由于要做 K8S 的 sidecar 扩展，而其实际是由 Envoy 来实现的。要将 Envoy 部署为 sidecar，需要先安装 Istio。

$ wget https://raw.githubusercontent.com/istio/istio/master/release/downloadIstioCandidate.sh
$ sh downloadIstioCandidate.sh

完成下载后，将得到一个 istio-1.8.1 目录，将目录内的 bin 目录加入到环境变量 PATH 中。注意，此处应当是全局的环境变量，因此可以考虑将 istio-1.8.1 目录整体移往 /opt，并且修改 /etc/profile 以加入环境变量。

然后执行命令安装 Istio，并开启自动注入:

$ istioctl install --set profile=demo -y
$ kubectl label namespace default istio-injection=enabled

部署完毕后，可以用以下命令来查看自动注入的启用情况:

$ kubectl get namespace -L istio-injection

按上一篇所说的，我们原本在 K8S 里有一个名为 sample-service 的 Pod，在注入开启后，我们需要重新部署之：

$ kubectl delete -f sample-service.yaml
$ kubectl create -f sample-service.yaml

完成后会发现，Pod 的 Ready 状态有所改变，在没有注入时，状态为 1/1，而开启注入后，状态为 2/2，此时即代表注入成功。

接着要打一个 Envoy 的镜象，在打镜象前，需要对 Envoy 作出配置，我们在这里简单的进行一个代理，将请求转发至 sample-service。先通过 kubectl describe pod sample-service 可以得知 Pod 的 IP，然后作出如下配置：

admin:
  access_log_path: /tmp/admin_access.log
  address:
    socket_address: 
      address: 127.0.0.1
      port_value: 9901
static_resources:
  listeners:
  - name: listener_0
    address:
      socket_address: 
        address: 0.0.0.0
        port_value: 10000
    filter_chains:
    - filters:
      - name: envoy.http_connection_manager
        config:
          stat_prefix: ingress_http
          route_config:
            name: local_route
            virtual_hosts:
            - name: local_service
              domains: ["*"]
              routes:
              - match:
                  prefix: "/"
                route: 
                  cluster: sample-envoy-service
          http_filters:
          - name: envoy.router
  clusters:
  - name: sample-envoy-service
    connect_timeout: 30s
    type: STATIC
    lb_policy: ROUND_ROBIN
    hosts: 
    - socket_address: 
        address: 192.168.235.233
        port_value: 9001

需要注意的是，这里的 admin 相关的端口必须配置，因为内带了一个管理员工具，我们会需要访问到它。

然后写一个 Dockerfile 就可以打包镜象了：

FROM envoyproxy/envoy-dev:e98e41a8e168af7acae8079fc0cd68155f699aa3
COPY envoy.yaml /etc/envoy/envoy.yaml

$ sudo docker build -t envoy:v1 .

打完镜象后，将它运行起来即可：

$ sudo docker run -it -d --name envoy -p 9901:9901 -p 10000:10000 envoy:v1

完成后即可对 10000 端口发出请求：

$ curl 'http://0.0.0.0:10000'

即可以看到我们原本部署于 9001 端口上的内容了，即告代理成功。

对于外部的访问，也可以在浏览器下使用以下 URL：

http://10.211.55.16:10000

这样我们就不再需要开启 32001 端口来供外部访问了。

踩坑

第一次部署好 sample-service 服务后，跑起 Envoy 并在外部浏览器请求时，会出现一个异常，upstream connect error or disconnect/reset before headers. reset reason: connection termination，初看之下，就是请求在 header 被处理之前就挂了。那就要去查一下是否 header 里面有 Envoy 不支持的东西了。

经过排查，发现是我在 Ktor 内开启了 Compress 插件，并且未把 Accept-Encoding: gzip 加入响应头，而 Envoy 在转发时，默认将原始的响应头送出，因此在浏览器侧无法接受到 Accept-Encoding 的值，所以就没有进行解压而产生了异常。解决方法也很简单，就是在 Ktor 项目启动的时候，禁用 Compress：

fun Application.module() {
    installPlugin<K8sSampleSession>(
        useCompress = false,    // 此处禁用压缩
        sessionIdentifier = "SampleSession",
        headers = mapOf("X-Engine" to "Ktor")) { }
    routing {
        ... ...
    }
}

另外，上面说到了 admin 相关的端口配置，其实 Envoy 对 admin 提供了操作接口，需要进入容器来操作，如下:

$ sudo docker exec -it envoy sh
# curl 'http://0.0.0.0:9901/help'
# curl 'http://0.0.0.0:9901/stats'
# curl 'http://0.0.0.0:9901/server_info'

容器中可能没有 curl，在此情况下需要手动安装一下，apt update && apt install curl。

最后，经张瑾大神的指点，才知道 Istio 是 Envoy 的上层实现，其实很多情况下，我们并没有必要直接使用 Envoy，而是在 Istio 上发挥就好了，下次再研究吧。