helm安装istio_Istio 庖丁解牛二:sidecar injector

最新推荐文章于 2024-04-15 09:47:19 发布
最新推荐文章于 2024-04-15 09:47:19 发布
阅读量842 收藏 1
点赞数 1
文章标签: helm安装istio
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_28876083/article/details/112414337
版权

作者: 钟华,腾讯云容器团队高级工程师,热衷于容器、微服务、service mesh、istio、devops 等领域技术。

今天我们分析下 istio-sidecar-injector 组件:

8a81f33d42874e59715fbe5a47319fc9.png

用户空间的Pod要想加入mesh, 首先需要注入sidecar 容器, istio 提供了2种方式实现注入:

  • 自动注入: 利用 Kubernetes Dynamic Admission Webhooks 对 新建的pod 进行注入: initContainer + sidecar

  • 手动注入: 使用命令 istioctl kube-inject

「注入」本质上就是修改Pod的资源定义, 添加相应的sidecar容器定义, 内容包括2个新容器:

  • 名为 istio-init的initContainer: 通过配置iptables来劫持Pod中的流量

  • 名为 istio-proxy的sidecar容器: 两个进程pilot-agent和envoy, pilot-agent 进行初始化并启动envoy

e49cf83311a972f792e439c8c23c92d5.png

1. Dynamic Admission Control

kubernetes 的准入控制(Admission Control)有2种:

  • Built in Admission Control: 这些Admission模块可以选择性地编译进api server, 因此需要修改和重启kube-apiserver

  • Dynamic Admission Control: 可以部署在kube-apiserver之外, 同时无需修改或重启kube-apiserver.

其中, Dynamic Admission Control 包含2种形式:

  • Admission Webhooks: 该controller 提供http server, 被动接受kube-apiserver分发的准入请求.

  • Initializers: 该controller主动list and watch 关注的资源对象, 对watch到的未初始化对象进行相应的改造.

其中, Admission Webhooks 又包含2种准入控制:

  • ValidatingAdmissionWebhook

  • MutatingAdmissionWebhook

istio 使用了MutatingAdmissionWebhook来实现对用户Pod的注入, 首先需要保证以下条件满足:

  • 确保 kube-apiserver 启动参数 开启了 MutatingAdmissionWebhook

  • 给namespace 增加 label: kubectl labelnamespacedefaultistio-injection=enabled

  • 同时还要保证 kube-apiserver 的 aggregator layer 开启: --enable-aggregator-routing=true 且证书和api server连通性正确设置.

另外还需要一个配置对象, 来告诉kube-apiserver istio关心的资源对象类型, 以及webhook的服务地址. 如果使用helm安装istio, 配置对象已经添加好了, 查阅MutatingWebhookConfiguration:

% kubectl get mutatingWebhookConfiguration -oyaml

- apiVersion: admissionregistration.k8s.io/v1beta1

kind: MutatingWebhookConfiguration

metadata:

name: istio-sidecar-injector

webhooks:

- clientConfig:

service:

name: istio-sidecar-injector

namespace: istio-system

path: /inject

name: sidecar-injector.istio.io

namespaceSelector:

matchLabels:

istio-injection: enabled

rules:

- apiGroups:

- ""

apiVersions:

- v1

operations:

- CREATE

resources:

最低0.47元/天 解锁文章
左耳传说
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
istio-sidecar自动注入
xuehen's log
03-24 739
Sidecar 介绍 在Sidecar部署方式中会为每个应用的容器部署一个伴生容器。对于Istio,Sidecar接管进出应用程序容器的所有网络流量。 使用 Sidecar 模式部署服务网格时,无需在节点上运行代理,但是集群中将运行多个相同的 Sidecar 副本。在 Kubernetes 的 Pod 中,在原有的应用容器旁边运行一个 Sidecar 容器,可以理解为两个容器共享存储、网络等资源,可以广义的将这个注入了 Sidecar 容器的 Pod 理解为一台主机,两个容器共享主机资源。 Sideca
helm-starter-istio:Helm的Istio入门模板
02-16
用于Helm的Istio入门模板。 停止摆弄Istio和Kubernetes YAML并开始构建。 该启动程序设置了使容器第一次在Istio中正确运行所需的一切。 特征 将新服务加入Istio网格的最快方法 简化的Istio入口配置 简化的Istio端口...
k8s-sidecar-injector:Kubernetes边车注入服务
02-03
k8s边车喷油器 使用Kubernetes中的MutatingAdmissionWebhook在资源创建时将辅助工具注入新的部署中 这是什么? 在Tumblr,我们运行一些具有复杂的边车设置的容器。 kubernetes容器可以运行5个以上的其他容器,以及一些关联的卷和环境变量。 很快就知道,将这些边车保持在一条直线上将成为操作上的麻烦。 确保每个服务使用每个依赖项的正确版本,随着DC的配置更改而更新全局环境变量集,等等。 为了解决这个问题,我们编写了k8s-sidecar-injector 。 这是一个小型服务,它在每个Kubernetes集群中运行,并通过webhooks监听Kubernetes API。 对于每个吊舱创建,注入程序都会获得一个(变异入场)webhook,询问是否允许吊舱启动,以及是否允许对吊舱进行什么更改。 对于在其上具有特殊注释的Pod(即injector.tumblr.com/request=logger:v1 ),我们重写了pod配置,以包括容器,卷,卷挂载,主机别名,init容器和环境变量,这些变量在sidecar logger:v1的配置。 这使我
探秘 Kubernetes 辅助神器:kube-sidecar-injector
最新发布
gitblog_00079的博客
04-15 804
探秘 Kubernetes 辅助神器:kube-sidecar-injector 项目地址:https://gitcode.com/morvencao/kube-sidecar-injector 在 Kubernetes 生态中,服务间的通信和容器的治理是非常关键的一环。kube-sidecar-injector 是一个优秀的开源项目,旨在自动化地注入 Sidecar 容器到 Pod 中,以实现更...
Istio sidecar 自动注入原理、开启全局注入(在所有命名空间自动注入)
shida's blog
05-31 7034
一、背景介绍 Istio 作为重要的 ServiceMesh 框架,已经被越来越多的公司所使用。在 Istio 体系中,应用容器的出入流量都需要经过 Sidecar 的拦截和处理。默认地,Istio sidecar 自动注入是通过给 namespace 打 istio-injection=enabled 或 istio-injection=disabled 标签,来确定是否在该命名空间执行自动注入...
istio sidecar自动注入过程分析
weixin_33882452的博客
12-08 488
目录 istio sidecar自动注入过程分析 sidecar自动注入检查 检查kube-apiserver 检查sidecar-injector的configmap 检查namespace标签 sidecar自动注入过程 web...
第五章 用Helm部署Istio
weixin_30591551的博客
02-02 233
5.1 Istio Chart概述   Helm是目前Istio官方推荐的安装方式。还可以对输入值进行一些调整,完成对Istio的部分配置工作。Istio Chart是一个总分结构,其分级结构和设计结构是一致的。   5.1.1 Chart.yaml   包含版本号、名称、关键字等元数据信息。   5.1.2 values-*.yaml   提供Istio在各种场景下关键字配置范本,可...
harbor_Harbor_helm部署穿参数_helm安装harbor_helm部署harbor_下载flannel的脚本_源
10-02
harbor的helm安装包,请修改参数后进行部署
helm-push_0.9.0_linux_amd64.tar.gz
01-22
在Linux AMD64架构上,这意味着它是一个适用于64位系统的二进制程序,用户可以通过运行这个文件来安装和使用Helm Push插件。 总的来说,"helm-push_0.9.0_linux_amd64.tar.gz"是一个针对Kubernetes环境的Helm Push...
helm-master_HELM_Kubernetes_源码
10-02
在这个"helm-master_HELM_Kubernetes_源码"的压缩包中,我们可以预见到包含的是Helm的源代码和相关资源,可能包括了Helm的服务器端部分,这对于开发者和系统管理员来说是非常有价值的,因为他们可以直接深入理解Helm...
helm-push_0.8.1_linux_amd64.tar.gz
06-10
helm-push_0.8.1_linux_amd64.tar基于helm推送的工具。Helm 是 Kubernetes 的... 本文将介绍 Helm 中的相关概念和基本工作原理,并通过一些简单的示例来演示如何使用Helm安装、升级、回滚一个 Kubernetes 应用。
【Kubernetes】k8s的helm包管理与应用详细说明与操作【helm安装、heml仓库管理和搭建私有仓库】
热门推荐
崔崇鑫的博客,你linux/云运维工作中的百科全书。
11-02 1万+
