探索 Kubernetes 服务网格:Istio 实战指南

于 2024-09-16 00:15:00 发布
阅读量888 收藏 20
点赞数 22
分类专栏: Kubernetes 文章标签: kubernetes istio 容器 云原生
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lilinhai548/article/details/142204362
版权

🧑 博主简介:历代文学网(PC端可以访问:https://literature.sinhy.com/#/literature?__c=1000,移动端可微信小程序搜索“历代文学”)总架构师,15年工作经验,精通Java编程高并发设计Springboot和微服务,熟悉LinuxESXI虚拟化以及云原生Docker和K8s,热衷于探索科技的边界,并将理论知识转化为实际应用。保持对新技术的好奇心,乐于分享所学,希望通过我的实践经历和见解,启发他人的创新思维。在这里,我希望能与志同道合的朋友交流探讨,共同进步,一起在技术的世界里不断学习成长。

在这里插入图片描述
在这里插入图片描述

摘要

随着微服务架构的普及,Kubernetes 已成为现代应用部署的标准平台。然而,管理微服务之间的通信和安全性仍然是一个挑战。本文将深入探讨 Kubernetes 服务网格的核心概念,并通过 Istio 的实战案例,展示如何简化微服务管理,提升应用的可靠性安全性

引言

Kubernetes 作为容器编排的领导者,极大地简化了应用的部署和管理。然而,随着微服务数量的增加,服务间的通信、监控和安全性问题变得越来越复杂。服务网格(Service Mesh)应运而生,成为解决这些问题的关键技术。Istio 作为 Kubernetes 生态中最受欢迎的服务网格解决方案之一,提供了强大的流量管理、安全性和可观察性功能。

服务网格的核心概念

1. 什么是服务网格?

服务网格是一个专门的基础设施层,用于处理服务间的通信。它通过在每个服务实例旁边部署一个轻量级的网络代理(Sidecar),来管理服务间的流量、策略和安全性。

Istio 解决了开发人员和运维人员在分布式或微服务架构中面临的挑战。无论您是从头开始构建、将现有应用程序迁移到云原生,还是保护现有资产,Istio 都可以提供帮助。
在这里插入图片描述

服务网格是一个基础设施层,它为应用程序提供零信任安全、可观察性和高级流量管理等功能, 而无需更改代码。Istio 是最受欢迎、最强大、最值得信赖的服务网格。 IstioGoogleIBM Lyft 于 2016 年创立,是云原生计算基金会的一个毕业项目, 与 KubernetesPrometheus 等项目并列。

Istio 可确保云原生和分布式系统具有弹性,帮助现代企业在保持连接和保护的同时跨不同平台维护其工作负载。 它启用安全和治理控制,包括 mTLS 加密、策略管理和访问控制、 支持网络功能,例如金丝雀部署、A/B 测试、负载平衡、故障恢复, 并增加对整个资产流量的可观察性。

2. 为什么选择 Istio?

Istio 在 2017 年推出时率先提出了基于 Sidecar 的服务网格概念。 该项目从一开始就包含了定义服务网格的功能,包括用于零信任网络的基于标准的双向 TLS、 智能流量路由以及通过指标、日志和链路追踪实现的可观察性。

从那时起,该项目推动了网格领域的进步, 包括多集群多网络拓扑、 通过 WebAssembly 实现可扩展性 Kubernetes Gateway API 的开发, 以及使用 Ambient 模式将网格基础设施从应用程序开发人员手中移开。

以下是我们认为您应该使用 Istio 作为服务网格的几个原因。

2.1 简单而强大

Kubernetes 有数百种功能和数十种 API,但您只需一个命令即可开始使用它。 我们构建 Istio 的方式也一样。渐进式公开意味着您可以使用一小部分 API, 并且仅在需要时才使用更强大的功能。其他“简单”服务网格花了数年时间才赶上 Istio 在第一天就拥有的功能集。

拥有一个功能而不需要它比需要而没有这项功能更加美好!

2.2 Envoy 代理

从一开始,Istio 就由 Envoy 代理提供支持, 这是一个最初由 Lyft 构建的高性能服务代理。Istio 是第一个采用 Envoy 的项目, Istio 团队是第一批外部提交者。 Envoy 后来成为为 Google Cloud 提供支持的负载均衡器以及几乎所有其他服务网格平台的代理。

Istio 继承了 Envoy 的所有功能和灵活性,包括使用 Istio 团队在 Envoy 中开发的实现世界级可扩展性。

2.3 社区

Istio 是一个真正的社区项目。2023 年, 有 10 家公司为 Istio 做出了超过 1,000 项贡献,并没有一家公司的贡献超过 25%。 (在此处查看数字)。

没有其他服务网格项目像 Istio 一样获得业界如此广泛的支持。

2.4 我有 CNI。为什么我需要 Istio?

