Istio系列学习(二)----Istio架构

最新推荐文章于 2024-07-18 09:42:54 发布
最新推荐文章于 2024-07-18 09:42:54 发布
阅读量3k 收藏 3
点赞数 1
分类专栏: istio 微服务 架构 文章标签: istio
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_41709748/article/details/122466859
版权
istio 同时被 3 个专栏收录
22 篇文章 12 订阅
订阅专栏
架构
20 篇文章 0 订阅
订阅专栏
微服务
13 篇文章 0 订阅
订阅专栏

一、Istio的工作机制

Istio分为控制面和数据面.
控制面包含Pilot,Mixer,Citadel
数据面由伴随每个应用程序部署的代理程序Envoy组成.
在这里插入图片描述

1、自动注入
在创建应用程序时自动注入Sidecar代理.在K8s场景下创建pod时,kube-API server调用管理面组件的Sidecar-Injector服务,自动修改应用程序的描述信息并注入Sidecar.在真正创建pod时,在创建业务容器的同时在pod中创建sidecar容器.

2、流量拦截
在pod初始化时设置iptables规则,当有流量到来时,给予配置的iptables规则拦截业务容器的Inbound流量和outbound流量到sidecar上,应用程序感知不到sidecar的存在,还以原本的方式进行互相访问,

3、服务发现
服务发起方的Envoy调用管理面组件Pilot的服务发现接口获取目标服务的 实例列表.

4、负载均衡
服务发起方的envoy根据pilot中配置的负载均衡策略选择服务实例。
上图中:数据面的各个envoy从pilot中获取forcecast服务的负载均衡配置,并执行负载均衡动作

5)流量治理
envoy从pilot中获取配置的流量规则,在拦截到inbound和outbound流量时执行治理逻辑。
上图中:fronted服务侧的envoy从pilot中获取流量治理规则,并根据流量治理规则将不同特征的流量分发到forecats的v1和v2版本。

6)访问安全
在服务间访问时通过双方的envoy进行双向认证和通道加密,并基于服务的身份进行授权管理
上图中:pilot下发安全相关配置,在fronted和forecast服务上的envoy上自动加载证书和秘钥来实现双向认证。证书和秘钥由citadel来维护。
7)服务遥测
服务间通信时,通信双方的envoy都会连接管理面组件mixer上报访问数据,并通过mixer将数据转发给对应的监控后端。
如上图:fronted服务队forecast服务的访问监控指标、日志和调用链都通过该方式手机到对应的监控后端。
8)策略执行
进行服务访问时,通过mixer连接后端服务来控制服务间的访问,判断对服务房型还是拒绝。
上图中:mixer可以对接一个限流服务对fronted服务到forecast服务的访问进行速率控制。
9)外部访问
网格的入口有一个envoy扮演入口网关的角色。
上图中:外部服务通过gateway访问入口服务fronted,对fronted服务的负载均衡、治理策略都在该gateway上执行。

每个过程都可以进行如下抽象:服务调用双方的envoy代理拦截流量,并根据管理面的相关配置执行对应的治理动作。

二、Istio的服务模型

1、Istio的服务
逻辑上:服务是istio主要管理的资源对象,包括域名和端口列表等属性;每个端口包含端口名称、端口号和端口的协议。不同协议有不同的内容,在istio中也有不同的治理规则。

物理层面:服务的存在形式就是k8s的service,只要满足了上述约束条件,就可以转换为istio的service并配置规则进行流量治理。

2、Service
k8s中:service通过一个域名或虚拟ip和port保证了服务地址是不变的,也无需暴露k8s中pod的端口和地址。

k8s的service的定义

apiVersion: v1
kind: Service
metadata:
 name: forecast
spec:
 ports:
 - port: 8081 #指定service的虚拟端口号
  targetPort: 8080 #对应到Pod容器的8080端口
 selector: 
  app: forecast #对应到拥有label(app=webapp)的Pod

istio的service与k8s的区别在于:要满足istio的服务约束,如在端口名称上指定协议。如下(唯一区别是指定了协议为http):

apiVersion: v1
kind: Service
metadata:
 name: forecast
spec:
 ports:
 - port: 8081 #指定service的虚拟端口号
  targetPort: 8080 #对应到Pod容器的8080端口
  name: http
 selector: 
  app: forecast #对应到拥有label(app=webapp)的Pod

在kubernetes中,一般先通过Deployment创建工作负载,在通过创建Service关联这些工作负载,从而暴露这些工作负载的接口,
在Istio中,Service是治理的对象,是Istio的核心管理实体,提供了对外访问能力的执行体,是istio服务的元数据。

三、Istio的服务版本

Istio可以进行灰度 发布,将一个Service关联到多个Deployment,每个Deployment都对应服务的一个版本.

