下一代 Service Mesh -- istio 架构分析

最新推荐文章于 2024-11-11 16:34:31 发布
最新推荐文章于 2024-11-11 16:34:31 发布
阅读量307 收藏
点赞数
文章标签: 网络 运维 数据结构与算法
原文链接:https://juejin.im/post/5afad93ef265da0b7e0c6cfb
版权

前面的分享中,我们讲到,出于性能和稳定的考虑,我们没有采用以 istio 为代表的第二代 service mesh技术,而是直接使用了 Envoy 搭配自己的 xDS 服务。

然而我们还是有必要去了解下 Istio,毕竟这代表了 Service Mesh 的未来。不出意外,在不远的将来,扇贝也会迁移到第二代 Service Mesh 的框架上去。

本文就针对 Istio 的架构做个简单的分析,会涉及部分源码的分析。

1. Istio 的架构

我们在介绍Envoy的时候提到,Envoy的动态配置给我们提供了一种可能:我们可以按照Envoy的规范,通过实现提供特定API的服务,来控制Envoy的路由,流量规则, ratelimit,日志等等。

Istio 的理念里,Envoy 这种真正执行流量转发和控制的 Proxy,叫做 数据面板。而那些通过提供 API 控制 Envoy 行为的服务叫做 控制面板

现在借用官网的一幅图来解释下 Istio 的架构:

数据面板以 sidecar 的形式和微服务部署在一起,每个微服务实例通过各自的 sidecar 来实现发送和接受请求;微服务和微服务之间不直接通信,而是通过 sidecar 的代理(转发)来实现通信。sidecar 直接形成调用网络,就像一个“网格”一样。

控制面板由 Pilot, Mixer, Istio-Auth 组成。我们以 kubernetes 上部署以 Envoy 为数据面板的 Istio 为例来介绍。

Pilot 是控制面板的核心,是必不可少的。将 kubernetes 的资源信息翻译成 Envoy 需要的相关 xDS API(CDS, SDS/EDS, RDS),实现服务发现,包括用户定义的 Istio 的相关配置,翻译成 Envoy 所能理解的路由规则(RDS)。

Mixer 实现数据的收集,以及一些额外的流量控制。首先,数据面板会向 Mixer 汇报请求数据,这些请求数据都是按照 Istio 的规范结构化的。Mixer可以对这些汇报上来的数据做各种处理,例如打印日志,加工成 Prometheus 需要的 metrics 方便抓取从而进行性能监控,做 rate limit 等等。Mixer 是插件式的,这些数据处理都是通过配置一个个插件来实现的。

2. Pilot

以 Kubernetes 环境为例:Pilot 的每个 Pod 实际上包含两个 "容器":discoveryistio-proxy

2.1 discovery

discovery 对应的 image 是 docker.io/istio/pilot:0.4.0,是 Pilot 真正的功能提供者,其监听的地址是:tcp://127.0.0.1:8080,主要工作是将 Kubernetes的资源通过 xDS 服务的形式翻译成 Envoy 所能理解的配置。

其中:

xDS 的核心代码: pilot/proxy/envoy/discovery.go

// Struct,核心数据结构
type DiscoveryService struct {
	proxy.Environment
	server *http.Server

	sdsCache *discoveryCache
	cdsCache *discoveryCache
	rdsCache *discoveryCache
	ldsCache *discoveryCache
}

// Register adds routes a web service container
func (ds *DiscoveryService) Register(container *restful.Container) {
	ws := &restful.WebService{}
	ws.Produces(restful.MIME_JSON)

	// 例如: List all known services (informational, not invoked by Envoy)
	ws.Route(ws.
		GET("/v1/registration").
		To(ds.ListAllEndpoints).
        Doc("Services in SDS"))

    // 其他 xDS ...
}
复制代码

翻译 Kubernetes 资源的核心代码: pilot/platform/kube/controller.go

// 例如: list services
func (c *Controller) Services() ([]*model.Service, error) {
	list := c.services.informer.GetStore().List()
	out := make([]*model.Service, 0, len(list))

	for _, item := range list {
		if svc := convertService(*item.(*v1.Service), c.domainSuffix); svc != nil {
			out = append(out, svc)
		}
	}
	return out, nil
}
复制代码

2.2 istio-proxy

istio-proxy 对应的 image 是 docker.io/istio/proxy:0.4.0,是 Pilot 服务的 sidecar,负责反向代理发往 discovery 的请求,监听 tcp://0.0.0.0:15003。其 Envoy 的核心配置如下:

