概念

简单来说,Sidecar 注入会将额外容器的配置添加到 Pod 模板中。这里特指将Envoy容器注应用所在Pod中。

Istio 服务网格目前所需的容器有:

istio-init 用于设置 iptables 规则,以便将入站/出站流量通过 Sidecar 代理。

初始化容器与应用程序容器在以下方面有所不同:

  • 它在启动应用容器之前运行,并一直运行直至完成。
  • 如果有多个初始化容器,则每个容器都应在启动下一个容器之前成功完成。

因此,您可以看到,对于不需要成为实际应用容器一部分的设置或初始化作业来说,这种容器是多么的完美。在这种情况下,istio-init 就是这样做并设置了 iptables 规则。

istio-proxy 这个容器是真正的 Sidecar 代理(基于 Envoy)。

下面的内容描述了向 pod 中注入 Istio Sidecar 的两种方法:

  1. 使用 istioctl手动注入
  2. 启用 pod 所属命名空间的 Istio Sidecar 注入器自动注入。

手动注入直接修改配置,如 deployment,并将代理配置注入其中。

当 pod 所属namespace启用自动注入后,自动注入器会使用准入控制器在创建 Pod 时自动注入代理配置。

通过应用 istio-sidecar-injector ConfigMap 中定义的模版进行注入。

自动注入

当你在一个namespace中设置了 istio-injection=enabled 标签,且 injection webhook 被启用后,任何新的 pod 都有将在创建时自动添加 Sidecar. 请注意,区别于手动注入,自动注入发生在 pod 层面。你将看不到 deployment 本身有任何更改 。

kubectl label namespace default istio-inhection=enabled

kubectl get namespace -L istio-injection

NAME           STATUS    AGE       ISTIO-INJECTION

default        Active    1h        enabled

istio-system   Active    1h

kube-public    Active    1h

kube-system    Active    1h

注入发生在 pod 创建时。杀死正在运行的 pod 并验证新创建的 pod 是否注入 sidecar。原来的 pod 具有 READY 为 1/1 的容器,注入 sidecar 后的 pod 则具有 READY 为 2/2 的容器 。

自动注入原理

自动注入是利用了k8s Admission webhook 实现的。 Admission webhook 是一种用于接收准入请求并对其进行处理的 HTTP 回调机制, 它可以更改发送到 API 服务器的对象以执行自定义的设置默认值操作。 具体细节可以查阅 Admission webhook文档。

istio 对应的istio-sidecar-injector webhook配置,默认会回调istio-sidecar-injector service的/inject 地址。

apiVersion: admissionregistration.k8s.io/v1beta1

kind: MutatingWebhookConfiguration

metadata:

  name: istio-sidecar-injector

webhooks:

  - name: sidecar-injector.istio.io

    clientConfig:

      service:

        name: istio-sidecar-injector

        namespace: istio-system

        path: "/inject"

      caBundle: ${CA_BUNDLE}

    rules:

      - operations: [ "CREATE" ]

        apiGroups: [""]

        apiVersions: ["v1"]

        resources: ["pods"]

    namespaceSelector:

      matchLabels:

        istio-injection: enabled

回调API入口代码在 pkg/kube/inject/webhook.go

// 创建一个用于自动注入sidecar的新实例

func NewWebhook(p WebhookParameters) (*Webhook, error) {

    // ...省略一万字...

	wh := &Webhook{

		Config:                 sidecarConfig,

		sidecarTemplateVersion: sidecarTemplateVersionHash(sidecarConfig.Template),

		meshConfig:             p.Env.Mesh(),

		configFile:             p.ConfigFile,

		valuesFile:             p.ValuesFile,

		valuesConfig:           valuesConfig,

		watcher:                watcher,

		healthCheckInterval:    p.HealthCheckInterval,

		healthCheckFile:        p.HealthCheckFile,

		env:                    p.Env,

		revision:               p.Revision,

	}

    //api server 回调函数,监听/inject回调

	p.Mux.HandleFunc("/inject", wh.serveInject)

	p.Mux.HandleFunc("/inject/", wh.serveInject)

    // ...省略一万字...

