Istio注入SideCar原理

于 2023-05-03 13:14:15 发布
阅读量845 收藏
点赞数
文章标签: istio dubbo java 云原生 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_47495420/article/details/130479399
版权

简介

Istio提供一种简单的方式来建立已部署的服务的网络,具备负载均衡,服务到服务认证,监控等等功能,而不需要改动任何服务代码。

简单的说,有了Istio,你的服务就不再需要任何微服务开发框架(典型如Spring Cloud,Dubbo),也不再需要自己动手实现各种复杂的服务治理的功能(很多是Spring Cloud和Dubbo也不能提供的,需要自己动手)。只要服务的客户端和服务器可以进行简单的直接网络访问,就可以通过将网络层委托给Istio,从而获得一系列的完备功能。

可以近似的理解为:Istio = 微服务框架 + 服务治理

这里主要讲解使用istio时,一些sidecar容器的注入原理

sidecar

stio 服务网格目前所需的容器有:
istio-init 用于设置 iptables 规则,以便将入站/出站流量通过 Sidecar 代理。
istio-proxy 这个容器是真正的 Sidecar 代理(基于 Envoy)

向 pod 中注入 Istio Sidecar 的两种方法:

  1. 使用 istioctl 手动注入

  2. 启用 pod 所属命名空间的 Istio Sidecar 注入器自动注入。

这里只讲解自动注入的情况

使用配置

如果想把一个服务纳入 Istio 的网格中,需要在 pod 中注入 Sidecar 进行流量的劫持处理,通用的做法就是在 namespace 上打上 istio-injection=enabled 标签,这样只要在此 namespace 下创建或重启 pod 都会导致 pod 被注入 Sidecar,当然为了不让指定 pod 注入 Sidecar,可以在 pod 的 annotations 里加上 sidecar.istio.io/inject: "false" 。

webhook

Kubernetes 提供了自定义资源类型和自定义控制器来扩展功能,还提供了动态准入控制 Webhook,其实这个动态准入控制就是一个回调,Kubernetes 通过 Webhook 来实现准入控制,分为两种:验证性质的准入 Webhook (Validating Admission Webhook) 和修改性质的准入 Webhook (Mutating Admission Webhook)。
在 Istio 的配置里可以看到回调的 url 路径 /inject,Istio 主要使用的是 Mutating Admission Webhook,在资源持久化到 ETCD 之前进行资源的修改,增加 Init Container 和 Sidecar Container。但是 Istio 在进行资源修改前,需要满足一些条件,这些条件可以通过配置进行修改。

apiVersion: admissionregistration.k8s.io/v1beta1
kind: MutatingWebhookConfiguration
metadata:
  name: istio-sidecar-injector
webhooks:
  - name: sidecar-injector.istio.io
    clientConfig:
      service:
        name: istio-sidecar-injector
        namespace: istio-system
        path: "/inject"
      caBundle: ${CA_BUNDLE}
    rules:
      - operations: [ "CREATE" ]
        apiGroups: [""]
        apiVersions: ["v1"]
        resources: ["pods"]
    namespaceSelector:
      matchLabels:
        istio-injection: enabled

通过配置我们看到, namespaceSelector 会去 match 标签为 istio-injection: enabled 的 namespace,并且根据请求规则,去匹配所有 pod 的创建 CREATE 请求。当 apiserver 收到一个符合规则的请求时,apiserver 会给 Webhook 服务发送一个通过审核的请求,Istio 中的这个 Webhook 服务是 Istiod 的 service,请求地址为 /inject。从代码 /pkg/kube/inject/webhook.go,中我们查看 Istio 是如何处理自动注入的,在 Discovery Server 中注册了两个用来处理自动注入的请求 handler, p.Mux.HandleFunc ("/inject", wh.serveInject) 、 p.Mux.HandleFun

