9 张图带你搞懂 Istio

最新推荐文章于 2025-03-16 07:48:59 发布
最新推荐文章于 2025-03-16 07:48:59 发布
阅读量1.4k 收藏 18
点赞数 2
文章标签: java python 编程语言 kubernetes nginx

公众号关注 「奇妙的 Linux 世界」

设为「星标」,每天带你玩转 Linux !



什么是 Istio?

Istio 是一个服务网格,它允许在集群中的 pods 和服务之间进行更详细、复杂和可观察的通信。

它通过使用 CRD 扩展 Kubernetes API 来进行管理。它将代理容器注入到所有 Pods 中,然后由这些 Pods 控制集群中的流量。

Kubernetes Services

从这里开始,您应该已经了解了 Kubernetes Services,可以阅读 本系列的第 1 部分。我们现在将简短地探讨如何实现 Kubernetes Services。我认为这有助于理解 Istio 如何做相同和不同的事情。


图 1 显示了一个 Kubernetes 集群,该集群有两个节点和 4 个 Pod,每个 Pod 都有一个容器。服务 service-nginx 指向 Nginx Pods,服务 service-python 指向 Python Pods。红线显示了从 pod1-nginx 中的 nginx 容器向 service-python 服务发出的请求,该服务将请求重定向到 pod2-python。

默认情况下,ClusterIP 服务执行简单的随机或循环分发。Kubernetes 中的 Services 并不存在于特定的节点上,而是存在于整个集群中。我们可以在图 2 中看到更多细节:

图 2 显示了与图 1 相同的示例,只是更详细一些。Kubernetes 中的服务是由运行在每个节点上的 Kube-proxy 组件实现的。该组件创建 Iptables 规则,并将请求重定向到 Pod。因此,服务就是 Iptables 规则。(还有其他不使用 Iptables 的代理模式,但过程是相同的。)

在图 2 中,我们看到 Kubernetes API 对每个 Kube-proxy 进行编程。每当服务配置或服务的 Pods 发生更改时,就会发生这种情况。通过这种方式,Kubernetes API (以及整个主节点或控制平面)可能会崩溃,但服务仍然可以工作。

Kubernetes Istio

现在我们来看一个配置了 Istio 的相同示例:

图 3 显示安装了 Istio,它随 Istio 控制平面一起提供。还常见的是,每个 Pod 都有第二个称为 istio-proxy 的容器,该容器在创建期间自动将其注入到 Pods 中。

Istio 最常见的代理是具有惊人能力的 Envoy。虽然可以使用其他代理(如 Nginx),这就是为什么我们从现在开始只将代理称为 Istio-Proxy。

我们可以看到不再显示 Kube-Proxy 组件,这样做是为了保持图像的整洁。这些组件仍然存在,但是拥有 Istio-Proxy 的 Pods 将不再使用 Kube-Proxy 组件。

每当配置或服务发生变化时,Istio 控制平面就会对所有 Istio-Proxy Sidecars 进行编程。类似于图 2 中 Kubernetes API 编程所有 Kube-Proxy 组件的方式。Istio 控制平面使用现有的 Kubernetes 服务来接收每个服务点所指向的所有 Pods 。通过使用 Pod IP 地址,Istio 实现了自己的路由。

在 Istio 控制平面对所有 Istio-Proxy Sidecars 编程之后,它看起来是这样的:

在图 4 中,我们看到 Istio 控制平面如何将当前配置应用到集群中的所有 Istio-Proxy 容器。为了简单起见,还包括 “ClusterIP” 声明。虽然 ClusterIP 是 Kubernetes 的内部服务类型。Istio 将把 Kubernetes 服务声明转换成它自己的路由声明。但是想象一下图像中显示的情况会很有帮助。

让我们看看如何使用 Istio 发出请求:

在图 5 中,所有的 Istio-Proxy 容器已经被 Istio 控制平面编程,并包含所有必要的路由信息,如图 3/4 所示。来自 Pod1-nginx 的 Nginx 容器向 Service-Python 发出请求。

请求被 Pod1-Nginx 的 Istio-Proxy 容器拦截,并被重定向到一个 Python Pod 的 Istio-proxy 容器,该容器随后将请求重定向到 Python 容器。

这里发生了什么?

