Higress 从部署到使用详解

一、Higress 简介与核心价值

Higress 是阿里巴巴开源的下一代云原生网关，基于 Envoy 构建并深度集成 Istio 生态，提供高性能、低延迟的流量治理能力。其核心价值体现在三方面：

1. 统一流量入口：整合 API 网关、Ingress 控制器、Service Mesh 网关能力，降低多组件维护成本。
2. 全链路安全：支持 WAF 防护、JWT 验证、mTLS 加密等安全机制，满足企业级安全需求。
3. 动态流量管理：通过 CRD（Custom Resource Definitions）实现灰度发布、流量镜像、熔断降级等高级功能。

相较于传统网关（如 Nginx、Kong），Higress 的优势在于与云原生生态的无缝集成，支持声明式配置和自动化运维。典型应用场景包括微服务架构的流量治理、Kubernetes 集群的南北向流量管理、以及多云环境下的统一网关层。

二、部署前环境准备

2.1 硬件与软件要求

组件	最低配置	推荐配置
服务器	2核4G（开发环境）	4核8G（生产环境）
操作系统	Linux（CentOS 7+/Ubuntu 20.04+）	同左
Kubernetes	v1.19+	v1.22+
存储	10GB 可用空间	50GB SSD

2.2 依赖组件安装

1. Kubernetes 集群：

   # 使用 kubeadm 初始化集群（示例）
   kubeadm init --pod-network-cidr=10.244.0.0/16
   mkdir -p $HOME/.kube
   cp -i /etc/kubernetes/admin.conf $HOME/.kube/config

2. Helm 3：

   curl -fsSL -o get_helm.sh https://raw.githubusercontent.com/helm/helm/main/scripts/get-helm-3
   chmod 700 get_helm.sh
   ./get_helm.sh

3. 证书管理工具（可选）：

   # 安装 cert-manager 用于自动签发证书
   kubectl apply -f https://github.com/cert-manager/cert-manager/releases/download/v1.11.0/cert-manager.yaml

2.3 网络与安全配置

• 防火墙规则：开放 80（HTTP）、443（HTTPS）、15021（Istio Pilot）等端口。
• RBAC 权限：创建 ServiceAccount 并绑定集群管理员权限（生产环境建议细化权限）。
• 资源配额：通过 LimitRange 和 ResourceQuota 防止资源耗尽。

三、Higress 部署流程

3.1 Helm 安装方式

1. 添加 Higress Helm 仓库：

   helm repo add higress https://higress.io/helm-charts
   helm repo update

2. 创建命名空间：

   kubectl create namespace higress-system

3. 自定义配置（可选）：

   # values-custom.yaml 示例
   controller:
     replicaCount: 2
     resources:
       limits:
         cpu: "1"
         memory: "1Gi"
   gateway:
     service:
       type: LoadBalancer

4. 执行安装：

   helm install higress higress/higress -n higress-system -f values-custom.yaml

3.2 验证部署状态

kubectl get pods -n higress-system
# 预期输出：所有 Pod 状态为 Running
NAME                               READY   STATUS    RESTARTS   AGE
higress-controller-xxxxxx-xxx     1/1     Running   0          2m
higress-gateway-xxxxxx-xxx        1/1     Running   0          2m

3.3 常见问题排查

• Pod 启动失败：检查 kubectl describe pod <pod-name> -n higress-system 中的 Events 日志。
• 镜像拉取失败：配置国内镜像源（如阿里云容器镜像服务）。
• 端口冲突：确保 80/443 端口未被占用，或修改 gateway.service.nodePort 配置。

四、核心功能配置指南

4.1 路由规则配置

通过 Gateway 和 HTTPRoute CRD 定义路由：

# gateway.yaml 示例
apiVersion: gateway.networking.k8s.io/v1
kind: Gateway
metadata:
  name: higress-gateway
spec:
  gatewayClassName: higress
  listeners:
  - name: http
    port: 80
    protocol: HTTP
    allowedRoutes:
      namespaces:
        from: All
---
# http-route.yaml 示例
apiVersion: gateway.networking.k8s.io/v1
kind: HTTPRoute
metadata:
  name: product-route
spec:
  parentRefs:
  - name: higress-gateway
  hostnames: ["example.com"]
  rules:
  - matches:
    - path:
        type: PathPrefix
        value: /api/products
    backendRefs:
    - name: product-service
      port: 8080

