacoda/docker-http-server
$ docker run -d katacoda/docker-http-server

さっそく HTTP にリクエストを送ると，期待通りに 301 となる（date は修正している）．

$ curl -H "Host: example.com" http://localhost -i
HTTP/1.1 301 Moved Permanently
location: https://example.com/
date: Thu, 05 Dec 2019 00:00:00 GMT
server: envoy
content-length: 0

次に curl -k で HTTPS にリクエストを送ると，期待通りに 200 となり，パスごとに異なる HTTP コンテナからリクエストが返っている（date は修正している）．

$ curl -k -H "Host: example.com" https://localhost/service/1 -i
HTTP/1.1 200 OK
date: Thu, 05 Dec 2019 00:00:00 GMT
content-length: 58
content-type: text/html; charset=utf-8
x-envoy-upstream-service-time: 0
server: envoy

<h1>This request was processed by host: eb8b87e0649a</h1>

$ curl -k -H "Host: example.com" https://localhost/service/2 -i
HTTP/1.1 200 OK
date: Thu, 05 Dec 2019 00:00:00 GMT
content-length: 58
content-type: text/html; charset=utf-8
x-envoy-upstream-service-time: 0
server: envoy

<h1>This request was processed by host: 3f660d280e19</h1>

まとめ

• 「Try Envoy」のコンテンツ「Securing traffic with HTTPS and SSL/TLS」を試した
• 今回も nginx で経験のある HTTPS 接続とリダイレクトを Envoy で試したため，イメージしやすかった

Try Envoy 関連

• 「Try Envoy」で Envoy を学ぼう！「Getting Started with Envoy」を試した - kakakakakku blog
• nginx と Envoy の設定を比較して学べる「Migrating from NGINX to Envoy Proxy」を試した - kakakakakku blog

nginx で nginx.conf に access_log と log_format を設定すると，ログフォーマットをカスタマイズできる．log_format のデフォルト設定は combined だけど，ログ集計などを考慮して，JSON フォーマットに変更する場面も多いと思う．例えば，以下のように log_format を設定すると，JSON フォーマットでアクセスログを出力できる．

log_format json '{'
    '"time": "$time_local",'
    '"remote_addr": "$remote_addr",'
    '"host": "$host",'
    '"remote_user": "$remote_user",'
    '"status": "$status",'
    '"server_protocol": "$server_protocol",'
    '"request_method": "$request_method",'
    '"request_uri": "$request_uri",'
    '"request": "$request",'
    '"body_bytes_sent": "$body_bytes_sent",'
    '"request_time": "$request_time",'
    '"upstream_response_time": "$upstream_response_time",'
    '"http_referer": "$http_referer", '
    '"http_user_agent": "$http_user_agent",'
    '"http_x_forwarded_for": "$http_x_forwarded_for",'
    '"http_x_forwarded_proto": "$http_x_forwarded_proto"'
'}';

access_log /var/log/nginx/access.log json;

アクセスログに " が含まれる場合

例えば，アクセスログに " が含まれる場合，自動的に \x22 に変換されてしまう．検証として，以下のように User Agent に kakaka"kakku と設定し，nginx にリクエストを送る．

$ curl -H 'User-Agent: kakaka"kakku' http://www.example.com/

すると，以下のように出力される（アクセスログを整形している）．User Agent を http_user_agent の値で確認すると，確かに kakaka\x22kakku になっている．なお，今回は例として " で検証をしているけど，正確に言うと " 以外にも「RFC 4627」で定義された文字は変換されてしまう．

{
    "time": "22/Nov/2019:00:00:00 +0900",
    "remote_addr": "x.x.x.x",
    "host": "www.example.com",
    "remote_user": "-",
    "status": "200",
    "server_protocol": "HTTP/1.1",
    "request_method": "GET",
    "request_uri": "/",
    "request": "GET / HTTP/1.1",
    "body_bytes_sent": "0",
    "request_time": "0.000",
    "upstream_response_time": "-",
    "http_referer": "-",
    "http_user_agent": "kakaka\x22kakku",
    "http_x_forwarded_for": "x.x.x.x",
    "http_x_forwarded_proto": "http"
}

解決策 : escape=json を設定する

ドキュメントを読むと，「nginx 1.11.8（2016年12月リリース）」から使える escape パラメータを使って，escape=json を設定すると，今回の件は解決する．

nginx.org

escape=json を設定し，最終的な nginx.conf は以下のようになる．

log_format json escape=json '{'
    '"time": "$time_local",'
    '"remote_addr": "$remote_addr",'
    '"host": "$host",'
    '"remote_user": "$remote_user",'
    '"status": "$status",'
    '"server_protocol": "$server_protocol",'
    '"request_method": "$request_method",'
    '"request_uri": "$request_uri",'
    '"request": "$request",'
    '"body_bytes_sent": "$body_bytes_sent",'
    '"request_time": "$request_time",'
    '"upstream_response_time": "$upstream_response_time",'
    '"http_referer": "$http_referer", '
    '"http_user_agent": "$http_user_agent",'
    '"http_x_forwarded_for": "$http_x_forwarded_for",'
    '"http_x_forwarded_proto": "$http_x_forwarded_proto"'
'}';

access_log /var/log/nginx/access.log json;

