Istio-sidecar注入原理

最新推荐文章于 2024-04-17 13:49:46 发布
最新推荐文章于 2024-04-17 13:49:46 发布
阅读量587 收藏
点赞数
分类专栏: istio 文章标签: istio kubernetes docker
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/a1023934860/article/details/127383228
版权

前言

Istio的一个亮点就是为每个应用自动添加代理程序,并且采用无代码侵入的方式,这样的好处是,代理与应用进行解耦。

实战

  1. 部署istio集群,为default命名空间标签添加 istio-injection:enabled,istio会为default下的所有新建POD进行代理注入。
[root@master01 ~]# kubectl get ns default -o yaml
apiVersion: v1
kind: Namespace
metadata:
  labels:
    istio-injection: enabled # 这里
    kubernetes.io/metadata.name: default
  name: default
spec:
  finalizers:
  - kubernetes
  1. 添加代理的方式有多种下面让我们一一列举出来
    1. 在命名空间中添加istio-injection: enabled,这种也是最长用的方法之一
    2. 在命名空间中添加istio.io/rev: 这里需要注意后面的版本号一定是已经安装的,否则MutatingWebhookConfiguration的时候会匹配失败
    3. pod 注释或者标签中添加 sidecar.istio.io/inject:true
    4. istio提供了标签选择器的方式进行强制注入,配置方式是修改在istio-system命名空间中的configmap
# 如果使用的默认版本则修改下面的配置
# 如果是其余版本那么它的名称一般是istio-sidecar-injector-<reversion>
[root@master01 ~]# kubectl get cm -n istio-system  istio-sidecar-injector 
NAME                     DATA   AGE
istio-sidecar-injector   2      56d
#主要修改下面的alwaysInjectSelector 和 neverInjectSelector
[root@master01 ~]# kubectl get cm -n istio-system  istio-sidecar-injector -o yaml
apiVersion: v1
data:
  config: |-
    # defaultTemplates defines the default template to use for pods that do not explicitly specify a template
    defaultTemplates: [sidecar]
    policy: enabled
    alwaysInjectSelector:
      []
    neverInjectSelector:
      []
# 都是 标签选择器
# neverInjectSelector  匹配的应用强制不注入
# alwaysInjectSelector 匹配的应用强制注入
# 这里我们需要注意 policy 策略,它是默认注入配置
# 如果上面我们什么都没有设置,那么在匹配MutatingWebhookConfiguration后默认是注入
# 如果设置成disabled ,那么就是默认不注入

原理图

下面我将使用一张流程图进行原理展示

源码分析

本文不讲解过多的模板具体实如何与pod 合并的,本文主要关注使用层面,也就是注入判断匹配逻辑

// 这里我们可以看到,注入服务器,是通过/inject   uri进行访问的
func NewWebhook(p WebhookParameters) (*Webhook, error) {
    ...
    p.Mux.HandleFunc("/inject", wh.serveInject)
    p.Mux.HandleFunc("/inject/", wh.serveInject)
    ....
    return wh, nil
}
// 命名空间的判断是在mutatingwebhookconfigurations中处理的,剩下的就是单个注入pod使用注解和标签的操作.
func (wh *Webhook) inject(ar *kube.AdmissionReview, path string) *kube.AdmissionResponse {
	req := ar.Request
	var pod corev1.Pod
	// 将请求的pod转换为结构体
	if err := json.Unmarshal(req.Object.Raw, &pod); err != nil {
		handleError(fmt.Sprintf("Could not unmarshal raw object: %v %s", err,
			string(req.Object.Raw)))
		return toAdmissionResponse(err)
	}
	// Managed fields is sometimes extremely large, leading to excessive CPU time on patch generation
	// It does not impact the injection output at all, so we can just remove it.
	pod.ManagedFields = nil

	// Deal with potential empty fields, e.g., when the pod is created by a deployment
	podName := potentialPodName(pod.ObjectMeta)
	if pod.ObjectMeta.Namespace == "" {
		pod.ObjectMeta.Namespace = req.Namespace
	}
	log.Infof("Sidecar injection request for %v/%v", req.Namespace, podName)
	log.Debugf("Object: %v", string(req.Object.Raw))
	log.Debugf("OldObject: %v", string(req.OldObject.Raw))

	wh.mu.RLock()
	// 这里判断是否需要注入
	if !injectRequired(IgnoredNamespaces.UnsortedList(), wh.Config, &pod.Spec, pod.ObjectMeta) {
		log.Infof("Skipping %s/%s due to policy check", pod.ObjectMeta.Namespace, podName)
		totalSkippedInjections.Increment()
		wh.mu.RUnlock()
		return &kube.AdmissionResponse{
			Allowed: true,
		}
	}

