Istio系列学习(十四)----Istio策略适配器配置和Env适配器配置

最新推荐文章于 2023-07-11 09:42:43 发布
最新推荐文章于 2023-07-11 09:42:43 发布
阅读量726 收藏 1
点赞数
分类专栏: istio 文章标签: istio
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_41709748/article/details/122936125
版权

一、Istio策略适配器配置

Istio Adapter 机制的另外一个重要应用是策略执行。
策略执行Adapter 负责处理 Mixer 转发的 Check 请求,并将该请求分发给对应的策略执行后端,根据后端的判断逻辑返回拒绝或通过,来控制网格内服务之间的访问。

  1. List适配器

最简单的判断逻辑的 Adapter,它配置了一个黑名单或者白名单,匹配白名单则放行; 匹配黑名单则拒绝。

1.Handler的配置 对Handler的配置如下。
◎ providerUrl:名单的地址,当使用本地名单时可以不进行配置。
◎ refreshInterval:获取名单的刷新间隔。
◎ ttl:名单保存时长。
◎ cachingInterval:缓存的间隔。
◎ cachingUseCount:缓存的记录数。
◎ overrides:重要字段,该列表中的名单覆盖从providerUrl获取的名单。
◎ entryType:名单条目的类型,可以是STRINGS、CASE_INSENSITIVE_STRINGS、
IP_ADDRESSES 和 REGEX,分别表示字符串、大小写不敏感的字符串、IP 地址(段)和表达式。 ◎ blacklist:是否是黑名单,影响匹配后的判断逻辑。 如下所示配置了一个白名单的Handler,只有满足IP段条件的检查通过:
在这里插入图片描述

  1. Instance的配置

策略执行的模板一般比遥测数据的模板简单,就是配置待检 查的字段,在如下Instance中定义了从请求中提取IP作为检查输入。
在这里插入图片描述

  1. Rule的配置

配置如下Rule关联Handler和Instance,只有来源负载上标签是"forecast"的请求执行名单检查:
在这里插入图片描述

二、 Denier适配器

Denier适配器也是一个比较简单的Adapter,按照配置总是返回拒绝。
1.Handler的配置
Denier 适配器的 Handler 的主要配置(见图 4-26)就是定义拒绝的状态信息 status,包括状态码
(code)、消息(message)和详情(details),类似在写代码时定义的异常信息。还有两个有意思的字 段:validDuration和validUseCount,分别表示有效间隔和有效次数。当时间不超过validDuration时,检查 次数若不超过validUseCount,则不再做检查。
在这里插入图片描述
在满足条件时将会返回“1333”状态码:

2.Instance的配置
Denier的检查对象同List名单中的检查对象定义。

3.Rule的配置
只需配置如下所示的 Rule 让上面的 Handler 生效,来自标签为“forecast”的服务请求就都会被拒绝, 并返回“1333”状态码
在这里插入图片描述
4.3.3 Memory Quota适配器
使用场景是设置一个生效时间进行限流,即 设置在一个时间段内的访问配额。

4.3.4 Redis Quota适配器
具备 HA 能力,功能类似Memory Quota

4.4 Kubernetes Env适配器配置
用于提取Kubernetes中服务的元数据并交给后续的Adapter处理。

下面是一个具体场景:
在Envoy上报数据时,在上报的访问源和目标信息中一般只包含IP等基础信 息,不会包含服务的命名空间信息,但后端APM需要基于命名空间对数据进行分组管理。这时基于负载 的标识关联和补齐其他需要的属性就可以通过Kubernetesenv Adapter来实现,补齐的属性就可以在后续的 APM Adapter中使用。

1.Handler的配置
Kubernetes Env最主要的一个参数是通过kubeconfigPath配置Kubeconfig的文件位置,即找到Kube- apiserver,从Kube-apiserver上获取需要的信息。配置如下:
在这里插入图片描述
2.Instance的配置
在Kubernetes Instance中定义Kubernetesenv Adapter如何发现和生成需要的与Pod相关的数据,如下所 述。
◎ sourceUid:源Pod的UID。
◎ sourceIp:源Pod的IP。
◎ destinationUid:目标Pod的UID。
◎ destinationIp:目标Pod的IP。
◎ destinationPort:目标容器的端口。