	return wh, nil

}

serveInject逻辑

func (wh *Webhook) serveInject(w http.ResponseWriter, r *http.Request) {

	// ...省略一万字...

	var reviewResponse *v1beta1.AdmissionResponse

	ar := v1beta1.AdmissionReview{}

	if _, _, err := deserializer.Decode(body, nil, &ar); err != nil {

		handleError(fmt.Sprintf("Could not decode body: %v", err))

		reviewResponse = toAdmissionResponse(err)

	} else {

         //执行具体的inject逻辑

		reviewResponse = wh.inject(&ar, path)

	}

    // 响应inject sidecar后的内容给k8s api server

	response := v1beta1.AdmissionReview{}

	if reviewResponse != nil {

		response.Response = reviewResponse

		if ar.Request != nil {

			response.Response.UID = ar.Request.UID

		}

	}

	// ...省略一万字...

}

// 注入逻辑实现

func (wh *Webhook) inject(ar *v1beta1.AdmissionReview, path string) *v1beta1.AdmissionResponse {

    // ...省略一万字...

    // injectRequired判断是否有设置自动注入

	if !injectRequired(ignoredNamespaces, wh.Config, &pod.Spec, &pod.ObjectMeta) {

		log.Infof("Skipping %s/%s due to policy check", pod.ObjectMeta.Namespace, podName)

		totalSkippedInjections.Increment()

		return &v1beta1.AdmissionResponse{

			Allowed: true,

		}

	}

	// ...省略一万字...

	// 返回需要注入Pod的对象

	spec, iStatus, err := InjectionData(wh.Config.Template, wh.valuesConfig, wh.sidecarTemplateVersion, typeMetadata, deployMeta, &pod.Spec, &pod.ObjectMeta, wh.meshConfig, path) // nolint: lll

	if err != nil {

		handleError(fmt.Sprintf("Injection data: err=%v spec=%vn", err, iStatus))

		return toAdmissionResponse(err)

	}

    // 执行容器注入逻辑

	patchBytes, err := createPatch(&pod, injectionStatus(&pod), wh.revision, annotations, spec, deployMeta.Name, wh.meshConfig)

	if err != nil {

		handleError(fmt.Sprintf("AdmissionResponse: err=%v spec=%vn", err, spec))

		return toAdmissionResponse(err)

	}

	reviewResponse := v1beta1.AdmissionResponse{

		Allowed: true,

		Patch:   patchBytes,

		PatchType: func() *v1beta1.PatchType {

			pt := v1beta1.PatchTypeJSONPatch

			return &pt

		}(),

	}

	return &reviewResponse

}

injectRequired函数

func injectRequired(ignored []string, config *Config, podSpec *corev1.PodSpec, metadata *metav1.ObjectMeta) bool {

    // HostNetwork模式直接跳过注入

	if podSpec.HostNetwork {

		return false

	}

    // k8s系统命名空间(kube-system/kube-public)跳过注入

	for _, namespace := range ignored {

		if metadata.Namespace == namespace {

			return false

		}

	}

	annos := metadata.GetAnnotations()

	if annos == nil {

		annos = map[string]string{}

	}

	var useDefault bool

	var inject bool

    // 优先判断是否申明了`sidecar.istio.io/inject` 注解,会覆盖命名配置

	switch strings.ToLower(annos[annotation.SidecarInject.Name]) {

	case "y", "yes", "true", "on":

		inject = true

	case "":

        // 使用命名空间配置

		useDefault = true

	}

	// 指定Pod不需要注入Sidecar的标签选择器

	if useDefault {

		for _, neverSelector := range config.NeverInjectSelector {

			selector, err := metav1.LabelSelectorAsSelector(&neverSelector)

			if err != nil {

			} else if !selector.Empty() && selector.Matches(labels.Set(metadata.Labels))

                // 设置不需要注入

				inject = false

				useDefault = false

				break

			}

		}

	}

	// 总是将 sidecar 注入匹配标签选择器的 pod 中,而忽略全局策略

	if useDefault {

		for _, alwaysSelector := range config.AlwaysInjectSelector {

			selector, err := metav1.LabelSelectorAsSelector(&alwaysSelector)

			if err != nil {

				log.Warnf("Invalid selector for AlwaysInjectSelector: %v (%v)", alwaysSelector, err)