如今,一些 CNI 插件开始以附加组件的形式提供类似服务网格的功能, 这些附加组件位于其自己的 CNI 实现之上。例如, 它们可以为节点或 Pod 之间的流量、工作负载身份实现自己的加密方案, 或者通过将流量重定向到 L7 代理来支持一定数量的传输级策略。 这些服务网格附加组件是非标准的,因此只能在搭载它们的 CNI 之上工作。 它们还提供不同的功能集。例如,在 Wireguard 之上构建的解决方案无法符合 FIPS 标准。

为此,Istio 实现了零信任隧道(ztunnel)组件,该组件使用成熟的行业标准加密协议透明高效地提供此功能。 了解有关 ztunnel 的更多信息。

Istio 旨在成为一个服务网格,它提供一致、高度安全、高效且符合标准的服务网格实现, 提供一组强大的 L7 策略、 与平台无关的工作负载身份, 使用业界验证的 mTLS 协议 - 在任何环境、任何 CNI,甚至跨具有不同 CNI 的集群。

3. Istio 的主要组件

  • Envoy:作为 Sidecar 代理,负责处理服务间的流量。
  • Pilot:提供服务发现和流量管理功能。
  • Citadel:负责安全性和身份认证。
  • Galley:处理配置管理。
  • Mixer:提供策略和遥测数据收集。
    在这里插入图片描述

实战案例:使用 Istio 实现金丝雀发布

1. 环境准备

首先,确保你已经安装了 Kubernetes 集群(如果不会搭建K8s集群的朋友,请到右上角专栏选择k8s集群搭建相关文章进行搭建)并部署了 Istio。可以通过以下命令安装 Istio

curl -L https://istio.io/downloadIstio | sh -
cd istio-<version>
export PATH=$PWD/bin:$PATH
istioctl install --set profile=demo -y

2. 部署示例应用

我们将部署一个简单的微服务应用,包含两个版本(v1 和 v2)。使用以下 YAML 文件部署应用:

apiVersion: apps/v1
kind: Deployment
metadata:
  name: myapp-v1
spec:
  replicas: 1
  selector:
    matchLabels:
      app: myapp
      version: v1
  template:
    metadata:
      labels:
        app: myapp
        version: v1
    spec:
      containers:
      - name: myapp
        image: myapp:v1
        ports:
        - containerPort: 8080
---
apiVersion: apps/v1
kind: Deployment
metadata:
  name: myapp-v2
spec:
  replicas: 1
  selector:
    matchLabels:
      app: myapp
      version: v2
  template:
    metadata:
      labels:
        app: myapp
        version: v2
    spec:
      containers:
      - name: myapp
        image: myapp:v2
        ports:
        - containerPort: 8080
---
apiVersion: v1
kind: Service
metadata:
  name: myapp-service
spec:
  selector:
    app: myapp
  ports:
  - protocol: TCP
    port: 80
    targetPort: 8080

3. 配置 Istio 路由规则

为了实现金丝雀发布,我们需要配置 Istio 的路由规则,将部分流量引导到新版本(v2)。使用以下 YAML 文件创建路由规则:

apiVersion: networking.istio.io/v1alpha3
kind: VirtualService
metadata:
  name: myapp-vs
spec:
  hosts:
  - myapp-service
  http:
  - route:
    - destination:
        host: myapp-service
        subset: v1
      weight: 90
    - destination:
        host: myapp-service
        subset: v2
      weight: 10
---
apiVersion: networking.istio.io/v1alpha3
kind: DestinationRule
metadata:
  name: myapp-dr
spec:
  host: myapp-service
  subsets:
  - name: v1
    labels:
      version: v1
  - name: v2
    labels:
      version: v2

4. 验证金丝雀发布

通过访问 myapp-service,你可以观察到大约 90% 的流量被路由到 v1 版本,10% 的流量被路由到 v2 版本。如果 v2 版本表现良好,可以逐步增加其权重,最终完成版本升级。

结论

通过本文的实战案例,我们展示了如何使用 Istio 实现金丝雀发布,简化微服务管理,并提升应用的可靠性和安全性。服务网格作为 Kubernetes 生态的重要组成部分,正逐渐成为现代应用架构的标配。希望本文能为你提供有价值的参考,帮助你在实际项目中更好地应用 Istio

