istio 理解1

最新推荐文章于 2022-07-27 19:29:44 发布
最新推荐文章于 2022-07-27 19:29:44 发布
阅读量483 收藏
点赞数
文章标签: kubernetes
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lingqiao023/article/details/106265347
版权

Istio 中负责流量管理的核心组件是:

  1. 控制平面的 Pilot:负责管理 Service Mesh 中的所有 Envoy 实例,制定服 务的规范模型,分配路由规则。
  2. 数据平面的 Envoy:负责路由、负载均衡和上报遥测信息。

检查下当前 Service Mesh(注入到pod中的envoy 代理)

$ istioctl proxy-status
NAME                                                   CDS        LDS        EDS        RDS          PILOT                      VERSION
details-v1-6fc55d65c9-glms5.istio-test                 SYNCED     SYNCED     SYNCED     SYNCED       istiod-774777b79-b6qg5     1.5.2
istio-egressgateway-557dcf8d8-7v48g.istio-system       SYNCED     SYNCED     SYNCED     NOT SENT     istiod-774777b79-b6qg5     1.5.2
istio-ingressgateway-6489d9556d-dnx6m.istio-system     SYNCED     SYNCED     SYNCED     SYNCED       istiod-774777b79-b6qg5     1.5.2
nginx-649b6985f8-nwfxv.default                         SYNCED     SYNCED     SYNCED     SYNCED       istiod-774777b79-b6qg5     1.5.2
nginx-649b6985f8-q4v78.default                         SYNCED     SYNCED     SYNCED     SYNCED       istiod-774777b79-b6qg5     1.5.2
nginx-649b6985f8-x87tm.default                         SYNCED     SYNCED     SYNCED     SYNCED       istiod-774777b79-b6qg5     1.5.2
productpage-v1-7f44c4d57c-8g2qw.istio-test             SYNCED     SYNCED     SYNCED     SYNCED       istiod-774777b79-b6qg5     1.5.2
prometheus-dfd976959-w9jkl.istio-system                SYNCED     SYNCED     SYNCED     SYNCED       istiod-774777b79-b6qg5     1.5.2
ratings-v1-6f855c5fff-ztvh7.istio-test                 SYNCED     SYNCED     SYNCED     SYNCED       istiod-774777b79-b6qg5     1.5.2
reviews-v1-54b8794ddf-llk45.istio-test                 SYNCED     SYNCED     SYNCED     SYNCED       istiod-774777b79-b6qg5     1.5.2
reviews-v2-c4d6568f9-jx8pn.istio-test                  SYNCED     SYNCED     SYNCED     SYNCED       istiod-774777b79-b6qg5     1.5.2
reviews-v3-7f66977689-qnnvw.istio-test                 SYNCED     SYNCED     SYNCED     SYNCED       istiod-774777b79-b6qg5     1.5.2

Istio 创建的所有的 Kubernetes CRD(自定义资源类型)根据 API 的域名看到所有的 CRD 分为四类:
config:配置分发与遥测

$ kubectl get customresourcedefinition|grep istio.io|grep config
adapters.config.istio.io                   2020-05-06T06:14:27Z
attributemanifests.config.istio.io         2020-05-06T06:14:27Z
clusterrbacconfigs.rbac.istio.io           2020-05-06T06:14:27Z
handlers.config.istio.io                   2020-05-06T06:14:27Z
httpapispecbindings.config.istio.io        2020-05-06T06:14:27Z
httpapispecs.config.istio.io               2020-05-06T06:14:28Z
instances.config.istio.io                  2020-05-06T06:14:28Z
quotaspecbindings.config.istio.io          2020-05-06T06:14:29Z
quotaspecs.config.istio.io                 2020-05-06T06:14:29Z
rbacconfigs.rbac.istio.io                  2020-05-06T06:14:29Z
rules.config.istio.io                      2020-05-06T06:14:29Z
templates.config.istio.io                  2020-05-06T06:14:29Z

authentication:策略管控

$ kubectl get customresourcedefinition|grep istio.io|grep authentication
meshpolicies.authentication.istio.io       2020-05-06T06:14:28Z
peerauthentications.security.istio.io      2020-05-06T06:14:28Z
policies.authentication.istio.io           2020-05-06T06:14:28Z
requestauthentications.security.istio.io   2020-05-06T06:14:29Z

rbac:基于角色的访问控制

$ kubectl get customresourcedefinition|grep istio.io|grep rbac
clusterrbacconfigs.rbac.istio.io           2020-05-06T06:14:27Z
rbacconfigs.rbac.istio.io                  2020-05-06T06:14:29Z
servicerolebindings.rbac.istio.io          2020-05-06T06:14:29Z
serviceroles.rbac.istio.io                 2020-05-06T06:14:29Z

networking:流量管理

$ kubectl get customresourcedefinition|grep istio.io|grep networking
destinationrules.networking.istio.io       2020-05-06T06:14:27Z
envoyfilters.networking.istio.io           2020-05-06T06:14:27Z
gateways.networking.istio.io               2020-05-06T06:14:27Z
serviceentries.networking.istio.io         2020-05-06T06:14:29Z
sidecars.networking.istio.io               2020-05-06T06:14:29Z
virtualservices.networking.istio.io        2020-05-06T06:14:30Z