{
  "listeners": [
   {
    "address": "tcp://0.0.0.0:15003",
    "name": "tcp_0.0.0.0_15003",
    "filters": [
     {
      "type": "read",
      "name": "tcp_proxy",
      "config": {
       "stat_prefix": "tcp",
       "route_config": {
        "routes": [
         {
          "cluster": "in.8080"
         }
        ]
       }
      }
     }
    ],
    "bind_to_port": true
   }
  ],
  "admin": {
    "access_log_path": "/dev/stdout",
    "address": "tcp://127.0.0.1:15000"
  },
  "cluster_manager": {
    "clusters": [
      {
        "name": "in.8080",
        "connect_timeout_ms": 1000,
        "type": "static",
        "lb_type": "round_robin",
        "hosts": [
          {
            "url": "tcp://127.0.0.1:8080"
          }
        ]
      }
    ]
  }
}
复制代码

3. Sidecar

以 Kubernetes 环境为例:作为数据面板的 Sidecar,其实会在微服务的每个 Pod中,插入两个容器: proxy-initistio-proxy

3.1 istio-proxy

istio-proxy 对应的 image 是 docker.io/istio/proxy:0.4.0,是 Sidecar 的实际功能承担者,监听 tcp://0.0.0.0:15003,接受所有发往该 Pod 的tcp流量,分发所有从 Pod 中发出的 tcp 流量。实际上,这个 proxy 由两部分组成:一个管理进程 agent 和 真正的代理进程 Envoy

agent 负责生成 Envoy 的配置,并适当监控 Envoy 的运行状况,必要的时候会进行 Envoy 进程的管理(例如配置变更后 reload Envoy)。另外也负责与 Mixer 组件交互(包括汇报数据等)。

agent 关于生成 Envoy 配置的核心代码位于:pilot/proxy/envoy/config.go

func buildConfig(config meshconfig.ProxyConfig, pilotSAN []string) *Config {
	listeners := Listeners{}

	clusterRDS := buildCluster(config.DiscoveryAddress, RDSName, config.ConnectTimeout)
	clusterLDS := buildCluster(config.DiscoveryAddress, LDSName, config.ConnectTimeout)
	clusters := Clusters{clusterRDS, clusterLDS}

	out := &Config{
		Listeners: listeners,
		LDS: &LDSCluster{
			Cluster:        LDSName,
			RefreshDelayMs: protoDurationToMS(config.DiscoveryRefreshDelay),
		},
		Admin: Admin{
			AccessLogPath: DefaultAccessLog,
			Address:       fmt.Sprintf("tcp://%s:%d", LocalhostAddress, config.ProxyAdminPort),
		},
		ClusterManager: ClusterManager{
			Clusters: clusters,
			SDS: &DiscoveryCluster{
				Cluster:        buildCluster(config.DiscoveryAddress, SDSName, config.ConnectTimeout),
				RefreshDelayMs: protoDurationToMS(config.DiscoveryRefreshDelay),
			},
			CDS: &DiscoveryCluster{
				Cluster:        buildCluster(config.DiscoveryAddress, CDSName, config.ConnectTimeout),
				RefreshDelayMs: protoDurationToMS(config.DiscoveryRefreshDelay),
			},
		},
		StatsdUDPIPAddress: config.StatsdUdpAddress,
    }
    // 其他相关逻辑  ...
}
复制代码

值得注意的是,istio-proxy 可以以多种“角色”运行,会根据不同的角色,生成不同的配置。例如 2.2 节中,作为 Pilot 的 proxy,其配置就和 Sidecar 是不一样的。

3.2 proxy-init

proxy-init 对应的 image 是 docker.io/istio/proxy_init:0.4.0。在 3.1 节 中,我们讲到:istio-proxy会接受所有发往该 Pod 的tcp流量,分发所有从 Pod 中发出的 tcp 流量,而我们实际写代码的时候却完全不用考虑这些,那Istio是怎么做到的呢?答案就是通过proxy-init! 具体的做法是:通过注入 iptables 的改写流入流出 Pod 的流量的规则,使得流入流出 Pod 的流量重定向到 istio-proxy的不同监听端口。

例如关于流入流量的重定向规则:

iptables -t nat -N ISTIO_REDIRECT                                             -m comment --comment "istio/redirect-common-chain"
iptables -t nat -A ISTIO_REDIRECT -p tcp -j REDIRECT --to-port ${ENVOY_PORT}  -m comment --comment "istio/redirect-to-envoy-port"
iptables -t nat -A PREROUTING -j ISTIO_REDIRECT                               -m comment --comment "istio/install-istio-prerouting"
复制代码