	proxyConfig := mesh.DefaultProxyConfig()
	if wh.env.PushContext != nil && wh.env.PushContext.ProxyConfigs != nil {
		if generatedProxyConfig := wh.env.PushContext.ProxyConfigs.EffectiveProxyConfig(
			&model.NodeMetadata{
				Namespace:   pod.Namespace,
				Labels:      pod.Labels,
				Annotations: pod.Annotations,
			}, wh.meshConfig); generatedProxyConfig != nil {
			proxyConfig = generatedProxyConfig
		}
	}
	deploy, typeMeta := kube.GetDeployMetaFromPod(&pod)
	params := InjectionParameters{
		pod:                 &pod,
		deployMeta:          deploy,
		typeMeta:            typeMeta,
		templates:           wh.Config.Templates,
		defaultTemplate:     wh.Config.DefaultTemplates,
		aliases:             wh.Config.Aliases,
		meshConfig:          wh.meshConfig,
		proxyConfig:         proxyConfig,
		valuesConfig:        wh.valuesConfig,
		revision:            wh.revision,
		injectedAnnotations: wh.Config.InjectedAnnotations,
		proxyEnvs:           parseInjectEnvs(path),
	}
	wh.mu.RUnlock()

	// 开始编译模板
	patchBytes, err := injectPod(params)
	if err != nil {
		handleError(fmt.Sprintf("Pod injection failed: %v", err))
		return toAdmissionResponse(err)
	}

	reviewResponse := kube.AdmissionResponse{
		Allowed: true,
		Patch:   patchBytes,
		PatchType: func() *string {
			pt := "JSONPatch"
			return &pt
		}(),
	}
	totalSuccessfulInjections.Increment()
	return &reviewResponse
}


// 这里我们只看注入判断
func injectRequired(ignored []string, config *Config, podSpec *corev1.PodSpec, metadata metav1.ObjectMeta) bool { // nolint: lll
	// 只要是HostNetwork为真就无法进行代理注入
	if podSpec.HostNetwork {
		return false
	}

	// skip special kubernetes system namespaces
	// 忽略命名空间
    // 系统命名空间,比如kube-system
	for _, namespace := range ignored {
		if metadata.Namespace == namespace {
			return false
		}
	}

	// 获取pod 注解
	annos := metadata.GetAnnotations()

	var useDefault bool
	var inject bool
	// key是 这个值 sidecar.istio.io/inject 
	objectSelector := annos[annotation.SidecarInject.Name]
	if lbl, labelPresent := metadata.GetLabels()[annotation.SidecarInject.Name]; labelPresent {
		// The label is the new API; if both are present we prefer the label
		objectSelector = lbl
	}
	switch strings.ToLower(objectSelector) {
	// http://yaml.org/type/bool.html
	case "y", "yes", "true", "on":
		inject = true
	case "":
		useDefault = true
	}

	// 如果没有指定注解,则开始查询全局配置
    // 下面是根据标签选择器不能注入的逻辑
	if useDefault {
		for _, neverSelector := range config.NeverInjectSelector {
			selector, err := metav1.LabelSelectorAsSelector(&neverSelector)
			if err != nil {
				log.Warnf("Invalid selector for NeverInjectSelector: %v (%v)", neverSelector, err)
			} else if !selector.Empty() && selector.Matches(labels.Set(metadata.Labels)) {
				log.Debugf("Explicitly disabling injection for pod %s/%s due to pod labels matching NeverInjectSelector config map entry.",
					metadata.Namespace, potentialPodName(metadata))
				inject = false
				useDefault = false
				break
			}
		}
	}

	// 这里是根据标签选择器,配置强制注入的逻辑
	if useDefault {
		for _, alwaysSelector := range config.AlwaysInjectSelector {
			selector, err := metav1.LabelSelectorAsSelector(&alwaysSelector)
			if err != nil {
				log.Warnf("Invalid selector for AlwaysInjectSelector: %v (%v)", alwaysSelector, err)
			} else if !selector.Empty() && selector.Matches(labels.Set(metadata.Labels)) {
				log.Debugf("Explicitly enabling injection for pod %s/%s due to pod labels matching AlwaysInjectSelector config map entry.",
					metadata.Namespace, potentialPodName(metadata))
				inject = true
				useDefault = false
				break
			}
		}
	}

	var required bool
	switch config.Policy {
	default: //  这里是默认的判断,也就是上面都没有配置,则使用下面的默认值
		log.Errorf("Illegal value for autoInject:%s, must be one of [%s,%s]. Auto injection disabled!",
			config.Policy, InjectionPolicyDisabled, InjectionPolicyEnabled)
		required = false
	case InjectionPolicyDisabled:
		if useDefault {
			required = false
		} else {
			required = inject
		}
	case InjectionPolicyEnabled:
		if useDefault {
			required = true
		} else {
			required = inject
		}
	}

