【连载】微服务网格Istio(一)
Istio基础
服务网格是用于描述构成应用程序的微服务网络以及应用之间的交互,服务网格的功能包括服务发现、负载均衡、故障恢复、指标和监控以及更加复杂的运维工作,例如A/B测试、金丝雀发布、限流、访问控制和端到端身份验证等。
什么是微服务
微服务是用于构建应用程序的架构风格,一个大的系统可由一个或者多个微服务组成,微服务架构可将应用拆分成多个核心功能,每个功能都被称为一项服务,可以单独构建和部署,这意味着各项服务在工作和出现故障的时候不会相互影响,简单来说,微服务架构是把一个大的系统按照不同的业务单元分解成多个职责单一的小系统,并利用简单的方法使多个小系统相互协作,组合成一个大系统,各个小的系统是独立部署的,它们之间是松耦合的。
什么是istio
istio是一个用来连接、管理和保护微服务的开源的服务网格, istio解决了开发和运维人员从部署单个应用程序向分布式微服务架构过渡时所面临的挑战,istio作为微服务网格中的佼佼者,它提供了洞察和操作控制微服务网格的能力,提供了完整的解决方案来满足微服务应用程序的各种要求,从较高的层面来说,istio有助于降低这些部署的复杂性,并减轻开发和运维团队的压力,istio它也是一个平台,可以集成任何日志、遥测和策略系统等API接口,istio多样化的特性使大家能够成功且高效地运行分布式微服务架构,并提供保护、连接和监控微服务的统一方法,istio目前仅支持在Kubernetes上部署,未来版本中将支持其他环境。
为什么使用istio
通过负载均衡、服务间的身份验证、监控等方法,istio可以轻松地创建一个已经部署了服务的网络,而服务的代码只需很少更改甚至无需更改,通过在整个环境中部署一个特殊的sidecar代理为服务添加istio的支持,而代理会拦截微服务之间的所有网络通信,然后使用其控制平面的功能来配置和管理istio,这包括:
- 为 HTTP、gRPC、WebSocket和TCP流量自动负载均衡。
- 通过丰富的路由规则、重试、故障转移和故障注入对流量行为进行细粒度控制。
- 可插拔的策略层和配置API,支持访问控制、速率限制和配额。
- 集群内(包括集群的入口和出口)所有流量的自动化度量、日志记录和追踪。
- 在具有强大的基于身份验证和授权的集群中实现安全的服务间通信。
istio的核心特性
Istio以统一的方式提供了许多跨服务网络的关键功能,核心功能如下:
流量管理
istio简单的规则配置和流量路由允许你控制服务之间的流量和API调用过程。istio简化了服务级属性(如熔断器、超时和重试)的配置,并且让它轻而易举的执行重要的任务(如 A/B 测试、金丝雀发布和按流量百分比划分的分阶段发布)。有了更好的对流量的可视性和开箱即用的故障恢复特性,这样就可以在问题产生之前捕获它们,无论面对什么情况都可以使调用更可靠,网络更健壮。详细内容参考后面流量管理章节(https://istio.io/latest/zh/docs/concepts/traffic-management/)。
安全
istio的安全特性解放了开发人员,使其只需要专注于应用程序级别的安全。istio提供了底层的安全通信通道,并为大规模的服务通信管理认证、授权和加密。有了istio,服务通信在默认情况下就是受保护的,可以让你在跨不同协议和运行时的情况下实施一致的策略,而所有这些都只需要很少甚至不需要修改应用程序。istio是独立于平台的,可以与Kubernetes(或基础设施)的网络策略一起使用。但它更强大,能够在网络和应用层面保护pod到pod或者服务到服务之间的通信。详细内容参考后面安全章节(https://istio.io/latest/zh/docs/concepts/traffic-management/)。
可观察性
istio健壮的追踪、监控和日志特性让你能够深入的了解服务网格部署。通过istio的监控能力,可以真正的了解到服务的性能是如何影响上游和下游的;而它的定制Dashboard 提供了对所有服务性能的可视化能力,并让你看到它如何影响其他进程。istio的Mixer(Mixer在istio1.5版本已经废弃了,功能整合到了istiod中) 组件负责策略控制和遥测数据收集。它提供了后端抽象和中介,将一部分istio与后端的基础设施实现细节隔离开来,并为运维人员提供了对网格与后端基础实施之间交互的细粒度控制。所有这些特性都使你能够更有效地设置、监控和加强服务的SLO。当然,底线是你可以快速有效地检测到并修复出现的问题。详细内容参考后面可观察行章节(https://istio.io/latest/zh/docs/concepts/observability/)。
平台支持
istio独立于平台,被设计为可以在各种环境中运行,包括跨云、内部环境、kubernetes、Mesos等等。你可以在Kubernetes或是装有Consul的Nomad环境上部署 istio。istio 目前支持:
- Kubernetes上的服务部署
- 基于Consul的服务注册
- 服务运行在独立的虚拟机上
整合和定制
Istio的策略实施组件可以扩展和定制,与现有的ACL、日志、监控、配额、审查等解决方案集成。
istio的架构
istio服务网格从逻辑上分为数据平面和控制平面。