月下独码
关注
专栏目录
Istio 灰度发布实战
悦分享
01-30 158
当应用上线以后,运维面临的一大挑战是如何能够在不影响已上线业务的情况下进行升级。做过产品的同学都清楚,不管在发布前做过多么完备的自动化和人工测试,在发布后都会出现或多或少的故障。根据墨菲定律,可能会出错的版本发布一定会出错。因此我们不能寄希望于在线下测试时发现所有潜在故障。在无法百分百避免版本升级故障的情况下,需要通过一种方式进行可控的版本发布,把故障影响控制在可以接受的范围内,并可以快速回退。
Istio在微服务中释放服务网格的力量
最新发布
07-09 722
本文深入探讨了 Istio 的本质,说明了它在基于 Kubernetes (KIND) 的环境中的关键作用,并指导您完成基于 Helm 的安装过程,确保全面了解 Istio 的功能及其对微服务架构的影响。Kubernetes Services 提供基本的负载均衡和服务发现,而 Istio 提供高级流量管理(如金丝雀部署和断路器)、安全的服务服务通信(使用双向 TLS)和详细的可观测性(跟踪、监控和日志记录)。在微服务生态系统中,每个服务可能使用不同的编程语言开发,具有不同的版本,并且需要独特的通信协议。
《微服务治理》服务网格-Istio实战
王大阳的博客
04-17 1845
Istio的安装与部署 参考:https://github.com/AliyunContainerService/k8s-for-docker-desktop curl -L https://istio.io/downloadIstio | sh - 配置环境变量 source .bash_profile 安装 Istio yang@192 ~$ istioctl manifest apply --set profile=demo This will install the Istio 1.13.2
云原生Istio案例实战
赵广陆
05-03 1729
目录 1 Istio监控功能 1.1 prometheus和grafana 1.2 访问prometheus 1.3 访问grafana 2 项目案例:bookinfo 2.1 理解什么是bookinfo 2.2 sidecar自动注入到微服务 2.3 启动bookinfo 2.4 通过ingress方式访问 2.5 通过istio的ingressgateway访问 2.5.1 确定 Ingress 的 IP 和端口 2.6 流量管理 2.6.1 放开bookinfo自定义路由权限 2.6.2 基于版本方式
istio 实战 三 智能路由
xiliangMa的博客
08-15 1561
istio 实战 三 请求路由配置 简介 上文介绍到 istio bookinfo,浏览器访问 product 服务,界面五角星颜色发生变化, 这是通过service 访问 details、reviews 服务以及不同的版实现。 如何通过istio智能路由访问details、review是服务的某个版本,使用 Bookinfo 示例应用,演示运行中的应用进行请求路由的动态配置以及故障注入的方法。 ...
Istio实战——什么是Istio
my_live_123
08-06 375
文章目录1. 什么是 Istio?2. 什么是服务网格?3. 为什么使用 Istio?5. Istio的框架图 1. 什么是 Istio? Istio 有助于减少部署的复杂性,并减轻开发团队的压力。部署的复杂性,主要是微服务的增加所带来的。开发团队的什么压力呢?主要是传统的业务开发有时候不得不关注基础的监控,日志,跟踪等遥测能力,而让业务开发变得复杂。服务网格可以把这些东西剥离出来并下沉成框架能力。 它是一个平台,具有很强的扩展性,集成不同的日志、遥测或策略系统。具有多样特性,对外提供统一的方式来保护(安
服务网格技术探讨:Istio与Linkerd实战对比与选择指南
[服务网格技术探讨:Istio与Linkerd实战对比与选择指南](https://intellipaat.com/blog/wp-content/uploads/2023/02/image-264.png) # 1. 服务网格技术概述 服务网格技术的出现,是微服务架构发展成熟后的必然产物...
istio入门与实战 pdf 下载_Istio实战指南 PDF 下载
weixin_39637179的博客
12-19 1902
资料目录:第 1章 服务网格 11.1 服务端架构的发展——从单体应用到微服务 11.1.1 单体应用 11.1.2 多层结构 31.1.3 面向服务的架构 41.1.4 微服务架构 51.2 微服务架构的痛点 61.3 服务网格的发展 71.3.1 耦合阶段 71.3.2 封装公用库 81.3.3 Sidecar模式 91.3.4 服务网格出现 111.4 什么是服务网格 121.4.1 基本概...
Kubernetes实战指南:从入门到精通,掌握Kubernetes集群管理