文章目录helm 的架构环境准备 helm 的架构 前面我们在使用wordpress+MySQL 部署博客应用的时候,需要做许多的工作,需要每个pod创建pv 和pvc,然后分别创建每个应用的pod 及svc,整个过程非常的麻烦。 如果搭建博客所有步骤作为一个整体,放在一个文件夹里(叫做chart),以后我们直接使用这个chart 就可以把所有的操作一次性做完,这样很容易实现了一个博客应用(chart 的一个实例,叫做release),就非常的方便了。这个就类似于我们用虚拟机模板去克隆出来一台台的虚拟机,
云原生Istio安装和使用
赵广陆
05-03 1827
目录 1 Kubernetes集群环境 2 安装Istio 2.1 快速部署Istio 2.2 回顾K8S组件以及使用 2.2.1 Deployment 2.2.2 Labels and Selectors 2.2.3 Namespace 2.2.4 Service 2.2.5 Ingress 2.3 初步感受istio 2.4 手动注入 2.5 自动注入sidecar
kubernetes系列之十八:使用helm安装istio
cloudvtech的博客
10-03 4419
一、前言 istio是Kubernetes平台微服务管理的框架标准,是Service Mesh在Kubernetes平台的标准实现。相比于其它的微服务框架,istio提供非代码介入的框架机制,使用sidecar机制将微服务的服务面和管理面连接起来,而且使用的sidecar envoy是一个高效的proxy。 Istio 辑上分为数据平面和控制平面。 数据平面由一组以 sidecar 方式部署...
Istio-sidecar注入原理
a1023934860的博客
10-18 587
Istio的一个亮点就是为每个应用自动添加代理程序,并且采用无代码侵入的方式,这样的好处是,代理与应用进行解耦。
k8s集群安装Istio过程记录及问题总结
DreamsArchitects的博客
07-09 1239
这篇文章记录一下k8s集群安装Helm、Istio 和 Kiali,方便学习相关概念。前提需要k8s集群:Arm64架构(MacBookPro M1)虚拟机安装k8s1.27.3版本记录及问题总结Helm是k8s机群的包管理器,我们可以通过Helm在k8s集群安装应用。Istio是一个功能强大的服务网格平台,为微服务架构提供了一套丰富的工具和功能,以简化和增强服务之间的通信、安全性和可观察性。Kiali 仪表板展示了网格的概览以及 Bookinfo 示例应用的各个服务之间的关系。
helm安装istio_Helm 安装istio
weixin_39553757的博客
12-22 416
部署 istio1.添加 istio 官方的 helm 仓库helm repo add istio https://storage.googleapis.com/istio-release/releases/1.3.3/charts/2.是否添加成功[root@master ~]# helm repo listNAME URLstable https://kubernetes-charts...
阿里云Kubernetes容器服务Istio实践之Sidecar自动注入
weixin_34389926的博客
07-31 1088
概述 在前面系列文章中已经介绍了Istio及其各个核心组件,详述了如何利用阿里云Kubernetes容器服务,快速搭建一套用于连接、管理以及保护微服务的开放平台Istio,为应用引入和配置多个相关服务;并且通过一个官方示例演示了如何部署应用到上述Istio环境中,演示了如何设置智能路由、分布式追踪以及Istio 的遥测数据收集、查询及可视化等功能。 回顾...
如何在MACOS 拉取AMD64版本的istio/pilot:1.16.0镜像 name = "istio-ingress" repository = "https://istio-release.storage.googleapis.com/charts" chart = "gateway" namespace = kubernetes_namespace.istio_namespace.metadata[0].name depends_on = [helm_release.install_istio_base, helm_release.install_istiod] version = var.istio_version timeout = var.timeout max_history = var.max_history values = [ file("gateway-values.yaml") ] dynamic "set" { for_each = local.registry_ecr_name content { name = "global.hub" value = set.value } resource "helm_release" "install_istio_ingress" { name = "istio-ingress" repository = "https://istio-release.storage.googleapis.com/charts" chart = "gateway" namespace = kubernetes_namespace.istio_namespace.metadata[0].name depends_on = [helm_release.install_istio_base, helm_release.install_istiod] version = var.istio_version timeout = var.timeout max_history = var.max_history values = [ file("gateway-values.yaml") ] dynamic "set" { for_each = local.registry_ecr_name content { name = "global.hub" value = set.value } }
07-11
要在MACOS上拉取AMD64版本的istio/pilot:1.16.0镜像,可以按照以下步骤进行操作: 1. 打开终端,运行以下命令来拉取镜像: ``` docker pull istio/pilot:1.16.0 ``` 2. 等待镜像下载完成,可以使用以下命令来查看...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值