4. 小结

Istio 作为下一代的 Service Mesh 框架,虽然现在还不能用于生产,但是其思想和架构是很值得我们去学习的。希望本文对于对 Istio 感兴趣的同学有所帮助。

weixin_34130269
关注
使用Istio治理服务入门
Docker的专栏
01-06 9156
近两年微服务架构流行,主流互联网厂商内部都已经微服务化,初创企业虽然技术积淀不行,但也通过各种开源工具拥抱微服务。再加上容器技术赋能,Kubernetes又添了一把火,微服务架构已然成为当前软件架构设计的首选。但微服务化易弄,服务治理难搞!一、微服务的“痛点”微服务化没有统一标准,多数是进行业务领域垂直切分,业务按一定的粒度划分职责,并形成清晰、职责单一的服务接口,这样每一块规划为一个微服务。微服
Service Mesh -- Istio概述
huxiutao的博客
07-07 6519
如果你用过微服务,你就会发现,为了解决引入微服务架构所带来的问题,要不断的引入新的技术:服务注册与发现、链路调用跟踪、性能监控、日志收集等等。微服务架构给我们带来方便的同时也会让系统变得越来越复杂,尤其是各个微服务之间的调用问题。 时下最流行的是Spring Cloud技术全家桶,但是,Spring Cloud包含的技术栈也是非常多的,而且要做好微服务必须对各个技术有非常熟练的掌握。如果用Dubb...
别再对 Istio 一脸懵了,万众期待的第一本 Istio 著作现!已!上!市
博文视点(北京)官方博客
03-18 975
过去一年里,Service Mesh作为新兴的微服务架构,在国内大热。其被誉为是下一代服务,是云原生技术栈的关键组件之一。而Istio作为第2代Service Mesh的头牌,在 GitHub 上疯狂收获近 15000 颗星,成为 2018 年最热门的项目之一。 官方对 istio 的介绍浓缩为一句话: An open platform toconnect, secure, cont...
服务架构之「 下一代服务 Service Mesh
weixin_30425949的博客
06-26 354
Service Mesh 被大家称为下一代的微服务,是微服务领域的一颗新星,被大家讨论的非常多。 我在大家的讨论中,还看到有人说 “目前的微服务架构我都没学会呢,现在又来一个下一代服务,真学不动了”。 哈哈,没办法,互联网技术就是发展得这么快,这些技术其实也都是由于大家所在的公司业务规模和复杂度变大以后所推动出来的。 最开始 Service Mesh 的概念是由Buoyant公司在20...
下一代服务架构——服务网格Service Mesh
壹升茉莉清的博客
08-15 2883
Service Mesh 是一个基础设施层,其独立运行在应用服务之外,提供应用服务之间安全、可靠、高效的通信,并为服务通信实现了微服务运行所需的基本组件功能,包括服务注册发现、负载均衡、故障恢复、监控、权限控制等等。Service Mesh 的中文译为 “服务网格”。......
Service Mesh 最火项目 Istio 架构解析
阿里云技术
06-03 473
Istio 是一个开源的服务网格,可为分布式微服务架构提供所需的基础运行和管理要素。随着各组织越来越多地采用云平台,开发者必须使用微服务设计架构以实现可移植性,而运维人员必须管理包含混合云部署和多云部署的大型分布式应用。Istio 采用一种一致的方式来保护、连接和监控微服务,降低了管理微服务部署的复杂性。 从架构设计上来看,Istio 服务网格在逻辑上分为控制平面和数据平面两部分。其中,控制平面 Pilot 负责管理和配置代理来路由流量,并配置 Mixer 以实施策略和收集遥测数据;数据平面由一组以 Si
下一代服务架构基础:ServiceMesh
zhaohong_bo的专栏
05-27 275
最近,ServiceMesh(服务网格) 概念在社区里头非常火,有人提出 2018 年是 ServiceMesh 年,还有人提出 ServiceMesh下一代的微服务架构基础。作为架构师,如果你现在还不了解 ServiceMesh 的话,是否感觉有点落伍了? 那么到底什么是 ServiceMesh?它的诞生是为了解决什么问题?企业是否适合引入 ServiceMesh?通过这篇文章,将为你一一...
ServiceMesh下一代服务架构的关键?
"下一代的微服务架构基础是ServiceMesh?" ServiceMesh,即服务网格,是近年来在IT领域内备受关注的技术概念,特别是在微服务架构的背景下。2018年被誉为ServiceMesh的元年,它被许多人视为微服务架构的未来基石。...
ServiceMesh下一代服务架构的关键吗?
ServiceMesh是近年来在IT行业中备受关注的技术趋势,尤其在微服务架构领域,它被认为是下一代架构基础。ServiceMesh,直译为“服务网格”,是一种专门用于服务间通信的基础设施层,设计目的是为了处理服务间的交互...