	if log.DebugEnabled() {
		// Build a log message for the annotations.
		annotationStr := ""
		for name := range AnnotationValidation {
			value, ok := annos[name]
			if !ok {
				value = "(unset)"
			}
			annotationStr += fmt.Sprintf("%s:%s ", name, value)
		}
    	// 日志输入,连带着注解也输出,便于检查.
		log.Debugf("Sidecar injection policy for %v/%v: namespacePolicy:%v useDefault:%v inject:%v required:%v %s",
			metadata.Namespace,
			potentialPodName(metadata),
			config.Policy,
			useDefault,
			inject,
			required,
			annotationStr)
	}
	return required
}

注意

最后还是要强调一下,命名空间的注入判断是根据mutatingwebhookconfigurations的时候就进行判断的.
而pod的注入判断是通过上面代码进行判断的,我在初看时,一直以为都在代码进行处理,以至于找命名空间的处理逻辑找到怀疑认生!!!

迷茫路人
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
helm安装istio_Istio 庖丁解牛二:sidecar injector
weixin_28876083的博客
01-06 842
作者: 钟华,腾讯云容器团队高级工程师,热衷于容器、微服务、service mesh、istio、devops 等领域技术。今天我们分析下 istio-sidecar-injector 组件:用户空间的Pod要想加入mesh, 首先需要注入sidecar 容器, istio 提供了2种方式实现注入:自动注入: 利用Kubernetes Dynamic Admission Webhook...
Istio 注入原理
叶康铭的博客
09-21 2731
Istio通过注入边车使得本身的应用获取了一些高级能力,是如何完成边车的注入的呢? 注入方式 手动注入 - 针对具体的一个资源对象 工作原理: 通过改写yaml文件植入Istio-proxy容器,以及init-container用于修改iptables规则。 配置方法:istioctl kue-inject <deploy.yaml> -o <inject.yaml> | kubectl apply -f - 自动注入 - 针对命名空间内的所有资源对象 工作原理: 通过web
Kubersphere平台中开启 Istio 及自动注入
qq_36200932的博客
02-24 1174
Kubersphere平台中开启 Istio 及自动注入
Istio 自动注入 sidecar 不成功解决方案(1),技术总监都拍手叫好
最新发布
m0_61943758的博客
04-17 999
本书是获得了很多读者好评的Linux经典畅销书**《Linux从入门到精通》的第2版**。本书第﹖版以最新的Ubuntu 12.04为版本,循序渐进地向读者介绍了Linux 的基础应用、系统管理、网络应用、娱乐和办公、程序开发、服务器配置、系统安全等。另外,本书还为读者提供了大量的Linux学习资料和Ubuntu安装镜像文件,供读者免费下载。需要《Linux入门到精通》、《linux系统移植》、《Linux驱动开发入门实战》、《Linux开源网络全栈》电子书籍及教程的工程师朋友们劳烦您转发+评论。
Istio sidecar 自动注入原理、开启全局注入(在所有命名空间自动注入
shida's blog
05-31 7034
一、背景介绍 Istio 作为重要的 ServiceMesh 框架,已经被越来越多的公司所使用。在 Istio 体系中,应用容器的出入流量都需要经过 Sidecar 的拦截和处理。默认地,Istio sidecar 自动注入是通过给 namespace 打 istio-injection=enabled 或 istio-injection=disabled 标签,来确定是否在该命名空间执行自动注入...
Istio使用【sidecar注入
Happywzy~的博客
12-25 2917
本文使用的版本号:1.4.2 查看默认sidecar配置 kubectl get mutatingwebhookconfiguration istio-sidecar-injector -o yaml | grep "namespaceSelector:" -A5 namespaceSelector: matchLabels: istio-injection: ...
istio-1.8.6-win.zip
05-17
Kubernetes中,这通常通过在服务定义中添加sidecar注解完成。注入完成后,Envoy代理将自动附加到你的服务Pod中。 Istio提供了一套强大的流量管理工具,如VirtualServices和DestinationRules,允许你精细控制服务...
jx3-kubernetes-istio-源码.rar
10-10
它通过 Sidecar 模式代理(Envoy)插入到每个服务实例旁边,实现对服务间交互的透明监控和控制。 在这个源码包中,我们可能会看到以下关键知识点: - **Jenkins X 配置**: 包含 `jx` CLI 命令的配置文件,如 `.jx`...