查看 pod 中 Envoy sidecar 的启动配置信息

istioctl proxy-config bootstrap nginx-649b6985f8-nwfxv -o json -n default

1.确定isito ingress gateway service 的IP和端口,若自身环境未使用外部负载均衡器,需要通过 node port 访问

$ kubectl get svc istio-ingressgateway -n istio-system
$ export INGRESS_HOST=$(kubectl -n istio-system get service istio-ingressgateway -o jsonpath='{.status.loadBalancer.ingress[0].ip}')
$ export INGRESS_PORT=$(kubectl -n istio-system get service istio-ingressgateway -o jsonpath='{.spec.ports[?(@.name=="http2")].port}')
$ export SECURE_INGRESS_PORT=$(kubectl -n istio-system get service istio-ingressgateway -o jsonpath='{.spec.ports[?(@.name=="https")].port}')

2.增加gateway定义。

 - gateway定义中的selector会将该gateway设置与相应的ingressgateway pod(类似ingress pod)绑定。
 - gateway定义中的servers的port会在相应的ingressgateway pod中生成port相应的代理listener实例。
   监听端口80默认已经创建并且ingressgateway pod已默认暴露。ingressgateway pod对应的服务也需要注册相应的端口(80默认已注册)(若是非默认的监听端口需要配置打开)。
 - gateway定义中的hosts表示listener会向哪些特定的虚拟主机转发流量。