			} else if !selector.Empty() && selector.Matches(labels.Set(metadata.Labels)){ 				  // 设置需要注入

				inject = true

				useDefault = false

				break

			}

		}

	}

	// 如果都没有配置则使用默认注入策略

	var required bool

	switch config.Policy {

	default: // InjectionPolicyOff

		log.Errorf("Illegal value for autoInject:%s, must be one of [%s,%s]. Auto injection disabled!",

			config.Policy, InjectionPolicyDisabled, InjectionPolicyEnabled)

		required = false

	case InjectionPolicyDisabled:

		if useDefault {

			required = false

		} else {

			required = inject

		}

	case InjectionPolicyEnabled:

		if useDefault {

			required = true

		} else {

			required = inject

		}

	}

	return required

}

从上面我们可以看出,是否注入Sidecar的优先级为

Pod Annotations → NeverInjectSelector → AlwaysInjectSelector → Default Policy

createPath函数

func createPatch(pod *corev1.Pod, prevStatus *SidecarInjectionStatus, revision string, annotations map[string]string,

	sic *SidecarInjectionSpec, workloadName string, mesh *meshconfig.MeshConfig) ([]byte, error) {

	var patch []rfc6902PatchOperation

	// ...省略一万字...

    // 注入初始化启动容器

	patch = append(patch, addContainer(pod.Spec.InitContainers, sic.InitContainers, "/spec/initContainers")...)

    // 注入Sidecar容器

	patch = append(patch, addContainer(pod.Spec.Containers, sic.Containers, "/spec/containers")...)

    // 注入挂载卷

	patch = append(patch, addVolume(pod.Spec.Volumes, sic.Volumes, "/spec/volumes")...)

	patch = append(patch, addImagePullSecrets(pod.Spec.ImagePullSecrets, sic.ImagePullSecrets, "/spec/imagePullSecrets")...)

    // 注入新注解

	patch = append(patch, updateAnnotation(pod.Annotations, annotations)...)

    // ...省略一万字...

	return json.Marshal(patch)

}

总结:可以看到,整个注入过程实际就是原本的Pod配置反解析成Pod对象,把需要注入的Yaml内容(如:Sidecar)反序列成对象然后append到对应Pod (如:Container)上,然后再把修改后的Pod重新解析成yaml 内容返回给k8s的api server,然后k8s 拿着修改后内容再将这两个容器调度到同一台机器进行部署,至此就完成了对应Sidecar的注入。

卸载 sidecar 自动注入器

kubectl delete mutatingwebhookconfiguration istio-sidecar-injector

kubectl -n istio-system delete service istio-sidecar-injector

kubectl -n istio-system delete deployment istio-sidecar-injector

kubectl -n istio-system delete serviceaccount istio-sidecar-injector-service-account

kubectl delete clusterrole istio-sidecar-injector-istio-system

kubectl delete clusterrolebinding istio-sidecar-injector-admin-role-binding-istio-system

上面的命令不会从 pod 中移除注入的 sidecar。需要进行滚动更新或者直接删除对应的pod,并强制 deployment 重新创建新pod。

手动注入 sidecar

手动注入 deployment ,需要使用 使用 istioctl kube-inject

使用手动注入前先关闭自动注入

kubectl label namespace default istio-injection=disabled

使用istioctl手动注入

istioctl kube-inject -f samples/sleep/sleep.yaml | kubectl apply -f -

我们可以查看对应的deployment 明细

describe deployment sleep

Name:                   sleep

Namespace:              default

CreationTimestamp:      Wed, 27 May 2020 10:45:23 +0800

Annotations:            deployment.kubernetes.io/revision: 1

Selector:               app=sleep

Pod Template:

  Labels:           app=sleep

                    istio.io/rev=

                    security.istio.io/tlsMode=istio

  Annotations:      sidecar.istio.io/interceptionMode: REDIRECT

                    sidecar.istio.io/status:

                      {"version":"d36ff46d2def0caba37f639f09514b17c4e80078f749a46aae84439790d2b560","initContainers":["istio-init"],"containers":["istio-proxy"]...

                    traffic.sidecar.istio.io/excludeInboundPorts: 15020

                    traffic.sidecar.istio.io/includeOutboundIPRanges: *

  Service Account:  sleep

  Init Containers:

   istio-init:

    Image:      docker.io/istio/proxyv2:1.6.0

    Port:       <none>

    Host Port:  <none>

    Args:

      istio-iptables

      -p

      15001

      -z

      15006

      -u

      1337

      -m

      REDIRECT

      -i

      *

      -x

      -b

      *

      -d

      15090,15021,15020

  Containers:

   sleep:

    Image:      governmentpaas/curl-ssl

    Port:       <none>

    Host Port:  <none>

    Command:

      /bin/sleep

      3650d

    Environment:  <none>

    Mounts:

      /etc/sleep/tls from secret-volume (rw)

   istio-proxy:

    Image:      docker.io/istio/proxyv2:1.6.0

    Port:       15090/TCP

    Host Port:  0/TCP

    Args:

      proxy

      sidecar

      --domain

      $(POD_NAMESPACE).svc.cluster.local

      --serviceCluster

      sleep.$(POD_NAMESPACE)

      --proxyLogLevel=warning

      --proxyComponentLogLevel=misc:error

      --trust-domain=cluster.local

      --concurrency

      2

可以看到,相比原始的deployment.yaml文件多出了两个容器,这两个容器的作用后面单独写一篇文章来分析:

  1. Init Containers下的 istio-init
  2. Containers下的istio-proxy

上面两个容器的注入,默认情况下将使用集群内的配置,或者使用该配置的本地副本来完成注入。

kubectl -n istio-system get configmap istio-sidecar-injector -o=jsonpath='{.data.config}' > inject-config.yaml

kubectl -n istio-system get configmap istio-sidecar-injector -o=jsonpath='{.data.values}' > inject-values.yaml

kubectl -n istio-system get configmap istio -o=jsonpath='{.data.mesh}' > mesh-config.yaml

指定输入文件,运行 kube-inject 并部署

istioctl kube-inject \

    --injectConfigFile inject-config.yaml \

    --meshConfigFile mesh-config.yaml \

    --valuesFile inject-values.yaml \

    --filename samples/sleep/sleep.yaml \

    | kubectl apply -f -

验证 sidecar 已经被注入到 READY 列下 2/2 的 sleep pod 中

kubectl get pod  -l app=sleep

NAME                     READY   STATUS    RESTARTS   AGE

sleep-64c6f57bc8-f5n4x   2/2     Running   0          24s

查看对应pod中的容器

kubectl get pods  -o jsonpath="{.items[*].spec.containers[*].image}" | tr -s '[[:space:]]' '\n' | sort

docker.io/istio/proxyv2:1.6.0

governmentpaas/curl-ssl

手动注入的代码入口在 istioctl/cmd/kubeinject.go

手工注入跟自动注入还是有些差异的。手动注入是改变了Deployment。我们可以看下它具体做了哪些动作:

Deployment注入前配置:

apiVersion: apps/v1

kind: Deployment

metadata:

  name: sleep

spec:

  replicas: 1

  selector:

    matchLabels:

      app: sleep

  template:

    metadata:

      labels:

        app: sleep

    spec:

      serviceAccountName: sleep

      containers:

      - name: sleep

        image: governmentpaas/curl-ssl

        command: ["/bin/sleep", "3650d"]

        imagePullPolicy: IfNotPresent

        volumeMounts:

        - mountPath: /etc/sleep/tls

          name: secret-volume

      volumes:

      - name: secret-volume

        secret:

          secretName: sleep-secret

          optional: true

Deployment注入后配置:

kubectl get deployment sleep -o yaml > sleep.yaml

less sleep.yaml

这里只保留跟注入容器有关的部分内容

apiVersion: apps/v1

kind: Deployment

metadata:

  annotations:

    deployment.kubernetes.io/revision: "1"

  generation: 1

  name: sleep

  namespace: default

spec:

  replicas: 1

  selector:

    matchLabels:

      app: sleep

  template:

    metadata:

      annotations:

        sidecar.istio.io/interceptionMode: REDIRECT

      labels:

        app: sleep

        istio.io/rev: ""

        security.istio.io/tlsMode: istio

    spec:

      containers:

      - command:

        - /bin/sleep

        - 3650d

        image: governmentpaas/curl-ssl

        imagePullPolicy: IfNotPresent

        name: sleep

        resources: {}

        terminationMessagePath: /dev/termination-log

        terminationMessagePolicy: File

        volumeMounts:

        - mountPath: /etc/sleep/tls

          name: secret-volume

      - args:

        - proxy

        - sidecar

        - --domain

        - $(POD_NAMESPACE).svc.cluster.local

        - --serviceCluster

        - sleep.$(POD_NAMESPACE)

        - --proxyLogLevel=warning

        - --proxyComponentLogLevel=misc:error

        - --trust-domain=cluster.local

        - --concurrency

        - "2"

        image: docker.io/istio/proxyv2:1.6.0

        imagePullPolicy: Always

        name: istio-proxy

        ports:

        - containerPort: 15090

          name: http-envoy-prom

          protocol: TCP

      dnsPolicy: ClusterFirst

      initContainers:

      - args:

        - istio-iptables

        - -p

        - "15001"

        - -z

        - "15006"

        - -u

        - "1337"

        - -m

        - REDIRECT

        - -i

        - '*'

        - -x

        - ""

        - -b

        - '*'

        - -d

        - 15090,15021,15020

        env:

        - name: DNS_AGENT

        image: docker.io/istio/proxyv2:1.6.0

        imagePullPolicy: Always

        name: istio-init

      restartPolicy: Always

可见新增了一个容器镜像

 image: docker.io/istio/proxyv2:1.6.0

那么注入的内容模板从哪里获取,这里有两个选项。

  1. —injectConfigFile 指定对应的注入文件
  2. —injectConfigMapName 注入配置的 ConfigMap 名称

如果在操作时发现Sidecar没有注入成功可以根据注入的方式查看上面的注入流程来查找问题。

参考文献

https://preliminary.istio.io/zh/docs/setup/additional-setup/sidecar-injection/#automatic-sidecar-injection

https://kubernetes.io/zh/docs/reference/access-authn-authz/admission-controllers/

https://istio.io/zh/docs/reference/commands/istioctl/#istioctl-kube-inject

Istio Sidecar注入原理的更多相关文章

  1. istio sidecar流量处理机制及配置

    sidecar 介绍 在istio的流量管理等功能,都需要通过下发的配置应用到应用运行环境执行后生效,负责执行配置规则的组件在service mesh中承载应用代理的实体被称为side-car Ist ...

  2. istio sidecar自动注入过程分析

    目录 istio sidecar自动注入过程分析 sidecar自动注入检查 检查kube-apiserver 检查sidecar-injector的configmap 检查namespace标签 s ...

  3. istio部署-sidecar注入

    参考 fleeto/sleep fleeto/flaskapp 1. Sidecar注入 1.1 对工作负载的一些要求 支持的工作负载类型:Job,DaemonSet,ReplicaSet,Pod,D ...

  4. 注入 Istio sidecar

    注入 Istio sidecar 网格中的每个 Pod 都必须伴随一个 Istio 兼容的 Sidecar 一同运行. 下文中将会介绍两种把 Sidecar 注入到 Pod 中的方法:使用 istio ...

  5. Istio Sidecar

    概念及示例 Sidecar描述了sidecar代理的配置.默认情况下,Istio 让每个 Envoy 代理都可以访问来自和它关联的工作负载的所有端口的请求,然后转发到对应的工作负载.您可以使用 sid ...

  6. istio sidecar使用自定义镜像源

    Istio 和 sidecar 配置保存在 istio 和 istio-sidecar-injector 这两个 ConfigMap 中,其中包含了 Go template,所谓自动 sidecar ...

