为什么K8s需要服务网格Istio?

最新推荐文章于 2024-05-14 21:53:38 发布
最新推荐文章于 2024-05-14 21:53:38 发布
阅读量1.2k 收藏 14
点赞数 24
分类专栏: 云原生 文章标签: kubernetes istio 容器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sinat_32582203/article/details/137552314
版权

什么是Kubernetes服务网格

Kubernetes服务网格是一种工具,用于在平台级别而非应用级别为应用程序注入可观测性、可靠性和安全性功能。Kubernetes和微服务的兴起推动了人们对这项技术的兴趣,许多组织都采用了Kubernetes服务网格解决方案。

微服务架构高度依赖于网络,而服务网格可以管理应用程序服务之间的流量。虽然也有其他管理网络流量的方法,但这些方法需要手动执行易错的任务,会给DevOps团队带来了更多的操作负担,而服务网格则避免了这种劣势。

Kubernetes服务网格通常会被实现为一组网络代理,这些代理作为边车(sidecar)容器与应用程序容器部署在同一pod中。边车代理作为服务网格功能的入口点,管理容器化微服务之间的通信。Kubernetes服务网格包括控制平面和数据平面,其中数据平面就是由代理组成的。

服务网格架构和Kubernetes随着云原生应用的兴起而出现,一个应用程序可能由数百个容器化服务组成,而每个服务可能有数千个实例。这些实例会迅速变化,需要动态调度,这正是Kubernetes所擅长的。

什么是Istio

Istio是一种服务网格技术,管理基于容器或虚拟机工作负载之间的服务交互,它允许开发人员无论使用何种供应商或平台,都能安全地连接、运行、控制和监控分布式微服务架构。

Istio是开源且独立的,因此它可以在任何平台上使用,但是当与Kubernetes结合时,会发生最奇妙的化学反应。将两者结合使用,可以在网络和应用层面确保服务间和Pod间的通信安全。

与Istio集成扩展了容器编排软件的功能,Kubernetes可以处理微服务等多容器工作负载,但不具备故障处理和流量管理等功能,而Istio弥补了这一短板,可以创建了更高效、更可靠的系统。

在Kubernetes中使用Istio的好处

Istio使组织能够大规模地交付去中心化应用,它有助于简化网络操作,如服务间流量管理、加密、授权、故障排除和审计。

除了纯Kubernetes提供的功能外,Istio还提供了以下能力:

  • 云原生应用安全,可以专注于应用级别的安全,利用强大的基于身份的授权、身份验证和加密。
  • 高效的流量管理,通过使用丰富的路由规则、故障转移、重试和错误注入,实现对流量和网络行为的精细控制。在生产后测试中,Chaos Monkey集成能够让SRE注入故障和延迟,以提高系统的韧性。
  • 服务网格监控,Istio提供了服务级别的可观测性,以便运维人员能够跟踪、监控和排查问题。没有低细粒度的细节,瓶颈问题可能需要很长时间才能定位解决。服务网格使得禁用故障服务或副本以及维护API响应变得更加容易。
  • 轻松部署,在Kubernetes中部署Istio变得非常容易。
  • 简化的负载均衡,高级功能可以自动执行负载均衡,提供基于客户端的路由,并支持金丝雀部署。
  • 策略执行,Istio通过其配置API和策略层来支持访问控制、配额和速率限制等策略的执行。

Istio 的工作原理

以下是 Istio 核心功能的概述。

  • 流量管理

Istio 的流量管理 API 可以在细粒度级别管理服务网格的流量。你可以使用这个 API 添加流量配置,并使用 Kubernetes 自定义资源(CRDs)定义 API 资源。用于控制流量路由的主要 API 资源包括目标规则和虚拟服务。

目标规则有助于控制到特定目标的流量,例如,根据版本对服务实例进行分类。虚拟服务允许你配置 Istio 服务网格中服务的请求路由,它们由一个或多个按顺序评估的路由规则组成。在评估虚拟服务的路由规则后,即可以应用目标规则。