- 数据平面由一组智能代理Envoy(Envoy参考https://www.envoyproxy.io/docs/envoy/latest/start/start)组成,被部署成sidecar。这些代理通过一个通用的策略和遥测中心Mixer(Mixer在istio1.5已经被废弃了,默认关闭Mixer,Mixer参考https://istio.io/zh/docs/reference/config/policy-and-telemetry/)传递和控制微服务之间的所有网络通信。
- 控制平面管理并配置代理来进行流量路由。此外,控制平面配置Mixer (Mixer已经在istio1.5中被废弃)来执行策略和收集遥测数据。
- istio1.5+中使用了一个全新的部署模式,重建了控制平面,将原有的多个组件整合为一个单体结构istiod,这个组件是控制平面的核心,负责处理配置、证书分发、sidecar 注入等各种功能。istiod是新版本中最大的变化,以一个单体组件替代了原有的架构,在降低复杂度和维护难度的同时,也让易用性得到提升。需要注意的一点是,原有的多组件并不是被完全移除,而是在重构后以模块的形式整合在一起组成了istiod。
- istio中的流量分为数据平面流量和控制平面流量。数据平面流量是指工作负载的业务逻辑发送和接收的消息。控制平面流量是指istio组件之间发送的配置和控制消息用来编排网格的行为。istio中的流量管理特指数据平面流量。
Istio组件
Envoy
istio使用Envoy代理(Envoy参考https://www.envoyproxy.io/docs/envoy/latest/)的扩展版本。Envoy是用 C++ 开发的高性能代理,用于协调服务网格中所有服务的入站和出站流量。Envoy代理是唯一与数据平面流量交互的istio 组件。
Envoy代理被部署为服务的sidecar,在逻辑上为服务增加了Envoy的许多内置特性,例如:
- 动态服务发现
- 负载均衡
- TLS终端
- HTTP/2与gRPC代理
- 熔断器
- 健康检查
- 基于百分比流量分割的分阶段发布
- 故障注入
- 丰富的指标
这种sidecar部署允许istio提取大量关于流量行为的信号作为属性。反之,istio可以在Mixer(Mixer在istio1.5已经被废弃,这里就不介绍了)中使用这些属性来执行决策,并将它们发送到监控系统,以提供整个网格的行为信息。sidecar代理模型还允许向现有的部署添加istio功能,而不需要重新设计架构或重写代码。
由Envoy代理启用的一些istio的功能和任务包括:
- 流量控制功能:通过丰富的 HTTP、gRPC、WebSocket 和 TCP 流量路由规则来执行细粒度的流量控制。
- 网络弹性特性:重试设置、故障转移、熔断器和故障注入。
- 安全性和身份验证特性:执行安全性策略以及通过配置 API 定义的访问控制和速率限制。
Pilot
Pilot为Envoy sidecar提供服务发现、用于智能路由的流量管理功能(例如,A/B 测试、金丝雀发布等)以及弹性功能(超时、重试、熔断器等)。Pilot将控制流量行为的高级路由规则转换为特定于环境的配置,并在运行时将它们传播到sidecar。Pilot将特定于平台的服务发现机制抽象出来,并将它们合成为任何符合Envoy API的sidecar都可以使用的标准格式。
下图展示了平台适配器和Envoy代理如何交互。
- 平台启动一个服务的新实例,该实例通知其平台适配器。
- 平台适配器使用Pilot抽象模型注册实例。
- Pilot将流量规则和配置派发给Envoy代理,来传达此次更改。
这种松耦合允许istio在Kubernetes、Consul或Nomad等多种环境中运行,同时维护相同的operator接口来进行流量管理。也可以使用istio的流量管理API来指示Pilot优化Envoy配置,以便对服务网格中的流量进行更细粒度地控制。
Galley
Galley是istio的配置验证、提取、处理和分发组件。它负责将其余的istio组件与从底层平台(例如 Kubernetes)获取用户配置的细节隔离开来。
istio架构的设计目标
几个关键的设计目标形成istio的架构。这些目标对于使系统能够大规模和高性能地处理服务是至关重要的。
透明度最大化
为了采用istio,运维人员或开发人员需要做尽可能少的工作,才能从系统中获得真正的价值。为此,istio可以自动将自己注入到服务之间的所有网络路径中。istio使用sidecar代理来捕获流量,并在可能的情况下,在不更改已部署的应用程序代码的情况下,自动对网络层进行配置,以实现通过这些代理来路由流量。在 Kubernetes中,代理被注入到pods中,通过编写‘iptables’规则来捕获流量。一旦 sidecar代理被注入以及流量路由被编程,istio就可以协调所有的流量。这个原则也适用于性能。当将istio应用于部署时,运维人员会看到所提供功能的资源成本增加地最小。组件和API的设计必须考虑到性能和可伸缩性。
可扩展性
随着运维人员和开发人员越来越依赖于istio提供的功能,系统必须随着他们的需求而增长。当我们继续添加新特性时,最大的需求是扩展策略系统的能力,与其他策略和控制源的集成,以及将关于网格行为的信号传播到其他系统进行分析的能力。策略运行时支持用于接入其他服务的标准扩展机制。此外,它允许扩展其词汇表,允许根据网格生成的新信号执行策略。