  7. 十种MYSQL显错注入原理讲解(二)

    上一篇讲过,三种MYSQL显错注入原理.下面我继续讲解. 1.geometrycollection() and geometrycollection((select * from(select * f ...

  8. Java程序员从笨鸟到菜鸟之(一百)sql注入攻击详解(一)sql注入原理详解

    前段时间,在很多博客和微博中暴漏出了12306铁道部网站的一些漏洞,作为这么大的一个项目,要说有漏洞也不是没可能,但其漏洞确是一些菜鸟级程序员才会犯的错误.其实sql注入漏洞就是一个.作为一个菜鸟小程 ...

  9. SQL注入原理

    随着B/S模式应用开发的发展,使用这种模式编写应用程序的程序员也越来越多.但是由于这个行业的入门门槛不高,程序员的水平及经验也参差不齐,相当大一 部分程序员在编写代码的时候,没有对用户输入数据的合法性 ...

随机推荐

  1. 日日算法:Dijkstra算法

    介绍 Dijistra算法作为一种最短路径算法,可以用来计算一个节点到图上其他节点的最短距离. 主要是通过启发式的思想,由中心节点层层向外拓展,直到找到中点. 适用于无向图和有向图. 算法思想 假设我 ...

  2. JeeSite 4.0 简化业务逻辑层开发

    2019独角兽企业重金招聘Python工程师标准>>> 引言 对于业务逻辑层的开发重复代码很多,尽管有代码生成器,但从代码量总的来说还是比较多,所以就有了以下抽象类及工具,对一些常用 ...

  3. Jenkins 项目构建

    一:新建项目 (1)点击新建,输入项目名称--构建一个自由风格的软件项目,点击ok (2)构建触发器-----设置每两分钟执行一次 其中有5个参数 (*****) 第一个是代表分钟  一小时内的分钟数 ...

  4. php扩展开发之hello world

    最近在公司做的事情就是php扩展开发,虽然我只负责c++代码的编写,但是了解扩展开发的流程还是很有必要的. (本文介绍的是动态扩展,对静态扩展有兴趣的读者可自行google) php扩展开发环境搭建可 ...

  5. turtle库应用实例-五角星绘制

    五角星绘制 ‪‬‪‬‪‬‪‬‪‬‮‬‪‬‮‬‪‬‪‬‪‬‪‬‪‬‮‬‪‬‪‬‪‬‪‬‪‬‪‬‪‬‮‬‭‬‫‬‪‬‪‬‪‬‪‬‪‬‮‬‫‬‪‬‪‬‪‬‪‬‪‬‪‬‮‬‫‬‭‬‪‬‪‬‪‬‪‬‪‬‮‬‪‬ ...

  6. LeetCode--LinkedList--206. Reverse Linked List(Easy)

    206. Reverse Linked List(Easy) 题目地址https://leetcode.com/problems/reverse-linked-list/ Reverse a sing ...

  7. 【Hadoop离线基础总结】Mac版VMware Fusion虚拟机磁盘挂载

    步骤概览 1.打开所要挂载磁盘的虚拟机的设置(此时必须关机) 2.打开硬盘设置 3.添加设备 4.选择新硬盘 5.设置如下图 6.将虚拟机开机,输入 df-lh ,查看当前虚拟机磁盘 7.输入 fdi ...

  8. 【MySQL基础总结】常用函数库

    常用函数库 数学函数 分类及含义 示例 字符串函数 分类及含义 示例 日期时间函数 分类及含义 示例 条件判断函数 分类及含义 示例 系统函数 分类及含义 加密函数 分类及定义 其他常用函数 分类及含 ...

  9. js 调用webservice及nigix解决跨域问题

    前言 我们写一些简单的爬虫的时候会遇到跨域问题,难道我们一定要用后台代理去解决吗? 答案是否定的.python之所以适应爬虫,是因为库真的很好用. 好吧python不是今天的主角,今天的主角是js. ...

  10. js--bom对象

    bom:browser object model **navigator:获取浏览器的信息 **screen:获取屏幕的相关信息 **location:请求的url地址 **获取请求的url地址:lo ...