说明:
1)两个deployment都有相同的app:forecast标签,该标签和service的标签选择器一致,所以service能关联到这两个deployment对应的Pod。

2)两个deployment有不同的镜像版本,各自创建的Pod也不相同。version标签不同,分别是v1和v2

四、Istio的服务实例

istio的service对应k8s的service;
istio的服务实例对应k8s的endpoints
k8s的endpoints对象名称和service对应名称相同,是:列表。负责维护Service后端pod的变化.

归来少年Plus
关注
专栏目录
使用Spring Boot+gRPC构建微服务并部署到Istio
江文 | Back-End Developer
11-10 3187
使用Spring Boot+gRPC构建微服务并部署到Istio 作为Service Mesh和云原生技术的忠实拥护者,我却一直没有开发过Service Mesh的应用。正好最近受够了Spring Cloud的“折磨”,对Kubernetes也可以熟练使用了,而且网上几乎没有Spring Boot微服务部署到Istio的案例,我就开始考虑用Spring Boot写个微服务的Demo并且部署到Istio。项目本身不复杂,就是发送一个字符串并且返回一个字符串的最简单的Demo。 题外话:我本来是想用Sprin
istio-1.5.0-linux.tar.gz
03-18
这个“istio-1.5.0-linux.tar.gz”文件是Istio 1.5.0版本的Linux进制发行版,通常在官方下载速度较慢的情况下,用户会从其他源获取以节省时间。 Istio的核心概念和组件包括: 1. **Envoy代理**:Istio基于Envoy...
Istio控制面
学无止境
10-16 1527
Istio控制面板包括3个组件:Pilot, Mixer和Istio-Auth。 Pilot Pilot维护了网格中的服务的标准模型,这个标准模型是独立于各种底层平台的。Pilot通过适配器和各底层平台对接,以填充此标准模型。 例如Pilot中的Kubernetes适配器通过Kubernetes API服务器得到kubernetes中pod注册信息的更改,入口资源以及存储流量管理规则等信息,然后将...
Kubernetes进阶-8基于Istio实现微服务治理
最新发布
m0_63086381的博客
07-18 907
该应用由四个单独的微服务构成。这个应用模仿在线书店的一个分类,显示一本书的信息。页面上会显示一本书的描述,书籍的细节(ISBN、页数等),以及关于这本书的一些评论。. 这个微服务会调用details和reviews两个微服务,用来生成页面。details. 这个微服务中包含了书籍的信息。reviews. 这个微服务中包含了书籍相关的评论。它还会调用ratings微服务。ratings. 这个微服务中包含了由书籍评价组成的评级信息。reviewsv1 版本不会调用ratings服务。
Service Mesh 化繁为简:基于 Istiod 回归单体设计
ice-wee的专栏
04-17 1759
翁扬慧 阅读数:106972020 年 3 月 13 日 17:26 作为 Service Mesh 领域最具权威的控制面,Istio 从 2017 年发布第一个版本后,就有着一个堪称“非常优雅”的架构设计。但在推出近 3 年后,其开发团队却“意外”推翻之前的架构,重新用上“复古的”单体应用设计。这里面究竟遇到什么不可逾越的鸿沟? 笔者从几个简单问题(WHY、WHAT、WHEN)出发,为大家揭开...
Kubernetes Istio微服务架构部署和使用
kubernetes中文社区
04-24 2601
什么是Istio Istio是Service Mesh(服务网格)的主流实现方案。该方案降低了与微服务架构相关的复杂性,并提供了负载均衡、服务发现、流量管理、断路器、监控、故障注入和智能路由等功能特性。 其中,Sidecar模式是一种将应用功能从应用本身剥离出来作为单独进程的方式。该模式允许我们向应用无侵入添加多种功能,避免了为满足第三方组件需求而向应用添加额外的配置代码。从某种意义上来说,服...
Istio组件以及架构
Linux_cui的博客
08-14 1340
istio概念
istio-1.4.0-linux.tar.gz
03-18
Istio是一个强大的服务网格平台,它为微服务架构提供了数据平面和控制平面的基础设施,以管理和保护服务之间的通信。Istio 1.4.0 版本是该服务网格的一个重要里程碑,包含了多项改进和新特性,旨在提高性能、稳定性...
istio-1.6.7-linux-amd64.tar.gz
08-03