图 1-5 显示了使用 Nginx 和 Python Pod 的 Kubernetes 应用程序的相同示例。我们已经看到了使用默认的 Kubernetes 服务和使用 Istio 是如何发生请求的。

重要的是: 无论使用什么方法,结果都是相同的,并且不需要更改应用程序本身,只需要更改基础结构代码。

为什么要这样,为什么要使用 Istio?

如果在使用 Istio 的时候没有什么变化(Nginx Pod 仍然可以像以前一样连接到 Python Pod),为什么要首先使用 Istio 呢?

其惊人的优势是, 现在所有流量都通过每个 Pod 中的 Istio-Proxy 容器进行路由。每当 Istio-Proxy 接收并重定向一个请求时,它还会将有关该请求的信息提交给 Istio 控制平面。

因此 Istio 控制平面可以准确地知道该请求来自哪个 Pod、存在哪些 HTTP 头、从一个 Istio-Proxy 到另一个 Istio-Proxy 的请求需要多长时间等等。在具有许多彼此通信的服务的群集中,这可以提高可观察性并更好地控制所有流量。


先进的路由

Kubernetes 内部 Services 只能对 Pods 执行轮询或随机分发请求。使用 Istio 可以实现更复杂的方式。比如,如果发生错误,根据请求头进行重定向,或者重定向到最少使用的服务。

部署

它允许将一定比例的流量路由到特定的服务版本,因此允许绿色/蓝色和金丝雀部署。

加密

可以对 Pods 之间从 Istio-Proxy 到 Istio-Proxy 的集群内部通信进行加密。

监控/图形生成

Istio 连接到 Prometheus 等监控工具。它也可以与 Kiali 一起很好的显示所有的服务和它们的流量。

追踪

因为 Istio 控制平面拥有大量关于请求的数据,所以可以使用 Jaeger 等工具跟踪和检查这些数据。

多集群 Mesh

Istio 有一个内部服务注册中心,它可以使用现有的 Kubernetes 服务。但是也可以从集群外部添加资源,甚至将不同的集群连接到一个网格中。

Sidecar 注入

为了使 Istio 工作,每一个作为网状结构一部分的 Pod 都需要注入 Istio-Proxy Sidecar。这可以在 Pod 创建期间为整个名称空间自动完成(通过 Admission Controller 钩子,也可以手动完成)。

Istio 会取代 Kubernetes 的服务吗?

不。当我开始使用 Istio 时,我问自己的一个问题是它是否会取代现有的 Kubernetes 服务。答案是否定的。Istio 使用现有的 Kubernetes 服务获取它们的所有 Endpoints/Pod IP 地址。

Istio 取代了 Kubernetes 的 Ingress 吗?

是的。Istio 提供了新的资源,比如网关和虚拟服务,甚至还附带了 Ingress 转换器 istioctl convert-ingress。一个很好的来源是: https://istio.io/docs/concepts/traffic-management

图 6 显示了 Istio 网关如何处理进入流量。网关本身也是一个 Istio-Proxy 组件。

控制平面组件

Istio 控制平面由几个较小的部件组成,如 PilotMixerCitadelGalley。如果您想深入研究,我建议您访问 https://istio.io/docs/ops/deployment/architecture

如果 Istio 控制平面关闭会发生什么?

因为所有的 Istio-Proxy Sidecar 都已经编程好了,所以 Istio 的控制平面可以关闭,流量也会像以前一样工作。但是配置更新或新创建的 Pods 不会被应用。

但对于高级路由,如将流量发送到使用最少的 Pod 或策略(https://istio.io/docs/tasks/policy-enforcement),所有 Istio-proxys 之间需要通过 Istio 控制平面进行通信。然后,在允许请求之前,每个 Istio-proxy 都需要检查 Istio 控制平面。

为了使这些配置正常工作,我认为控制平面必须始终可用。

下一步你能做什么?

