第九部分 Istio 安装之Kubernetes命令方式

最新推荐文章于 2024-06-01 23:19:20 发布
最新推荐文章于 2024-06-01 23:19:20 发布
阅读量917 收藏 1
点赞数
分类专栏: istio 文章标签: Istio安装 k8s命令安装Istio
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u013538795/article/details/89875738
版权

注意事项

  • 因大部分都是国外资源,时刻做好翻墙的准备。
  • 此文仅是在kubernetes平台命令安装,不涉及任何的云和Helm,适用于测试和体验Istio,生产环境建议使用Helm安装方案。

下载Istio安装包

1.下载对应目标操作系统的安装文件,建议使用此方法,下载地址如下:

https://github.com/istio/istio/releases

2.或Linux使用如下的脚本进行下载和自动解压缩:

curl -L https://git.io/getLatestIstio | ISTIO_VERSION=1.1.5 sh -

3.进入 Istio 包目录。例如,版本为1.1.5

cd istio-1.1.5

4.目录结构介绍:

  • install目录:包含了 Kubernetes 安装所需的 .yaml 文件
  • samples目录:Istio示例应用
  • bin目录:包括istioctl 客户端文件。istioctl 的功能是手工进行 Envoy Sidecar 的注入。
  • istio.VERSION :版本配置文件

5.添加环境变量

把 istioctl 客户端加入 PATH 环境变量,如,export PATH=$PWD/bin:$PATH

安装前准备

1.正确安装kubernetes

Kubernetes版本为1.9以上,Istio1.1.3被测试在1.11、1.12和1.13上正常运行,此处建议使用1.11以上的版本。本文kubernetes1.13.4,Istio1.1.3,docker17.06.0-ce

2.kubernetes中Pod需满足以下要求。

  1. 端口正确命名:服务端口必须进行命名。端口名称只允许是<协议>[-<后缀>-]模式,其中协议包括grpc、http、http2、https、mongo、redis、tcp、tls 以及 udp,Istio 可以通过对这些协议的支持来提供路由能力。名称如:http2-test有效;http2test无效。若没给端口命名或名称不符合规范,则不受Istio流量管理。
  2. Pod端口:Pod 必须包含每个容器将监听的明确端口列表。在每个端口的容器规范中使用 containerPort。任何未列出的端口都将绕过 Istio Proxy。
  3. 关联服务:Pod 不论是否公开端口,都必须关联到至少一个 Kubernetes 服务上,如果一个 Pod 属于多个服务,这些服务不能在同一端口上使用不同协议,例如 HTTP 和 TCP。
  4. 标签设置:在使用 Kubernetes Deployment 进行 Pod 部署的时候,建议为Deployment添加有意义的app 以及 version 标签。app 标签在分布式追踪的过程中会被用来加入上下文信息。Istio 还会用 app 和 version 标签来给遥测指标数据加入上下文信息。
  5. Application UID:不要使用 ID(UID)值为 1337 的用户来运行应用。
  6. NET_ADMIN 功能:Istio需要管理Pod流量, 此pod 必须具有NET_ADMIN,功能除非您使用 Istio CNI 插件。

在 Kubernetes 中快速开始

kubernetes1.13.4安装Istio1.1.3。

1.进入Istio1.1.3目录

cd istio-1.1.3

2.安装 Istio 的自定义资源定义(CRD),

for i in install/kubernetes/helm/istio-init/files/crd*yaml; do kubectl apply -f $i; done

3.使用mutual TLS 的宽容模式部署istio

如果使用 mutual TLS 的宽容模式,所有的服务会同时允许明文和双向 TLS 的流量。在没有明确配置客户端进行双向 TLS 通信的情况下,客户端会发送明文流量。

该场景适用于:

  • 已有应用的集群;
  • 注入了 Istio sidecar 的服务有和非 Istio Kubernetes 服务通信的需要;
  • 需要进行存活和就绪检测的应用;
  • Headless 服务;
  • StatefulSet。