もう1度，User Agent に kakaka"kakku と設定し，nginx にリクエストを送ると，http_user_agent の値が kakaka\"kakku となり，うまくエスケープされて出力できるようになった．なお，remote_user など，もともと値が - だった部分もブランクになっていて，ここはドキュメントには仕様が書かれてなく，理由までは追えなかった．

{
    "time": "22/Nov/2019:00:00:00 +0900",
    "remote_addr": "x.x.x.x",
    "host": "www.example.com",
    "remote_user": "",
    "status": "200",
    "server_protocol": "HTTP/1.1",
    "request_method": "GET",
    "request_uri": "/",
    "request": "GET / HTTP/1.1",
    "body_bytes_sent": "0",
    "request_time": "0.000",
    "upstream_response_time": "",
    "http_referer": "",
    "http_user_agent": "kakaka\"kakku",
    "http_x_forwarded_for": "x.x.x.x",
    "http_x_forwarded_proto": "http"
}

まとめ

nginx でアクセスログを JSON フォーマットにする場合，「nginx 1.11.8（2016年12月リリース）」から使える escape パラメータを使って，escape=json を設定する．数年前から使えるパラメータだとしても，無限に知らないことはあるし，引き続き学んだことをブログにアウトプットしていくぞ！

Envoy のサイトに「Try Envoy」という学習コンテンツがあり，現在は以下の「計11種類」のシナリオから選んで学べる．実際にはブラウザベースで進められる Katacoda の学習コンテンツが埋め込まれているため，特別な環境構築をせずに進められるのは便利．

• Getting Started with Envoy（今回紹介する）
• Migrating from NGINX to Envoy Proxy
• Migrating from HAProxy to Envoy Proxy
• Securing traffic with HTTPS and SSL/TLS
• File Based Dynamic Routing Configuration
• API Based Dynamic Routing Configuration
• Detecting Down Services with Health Checks
• Implementing Blue / Green Rollouts
• Implementing Metrics and Tracing Capabilities
• Debugging Envoy Proxy
• Controlling load balancing policies

学習コンテンツは「Try Envoy」からアクセスできるけど，当然ながら Katacoda にもある．個人的には画面レイアウトの広さという観点から Katacoda を使うと良いと思う．

www.envoyproxy.io

www.katacoda.com

「Try Envoy」のシナリオを数個試してみて，当然ながら手順通りには動くけど，Envoy 初学者には理解しにくそうな点もあった．そこで，学んだことを整理しつつ，イメージしにくそうな部分をまとめておこうと思う．

Getting Started with Envoy

今回は Envoy に入門するシナリオ「Getting Started with Envoy」を紹介する．Envoy を使ってリクエストを外部サービスに流したり，複数のアプリケーションにパスベースルーティングをする．

www.katacoda.com

手順は以下の「計4種類」ある．サイトに「Estimated Time: 10 minutes」と書いてあるけど，考えながら進めるとすぐに終わらないと思う．時間は参考レベルで見ておくと良さそう．

• Step.1 「Create Proxy Config」
• Step.2 「Start Proxy」
• Step.3 「Admin View」
• Step.4 「Route to Docker Containers」

Step.1 「Create Proxy Config」

最初は Envoy の挙動を設定する envoy.yaml を作成する．実際にエディタで envoy.yaml を書く場面はなく，手順上で Copy to Editor ボタンをクリックすると自動的にエディタに反映される仕組みになっている．Katacoda 便利！その前に基本的な用語を整理しておく．詳細はドキュメントを参照してもらえればと．

• Listeners : リクエストを受ける設定
• Filters : リクエストをフィルタする設定（複数のフィルタを設定できる）
• Clusters : リクエストを転送する設定

そして envoy.yaml を読み解く前に構成図を整理しておく．コンテナとして起動した Envoy にリクエストを投げると，そのまま Google に転送される．Envoy を試す最も簡単な構成とも言える．

envoy.yaml のポイントはザッと以下となる．

• listeners
  • 10000 Port でリクエストを受ける
• filter_chains
  • route_config にルーティング設定を書く
  • プレフィックスが / の場合に host_rewrite で HTTP Host Header 書き換える
  • service_google Cluster に転送する

static_resources:
  listeners:
  - name: listener_0
    address:
      socket_address: { address: 0.0.0.0, port_value: 10000 }

    filter_chains:
    - filters:
      - name: envoy.http_connection_manager
        config:
          stat_prefix: ingress_http
          route_config:
            name: local_route
            virtual_hosts:
            - name: local_service
              domains: ["*"]
              routes:
              - match: { prefix: "/" }
                route: { host_rewrite: www.google.com, cluster: service_google }
          http_filters:
          - name: envoy.router

  clusters:
  - name: service_google
    connect_timeout: 0.25s
    type: LOGICAL_DNS
    dns_lookup_family: V4_ONLY
    lb_policy: ROUND_ROBIN
    hosts: [{ socket_address: { address: google.com, port_value: 443 }}]
    tls_context: { sni: www.google.com }

admin:
  access_log_path: /tmp/admin_access.log
  address:
    socket_address: { address: 0.0.0.0, port_value: 9901 }

