通过Dapr实现一个简单的基于.net的微服务电商系统(十二)——istio+dapr构建多运行时服务网格

　　多运行时是一个非常新的概念。在 2020 年，Bilgin Ibryam 提出了 Multi-Runtime（多运行时）的理念，对基于 Sidecar 模式的各种产品形态进行了实践总结和理论升华。那到底什么是多运行时呢？首先还是得从分布式应用的四大类基本需求讲起。简单来讲任何分布式应用都存在的四大类基本需求：

　　　　1、生命周期：包括部署，健康检查，水平扩展，配置管理等，目前这些需求的最佳实践，都陆续在 kubernetes 上有了落地。

　　　　2、网络：网络方面的需求 是 service Mesh 的主战场，比如 istio 可以满足这里绝大部分需求，除了 pub/sub。

　　　　3、状态：包括数据的读写，状态其实是非常难以管理的，涉及幂等，缓存，数据流等等。

　　　　4、绑定：主要是指和系统外部资源的交互。

　　在传统软件时代，是耦合在应用代码里的，但现如今，有越来越多的分布式能力从应用中剥离，而剥离的方式也在逐渐变化，从最早期，这些能力从业务代码剥离到依赖库中，然后有一些特性剥离到平台层（kubernetes）。而如今会有更多的非业务能力，剥离到 sidecar 中。作者预测：理论上每个微服务可以有多个 runtime: 一个业务运行时，和多个分布式能力运行时，但最理想的情况是，或者最可能出现的情况是：在业务之外的运行时合并为一个，通过高度模块化、标准化和可配置的方式，给业务提供所有分布式能力。而dapr则在很早之前就完成了对istio的集成，理论上我们可以通过运行两个sidecar来提供分布式能力，istio关注网络侧，包括不限于服务注册发现、A/B测、金丝雀部署、流量镜像，监控链路等等。当然dapr这部分有一定重叠，但是没有istio做的那么细致，这两者可以互补。而dapr则可以提供istio并不具备的网络功能比如订阅/发布、状态管理包括状态幂等，一致性，actor等等，也包括绑定，通过绑定和外部系统交互这部分。

目录：
一、通过Dapr实现一个简单的基于.net的微服务电商系统

二、通过Dapr实现一个简单的基于.net的微服务电商系统(二)——通讯框架讲解

三、通过Dapr实现一个简单的基于.net的微服务电商系统(三)——一步一步教你如何撸Dapr

四、通过Dapr实现一个简单的基于.net的微服务电商系统(四)——一步一步教你如何撸Dapr之订阅发布

五、通过Dapr实现一个简单的基于.net的微服务电商系统(五)——一步一步教你如何撸Dapr之状态管理

六、通过Dapr实现一个简单的基于.net的微服务电商系统(六)——一步一步教你如何撸Dapr之Actor服务

七、通过Dapr实现一个简单的基于.net的微服务电商系统(七)——一步一步教你如何撸Dapr之服务限流

八、通过Dapr实现一个简单的基于.net的微服务电商系统(八)——一步一步教你如何撸Dapr之链路追踪

九、通过Dapr实现一个简单的基于.net的微服务电商系统(九)——一步一步教你如何撸Dapr之OAuth2授权

十、通过Dapr实现一个简单的基于.net的微服务电商系统(十)——一步一步教你如何撸Dapr之绑定

十一、通过Dapr实现一个简单的基于.net的微服务电商系统(十一)——一步一步教你如何撸Dapr之自动扩/缩容
附录：(如果你觉得对你有用，请给个star)
一、电商Demo地址

二、通讯框架地址

　　istio是什么呢？简单来讲istio是一个service mesh，和dapr的结构类似，都是通过在应用之上插入sidecar来提供分布式能力，同时通过控制平面来对这些sidecar进行具体的调度和管控，只不过istio更倾向于提供网络能力，其官网的一句话描述可以概括：“通过领先的服务网格简化可观测性，流量管理，安全及策略。”其功能包括以下几点：

　　　　1、使用 TLS 加密、强身份认证和授权的集群内服务到服务的安全通信

　　　　2、自动负载均衡的 HTTP, gRPC, WebSocket，和 TCP 流量

　　　　3、通过丰富的路由规则、重试、故障转移和故障注入对流量行为进行细粒度控制

　　　　4、一个可插入的策略层和配置 API，支持访问控制、速率限制和配额

　　　　5、对集群内的所有流量(包括集群入口和出口)进行自动度量、日志和跟踪

　　说了那么多，我们还是聊聊如何通过dapr+istio对我们的电商demo进行多运行时集成吧。首先是安装，安装可以参考istio官方中文文档，默认安装profile=demo会帮我们安装istiod+ingressgateway+egressgateway，istiod就是我们的控制平面核心，不同于dapr将控制平面分散在多个容器的做法，istio经历过1.5的版本迭代后将所有的功能又合并到了一个容器中。而ingressgateway则是用于替代ingress-controller的，而egress是出口网关，由于istio默认对入口和出口流量都有管控，这里我们不需要限制出口流量，所以设置为ALLOW_ANY。同时这是不需要每次都拉取sidecar镜像。

istioctl install --set profile=demo  --set meshConfig.outboundTrafficPolicy.mode=ALLOW_ANY  --set values.global.imagePullPolicy=IfNotPresent

