2021年10月份发布了OSM 1.0 RC[1],在过去的几个月里,OSM 的贡献者一直在努力为 v1.0.0 版本的发布做准备。2022年2月1日,OSM 团队正式发布 1.0.0 版本[2]。OSM 从最初的发布到现在已经走了很长的路,团队继续专注于社区需要的关键和必要的功能。Open Service Mesh(OSM)是一个 轻量级、 可扩展的 Service Mesh 工具,旨在通过引入简单性和降低复杂性来管理和保护 K8s 集群内的 API。它基于 envoy Proxy 并将其作为 sidecar 容器注入到每个Observable应用程序中,该应用程序依次执行流量管理、路由策略、捕获指标等。
微软把Open Service Mesh 捐赠给云原生计算基金会(CNCF),以确保它由社区主导,并具有开放的治理,OSM目前还是 沙箱项目。
1.0 版本已经支持多集群和混合环境中运行 OSM。1.0版本中的一些新功能:
新的内部控制平面事件管理框架来处理对 Kubernetes 集群和策略的更改
拒绝/忽略无效 SMI TrafficTarget 资源的验证
改进控制平面内存利用率,OSM 现在可以根据内存使用情况自动缩放。
支持用于网状流量的 TCP 服务器优先协议。
appProtocol: tcp-server-first
除了在 Egress 策略中指定的服务之外,现在可以在网格中的服务端口上指定,以减少 MySQL 和 PostgreSQL 等协议的延迟。OSM 附带的 Grafana 仪表板更加准确和一致。
OSM 控制平面镜像现在是多架构的,支持 linux/amd64 和 linux/arm64。
自上次发布以来,osm
CLI 也有了一些改进。
osm support bug-report
除了网格内的 Pod 之外,收集日志和其他有助于调试的信息的命令现在可以从 OSM 的控制平面收集日志。对于在没有 Helm 的情况下管理 OSM 生命周期的用户,该
osm install
命令现在支持选择性地清理由控制平面创建的 CustomResourceDefinition、webhook 配置和资源以简化卸载。该
osm version
命令现在将显示安装在集群上的 OSM 版本以及 CLI 的版本。
查看我们最新更新的文档网站[3],了解更多关于特性、演示和架构的信息。
显著特性
Open Service Mesh 相对于Istio 来说,确实很轻量。SMI 处理了所有你期望的标准服务 Mesh 功能,包括使用 mTLS 确保服务之间的通信安全,管理访问控制策略,服务监控等。
为服务定义并执行细化的访问控制策略,基于 Service Mesh Interface (SMI) 的实现,主要包括
Traffic Access Control
,Traffic Specs
和Traffic Split 以及
Traffic Metrics
;通过启用相互 TLS (mTLS) 来保护服务与服务之间的通信 ;
定义和执行服务间的访问控制策略;
通过 Prometheus 和 Grafana 完成器观察性;
可与外部证书管理服务进行集成;
使用 Envoy 边车代理自动注入,将应用程序加入到 OSM 网格中;
上手体验
这里我使用 Rancher Desktop[4] 作为我本地的实验环境,来亲手试一试看了。
安装非常简单,参考文档 [5],直接去 Release 页面下载预编译好的二进制文件。可将二进制文件加入到 $PATH
中。
wget https://github.com/openservicemesh/osm/releases/download/v1.0.0/osm-v1.0.0-windows-amd64.zip -o osm.zip
unzip osm.zip
osm.exe version
下面的命令显示了如何在 Kubernetes 集群上安装 OSM。此命令启用 Prometheus、 Grafana和 Jaeger集成。文件中的osm.enablePermissiveTrafficPolicy
chart 参数values.yaml
指示 OSM 忽略任何策略,让流量在 Pod 之间自由流动。在 OSM 中的宽松流量策略模式下,系统会绕过 SMI 流量策略强制执行。在此模式下,OSM 会自动发现属于服务网格一部分的服务,并在每个 Envoy 代理挎斗上对流量策略规则进行编程,以便能够与这些服务通信。
osm install --mesh-name "osm-system" --osm-namespace "osm" --set=osm.enablePermissiveTrafficPolicy=true --set=osm.deployPrometheus=true --set=osm.deployGrafana=true --set=osm.deployJaeger=true
可以看到默认安装完成后,都在 osm-system
命名空间下有6个pod:
上图是使用k8slens :https://k8slens.dev/ ,这里简要介绍一下lens:(Lens
就是一个强大的 IDE,可以实时查看集群状态,实时查看日志流,方便排查故障。有了 Lens
,你可以更方便快捷地使用你的集群,从根本上提高工作效率和业务迭代速度。Lens
可以管理多集群,它使用内置的 kubectl
通过 kubeconfig 来访问集群,支持本地集群和外部集群(如EKS、AKS、GKE、Pharos、UCP、Rancher 等),甚至连 Openshift 也支持。)
osm-controller:osm控制器
osm-grafana:Dashboard 相关,可通过
osm dashboard
命令唤起;osm-prometheus:采集 metrics ;
osm-injector:注入程序
osm-bootstrap:启动
jaeger :链路追踪
检查 OSM 控制器Deployment、Pod 和svc
kubectl get deployment,pod,service -n osm --selector app=osm-controller
正常运行的 OSM 控制器将如下所示:
检查 OSM 注入程序Deployment、Pod 和服务
kubectl get deployment,pod,service -n osm --selector app=osm-injector
正常运行的 OSM 注入程序将如下所示:
检查 OSM 启动 Deployment、Pod 和服务
kubectl get deployment,pod,service -n osm --selector app=osm-bootstrap
检查验证 Webhook 和改变 Webhook
kubectl get ValidatingWebhookConfiguration --selector app=osm-controller
正常运行的 OSM 验证 Webhook 将如下所示:
检查改变 Webhook 的服务和 CA 捆绑包
kubectl get ValidatingWebhookConfiguration osm-validator-mesh-osm-system -o json | jq '.webhooks[0].clientConfig.service'
正确配置的改变 Webhook 配置将如下所示:
{
"name": "osm-validator",
"namespace": "osm",
"path": "/validate",
"port": 9093
}
检查 osm-mesh-config
资源
检查该 ConfigMap 是否存在:kubectl get meshconfig