4.2 安全策略配置

1. JWT 验证：

   # jwt-auth.yaml 示例
   apiVersion: security.higress.io/v1
   kind: JWTAuth
   metadata:
     name: jwt-auth
   spec:
     authenticator:
       jwksURI: https://auth.example.com/.well-known/jwks.json
     rules:
     - paths: ["/api/*"]

2. WAF 防护：

   # waf-policy.yaml 示例
   apiVersion: security.higress.io/v1
   kind: WAFPolicy
   metadata:
     name: default-waf
   spec:
     rules:
     - id: 920300  # SQL 注入防护
       action: Block

4.3 流量管理配置

1. 金丝雀发布：

   # canary-traffic.yaml 示例
   apiVersion: traffic.higress.io/v1
   kind: TrafficSplit
   metadata:
     name: product-canary
   spec:
     service: product-service
     backends:
     - service: product-v1
       weight: 90
     - service: product-v2
       weight: 10

2. 流量镜像：

   # mirror-traffic.yaml 示例
   apiVersion: traffic.higress.io/v1
   kind: MirrorTraffic
   metadata:
     name: product-mirror
   spec:
     sourceService: product-service
     mirrorService: product-shadow
     mirrorPercentage: 10

五、实战案例：电商系统流量治理

5.1 场景需求

• 促销活动期间将 30% 流量导向新版本服务。
• 对支付接口实施 WAF 防护。
• 实时监控接口延迟和错误率。

5.2 配置实现

1. 创建金丝雀路由：

   apiVersion: traffic.higress.io/v1
   kind: TrafficSplit
   metadata:
     name: promotion-canary
   spec:
     service: order-service
     backends:
     - service: order-v1
       weight: 70
     - service: order-v2
       weight: 30

2. 应用 WAF 策略：

   apiVersion: security.higress.io/v1
   kind: WAFPolicy
   metadata:
     name: payment-waf
   spec:
     rules:
     - id: 942100  # 防止敏感信息泄露
       action: Block
     - id: 941100  # XSS 防护
       action: Block
     applyTo:
     - paths: ["/api/payment/*"]

3. 配置 Prometheus 监控：

   # prometheus-scraper.yaml 示例
   apiVersion: monitoring.coreos.com/v1
   kind: ServiceMonitor
   metadata:
     name: higress-monitor
   spec:
     selector:
       matchLabels:
         app.kubernetes.io/name: higress
     endpoints:
     - port: metrics
       interval: 15s

六、运维与优化建议

6.1 日常维护

• 日志收集：通过 kubectl logs -f <pod-name> -n higress-system 查看实时日志。
• 配置备份：定期导出 Helm Values 和 CRD 配置。
• 版本升级：使用 helm upgrade 命令平滑升级。

6.2 性能调优

1. 线程池优化：

   # values-tuning.yaml 示例
   gateway:
     config:
       threadPool:
         coreSize: 100
         maxSize: 200

2. 缓存配置：

   controller:
     config:
       cache:
         ttlSeconds: 300
         maxItems: 10000

6.3 故障处理流程

1. 问题定位：

   • 检查 Pod 状态和事件日志。
   • 验证 CRD 配置语法。
   • 对比预期与实际流量路径。

2. 回滚方案：

   helm rollback higress 1  # 回滚到第一个修订版本

七、总结与展望

Higress 通过云原生架构实现了网关能力的质变，其动态配置、安全集成和流量治理能力显著提升了研发效率。未来发展方向包括：

1. eBPF 加速：进一步降低延迟。
2. AI 运维：基于流量模式的自动调优。
3. 多集群管理：支持跨云流量治理。

建议开发者从简单路由配置入手，逐步掌握高级功能。对于生产环境，建议结合 Prometheus + Grafana 构建监控体系，并定期进行混沌工程演练。