启用管理接口

在整个课程中,我们已经多次提到了管理接口。Envoy 暴露了一个管理接口,允许我们修改 Envoy,并获得一个视图和查询指标和配置。

管理接口由一个具有多个端点的 REST API 和一个简单的用户界面组成,如下图所示。

Envoy 管理接口
Envoy 管理接口

管理接口必须使用 admin 字段明确启用。例如:

admin:
  address:
    socket_address:
      address: 127.0.0.1
      port_value: 9901

在启用管理接口时要小心。任何有权限进入管理接口的人都可以进行破坏性的操作,比如关闭服务器(/quitquit 端点)。我们还可能让他们访问私人信息(指标、集群名称、证书信息等)。目前(Envoy 1.20 版本),管理端点是不安全的,也没有办法配置认证或 TLS。有一个工作项目正在进行中,它将限制只有受信任的 IP 和客户端证书才能访问,以确保传输安全。

在这项工作完成之前,应该只允许通过安全网络访问管理接口,而且只允许从连接到该安全网络的主机访问。我们可以选择只允许通过 localhost 访问管理接口,如上面的配置中所示。另外,如果你决定允许从远程主机访问,那么请确保你也设置了防火墙规则。

在接下来的课程中,我们将更详细地了解管理接口的不同功能。

下一页