最低0.47元/天 解锁文章
萌兰三太子
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
helm安装istio_Istio 庖丁解牛二:sidecar injector
weixin_28876083的博客
01-06 840
作者: 钟华,腾讯云容器团队高级工程师,热衷于容器、微服务、service mesh、istio、devops 等领域技术。今天我们分析下 istio-sidecar-injector 组件:用户空间的Pod要想加入mesh, 首先需要注入sidecar 容器, istio 提供了2种方式实现注入:自动注入: 利用Kubernetes Dynamic Admission Webhook...
Istio-sidecar注入原理
a1023934860的博客
10-18 577
Istio的一个亮点就是为每个应用自动添加代理程序,并且采用无代码侵入的方式,这样的好处是,代理与应用进行解耦。
istio sidecar流量接管_Istio 架构
weixin_36369848的博客
01-17 277
Istio 服务网格被逻辑的区分为数据层和控制层。数据层由一套作为 sidecars部署的智能代理(Envoy)组成,用于调节和控制微服务之间通信的所有流量。控制层负责管理和配置策略用于路由流量,同时也在运行期执行策略。下图展示了组成每层的不同组件。 SideCar解释 Sidecar 这个词中文翻译为边车,或者车斗,也有一个乡土气息浓重的翻译叫做边三轮。Sidecar 这个东西出现的时间挺长的,...
istio学习笔记2:边车模式sidecar
Koikoi12的博客
12-21 3155
Sidecar 是什么 将本将属于应用程序的功能拆分成单独的进程,这个进程可以被理解为sidecar。在微服务体系内,将集成在应用内的微服务功能剥离到了sidecar内,sidecar提供了微服务发现、注册,服务调用,应用认证,限速等功能。 简单来说,Sidecar 注入会将额外容器的配置添加到 Pod 模板中。 特点: sidecar为独立部署的进程。 sidecar降低应用程序代码和底层代码的耦合度,帮助异构服务通过sidecar快速接入微服务体系。 而Envoy代理扮演的就是 Sidecar 的
Istio是个啥?看完此文彻底搞懂(赠书)
民工哥的博客
04-26 1379
「点击图片获取最近两年爆款好文」1、什么是Istio当前我们已经完成从单体的应用程序向微服务架构的转型,未来还可能会面临更多的分布式场景需求。以往只需要运行好一个单体的应用,现在却面...
Istio自动注入sidecar不成功解决方案.docx
10-26
Istio自动注入sidecar不成功解决方案 Istio 是一个基于Service Mesh架构的微服务管理平台,它提供了自动注入sidecar的功能,以便在Kubernetes集群中快速部署和管理微服务。然而,在实际应用中,Istio自动注入side...
proxy-istio-demo:主要描述 istio中sidecar的工作流程方便如何理解istio
04-08
该项目主要是模拟 从应用程序容器到Sidecar代理的流量 基本的实现原理 测试 $ curl localhost:8080 -vv -w "\n timeout ---> %{time_total} \n" * Trying ::1... * TCP_NODELAY set * Connected to localhost (::...
dev-sidecar.exe
09-04
可以在github 免费下载源码 非常好用 亲测有效
k8s-sidecar-injector:Kubernetes边车注入服务
02-03
为了解决这个问题,我们编写了k8s-sidecar-injector 。 这是一个小型服务,它在每个Kubernetes集群中运行,并通过webhooks监听Kubernetes API。 对于每个吊舱创建,注入程序都会获得一个(变异入场)webhook,询问...
htmp-sidecar_sidecar_
09-29
这是关于python连接java语言服务sidecar配置文件
ServiceMash服务网格--理解lstio/envoy
网络安全研究
10-10 1423
1. 概述 1.1 服务网格简介 在某些方面,服务网格类似于TCP/IP。正如TCP协议栈抽象了在网络端点之间可靠地传递字节的机制一样,服务网格抽象了在服务之间可靠地传递请求的机制。 与TCP一样,服务网格不关心实际有效负载或其编码方式,只负责完成从服务A发送到服务B,并且在处理任何故障的同时实现这一目标。 1.2 服务代理 在云原生应用程序中,保证请求具备完整的可靠性并非易事。服务网络通过各种强大的技术来管理这种复杂性,支持熔断、延迟感知的负载均衡、最终一致性的服务发现、重试与超时等机制来尽可能保证可靠性
Istio 核心组件的作用了解
吴振照
01-14 1864
Proxy[Envoy]:   Proxy在Istio架构中必须要有,Envoy是由Lyft开发并开源,使用C++编写的高性能代理,负责在服务网格中服务的进出流量。Istio使用Envoy代理的扩展版本。Envoy是用c++开发的高性能代理,用于协调服务网格中所有服务的所有入站和出站流量。Envoy代理是唯一与数据平面通信交互的Istio组件。Envoy代理被部署为服务的sidecars...