Istio是一个强大的服务网格平台,它为微服务架构提供了数据平面和控制平面的解决方案。在本场景中,我们关注的是Istio的1.6.7版本,针对Linux x86_64架构的发布包。这个压缩文件"istio-1.6.7-linux-amd64.tar.gz...
Istio 
stone_tomcate的博客
07-23 367
https://github.com/istio/istio 对于Istio服务网格中的应用程序Pod,所有往返Pod的流量都需要经过sidecar代理(istio-proxy容器)。该istio-cni容器网络接口(CNI)插件将代替当前的Istio注入式PodinitContainersistio-init方法来设置Pod的网络以满足此要求。 当前(对于IPv4)是通过在pod的netns中配置iptables规则来实现的。 用于处理netns设置的CNI使用NET_ADMIN特权in...
istio指南(中文版)
10-09
istio指南(中文版)是源自istio官网英文版的翻译版。
Istio简介
迷途的攻城狮
04-02 2万+
Istio简介 1、简介 1.1、Service Mesh 上网了解一下:Service mesh和sidecar。参考链接:http://www.sohu.com/a/198655597_467759 1.2、Istio体系结构 Istio主要由Envoy、Pilot、Mixer三部分组成,整体结构如下: Envoy:以sidecar的形式和应用程序运行与同一个...
istio1.0安装教程,快速入门
weixin_34318272的博客
08-01 457
广告 | kubernetes各版本离线安装包 祝贺istio1.0发布, 在此献上教程一份 安装 安装k8s 强势插播广告 三步安装,不多说 安装helm, 推荐生产环境用helm安装,可以调参 release地址 如我使用的2.9.1版本 yum install -y socat # 这个不装会报错 [root@istiohost...
服务网格Istio之微服务架构设计模式
Tang的博客
11-17 607
微服务架构的构件原创 扼杀者模式 它们是传统、庞大的单体应用。扼杀者模式为此而生。这种模式会创建两个独立的应用,一同运行在同样的 URI 空间中。随着时间点的推移,新的重构了的应用会扼杀或者替换掉原有应用,最后就可以关掉单体应用了。这种模式分为 转换、共存 和 终结 三个步骤 单体你继续运营者, 我慢慢把你替换掉 舱壁模式 这个模式把应用的元素隔离开来,这样一个失败之后,其它的还能继续工作。这个模...
Istio详解
Dusttang的博客
06-21 3544
纪念第一次写博客
【云驻共创】华为云云原生之Istio控制面架构深度剖析
热门推荐
时光隧道
03-23 2万+
文章目录前言一、Istio的基本概念1.Istio诞生背景2.Istio优势 前言 本文主要介绍的内容有: Istio的基本概念 Istio整体架构及工作原理 lstio无侵入的Sidecar基本原理 Istio服务网格基本功能实现原理 一、Istio的基本概念 1.Istio诞生背景 Istio 是一个由谷歌、IBM 与 Lyft 共同开发的开源项目,旨在提供一种统一化的微服务连接、安全保障、管理与监控方式。Istio 项目能够为微服务架构提供流量管理机制,同时亦为其它增值功能(包括安全性、监控、路
深入Istio架构和功能--理解数据面/控制面/流量管理/安全/可观察性
网络安全研究
05-28 3974
Istio提供了服务网络(ServiceMesh)基础环境。解决了开发人员和运维人员所面临的从单体应用向分布式微服务架构转变的挑战。
Istio简介【一个用于连接、监控和保护微服务的开放平台】
Happywzy~的博客
12-20 1054
什么是IstioIstio是一个开放服务网格,提供了一种连接,管理和保护微服务的统一方法。它支持管理服务之间的流量,执行访问策略以及汇总遥测数据,所有这些都无需更改微服务代码。 Istio: HTTP,gRPC,WebSocket,MongoDB和TCP通信的自动负载平衡。 通过丰富的路由规则,重试,故障转移和故障注入对流量行为进行细粒度控制。 可配置的策略层和API,支持访问控制,...
Istio安全漏洞CVE-2020-8595:认证绕过分析
"Istio是一个流行的Service Mesh工具,它在微服务架构中处理服务间通信的安全性和管理。然而,Istio在2020年遇到了一个严重的安全漏洞,被称为CVE-2020-8595。这个漏洞允许攻击者绕过Istio的认证策略,对Service ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值