HTTP/3是HTTP協議的第三個主要版本,與HTTP/1.1和HTTP/2不同,HTTP/3協議不再使用傳統的基於TCP的傳輸層協議,改為採用基於UDP協議的QUIC(Quick UDP Internet Connection)協議,這一變化使HTTP/3具備了更低的延遲、更加健壯的錯誤恢複以及更加高效的串連複用等特點。本文介紹如何在ASM網關上配置基於HTTP/3協議的服務。
背景資訊
HTTP/3基於QUIC協議,由於其底層基於UDP協議,相比於HTTP/2有以下優點:
減少握手延遲:HTTP/3通過QUIC協議的0-RTT特性完成串連建立,同時將TLS整合到協議中,支援了加密和握手同時進行,大幅減少了串連建立時的延遲。
新的多工機制:HTTP/2存在TCP串連層級的隊頭阻塞(Head-of-Line Blocking),HTTP/3使用QUIC協議在同一個串連上多工多個獨立的流,每個資料流是獨立的,即使一個資料流中的某個包丟失,其他資料流的傳輸不會被阻塞。這樣,單一資料流的阻塞不再會影響整個串連的傳輸效能。
串連遷移:HTTP/3支援串連在不同 IP 位址之間遷移,即使使用者網路環境發生變化(比如從Wi-Fi網路切換至移動網路),確保了串連的持久性和穩定性。
安全:HTTP/3強制要求使用TLS1.3進行加密傳輸,確保了更高的安全性和隱私保護。
ASM網關已經支援了HTTP/3協議,使用者可以直接通過HTTP/3協議訪問ASM網關上暴露的服務,進一步提升業務的效能和穩定性。
前提條件
已添加叢集到ASM執行個體,且ASM執行個體版本在1.16及以上版本。具體操作,請參見添加叢集到ASM執行個體。
已部署入口網關。具體操作,請參見建立入口網關。
已部署httpbin應用。具體操作,請參見部署httpbin應用。
ACK 叢集版本為1.24及以上版本,CCM 組件版本為2.6.0及以上版本。更多資訊,請參見Cloud Controller Manager。
已為ASM建立了一個名稱為aliyun.com.cert的認證。具體操作,請參見使用ASM認證管理。
步驟一:啟用HTTP3協議支援
登入ASM控制台,在左側導覽列,選擇 。
在網格管理頁面,單擊目標執行個體名稱,然後在左側導覽列,選擇 。
在基本資料頁面右上方單擊功能設定,在展開的功能設定更新側邊欄中勾選是否啟用HTTP/3支援。
步驟二:在ASM網關上啟用UDP監聽
QUIC協議基於UDP協議,因此需要在ASM網關上開啟UDP監聽。
這裡直接修改ASM網關的YAML配置,在網關的444連接埠開啟UDP監聽。
apiVersion: istio.alibabacloud.com/v1beta1
kind: IstioGateway
metadata:
labels:
asm-gateway-type: ingress
name: ingressgateway
namespace: istio-system
spec:
......
ports:
- name: http-0
port: 80
protocol: HTTP
targetPort: 80
- name: udp # 新增444連接埠的UDP監聽
port: 444
protocol: UDP
targetPort: 444
......
ASM網關支援在同一個連接埠上同時開啟TCP監聽和UDP監聽,例如:您可以在已經暴露了HTTPS服務的443連接埠上再開啟UDP監聽,兩者並不衝突。
步驟三:配置網關規則
QUIC強制要求使用TLS通訊,因此必須為網關規則配置認證。使用以下YAML內容,更新網關規則。
apiVersion: networking.istio.io/v1beta1
kind: Gateway
metadata:
name: httpbin
namespace: default
spec:
selector:
istio: ingressgateway
servers:
- hosts:
- '*'
port:
name: test
number: 80
protocol: HTTP
- hosts:
- '*'
port:
name: quic
number: 444
protocol: HTTPS
tls:
credentialName: aliyun.com.cert
mode: SIMPLE
步驟四:測試
curl是一個常見的HTTP協議測試載入器,但是curl命令預設不支援HTTP/3協議,您可以通過以下方式查看是否支援。
curl --version | grep http3
如果看到類似下面的輸出,則表示當前環境的curl命令支援HTTP/3。
curl 8.9.0-DEV (aarch64-apple-darwin23.5.0) libcurl/8.9.0-DEV quictls/3.1.4 zlib/1.2.12 libidn2/2.3.7 nghttp2/1.59.0 ngtcp2/1.2.0 nghttp3/1.1.0
如果沒有輸出,表示當前環境的curl命令不支援HTTP/3。您可以重新構建一個支援HTTP/3的版本。具體操作,請參見Build curl with quictls。
構建完成之後,您可以使用如下命令進行測試。
curl -k --http3-only -H Host:aliyun.com --resolve aliyun.com:444:${ASM網關IP} https://aliyun.com:444/headers -v
預期輸出:
......
* Connected to aliyun.com (xxx.xx.xx.x) port 444
* using HTTP/3
* [HTTP/3] [0] OPENED stream for https://aliyun.com:444/headers
* [HTTP/3] [0] [:method: GET]
* [HTTP/3] [0] [:scheme: https]
* [HTTP/3] [0] [:authority: aliyun.com]
* [HTTP/3] [0] [:path: /headers]
* [HTTP/3] [0] [user-agent: curl/8.9.0-DEV]
* [HTTP/3] [0] [accept: */*]
> GET /headers HTTP/3
> Host:aliyun.com
> User-Agent: curl/8.9.0-DEV
> Accept: */*
>
* Request completely sent off
* old SSL session ID is stale, removing
< HTTP/3 200
< server: istio-envoy
< date: Wed, 26 Jun 2024 07:40:07 GMT
< content-type: application/json
< content-length: 460
< access-control-allow-origin: *
< access-control-allow-credentials: true
< x-envoy-upstream-service-time: 1
< alt-svc: h3=":444"; ma=86400
<
{
"headers": {
"Accept": "*/*",
"Host": "aliyun.com",
"Transfer-Encoding": "chunked",
"User-Agent": "curl/8.9.0-DEV",
"X-Envoy-Attempt-Count": "1",
"X-Envoy-External-Address": "xx.xx.xx.xx",
"X-Forwarded-Client-Cert": "xxxxxxx"
}
}
* Connection #0 to host aliyun.com left intact
相關文檔
如果您想更深入地瞭解在HTTP/2協議下TCP串連層級的隊頭阻塞(Head-of-Line Blocking, HOL Blocking)的情況只能盡量減輕但不能完全避免的原因,請參見Hypertext Transfer Protocol Version 2 (HTTP/2)。
HTTP/3引入了新的多工機制,從根本上解決了HOL阻塞的情況發生。官方文檔中也提及了如何通過避免HOL阻塞來提高串連效能。具體資訊,請參見QUIC: A UDP-Based Multiplexed and Secure Transport。