我写了一篇关于 Istio Canray 部署的示例文章。

Istio 提供了一个很好的示例应用程序和一些微服务。如果你喜欢进入 Istio,这是一个很好的开始方法:https://istio.io/docs/setup/getting-started

如果你想更深入地研究,?这段视频也是很棒的。

回顾

这是一个简单的介绍和广泛的概述,我希望对你有所帮助。Istio 无疑在 Kubernetes 之上又增加了另一层次的复杂性。尽管对于现代微服务架构来说,它实际上提供了一种比必须在应用程序代码本身中实现跟踪或可观察性更简单的方法。

原文链接:https://itnext.io/kubernetes-istio-simply-visually-explained-58a7d158b83f

本文转载自:「CloudNative 架构」,原文:https://tinyurl.com/y565jom7,版权归原作者所有。欢迎投稿,投稿邮箱: editor@hi-linux.com。

你可能还喜欢

点击下方图片即可阅读

13 张图带你学懂 Kubernetes Service

点击上方图片,打开小程序,加入「玩转 Linux」圈子

更多有趣的互联网新鲜事,关注「奇妙的互联网」视频号全了解!

运维之美
关注
Istio架构详解
格赚
05-30 1937
Istio架构及其组件概述 Istio 架构总体来说分为控制面和数据面两部分。 控制面是 Istio 的核心,管理 Istio 的所有功能,主要包括Pilot、Mixer、Citadel等服务组件; 数据面由伴随每个应用程序部署的代理程序Envoy组成,执行针对应用程序的治理逻辑。常被称为“Sidecar”。Sidecar 一般和业务容器绑定在一起(在Kubernets中自动注入方式到业务pod中),来劫持业务应用容器的流量,并接受控制面组件的控制,同时会向控制面输出日志、跟踪及监控数据。 Istio
6 搞懂微服务
weixin_55765992的博客
06-16 228
虽说[微服务]早已是一个老生常谈的话题了,在 [infoq 或者 [thoughtworks] 上可以找到很多案例,不过可惜的是其中相当比例的案例是失败的案例,究其原因,除了[技术门槛]之外,主要是因为很多人脱离了实际情况,只是为了微服务而微服务。本文通过一个例子领大家从头到尾体验一下微服务的演化过程,不仅要做到知其然,更要做到知其所以然。(转载自乐字节) 假设我们正在开发一个在线购物项目,其主要功能包括商城、推荐、评论、用户等,它是一个典型的[单体架构]:不同团队的技术人员工作在同一个版本库上,系统功能
istio 是用来做什么的?本文为你解答
360linker
05-08 1737
如果你比较关注新兴技术的话,那么很可能在不同的地方听说过 Istio,并且知道它和 Service Mesh 有着牵扯。 这篇文章可以作为了解 Istio 的入门介绍,了解什么是 IstioIstio 为什么最近这么火,以及 Istio 能给我们来什么好处。 什么是 Istio? 官方对 Istio 的介绍浓缩成了一句话: An open platform to connect, ...
【云原生知识】服务网格之Istio入门介绍
最新发布
wendao76的专栏
03-16 1024
Istio相关介绍
图解Istio
weixin_44692256的博客
11-12 407
关于 Kubernetes Service 理解的系列文章,本篇是第3篇: Part 1:Kubernetes Services Part 2:Kubernetes Ingress Part 3: (本文) Part 4:Kubernetes Serverless Istio 是一个服务网格,它允许集群中的 pods 和服务之间进行更详细、复杂和可观察的通信。 它通过使用 CRD 扩展 Kubernetes API 来进行管理,它将代理容器注入到所有 pods...
Istio 1.5 部署指南修正版
云原生实验室
03-26 1632
点击 "阅读原文" 可以获得更好的阅读体验。前言本文主要是对上一篇文章Istio 1.5 部署指南 的修正和补充,由于微信公众号不能修...
Istio
ma1782072的博客
01-18 770
Istio
ServiceMesh实战-服务网格是什么?
my_live_123
03-14 1652
文章目录1. Service Mesh2. 服务拓扑3. 微服务4. 容器5. 服务治理6. 微服务,容器,服务治理和服务网格的关系7. 服务网格要做什么总结后话参考文献        牛顿有曰:如果说我看得比别人更远些,那是因为我站在巨人的肩膀上。 学习前人的成果,就是先努力站到巨人的肩膀上;掌握前人的成果是前进的必要过程。有...
时代在召唤云原生
边缘计算社区
03-01 818
我们已经进入云计算下半场,不再像上半场在纠结要不要上云,而是讨论怎么上云?才能把云计算的价值发挥到淋漓尽致。如何把云计算与不同的业务场景深度结合?如何让技术真正作用于企业?如何节省企业I...
云原生时代(五):Kubernetes与容器编排之战
蒋宇捷的专栏
06-18 4877
上文我们主要介绍了容器和Docker,第五部分我们来讲Kubernetes与容器编排之战。 容器编排与Kubernetes 在单机上运行容器,无法发挥它的最大效能,只有形成集群,才能最大程度发挥容器的良好隔离、资源分配与编排管理的优势。所以企业需要一套管理系统,对Docker及容器进行更高级更灵活的管理,按照用户的意愿和整个系统的规则,完全自动化的处理好容器之间的各种关系,这叫做编排(Orchestration)。 Orchestration这个词来自于音乐领域,是指一种将不同乐器、音色加以合理的编排
Istio 
stone_tomcate的博客
07-23 401
https://github.com/istio/istio 对于Istio服务网格中的应用程序Pod,所有往返Pod的流量都需要经过sidecar代理(istio-proxy容器)。该istio-cni容器网络接口(CNI)插件将代替当前的Istio注入式PodinitContainersistio-init方法来设置Pod的网络以满足此要求。 当前(对于IPv4)是通过在pod的netns中配置iptables规则来实现的。 用于处理netns设置的CNI使用NET_ADMIN特权in...