运行下面的命令即可完成这一模式的安装,该文件比较大,请自行查阅。

kubectl apply -f install/kubernetes/istio-demo.yaml

3.或使用mutual TLS 的严格模式部署istio

这种方案会在所有的客户端和服务器之间使用 双向 TLS。这种方式只适合所有工作负载都受 Istio 管理的 Kubernetes 集群。所有新部署的工作负载都会注入 Istio sidecar。运行下面的命令可以安装这种方案,该文件比较大,请自行查阅。

kubectl apply -f install/kubernetes/istio-demo-auth.yaml

4.确认部署结果

确认下列 Kubernetes 服务已经部署并都具有各自的 CLUSTER-IP

kubectl get svc -n istio-system
NAME                     TYPE           CLUSTER-IP       EXTERNAL-IP     PORT(S)                                                                                                                   AGE
grafana                  ClusterIP      172.21.211.123   <none>          3000/TCP                                                                                                                  2m
istio-citadel            ClusterIP      172.21.177.222   <none>          8060/TCP,9093/TCP                                                                                                         2m
istio-egressgateway      ClusterIP      172.21.113.24    <none>          80/TCP,443/TCP                                                                                                            2m
istio-galley             ClusterIP      172.21.132.247   <none>          443/TCP,9093/TCP                                                                                                          2m
istio-ingressgateway     LoadBalancer   172.21.144.254   <pending>       80:31380/TCP,443:31390/TCP,31400:31400/TCP,15011:32081/TCP,8060:31695/TCP,853:31235/TCP,15030:32717/TCP,15031:32054/TCP   2m
istio-pilot              ClusterIP      172.21.105.205   <none>          15010/TCP,15011/TCP,8080/TCP,9093/TCP                                                                                     2m
istio-policy             ClusterIP      172.21.14.236    <none>          9091/TCP,15004/TCP,9093/TCP                                                                                               2m
istio-sidecar-injector   ClusterIP      172.21.155.47    <none>          443/TCP                                                                                                                   2m
istio-telemetry          ClusterIP      172.21.196.79    <none>          9091/TCP,15004/TCP,9093/TCP,42422/TCP                                                                                     2m
jaeger-agent             ClusterIP      None             <none>          5775/UDP,6831/UDP,6832/UDP                                                                                                2m
jaeger-collector         ClusterIP      172.21.135.51    <none>          14267/TCP,14268/TCP                                                                                                       2m
jaeger-query             ClusterIP      172.21.26.187    <none>          16686/TCP                                                                                                                 2m
kiali                    ClusterIP      172.21.155.201   <none>          20001/TCP                                                                                                                 2m
prometheus               ClusterIP      172.21.63.159    <none>          9090/TCP                                                                                                                  2m
tracing                  ClusterIP      172.21.2.245     <none>          80/TCP                                                                                                                    2m
zipkin                   ClusterIP      172.21.182.245   <none>          9411/TCP                                                                                                                  2m

如果集群在一个没有外部负载均衡器支持的环境中运行(例如 Minikube),istio-ingressgateway 的 EXTERNAL-IP 会是 <pending>。要访问这个网关,只能通过服务的 NodePort 或者使用端口转发来进行访问。

确认必要的 Kubernetes Pod 都已经创建并且其 STATUS 的值是 Running:

kubectl get pods -n istio-system
NAME                                                           READY   STATUS      RESTARTS   AGE
grafana-f8467cc6-rbjlg                                         1/1     Running     0          1m
istio-citadel-78df5b548f-g5cpw                                 1/1     Running     0          1m
istio-cleanup-secrets-release-1.1-20190308-09-16-8s2mp         0/1     Completed   0          2m
istio-egressgateway-78569df5c4-zwtb5                           1/1     Running     0          1m
istio-galley-74d5f764fc-q7nrk                                  1/1     Running     0          1m
istio-grafana-post-install-release-1.1-20190308-09-16-2p7m5    0/1     Completed   0          2m
istio-ingressgateway-7ddcfd665c-dmtqz                          1/1     Running     0          1m
istio-pilot-f479bbf5c-qwr28                                    2/2     Running     0          1m
istio-policy-6fccc5c868-xhblv                                  2/2     Running     2          1m
istio-security-post-install-release-1.1-20190308-09-16-bmfs4   0/1     Completed   0          2m
istio-sidecar-injector-78499d85b8-x44m6                        1/1     Running     0          1m
istio-telemetry-78b96c6cb6-ldm9q                               2/2     Running     2          1m
istio-tracing-69b5f778b7-s2zvw                                 1/1     Running     0          1m
kiali-99f7467dc-6rvwp                                          1/1     Running     0          1m
prometheus-67cdb66cbb-9w2hm                                    1/1     Running     0          1m