另外,通过定义 attribute_binding 将 Kubernetesenv Adapter 输出的属性绑定到 Mixer的属性上,可以
供其他Adapter使用。
在Kubernetes Output模板中能提取的属性如下。
(1)源 Pod 的信息:sourcePodUid、sourcePodIp、sourcePodName、sourceLabels、
sourceNamespace、sourceServiceAccountName、sourceHostIp、sourceWorkloadUid、 sourceWorkloadName、sourceWorkloadNamespace、sourceOwner。
(2)目标 Pod 的信息:destinationPodUid、destinationPodIp、destinationPodName、
destinationContainerName、destinationLabels、destinationNamespace、destinationService AccountName、 destinationHostIp、destinationOwner、destinationWorkloadUid、destination WorkloadName、 destinationWorkloadNamespace。

istio安装时会定义Kubernetes的如下模板实例,
在这里插入图片描述
3.Rule的配置
在这里插入图片描述

归来少年Plus
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
istio-生产环境搭建
jimzbq的博客
11-13 1937
相关组件 整个 istio 环境需要以下组件 prometheus -- 用于 K8s 平台和 istio 平台监控 jaeger -- 用于服务间的链路追踪 elasticsearch -- 用于存储链路追踪的数据,(也可增加部署 fluntd 和 kibana 收集监控 K8s 平台日志) istio -- 平台本体 由于需要用于生产环境中,istio 部署包中所集成的 Prometh...
istio使用【安装配置
Happywzy~的博客
12-25 1120
本文使用的版本号:1.4.2 自定义安装组件 参考安装页面,官网给配置分了几个级别, 分别代表: default:根据IstioControlPlaneAPI的默认设置启用组件(建议用于生产部署)。您可以通过运行命令显示默认设置istioctl profile dump。 demo:旨在展示Istio功能且资源需求适中的配置。适合运行Bookinfo应用程序和相关...
istio 1.1.7 安装
誓言
06-06 1484
控制层面组件 Pilot:负责将调度的配置下发到各svc endpoint后pod中注入的Envoys Mixer:负责流量策略等统一调度 Envroys:将envroys proxy容器,以sidecar的方式注入到svc后端的pod中,与控制层面组件交互。 下载 https://github.com/istio/istio/releases/download/1.1.7/istio-1.1...
ServiceMesh-Istio:3.部署面向生产的Istio
张成基
02-14 464
ServiceMesh-Istio:3.部署面向生产的Istio 文章目录ServiceMesh-Istio:3.部署面向生产的Istio环境要成为服务网格的条件安装Istio1. 下载 Istio 发型包2. 先决条件3 .Istio Init4. 安装Istio5. 卸载Istio6. 修复metrics-server问题(二进制安装k8s的集群 才会有,kubeadm部署的集群直接下载安装...
istio1.0安装教程,快速入门
weixin_34318272的博客
08-01 445
广告 | kubernetes各版本离线安装包 祝贺istio1.0发布, 在此献上教程一份 安装 安装k8s 强势插播广告 三步安装,不多说 安装helm, 推荐生产环境用helm安装,可以调参 release地址 如我使用的2.9.1版本 yum install -y socat # 这个不装会报错 [root@istiohost...
idf-env 工具帮助设置和管理 ESP-IDF 安装
06-28
.\idf-env.exe driver install --ftdi --silabs命令使用配置存储在 esp_idf.json 中的文件idf-env config get idf-env config get --property gitPath idf-env config get --property python --idf-path "C:/esp/" ...
浅谈webpack-dev-server的配置和使用
08-27
浅谈webpack-dev-server的配置和使用 本篇文章主要介绍了浅谈webpack-dev-server的配置和使用,下面将详细说明标题和描述中所说的知识点。 一、webpack-dev-server简介 webpack-dev-server是webpack的一个开发...