　　同样的我们需要将ingressgateway作为nodeport指向我们的30882，记住这里需要先把之前安装的ingress-controller的svc的30882修改为其他端口，否则会冲突。

 kubectl edit svc istio-ingressgateway -n istio-system
-> 文件内容改动如下：
  ...
  - name: http2 #只需要修改http2即可
    nodePort: 30882
    port: 80
    protocol: TCP
  ...
  type: NodePort #改成NodePort,下面的部分删除
status:
  loadBalancer:
    ingress:
    - hostname: localhost

　　接着我们看看kubectl get po -n istio-system 确保三个pod都已经running即可，接着我们安装一些dashboard需要等下通过这些来观察istio，进入安装的istio根目录，找到\samples\addons，执行kubectl apply -f . 即可将Kiali 和其他插件安装完毕，其中kiali是istio的官方仪表板，安装完成后可以通过istioctl dashboard kiali 将kiali启动起来，当然你也可以通过修改kubectl edit svc kiali -n istio-system 设置nodeport来永久暴露kiali面板，这里不赘述。可以看到我们的dapreshop里所有的pod目前状态都是missing sidecar，说明sidecar尚未注入。

　　接着我们来注入istio的sidecar到我们的电商demo。很简单，只需要执行 kubectl label ns dapreshop istio-injection=enabled 在我们的dapreshop这个namespace打上自动注入的标签，接着我们kubectl delete po --all -n dapreshop重启所有pod即可将该空间下的pod都自动注入sidecar。如果你不需要某些pod注入sidecar，则禁用它即可：

  template:
    metadata:
      labels:
        app: accountservice
        version: v1
      annotations:
        sidecar.istio.io/inject: "false"

　　如果一切顺利，等待一段时间后，我们可以看到每一个pod都会被正确的注入istio的sidcar，而istio sidecar工作原理和dapr不一样，它是通过修改ip规则转发流量的方式强制拦截，流量模型如下：

　　接着我们需要编写入口流量，让我们的流量通过istio的网关接管，yaml如下：

apiVersion: networking.istio.io/v1alpha3
kind: Gateway
metadata:
  name: dapreshop-gateway
  namespace: dapreshop
spec:
  selector:
    istio: ingressgateway
  servers:
  - port:
      number: 80
      name: http
      protocol: HTTP
    hosts:
    - "*"
---
apiVersion: networking.istio.io/v1alpha3
kind: VirtualService
metadata:
  name: apigateway
  namespace: dapreshop
spec:
  hosts:
  - "api.dapreshop.com"
  gateways:
  - dapreshop-gateway
  http:
  - route:
    - destination:
        port:
          number: 80
        host: apigateway
---
apiVersion: networking.istio.io/v1alpha3
kind: VirtualService
metadata:
  name: mobiledapreshop
  namespace: dapreshop
spec:
  hosts:
  - "m.dapreshop.com"
  gateways:
  - dapreshop-gateway
  http:
  - match:
    - uri:
        prefix: /
    route:
    - destination:
        port:
          number: 80
        host: mobilefrontend
---
apiVersion: networking.istio.io/v1alpha3
kind: VirtualService
metadata:
  name: admindapreshop
  namespace: dapreshop
spec:
  hosts:
  - "admin.dapreshop.com"
  gateways:
  - dapreshop-gateway
  http:
  - match:
    - uri:
        prefix: /
    route:
    - destination:
        port:
          number: 80
        host: adminfrontend
---
apiVersion: networking.istio.io/v1alpha3
kind: VirtualService
metadata:
  name: oauthdapreshop
  namespace: dapreshop
spec:
  hosts:
  - "oauth.dapreshop.com"
  gateways:
  - dapreshop-gateway
  http:
  - match:
    - uri:
        prefix: /
    route:
    - destination:
        port:
          number: 80
        host: oauthservice-dapr

　　apply以后，我们可以通过kugectl get gw,vs -n dapreshop。可以看到相关资源已经注入成功了，接着就可以访问我们的http://admin.dapreshop.com:30882/,可以看到页面被正确打开了，说明流量已经通过istio正确转发了。接着我们操作一下平台，然后登录kiali即可看到正确的链路调用情况了

　　今天的分享就到这里，这只是一个简单的demo级别的演示，其他的还需要大家多自行摸索，照例欢迎fork+star~