3.增加virtualservice定义。

 - virtualservice定义中的hosts与gateway中的hosts相对应,表示virtualservice可以注册到gateway的监听中,这个host会更新到ingressgateway pod路由表的虚拟主机条目中。
 - virtualservice定义中的gateways表示该规则就只会应用到声明的Gateway之中。
  (保留字mesh用来指代网格中的所有Sidecar。当这一字段被省略时,就会使用缺省值mesh)
 - virtualservice定义中的http定义了路由规则,路由规则会写入到相应gateway pod的路由表中。
毛毛鱼公鸡蛋
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Istio中的安全策略
JosephThatwho的博客
03-15 726
微服务带来灵活性、可伸缩性和复用性的同时,还需要考虑一下安全问题: 使用流量加密组织中间人攻击 提供灵活的访问控制,比如双向TLS加密和细粒度的访问策略 检索谁在什么时间做了什么操作,这需要审计工具 Istio可以处理内外部的威胁,给数据、端点、通信和平台提供安全性。 Istio提供了强身份认证、权限策略、传输TLS加密以及认证、授权和审计(AAA)工具。 上层架构 Istio的安全性涉及多个部分: 用于密钥和证书管理的证书颁发机构(CA) 配置API服务器分发给代理 认证策略 鉴权策略 安全命名
Istio 安全 mTLS认证 PeerAuthentication
最新发布
小楼一夜听春雨,深巷明朝卖杏花
08-01 1506
mTLS (mutual TLS,双向TLS): 让客户端和服务器端通信的时候都必须进行TLS认证默认情况下,在网格内部默认启用了mTLS了。在网格里面所有的pod, 不管是istio使用到的pod,还是普通创建的pod1 pod2,都会通过mtls来进行通信,也就是互相认证。上面其实就演示了网格之外的主机要和pod通信的时候必须得要建立这样一个mtls的通信。对于网格之外的主机,网格外面的主机和pod通信的时候并没有要求使用tls认证。STRICT:工作负载仅接受双向TLS通信。
安全保障基于软件全生命周期-Istio的认证机制
qiaotl的博客
07-27 1286
通过实际例子演示Istio中的认证工作原理(包括PeerAuthentication和RequestAuthentication)
牛客练习赛13 B 幸运数字Ⅱ 【暴力】【二分】
banshen0201的博客
03-16 4401
题目链接 https://www.nowcoder.com/acm/contest/70/B 思路 没有代码限制 先打表 打出 幸运数字的表 然后 二分查找 第一个 大于 r 的幸运数字 然后 往 L 那边 遍历 求和 AC代码 #include <cstdio> #include <cstring> #inclu...
Istio安全架构--理解身份/认证/授权
网络安全研究
04-08 2484
Istio 安全的目标是: - 默认安全:应用程序代码和基础设施无需更改 - 深度防御:与现有安全系统集成以提供多层防御 - 零信任网络:在不受信任的网络上构建安全解决方案
istio doc中文版1
08-03
Istio集成了分布式追踪、指标收集和日志记录功能,可以帮助开发者和运维人员更好地理解服务网格中的运行情况。 【社区与资源】 Service Mesh中国社区提供了中文文档、交流平台和Awesome Service Mesh资料清单,...
istio源码20221231
12-31
1. **Envoy代理**:Envoy是Istio的服务间通信代理,作为数据平面的一部分,部署在每个服务旁边。它负责处理服务间的请求,提供负载均衡、熔断、限流、重试和故障注入等功能。Envoy的源码实现了一种高效的网络过滤器...
istio网格大纲 pdf
09-21
Istio 是一个开源的服务网格平台,专门设计用于管理和保护微服务之间的通信。它提供了强大的流量管理、策略执行和可观察...通过深入理解并应用这些概念,开发者和运维人员能够更好地构建、部署和维护复杂的分布式系统。
Istio 服务网格进阶实战.pdf
12-26
Istio 服务网格进阶实战.pdf Istio 是一个Service Mesh的开源框架,来自Google,大部分使用Go语言来开发,是Service Mesh的集大成者。
istio-1.8.6-win.zip
05-17
1. **istioctl**:这是一个命令行工具,用于与Istio控制平面交互。你可以用它来安装Istio、配置服务路由、查看遥测数据等。在Windows环境下,确保将istioctl添加到PATH环境变量中,以便于在任何目录下运行。 2. **...
B-幸运数字II (打表+二分查找)
代码行
03-31 4564
时间限制:C/C++ 1秒,其他语言2秒 空间限制:C/C++ 262144K,其他语言524288K 64bit IO Format: %lld 题目描述  定义一个数字为幸运数字当且仅当它的所有数位都是4或者7。 比如说,47、744、4都是幸运数字而5、17、467都不是。 定义next(x)为大于等于x的第一个幸运数字。给定l,r,请求出next(l) + next(l + 1) + ...
起本地服务,让同事看
u012377866的博客
04-28 1683
本地起服务让别人访问 同一个ip和端口号 本地起服务 http-server 和live-server 是最简单最快的,node需要安装依赖包 ** http-server ** 端口号 也可以固定 加个 -p 就行譬如: http-server -p 8088 参数说明: -p 端口号 (默认 8080) -a IP 地址 (默认 0.0.0.0) -d 显示目录列表 (默认 'True...
codeforces535B:Tavas and SaDDas
ACM!荣耀之路!
04-16 7967
Once again Tavas started eating coffee mix without water! Keione told him that it smells awful, but he didn't stop doing that. That's why Keione told his smart friend, SaDDas to punish him! SaDDas too
正则表达式[\w]+,\w+,[\w+] 三者区别? [],[ABC]+,[\w./-]+ 表达什么?
热门推荐
哈里·雪利博客
01-15 10万+
正则表达式[\w]+,\w+,[\w+] 三者有何区别: [\w]+和\w+没有区别,都是匹配数字和字母下划线的多个字符; [\w+]表示匹配数字、字母、下划线和加号本身字符; [] 表示数组而非排列,即不按固定次序位置排列; 在[]内的字符可以任意次序出现。 [ABC]+ 可以匹配"AAABBBCCC,BBBAAACCC,BACCBACAACBAC,...",不是一定
istio学习(二) 使用JWT进行权限验证
文若书生的专栏
01-26 2151
文章目录前言1、生成JWK2、测试密钥可用性3、创建RequestAuthentication4、访问测试5、创建AuthorizationPolicy6、JAVA生成密钥 前言 参考:https://www.cnblogs.com/kirito-c/p/12464531.html 提示:以下是本篇文章正文内容,下面案例可供参考 1、生成JWK 在linux使用OPENSSL生成公钥和私钥 # 1. 生成 2048 位(不是 256 位)的 RSA 密钥 openssl genrsa -out rsa
[istio]istio学习笔记
小小李的博客
12-27 695
1.k8s部署,可以参考k8s部署 2.下载istio curl -L https://istio.io/downloadIstio | sh - 将istio的bin加入到环境变量 [root@master ~]# cat ~/.bash_profile |grep istio PATH=/home/yunwei/istio-1.5.1/bin:$PATH:$HOME/bin 3.安装istio istioctl manifest apply --set profile=demo .
mac上搭建istio环境
Mr_rain的专栏
07-27 833
本方介绍在mac通过helm部署istio的过程。
Istio安装
小船的专栏
09-15 1126
1、安装Istio自定义资源定义 kubectl apply -f install/kubernetes/helm/istio/templates/crds.yaml customresourcedefinition.apiextensions.k8s.io/virtualservices.networking.istio.io created customresourcedefinition....
Istio深度解析:服务网格入门与实战指南
章节3.2详细讲解了Istio的配置对象,如networking.istio.io用于网络配置,config.istio.io用于处理应用配置,authent1cat1on.istio.io涉及身份验证,rbac.istio.io则是角色基础的访问控制。这些配置项对于实际操作和...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值