Envoy で HTTP を制御するフィルタ envoy.http_connection_manager の詳細は以下のドキュメントに書いてある．

www.envoyproxy.io

Step.2 「Start Proxy」

さっそく envoy.yaml を指定して Envoy コンテナを起動する．80 Port にリクエストをすると，Google に転送される．ホスト内だと curl localhost でも良いし，Katacoda だと https://xxx.environments.katacoda.com という一時的な URL も使えるため，どちらも使える．

$ docker run --name=proxy -d \
  -p 80:10000 \
  -v $(pwd)/envoy/envoy.yaml:/etc/envoy/envoy.yaml \
  envoyproxy/envoy:latest

Step.3 「Admin View」

次に Envoy の「Administration interface」機能を試す．UI は直感的に理解しにくく感じたけど，メトリクス／統計情報／ログなど，Envoy の状態を確認するときに使える．

$ docker run --name=proxy-with-admin -d \
    -p 9901:9901 \
    -p 10000:10000 \
    -v $(pwd)/envoy/envoy.yaml:/etc/envoy/envoy.yaml \
    envoyproxy/envoy:latest

詳しくは以下のドキュメントに書いてある．

www.envoyproxy.io

Step.4 「Route to Docker Containers」

最後は Python アプリケーションと Envoy を組み合わせて使う．docker-compose.yml から構成を読み取ると以下となる．リクエストの URL を判断して service1 と service2 にパスベースルーティングをしていて，アプリケーション側は環境変数 SERVICE_NAME を表示する程度になっている．

なお service1 と service2 は envoyproxy/envoy-alpine:latest イメージをベースに Python と Flask をインストールしているため，Envoy でよく使われる「サイドカーパターン」になっていない点に注意する．とは言え，今回のように Envoy を試すことが目的の場合は問題ないと言える．

version: '2'
services:

  front-envoy:
    build:
      context: .
      dockerfile: Dockerfile-frontenvoy
    volumes:
      - ./front-envoy.yaml:/etc/front-envoy.yaml
    networks:
      - envoymesh
    expose:
      - "80"
      - "8001"
    ports:
      - "8000:80"
      - "8001:8001"

  service1:
    build:
      context: .
      dockerfile: Dockerfile-service
    volumes:
      - ./service-envoy.yaml:/etc/service-envoy.yaml
    networks:
      envoymesh:
        aliases:
          - service1
    environment:
      - SERVICE_NAME=1
    expose:
      - "80"

  service2:
    build:
      context: .
      dockerfile: Dockerfile-service
    volumes:
      - ./service-envoy.yaml:/etc/service-envoy.yaml
    networks:
      envoymesh:
        aliases:
          - service2
    environment:
      - SERVICE_NAME=2
    expose:
      - "80"

networks:
  envoymesh: {}

front-envoy の front-envoy.yaml を以下に載せる．ポイントは filters の routes に2種類の prefix が設定されている点で，URL によって転送する Cluster を変えている．

static_resources:
  listeners:
  - address:
      socket_address:
        address: 0.0.0.0
        port_value: 80
    filter_chains:
    - filters:
      - name: envoy.http_connection_manager
        config:
          codec_type: auto
          stat_prefix: ingress_http
          route_config:
            name: local_route
            virtual_hosts:
            - name: backend
              domains:
              - "*"
              routes:
              - match:
                  prefix: "/service/1"
                route:
                  cluster: service1
              - match:
                  prefix: "/service/2"
                route:
                  cluster: service2
          http_filters:
          - name: envoy.router
            config: {}
  clusters:
  - name: service1
    connect_timeout: 0.25s
    type: strict_dns
    lb_policy: round_robin
    http2_protocol_options: {}
    hosts:
    - socket_address:
        address: service1
        port_value: 80
  - name: service2
    connect_timeout: 0.25s
    type: strict_dns
    lb_policy: round_robin
    http2_protocol_options: {}
    hosts:
    - socket_address:
        address: service2
        port_value: 80
admin:
  access_log_path: "/dev/null"
  address:
    socket_address:
      address: 0.0.0.0
      port_value: 8001

実際に起動すると，期待した通りにリクエストをルーティングできた．

$ docker-compose -f ~/envoy/examples/front-proxy/docker-compose.yml up -d

$ curl localhost:8000/service/1
Hello from behind Envoy (service 1)! hostname: 211d6aaf214c resolvedhostname: 172.19.0.3

$ curl localhost:8000/service/2
Hello from behind Envoy (service 2)! hostname: 30ce9b84004a resolvedhostname: 172.19.0.2

まとめ

• Envoy のサイトに「Try Envoy」という学習コンテンツがある
  • 現在は「計11種類」のシナリオから選べる
• 今回は「Getting Started with Envoy」を試した
  • リクエストを外部サービスに流したり，複数のアプリケーションにパスベースルーティングをしたり，基本的な動作確認はできる
• まだ「Envoy の良さ」を感じられる内容ではなく，引き続き「Try Envoy」を進めていく