  • 安全性

Istio 的安全性要求为每个服务分配一个强大的身份。Envoy 代理与 Istio 代理一起运行,使用 istiod 自动轮换证书和密钥。

Istio 提供了两种身份验证选项:请求身份验证和对等身份验证。请求身份验证允许最终用户进行身份验证,Istio 通过 JSON Web Tokens (JWTs) 和自定义或基于 OIDC 的身份验证程序进行验证。对等身份验证允许服务之间进行身份验证,Istio 提供了一个完整的双向 TLS 解决方案。

Istio 允许你通过应用授权策略来控制对服务的访问。授权策略通过 Envoy 代理对入站流量执行访问控制。它们允许你在不同级别上强制执行访问控制,例如在整个网格级别、命名空间级别或服务级别。

  • 可观测性

Istio 为所有服务网格通信提供细粒度的遥测数据,包括指标、访问日志和链路跟踪。Istio 可以生成详细的代理级别、面向服务的和控制平面的指标。

Istio 还通过 Envoy 代理创建分布式链路跟踪。它支持多种跟踪机制,如 Zipkin、Lightstep、Datadog 和 Jaeger。你可以控制跟踪生成的采样率。此外,Istio 还以可配置格式提供服务流量访问日志。

洒满阳光的午后
关注
  • 24
    点赞
  • 14
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
K8S Istio 服务网格进阶实战
02-17
K8S Istio 服务网格进阶实战 是一个Service Mesh的开源框架,来自Google,大部分使用Go语言来开发,是Service Mesh的集大成者
K8s:渐进式入门服务网格 Istio (一)
山河已无恙
03-03 1256
分享一些Istio的学习笔记博文内容涉及:istio下载安装一个Demo运行什么是istio服务网格等概念介绍istio架构组成,应用场景等理解不足小伙伴帮忙指正对每个人而言,真正的职责只有一个:找到自我。然后在心中坚守其一生,全心全意,永不停息。所有其它的路都是不完整的,是人的逃避方式,是对大众理想的懦弱回归,是随波逐流,是对内心的恐惧 ——赫尔曼·黑塞《德米安》关于 服务网格是什么,istio是什么,这里先不讲理论,安装下实体会下,istio
Service Mesh k8s容器化-服务网格 Istio
qq_40178286的博客
09-02 660
Service Mesh k8s容器化-服务网格 Istio
Istio 为什么要学习服务网格 Istio
小楼一夜听春雨,深巷明朝卖杏花
07-19 265
首先v1设置3个副本,v2设置一个副本,这样75%的流量都转发到v1上了,25%的流量转发到v2上。金丝雀发布是这样工作的,我们已经有了一个旧版本的应用这里称之为v1,然后要发布一个新版本的应用这里称之为v2。istio也为我们提供了更强大的安全管理,包括通过AuthorizationPolicy做更细致的授权管理、pod之间的mTLS认证等,极大提高了pod的安全性。如果这10%的用户反馈v2还不错,那么我们我们可以扩大访问v2的流量,缩小访问v1的流量。以此类推,直到把所有的流量逐步转移到v2上面。..
基于Istio的高级流量管理一(为什么需要服务网格?深入理解Envoy)
一点一滴铺就人生
02-24 591
Service Mesh是微服务治理的一种框架,而Istio是云原生中微服务治理的最佳实践
Istio服务网格技术与实践
03-29
Istio服务网格技术与实践,包含Istio架构,与K8S集成和Istio的技术实践
k8s环境Istio应用详解
03-21
内容主要包含了k8s环境下istio的安装教程,以及istio相关案例。同时包含灰度发布以及流量治理等相关内容
服务网格Istio实践
06-21
Istio 提供一种简单的方式来为已部署的服务建立网络,该网络具有负载均衡、服务间认证、监控等功能,而不需要服务的代码做任何改动。适用于容器或虚拟机环境(特别是 k8s),兼容异构架构。 ? ? ?istio 使用 side...
云原生服务网格Istio 原理、实践、架构与源码解析
05-25
云原生服务网格Istio 原理、实践、架构与源码解析
K8S中的弹性云服务如何搭建,可能遇到的问题,如何解决!(稳啦!!!!全都稳啦!!!)
Aprilqxs的博客
05-08 450