部署应用

举例,部署Istio 的发布包中的 示例应用Bookinfo。在使用 kubectl apply 进行应用部署的时候,如果目标命名空间已经打上了标签 istio-injection=enabled,Istio sidecar injector 会自动把 Envoy 容器注入到你的应用 Pod 之中。

kubectl label namespace <namespace> istio-injection=enabled
kubectl create -n <namespace> -f <your-app-spec>.yaml

如果目标命名空间中没有打上 istio-injection 标签, 可以使用 istioctl kube-inject 命令,在部署之前手工把 Envoy 容器注入到应用 Pod 之中:

istioctl kube-inject -f <your-app-spec>.yaml | kubectl apply -f -

删除

删除 RBAC 权限、istio-system 命名空间及其所有资源。因为有些资源会被级联删除,因此会出现一些无法找到资源的提示,可以忽略。据启用的 mutual TLS 模式进行删除:

  • 删除宽容模式部署的istio
kubectl delete -f install/kubernetes/istio-demo.yaml
  • 删除严格模式部署的istio
kubectl delete -f install/kubernetes/istio-demo-auth.yaml

 

上官浩仁
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
istio-composer:用于Istio微服务的Kubernetes环境
03-26
组织者 用于Istio微服务的Kubernetes环境 ...4.在Kubernetes安装Istio 5. Istio模式:Kubernetes中的流量拆分(基于Header / Cookie): 6. Istio模式:Kubernetes中的流量拆分(Canary版本):
istio对外暴露服务
开心就好的专栏
06-07 860
istio对外暴露服务
如何使用Rancher 2.0在Kubernetes集群上部署Istio
weixin_34008933的博客
08-12 415
2019独角兽企业重金招聘Python工程师标准>>> ...
Istio安装
最新发布
weixin_41558221的博客
06-01 908
【代码】Istio安装
部署Istio,应用接入Istio(Sidecar注入)
小楼一夜听春雨,深巷明朝卖杏花
07-12 1970
查看配置文件的名称,生产环境建议使用default,基本上核心功能都有,minimal是以最小版本去部署的,demo功能多一点,比default多一点。我们这里使用default进行部署安装。下面是查看有哪些配置文件的名称。 在install不指定profile那么默认就是使用default。安装的时候后面可以添加--set-profile=default -y部署完查看结果,部署了两个pod,一个istiod,也就是它的控制平面,ingressgateway是用来接受网格流量的,就类似于nginx-i
K8S集群部署istio
dz45693的专栏
04-08 9172
简介 Istio 提供一种简单的方式来为已部署的服务建立网络,该网络具有负载均衡、服务间认证、监控等功能,而不需要对服务的代码做任何改动。 istio 适用于容器或虚拟机环境(特别是 k8s),兼容异构架构。 istio 使用 sidecar(边车模式)代理服务的网络,不需要对业务代码本身做任何的改动。 HTTP、gRPC、WebSocket 和 TCP 流量的自动负载均衡。 istio 通过丰富的路由规则、重试、故障转移和故障注入,可以对流量行为进行细粒度控制;支持访问控制、速率限制和配额。 istio
干货|如何步入Service Mesh微服务架构时代
03-19 774
今天要和大家分享的是关于新一代微服务架构——Service Mesh的具体玩法!在微服务架构盛行的今天,作为一名互联网技术从业人员,对于微服务的概念相信大家都已经耳熟能详了!而至于像Spring Cloud这样的微服务框架,因为大部分互联网公司都在此基础上构建过第一代微服务体系,所以对于做Java 的同学来说,Spring Cloud微服务体系应该是非常熟悉了! 这里并不是说其他语言栈就没有构建微服务体系的框架,例如Go语言也有像Go-Micro这样的微服务框架,只不过目前除了像头条这样重度使用Go语言的.
kubernetes实践:Istio之策略与遥测
02-24
Istio提供一种简单的方式建立已部署服务网络,具备负载均衡,服务间认证和监控等功能。而不需要改变任何服务代码。想要为服务增加对Istio的支持,只需要在环境中部署一个sidecar,使用Istio控制面板功能配置和管理...
istio-operator:一个管理KubernetesIstio部署的操作员
02-03