[Kubernetes实战指南:从入门到精通,掌握Kubernetes集群管理](https://img-blog.csdnimg.cn/img_convert/e13fc6c39bd3c3711fc21927e9b5a184.jpeg) # 1. Kubernetes基础 Kubernetes是一种开源容器编排系统,用于...
Istio服务网格实战指南:从入门到进阶
Istio Handbook》是一本详细介绍Istio服务网格的权威指南,它是在Kubernetes中文指南云原生应用架构实践手册的基础上,专为理解和服务网格的复杂性而编写的。Istio由Google、IBM和Lyft等公司共同发起,旨在解决...
Istio服务网格实战:架构、功能与安全深度解析
Istio服务网格实践指南学习笔记深入探讨了Istio架构,这是一个为现代微服务架构设计的全面服务网格解决方案。首先,Istio的核心优势在于其能够在虚拟机和容器环境中无缝运行,为服务提供统一的网络治理,无需对服务...
Istio实战(六)- Istio 部署
专注基础架构领域
10-25 271
Ingress再根据kiali-virtualservice.yaml的配置将流量转给kiali的service。其他命名空间下可能还有一些由服务网格创建的残余的sidecar.可以单独进行删除.这里就不一一演示了.kiali的service再将流量转给后端的ep,最后根据ep对应的pod进行响应。Ingress的svc将流量转给Ingress的pod的20001。此时只剩下了2个数据平面的gateway和控制平面的istiod。此时在主机的hosts中绑定kiali的域名,进程访问测试。
Istio实战(四)-非侵入的流量治理
专注基础架构领域
05-14 437
流量治理是一个非常宽泛的话题,例如: 动态修改服务间访问的负载均衡策略,比如根据某个请求特征做会话保持; 同一个服务有两个版本在线,将一部分流量切到某个版本上; 对服务进行保护,例如限制并发连接数、限制请求数、隔离故障服务实例等; 动态修改服务中的内容,或者模拟一个服务运行故障等。 在Istio中实现这些服务治理功能时无须修改任何应用的代码。较之微服务的SDK方式,Istio以一种更 轻便、透明的方式向用户提供了这些功能。用户可以用自己喜欢的任意语言和框架进行开发,专注于自己的业务,完全不用嵌入任何治理逻
Istio
xxwsc的博客
12-10 180
Istio 简介:Istio 提供一种简单的方式来为已部署的服务建立网络,该网络具有负载均衡、服务间认证、监控等功能,而不需要对服务的代码做任何改动。 一、流量管理 1、虚拟服务 虚拟服务在使Istio的流量管理变得灵活和强大方面发挥着关键作用。他们通过将客户从真正实现它们的目标工作负载中发送请求的位置之间去耦合,来实现这一点。虚拟服务还提供了一种丰富的方法,用于指定用于将流量发送到那些工作负载的不同流量路由规则。 如果没有虚拟服务,Envoy会使用循环负载平衡在所有服...
超详细教程,一文入门Istio架构原理及实战应用
lt_xiaodou的博客
09-02 1573
实际上Istio 就是 Service Mesh 架构的一种实现,服务之间的通信(比如这里的 Service A 访问 Service B)会通过代理(默认是 Envoy)来进行。而且中间的网络协议支持 HTTP/1.1,HTTP/2,gRPC 或者 TCP,可以说覆盖了主流的通信协议。代理这一层,称之为数据平面。Pilot:为 Envoy 提供了服务发现,流量管理和智能路由(AB 测试、金丝雀发布等),以及错误处理(超时、重试、熔断)功能。
AI系统Istio原理与代码实战案例讲解
AI天才研究院
06-03 676
背景介绍 Istio 是一个由 Google、IBM、Red Hat 等公司共同开发的开源服务网格(Service Mesh)基础设施,它旨在解决在云原生环境中进行微服务部署和管理时遇到的各种挑战。Istio 通过提供一组通用的基础设施功能来简化微服务部署的复杂性,使得开发者能够更专注于构建高质量、可靠的应用程序。
自动化金丝雀部署之Flagger集成Istio-原理和基本实战
weixin_42335634的博客
03-21 1971
Flagger是一种渐进式交付工具,会在流量迁移时分析测量指标和运行测试任务降低发版风险,仅可以发布运行在Kubernetes的应用。流量路由:Flagger采用服务网格或Ingress实现,服务网格包括:App Mesh、Istio、Linkerd、Kuma、Open Service Mesh,Ingress包括:Contour、Gloo、NGINX、Skipper、 Traefik、APISIX发布分析和报警。
评论 9
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

月下独码

你的打赏是我精心创作的动力!

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值