13-Istio 流量管理原理与协议扩展-赵化冰1
08-03
数据面则由Sidecar代理(通常是Envoy)构成,它们位于每个服务的Pod旁边,处理所有进出Pod的流量。此外,Ingress Gateway作为集群外部流量的入口,Egress Gateway作为出口,允许对进出集群的流量进行集中管理和控制...
istio 示例程序 bookinfo 快速部署
12-26
4. **配置 Istio Sidecar**:默认情况下,Istio 使用自动 Sidecar 注入策略,这意味着当部署应用时,Istio 会自动在每个微服务旁添加 Envoy 代理。如果在安装时未启用此功能,可以使用 `kubectl apply` 配置 Sidecar...
learning-kubernetes:学习Kubernetes ServiceMesh Istio
02-05
然后,使用`istioctl`命令行工具来安装Istio的控制平面,并将Envoy Sidecar注入到Pod中。部署完成后,可以通过Kubernetes的Ingress资源或Istio的Gateway和VirtualService来定义服务的外部访问规则。 **五、Istio的...
istio-边车模式(sidecar)
mosaic&Bernie
03-15 865
将本将属于应用程序的功能拆分成单独的进程,这个进程可以被理解为sidecar。在微服务体系中,将集成在应用内的微服务功能剥离到了sidecar内,sidecar提供了微服务发现、注册、服务调用、应用认证、限速等功能。一、边车模式:将服务治理功能从应用本身剥离出来作为单独进程,与主应用程序共同放在一台主机(host)中,但会将他们部署在各自的进程或容器中,这种方式。在运行时环境和编程语言方面,sidecar独立于其主要应用程序,不需要为每个微服务编写服务治理能力的代码,减少了微服务架构的代码的重复。
Istio 解决的问题及注入
小楼一夜听春雨,深巷明朝卖杏花
04-07 714
Istio 解决的问题istio所要解决的问题就是流量的管控,之前在pod里面增加了sidecar haproxy就是用来做流量管控的。如果配置了istio就不需要手动的为每个pod去添加sidecar了,而是自动的给我们添加。istio主要解决的问题:流量的管控安全性可观测性(可观测性就是通过可视化界面去看流量的走向)
Istio中流量劫持机制
心梦无痕
09-25 2082
Istio Service Mesh 中的流量劫持机制
Istio实战(十二)-代理规则配置:Sidecar
专注基础架构领域
05-15 539
流量治理是一个非常宽泛的话题,例如: 动态修改服务间访问的负载均衡策略,比如根据某个请求特征做会话保持; 同一个服务有两个版本在线,将一部分流量切到某个版本上; 对服务进行保护,例如限制并发连接数、限制请求数、隔离故障服务实例等; 动态修改服务中的内容,或者模拟一个服务运行故障等。 在Istio中实现这些服务治理功能时无须修改任何应用的代码。较之微服务的SDK方式,Istio以一种更 轻便、透明的方式向用户提供了这些功能。用户可以用自己喜欢的任意语言和框架进行开发,专注于自己的业务,完全不用嵌入任何治理逻
istio学习笔记2:边车模式sidecar
Koikoi12的博客
12-21 3183
Sidecar 是什么 将本将属于应用程序的功能拆分成单独的进程,这个进程可以被理解为sidecar。在微服务体系内,将集成在应用内的微服务功能剥离到了sidecar内,sidecar提供了微服务发现、注册,服务调用,应用认证,限速等功能。 简单来说,Sidecar 注入会将额外容器的配置添加到 Pod 模板中。 特点: sidecar为独立部署的进程。 sidecar降低应用程序代码和底层代码的耦合度,帮助异构服务通过sidecar快速接入微服务体系。 而Envoy代理扮演的就是 Sidecar 的
istio内置资源和sidecar注入初探
liyunlonghere
05-13 1406
Gateway(gw) VirtualService(vs) DestinationRule(dr) ServiceEntry(se) sidecar注入以及流量劫持 sidecar注入过程 sidecar注入原理 sidecar注入结果 Gateway(gw) istio中gateway资源可以将网格内部的服务暴露给网格外部的服务,供网格外部的服务调用,该资源描述了需要公开的端口、端口的协议类型、以及域名等。 下面是服务的gw资源配置文件示例。 1 2 ...
Istio 自动注入 sidecar 不成功解决方案
qq_24794401的博客
12-14 4621
环境Kubernetes v1.15.6 源码安装Istio v1.2.5 Helm 安装Istio v1.2.5 Helm 安装Istio Helm安装问题安装完后,做官方booki...
Istio # Sidecar
来啊 快活啊
08-18 577
Istio Sidecar自动注入原理-Kubernetes webhook扩展机制解析
dev-sidecar
07-27
对于“dev-sidecar”,我可以为您提供一些基本信息。"Dev-sidecar"是一种开发工具,通常用于在容器化的应用程序中提供辅助功能。它可以与主应用程序一起部署,并提供诸如日志记录、性能监控、调试等功能。通过将这些...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值