可移植性
使用istio的生态系统在许多方面都有所不同,istio 必须在任何云环境或本地环境中通过最小的努力就能运行起来。将基于istio的服务移植到新环境的任务必须是容易实现的。使用istio,你可以操作部署到多个环境中的单个服务。例如,可以在多个云上部署来实现冗余。
策略一致性
将策略应用于服务之间的API调用提供了对网格行为的大量控制。然而,将策略应用在区别于API层上的资源也同样重要。例如,在机器学习训练任务消耗的CPU 数量上应用配额比在发起任务的请求调用上应用配额更有用。为此,istio使用自己的 API将策略系统维护为一个独立的服务,而不是将策略系统集成到sidecar代理中,从而允许服务根据需要直接与之集成。
安装Istio
在安装istio之前,需要一个Kubernetes集群,istio 1.10 已经在 Kubernetes 版本 1.14, 1.15, 1.16 、1.17、1.18、1.19、1.20中测试过。
下载istio
下载 Istio,下载内容将包含:安装文件、示例和istioctl命令行工具。
[root@kubernetes-master-01 ~]# wget https://github.com/istio/istio/releases/download/1.10.2/istio-1.10.2-linux-amd64.tar.gz
[root@kubernetes-master-01 ~]# tar -xf istio-1.10.2-linux-amd64.tar.gz
[root@kubernetes-master-01 ~]# mv istio-1.10.2/bin/istioctl /usr/local/bin/
部署istio
[root@kubernetes-master-01 istio-1.10.2]# istioctl manifest apply --set profile=demo
This will install the Istio 1.10.2 demo profile with ["Istio core" "Istiod" "Ingress gateways" "Egress gateways"] components into the cluster. Proceed? (y/N) y
Istio core installed
Istiod installed
Egress gateways installed
Ingress gateways installed
Installation complete Thank you for installing Istio 1.10. Please take a few minutes to tell us about your install/upgrade experience! https://forms.gle/KjkrDnMPByq7akrYA
卸载
# 安装时不需要执行
[root@kubernetes-master-01 ~]# istioctl manifest generate --set profile=demo | kubectl delete -f -
查看部署状态
[root@kubernetes-master-01 ~]# kubectl get pods -n istio-system
NAME READY STATUS RESTARTS AGE
istio-egressgateway-78cb6c4799-nn2zw 1/1 Running 0 9m34s
istio-ingressgateway-59644976b5-z8vmd 1/1 Running 0 9m34s
istiod-664799f4bc-7w8vr 1/1 Running 0 10m
安装kiali图形化界面
[root@kubernetes-master-01 istio-1.10.2]# kubectl apply -f samples/addons/kiali.yaml
[root@kubernetes-master-01 istio-1.10.2]# kubectl apply -f samples/addons/prometheus.yaml
连载Istio, 请贯注微信公众号:新猿技术生态圈,及时学习更高级内容。
【连载】微服务网格Istio(一)的更多相关文章
- 服务网格Istio初探
1. 服务网格Istio初探 1.1. 什么是Istio 它是一个完全开源的服务网格.什么是服务网格? 这个术语通常用于描述构成这些应用程序的微服务网络以及应用之间的交互.随着规模和复杂性的增长,服务 ...
- 服务网格Istio入门-详细记录Kubernetes安装Istio并使用
我最新最全的文章都在南瓜慢说 www.pkslow.com,文章更新也只在官网,欢迎大家来喝茶~~ 1 服务网格Istio Istio是开源的Service Mesh实现,一般用于Kubernetes ...
- Istio(五):使用服务网格Istio进行流量路由
目录 一.模块概览 二.系统环境 三.简单路由 3.1 简单路由 四.Subset和DestinationRule 4.1 Subset 和 DestinationRule 4.2 Destinati ...