Service Mesh下一代SDN吗:从通信角度看Service Mesh的发展-中兴通讯-赵化冰1
08-04
总的来说,Service Mesh不是下一代SDN,而是针对微服务架构服务间通信的一种新型基础设施,它与SDN互补,共同解决了现代云环境下的网络和应用通信问题。通过借鉴SDN的可编程性、集中控制等特性,Service Mesh能够...
Service Mesh ——下一代服务
AI天才研究院
08-01 2067
Service Mesh服务网格)这个词已经被越来越多的人们所熟知,但实际上它却是一个比较模糊的名词。由于种种原因,使得Service Mesh一直没有得到广泛关注,虽然它给微服务架构带来了很多好处,但同时也存在一些问题。近些年,随着容器技术、微服务架构、DevOps和云计算的普及,越来越多的人开始认识到微服务架构带来的巨大便利和商业价值,也越来越多的人开始关注Service Mesh这个新兴技术。因此,在大众的视野中,Service Mesh已经开始走向成熟。
架构不止-严选Service Mesh架构的持续演进
网易技术热爱者
11-17 757
同严选的业务一样,在下层承载它的IT系统架构一样要生存、呼吸、增长和发展,否则过时的、僵化的IT系统架构会使我们的组织和业务陷入停顿,无法面对新的机遇和挑战。 这些年业界的服务架构理念一直在持续演进,从单体模块化架构,到SOA,再到微服务,最后到Service Mesh。严选服务架构的演化正是它的一个缩影,在某些方面我们甚至还领先于业界的发展。
嵌入式学习-网络高级-Day01
Xiaomo1536的博客
11-06 1163
对于读数据以及写单个来说,在主机询问报文里面报文头中字节长度固定,都是0x0006,(1个字节的单元标识符,1个字节功能码,2个字节的地址,2个字节的数据)输入寄存器,这个和保持寄存器类似,但是也是只支持读而不能写。报文头------功能码-------起始地址-------数量--------字节计数--------数据。报文头(字节长度可能发生变化)------功能码------字节计数-------数据。报文头------功能码-------地址-------数据/断通标志(2个字节)
字节序(Byte Order)
最新发布
weixin_50993868的博客
11-11 173
字节序与平台字节序转换字节序(Byte Order)是指数据在内存中存储时字节的排列顺序。由于不同的计算机体系结构可能采用不同的字节序,因此理解字节序非常重要,特别是在处理多平台数据传输或存储时。
网络安全 | 漏洞挖掘】隐藏的 DOS 技术
等风来
11-11 151
我调查了这些参数的用途,发现它们被传递给了第三方服务,且该服务的文档说明这些参数是安全的。你可以试试这样做:前往https://ash-speed.hetzner.com/并找到一个测试文件(大小大约1到10 GB),如果服务器等待URL请求完成,你可以通过大量此类请求来淹没服务器,从而导致它最终崩溃。于是我发送了一个包含1000个UUID的列表,结果网站在60秒后超时,并出现了显著的延迟。在我的案例中,这导致了客户网站的DOS攻击,问题被发现并快速修复,甚至在我报告漏洞之前。
Linux:网络协议socket
Au_ust的博客
11-05 1247
我们之前学的通信是本地进程间通信,如果我们想在网络间通信的话,就需要用到二者的ip地址,分别被称为源IP地址和目的IP地址,被存入ip数据包中,其次我们还需要遵循一些通信协议。TCP协议:传输层协议,有连接,可靠传输,面向字节流(无明确边界的字节序列),难UDP协议:传输层协议,无连接,不可靠传输,面向数据流(以数据包为单位),简单网络通信的本质也是进程间通信,你怎么知道你要和哪个进程通信?
数据安全、信息安全、网络安全区别与联系
2401_88326591的博客
11-07 891
信息安全是保护信息系统免受意外或故意的非授权泄漏、传递、修改或破坏。
06 网络编程基础
Elaine2391的博客
11-07 1060
如果客户端发送的数据没有明确的结束标记,服务器可能会一直等待更多的数据,而客户端则可能因为没有收到响应而卡住。System.out.println("======以下代码是读取响应的结果======");通过这些方法,你可以确保客户端和服务器之间的通信具有明确的数据边界,避免因缺少结束标记而导致的问题。客户端收到服务器的SYN+ACK包后,发送一个ACK(确认)包,确认收到服务器的SYN+ACK包。System.out.println("接收到的数据报:" + message);
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值