Istio1.12.1 Sidecar注入配置
专注基础架构领域
10-08 831
如果两个标签都未设置,不会注入Pod,例如我们新建一个namespace不加任何标签,然后在此namespace下新建一个Pod也不加任何标签,发现创建出来的Pod只有一个容器,由此可以得出默认情况下如果两个标签都未设置,不会注入Pod,此例子比较简单本文就不再测试。查看被注入的 Pod 的细节。机制来限定需要启动自动注入的范围,也可以通过注解的方式针对每个 pod 来单独启用和禁用自动注入功能。机制在 pod 创建的时候将 sidecar 的容器和卷添加到每个 pod 的模版里。通过在 pod 上配置。
部署Istio,应用接入Istio(Sidecar注入
小楼一夜听春雨,深巷明朝卖杏花
07-12 1926
查看配置文件的名称,生产环境建议使用default,基本上核心功能都有,minimal是以最小版本去部署的,demo功能多一点,比default多一点。我们这里使用default进行部署安装。下面是查看有哪些配置文件的名称。 在install不指定profile那么默认就是使用default。安装的时候后面可以添加--set-profile=default -y部署完查看结果,部署了两个pod,一个istiod,也就是它的控制平面,ingressgateway是用来接受网格流量的,就类似于nginx-i
12-【istio】-【流量管理】-【流量管理原理istio Sidecar的两种注入方式、注入原理
qq_42303254的博客
02-16 3350
一、Sidecar的两种注入方式 (1)注入Envoy Sidecar代理的方式有两种: 手动注入 自动注入 (2)参考文章: 二、istio Sidecar 注入示例_机器重启员的博客-CSDN博客 Istio使用【sidecar注入】_Happywzy~的博客-CSDN博客_istio sidecar 二、Sidecar的注入原理 1.深入Istio:Sidecar自动注入如何实现的? - luozhiyun`s Blog ...
istio-边车模式(sidecar)
mosaic&Bernie
03-15 833
将本将属于应用程序的功能拆分成单独的进程,这个进程可以被理解为sidecar。在微服务体系中,将集成在应用内的微服务功能剥离到了sidecar内,sidecar提供了微服务发现、注册、服务调用、应用认证、限速等功能。一、边车模式:将服务治理功能从应用本身剥离出来作为单独进程,与主应用程序共同放在一台主机(host)中,但会将他们部署在各自的进程或容器中,这种方式。在运行时环境和编程语言方面,sidecar独立于其主要应用程序,不需要为每个微服务编写服务治理能力的代码,减少了微服务架构的代码的重复。
istio-禁用/允许sidecar设置
kozazyh的专栏
08-05 5804
一、在namespace设置自动注入: 给 default 命名空间设置标签:istio-injection=enabled: $ kubectl label namespace default istio-injection=enabled $ kubectl get namespace -L istio-injection NAME           STATUS    AGE    ...
isito的相关组件和工作机制概述
进化的深山猿
04-21 1227
2.1 istio的工作机制 istio架构分为控制面和数据面两部分。 控制面:包括pilot、mixer、citadel等组件 数据面:由伴随每个应用程序部署的代理程序envoy组成,执行针对应用程序的治理逻辑 从fronted服务访问forecast服务来看istio内部的组件都做了什么 如图 : 1)sidecar自动创建与注入:创建应用程序时自动注入sidecar代理。在k8s场景下创建Pod时,在创建业务容器的同时会创建sideCar容器,然后kube-apiserver调用管理面组件的sid
Istio 1.11.2 底层自动注入流程
baobaoxiannv的博客
02-08 1457
自动注入流程 简单说下 正式开始之前简单说一下 webhook,这样对以下理解更方便一些。 准入控制器也就是 webhook 会拦截 API Server 收到的请求,拦截发生在认证和鉴权完成之后,对象进行持久化之前(这个时候可以修改 pod 模版完成自动注入)。可以定义两种类型的 webhook: Mutating 和 Validating Mutating 修改资源,可以对请求内容进行修改 Validating 验证资源,根据请求的内容判断是继续执行该请求还是拒绝该请求 实现流程 pkg/kub
k8s中的sidecar
最新发布
09-14
在Kubernetes中,Sidecar是一种部署模式,通过在同一个Pod中运行一个或多个辅助容器来扩展和增强主应用程序的功能。Sidecar容器与主应用程序容器共享相同的网络和存储空间,并通过共享环境变量和文件系统来实现通信...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值