wordpress-multi-env-config:WordPress多环境配置
02-05
这使您可以针对不同的环境(例如生产和登台)使用不同的站点配置(例如调试模式)。 功劳归功于FocusLabs ,他为我带来了组织配置文件的灵感。 请注意,当前版本为v2,如果您需要使用旧的v1版本,。 这个怎么运作...
详解基于vue-cli配置移动端自适应
08-28
本文主要介绍了基于vue-cli配置移动端自适应的方法,主要涉及到三个方面:lib-flexible库的安装和使用、px到rem的转换、vue-cli配置的修改。 首先,在项目中安装lib-flexible库,使用命令`npm i lib-flexible --...
gen-env-template:为 .env 文件生成文档
07-24
gen-env-模板 从 .env 文件生成模板 .env 文件。什么是新的? :party_popper: :partying_face: v1.0.10 - 保留输入 env 文件中的LF或CRLF行结尾v1.0.9 - 添加-d或--dry-run开关以输出到控制台v1.0.8 - 删除键周围的...
istio envoy 黑名单配置
07-24 924
static_resources: listeners: - name: "ingress listener" address: socket_address: address: 0.0.0.0 port_value: 9001 filter_chains: ...
基于Kubernates的istio中白名单配置
h_tinkinginjava的博客
10-28 1031
在Kubernates中,引入了istio管理流量,这时所有的入口流量均通过istio中的ingressgateway转发至目标服务,若是想要配置白名单,限制访问流量,那么需要创建一个istio的AuthorizationPolicy资源,该资源通过label绑定ingressgateway的pod。事例如下: kubectl apply -f - <<EOF apiVersion: security.istio.io/v1beta1 kind: AuthorizationPolicy me
Istio调试信息/envoy配置
violin_biubiubiu的博客
09-23 492
Istio默认的配置信息全量下发,envoy里下发的配置 之前的状态: ➜ istioctl proxy-config endpoint global-sidecar-5ffb49c77c-2qbl4 ENDPOINT STATUS OUTLIER CHECK CLUSTER 10.244.0.2:53 HEALTHY OK outbound|53||kube-dns.kube-system.svc
istio配置案例官方
weixin_34179968的博客
07-19 200
2019独角兽企业重金招聘Python工程师标准>>> ...
Istio 安装
变成习惯
04-16 1060
使用 helm 安装 istio。最新版本:1.9.0 安装 helm 安装 helm: curl https://raw.githubusercontent.com/helm/helm/master/scripts/get-helm-3 | bash 命令补全: echo "source <(helm completion bash)" >> ~/.bash_profile source !$ 如果提示 WARNING: Kubernetes configuration
Istio实战(十二)-代理规则配置:Sidecar
专注基础架构领域
05-15 542
流量治理是一个非常宽泛的话题,例如: 动态修改服务间访问的负载均衡策略,比如根据某个请求特征做会话保持; 同一个服务有两个版本在线,将一部分流量切到某个版本上; 对服务进行保护,例如限制并发连接数、限制请求数、隔离故障服务实例等; 动态修改服务中的内容,或者模拟一个服务运行故障等。 在Istio中实现这些服务治理功能时无须修改任何应用的代码。较之微服务的SDK方式,Istio以一种更 轻便、透明的方式向用户提供了这些功能。用户可以用自己喜欢的任意语言和框架进行开发,专注于自己的业务,完全不用嵌入任何治理逻
读云原生服务网格Istio - 原理、实践、架构与源码解析
rtt_csdn的博客
11-28 2152
istio云原生笔记
Isito 入门(二):Istio 的部署
最新发布
dotNET跨平台
07-11 659
本教程已加入 Istio 系列:https://istio.whuanle.cn目录2,部署 Istio安装 Helm部署 istio-base部署 istiod部署 istio-ingressgateway清除2,部署 Istio在本章中,将会介绍如何在 Kubernetes 中使用 Helm 部署 IstioIstio 的安装方式主要有两类,第一类是基于 Kubernetes 原生集群或虚拟...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值