同时,弹性云服务还降低了企业的IT成本,因为用户只需根据实际使用的计算资源支付费用,无需承担额外的硬件成本和维护费用。弹性云服务(ECS)是一种基于云计算技术的虚拟服务器,由vCPU、内存、磁盘等组成的获取方便、弹性可扩展、按需使用的虚拟计算服务器。当CPU使用率下降时,会自动减少Pod的副本数,但不会少于1个。的Service对象,使用ClusterIP类型,将外部访问的80端口映射到Pod的8080端口。使用kubectl命令创建一个Deployment对象,定义要部署的应用程序的配置。
k8s、helm删除不掉资源问题处理
yztezhl的专栏
05-13 222
k8s、helm删除不掉资源问题处理
k8s-从应用访问pod元数据以及其他资源
weixin_43784341的博客
05-14 232
在Kubernetes中,可以通过在应用内使用 Downward API 或者通过 Service Account 的方式来访问 Pod 的元数据以及其他资源。下面我将为你介绍这两种方法的详细代码实现。
【kubernetes】二进制部署k8s集群之cni网络插件flannel和calico工作原理(中)
最新发布
2301_81307988的博客
05-14 378
部署网络组件部署 flannel。
【K8s】Kubectl 常用命令梳理
程序员作家
05-11 254
【代码】【K8s】Kubectl 常用命令梳理。
K8S集群Etcd数据备份/恢复
Dances with Cloud Native
05-08 1499
kubernetes使用etcd数据库实时存储集群中的数据,安全起见,一定要备份。
k8s设置在任意node里执行kubectl 命令
Mr_wilson_liu的博客
05-10 366
因为k8s的各个组建, 例如pod, nodes, svc 等其实都是被apiservice 去管理的。去管理这些组件, 在背后, kubectl 还是得去调用 apiservice。当我们尝试在某个 node 节点来执行时, 通常会遇到下面错误。只能在master node 里运行。即使我们使用kubectl。
K8s 二进制部署 上篇
MCB134的博客
05-14 413
etcd是CoreOS团队于2013年6月发起的开源项目,它的目标是构建一个高可用的分布式键值(key-value)数据库。Kubeadmin也是一个工具,提供kubeadm init和kubeadm join,用于快速部署K8S集群,相对简。荐使用二进制包部署Kubernetes集群,虽然手动部署麻烦点,期间可以学习很多工作原理,也利于。生产首选,从官方下载发行版的二进制包,手动部署每个组件和自签TLS证书,组成K8S集群,新。简单:安装配置简单,而且提供了HTTP API进行交互,使用也很简单。
K8S 删除pod的正确步骤
酒酿小圆子呀~
05-10 272
在日常的k8s运维过程中,避免不了会对某些pod进行剔除,那么如何才能正确的剔除不需要的pod呢?
istio和k8s区别
12-16
Istio和Kubernetes(k8s)是现代云原生应用程序开发和部署中常用的两个开源工具。它们有一些相似之处,但也有一些显著的区别。 首先,Kubernetes是一个容器编排工具,用于自动化容器的部署、扩展和操作。它提供了集群管理、服务发现和负载均衡等功能,使开发人员能够更轻松地管理容器化应用程序。 而Istio是一个服务网格平台,用于管理微服务架构中的通信、安全和监控。它提供了流量管理、故障注入和安全控制等功能,可以帮助开发人员更好地理解和控制微服务之间的通信。 其次,Kubernetes是一个基础设施工具,用于管理容器化应用程序的部署和运行,而Istio更关注于微服务之间的通信和安全,可以与Kubernetes集成,为微服务架构提供更多的功能和管理能力。 此外,Kubernetes的核心概念是Pod、Service和Deployment等资源对象,而Istio则引入了VirtualService、DestinationRule和ServiceEntry等资源对象,用于定义微服务之间的通信和策略。 总的来说,Kubernetes和Istio都是用于构建和管理现代云原生应用程序的工具,它们有各自的定位和功能,可以相互配合,为应用程序开发和部署提供更加全面的解决方案。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

洒满阳光的午后

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值