- 云容器云引擎:容器化微服务,Istio占C位出道
在精彩的软件容器世界中,当新项目涌现并解决你认为早已解决的问题时,这感觉就像地面在你的脚下不断地移动.在许多情况下,这些问题很久以前被解决,但现在的云原生架构正在推动着更大规模的应用程序部署,这就需要 ...
- 容器云技术:容器化微服务,Istio占C位出道
在精彩的软件容器世界中,当新项目涌现并解决你认为早已解决的问题时,这感觉就像地面在你的脚下不断地移动.在许多情况下,这些问题很久以前被解决,但现在的云原生架构正在推动着更大规模的应用程序部署,这就需要 ...
- 服务网格istio概念应知应会
一.背景 最近架构组基于istio开发了服务网格(Service Mesh)平台,借此机会把相关的背景知识做一次学习和记录,方便回头查看. 初版的效果: 二.istio 官方手册:https://is ...
- 【译文连载】 理解Istio服务网格(第一章 概述)
书籍英文版下载链接为 https://developers.redhat.com/books/introducing-istio-service-mesh-microservices/,作者 Burr ...
- Service Mesh服务网格新生代--Istio
原文: 数人云|万字解读:Service Mesh服务网格新生代--Istio 参考: istio 简介 Istio是啥?一文带你彻底了解! 使用Istio治理微服务入门 Istio 流量管理 ist ...
- Kubernetes 微服务最佳实践
本文由个人笔记 ryan4yin/knowledge 整理而来 本文主要介绍我个人在使用 Kubernetes 的过程中,总结出的一套「Kubernetes 配置」,是我个人的「最佳实践」. 其中大部 ...
随机推荐
- redis 系列,这里转发别人博客, 和常用命令
https://blog.csdn.net/qq_35433716/category_7944890.html 常用命令: https://www.cnblogs.com/mznsndy/p/1395 ...
- 操作系统-gcc编译器驱动程序
gcc编译器驱动程序,读取x.c文件,翻译成可执行目标文件x 1.预处理阶段 预处理器(cpp)将x.c(源程序,文本文件)中的#等直接插入程序文本中,成为另一个c程序x.i(文本文件) 2.编译阶段 ...
- Spring Cloud05: Zuul 服务网关
一.什么是Zuul 服务网关 Zuul 是 Netflix 提供的⼀个开源的 API ⽹关服务器,是客户端和⽹站后端所有请求的中间层,对外开放 ⼀个 API,将所有请求导⼊统⼀的⼊⼝,屏蔽了服务端的具 ...
- Python集合:set
集合 集合的描述 set是一个无序不重复的序列,可以用{}或者 set() 函数创建集合,它存放不可变类型(如字符串.数字.元组)数据. 注意:创建一个空集合必须使用set()方法,因为{}是用来生成 ...
- 消息队列面试题、RabbitMQ面试题、Kafka面试题、RocketMQ面试题 (史上最全、持续更新、吐血推荐)
文章很长,建议收藏起来,慢慢读! 疯狂创客圈为小伙伴奉上以下珍贵的学习资源: 疯狂创客圈 经典图书 : <Netty Zookeeper Redis 高并发实战> 面试必备 + 大厂必备 ...
- Webflux请求处理流程
spring mvc处理流程 在了解SpringMvc的请求流程源码之后,理解WebFlux就容易的多,毕竟WebFlux处理流程是模仿Servlet另起炉灶的. 下面是spring mvc的请求处理 ...
- css基本内容笔记(学习整理)
一.css简介 1.什么是css 层叠样式表. 层叠:层层叠加,若果有冲突应用优先级高,不冲突的部分共同作用 样式表:就是css属性样式的集合: 2.作用 a.修饰html,使得html样式更好看 b ...
- DOS命令行(10)——reg/regini-注册表编辑命令行工具
注册表的介绍 注册表(Registry,台湾.港澳译作登錄檔)是Microsoft Windows中的一个重要的数据库,用于存储系统和应用程序的设置信息. 1. 数据结构 注册表由键(key,或称 ...
- Unity StateMachineBehaviour
在unity animator中单个Animator Clip中点击Add Behaviour增加当执行该动画时的一些状态代码,请看如下 创建完之后基本代码结构如下:(如果想修改默认代码结构,请看示例 ...
- 入门Kubernetes - 滚动升级/回滚
一.前言 上一篇文章中对yaml文件格式进行了解,并对k8s中各种主要资源通过yaml创建时的定义模板.接来下就进一步学习k8s的各种特点.并应用在示例中. 接下来先实现.Net Core Api程序 ...