Banzai Cloud Istio操作员是Backyards的核心部分,可帮助安装,升级和管理Istio网格,但是还提供了许多其他组件来方便地保护,操作和观察Istio。 下表中列出了差异: Istio运算符后院安装Istio :check_mark: :check...
jx3-kubernetes-istio:使用istio的Vanilla Kubernetes集群的Jenkins X 3.x GitOps存储库
02-18
通过这种方式,开发者可以利用Jenkins X 3.x 和 Istio 在Vanilla Kubernetes集群上实现高效、安全的持续交付,同时保持基础设施和应用程序配置的版本控制和可见性。这不仅提高了软件开发的效率,还增强了系统的弹性...
istio学习(三)修改Istio的ingressgateway实现会话保持并获取客户端真实IP地址
文若书生的专栏
11-18 1773
对于很多后端服务业务,我们都希望得到客户端源 IP。由于 istio ingressgateway 以及 sidecar 的存在,后端服务如果需要获取客户端源 IP,特别是四层协议,情况会变得比较复杂。下面介绍一种实现方式
Istio安装及流量测试
qq_42747099的博客
04-01 734
Istio部署(本次安装以1.0.0为例) 下载istio #macOS 或者 Linux 系统,使用如下命令自动下载和解压最新的发行版 curl -L https://git.io/getLatestIstio | sh - 或者到如下页面,根据操作系统下载对应发行版 Istio release 1。解压安装文件,切换到文件所在目录。安装文件目录下包含: install/ 目录下是 Kube...
Istio 原理解析
热门推荐
ythunder的博客
04-07 1万+
Istio定义 一个用来连接、管理和保护微服务的开放平台。 Istio提供一种简单的方式来建立已部署服务网络,具备负载均衡、服务间认证、监控等功能,而不需要改动任何服务代码。 想要为服务增加对Istio的支持,您只需要在环境中部署一个sidecar,使用Istio控制面板功能配置和管理代理,拦截微服务之间的所有网络通信。 为什么需要Istio 随着微服务出现,微服务的连接、管理和监控...
Kubernetes上的服务网格 Istio - 分布式追踪篇
weixin_33971205的博客
12-12 432
微服务架构将复杂系统切分若干小服务,每个服务可以被独立地开发、部署和伸缩;微服务架构和容器(Docker/Kubernetes)是天作之合,可以进一步简化微服务交付,加强整体系统的弹性和健壮性。然而由大量的微服务构成的分布式应用架构也会增加运维、调试、和安全管理的复杂性。为了解决上述挑战,Spring Cloud和Dubbo/EDAS等微服务框架将服务...
使用Istio治理微服务入门
Docker的专栏
01-06 9122
近两年微服务架构流行,主流互联网厂商内部都已经微服务化,初创企业虽然技术积淀不行,但也通过各种开源工具拥抱微服务。再加上容器技术赋能,Kubernetes又添了一把火,微服务架构已然成为当前软件架构设计的首选。但微服务化易弄,服务治理难搞!一、微服务的“痛点”微服务化没有统一标准,多数是进行业务领域垂直切分,业务按一定的粒度划分职责,并形成清晰、职责单一的服务接口,这样每一块规划为一个微服务。微服
istio学习笔记
weixin_45785496的博客
02-20 270
查看部署的pods kubectl get pods -n istio-system NAME READY STATUS RESTARTS AGE istio-citadel-f78ff689-7kk7z 1/1 Running 0 12d 查看defau...
istio1.0.4快速部署与体验
weixin_43181696的博客
11-30 4707
在minikube上部署 启动minikube 此处已启用了apiserver.admission-control中的MutatingAdmissionWebhook,ValidatingAdmissionWebhook这两个非常重要 minikube start \ ...
istio-控制 Ingress 流量 (Gateway VirtualService)
kozazyh的专栏
08-08 1万+
控制 Ingress 流量 到目前为止,Istio提供了一个简单的API来进行流量管理,该API包括了四种资源:RouteRule,DestinationPolicy,EgressRule和Ingress(直接使用了Kubernets的Ingress资源)。借助此API,用户可以轻松管理Istio服务网格中的流量。该API允许用户将请求路由到特定版本的服务,为弹性测试注入延迟和失败,添加超时和...
kubernetes访问控制与服务网格istio
04-19
kubernetes访问控制与服务网格istio

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值