istio指南(中文版)
10-09
istio指南(中文版)是源自istio官网英文版的翻译版。
Istio简介
热门推荐
迷途的攻城狮
04-02 2万+
Istio简介 1、简介 1.1、Service Mesh 上网了解一下:Service mesh和sidecar。参考链接:http://www.sohu.com/a/198655597_467759 1.2、Istio体系结构 Istio主要由Envoy、Pilot、Mixer三部分组成,整体结构如下: Envoy:以sidecar的形式和应用程序运行与同一个...
Istio
严文文 Chris
08-29 829
服务网格是用于处理服务间通信的基础设施层,通常由一组代理(如 Envoy)组成,这些代理负责捕获和管理微服务之间的网络流量。服务网格的核心思想是将服务间通信的控制逻辑从服务本身抽离出来,交给网格来处理,从而简化开发过程,并增强系统的安全性和可管理性。Istio 是一个功能强大的服务网格平台,特别适用于复杂的微服务架构。通过提供统一的流量管理、安全性和可观测性功能,Istio 帮助开发者和运维人员更好地管理分布式系统,提升系统的可靠性和安全性。
云原生Istio架构和组件介绍
赵广陆
05-02 2714
目录 1 Istio 架构 2 Istio组件介绍 2.1 Pilot 2.2 Mixer 2.3 Citadel 2.4 Galley 2.5 Sidecar-injector 2.6 Proxy(Envoy) 2.7 Ingressgateway 2.8 其他组件
istio 简介
看,未来的博客
05-31 5116
文章目录什么是 istioistio 解决了什么痛点?总结istio 的解决方案流量管理安全性可观察性平台支持 什么是 istio? 讲多了记不住,那就:服务网格 + 微服务治理。 istio 解决了什么痛点? 了解Istio得从微服务架构谈起,微服务是在2012年提出的概念,其根本思想是通过拆分原则,希望一个服务只负责业务中一个独立的功能,这样任何一个需求不会因为发布或者维护而影响到不相关的服务,所有服务都可以做到独立部署运维,当然这也只是微服务架构给我们来的好处之一。 但是: 首先,原来的单个应用
第二十四部分 Istio服务可视化
小郑的专栏
05-16 1729
简述 本文讲述对Istio 服务进行多角度的可视化。 首先要安装 Kiali 插件,然后使用 Web 界面来查看网格内的服务以及 Istio 配置对象;最后还要通过 Kiali API 用 JSON 格式生成服务数据。 任务中用到Bookinfo 示例应用,它作为本次测试案例。 前提 安装Kiali 安装Istio 时中已经安装Kiali,请参考之前文档,此处省略。 安装部署 Bo...
Istio简介【一个用于连接、监控和保护微服务的开放平台】
Happywzy~的博客
12-20 1121
什么是IstioIstio是一个开放服务网格,提供了一种连接,管理和保护微服务的统一方法。它支持管理服务之间的流量,执行访问策略以及汇总遥测数据,所有这些都无需更改微服务代码。 Istio: HTTP,gRPC,WebSocket,MongoDB和TCP通信的自动负载平衡。 通过丰富的路由规则,重试,故障转移和故障注入对流量行为进行细粒度控制。 可配置的策略层和API,支持访问控制,...
Istio介绍
weixin_44227567的博客
04-15 1004
Istio是一个开源的服务网格(Service Mesh)框架,它提供了一种简单的方式来为部署在Kubernetes等容器编排平台上的微服务应用添加网络功能。服务治理:Istio能够帮助管理服务之间的交互,确保服务通信的可靠性和安全性。流量管理:通过Istio,可以对服务之间的流量进行细粒度的控制和路由,实现如A/B测试、金丝雀发布等高级流量路由策略。策略执行:Istio允许开发者为服务间通信定义一系列的策略,并且能够自动保证这些策略得到执行。遥测收集。
搞懂Flink的Exactly-once
01-08
### Flink Exactly-Once Semantics Explained In the context of stream processing, ensuring that each record is processed only once (exactly-once) without any loss or duplication becomes critical for applications requiring high accuracy and reliability. For this purpose, Apache Flink implements sophisticated mechanisms to guarantee exactly-once delivery semantics. #### Importance of Exactly-Once Processing Exactly-once processing ensures every message is consumed precisely one time by downstream systems, preventing both data loss and duplicate records[^3]. This level of assurance is particularly important when dealing with financial transactions, billing information, or other scenarios where even a single error can lead to significant issues. #### Implementation Mechanisms To achieve exactly-once guarantees, Flink employs several key technologies: 1. **Checkpointing**: Periodic snapshots are taken across all operators within a job graph at consistent points in time. These checkpoints serve as recovery states which allow jobs to resume from these saved positions upon failure. 2. **Two-phase commit protocol**: When interacting with external systems like databases or messaging queues through sinks, Flink uses an extended version of the two-phase commit transaction mechanism. During checkpoint creation, pre-commit actions prepare changes; after successful completion of the checkpoint process, global commits finalize those operations[^4]. ```mermaid graph LR; A[Start Transaction] --> B{Prepare Changes}; B --> C(Pre-Commit); C --> D{All Pre-commits Succeed?}; D -->|Yes| E(Global Commit); D -->|No| F(Abort); ``` This diagram illustrates how the two-phase commit works during sink operations. Each operator prepares its part before confirming globally whether everything has been successfully prepared. Only then does it proceed with committing or aborting based on consensus among participants. #### Barrier Insertion & Propagation For maintaining consistency between different parts of computation while taking periodic snapshots, barriers play a crucial role. They act as synchronization markers inserted into streams periodically according to configured intervals. As they propagate along with events throughout the topology, they ensure that no new elements enter until previous ones have completed their respective stages up till the barrier point. ```mermaid sequenceDiagram participant Source participant OperatorA participant OperatorB Note over Source: Time advances... Source->>OperatorA: Data Element 1 Source->>OperatorA: Checkpoint Barrier X Source->>OperatorA: Data Element 2 OperatorA->>OperatorB: Forwarded Elements + Barrier X Note right of OperatorB: Process pending items\nbefore handling next element post-barrier ``` The sequence above shows how barriers travel alongside regular data flow but enforce order so that computations remain synchronized despite asynchronous nature inherent in distributed environments. --related questions-- 1. What challenges arise when implementing exactly-once semantics in real-world applications? 2. How do checkpointing frequencies impact performance versus fault tolerance trade-offs? 3. Can you explain what happens if some nodes fail midway through a two-phase commit operation? 4. Are there alternative methods besides using barriers for achieving similar levels of consistency? 5. In practice, under what circumstances might at-least-once be preferred over exactly-once semantics?
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值