掌控随心 - 服务网格的流量管理艺术 (Istio 实例)

掌控随心 - 服务网格的流量管理艺术 (Istio 实例)

---

想象一下，没有服务网格的时候，我们要实现像“将 1% 的用户流量导入到新版本应用”、“根据用户设备类型访问不同后端”、“模拟下游服务故障”这类高级流量策略，通常需要在代码、负载均衡器、API 网关等多个地方进行复杂且分散的配置。

而服务网格（以 Istio 为例）提供了一套统一的、声明式的 API（通过 Kubernetes CRD），让你能够像指挥家一样，优雅地编排服务间的流量乐章。其中最重要的“指挥棒”就是以下三个资源：

1. 入口管理：Gateway - 网格的“看门人”

• 作用：Gateway 资源本身不处理流量，而是用来配置运行在网格边缘的 Envoy 代理（通常是 istio-ingressgateway 这个 Deployment）。它定义了哪些端口对外开放、使用什么协议（HTTP, HTTPS, GRPC, TCP）、以及关联的 TLS 证书等 L4-L6 层配置。它控制着进入服务网格的流量入口点。

• 类比：Gateway 就像是城市的主要入口大门或高速公路收费站。它规定了哪个大门（端口）是开放的，允许哪种类型的车辆（协议）进入，以及是否需要安检（TLS）。但它不负责告诉你进入城市后具体该去哪里。

• YAML 示例 (输入)：配置一个 HTTP 入口，监听 80 端口，处理 myapp.example.com 的流量。

  apiVersion: networking.istio.io/v1beta1
  kind: Gateway
  metadata:
    name: myapp-gateway
    namespace: istio-system # 通常 Ingress Gateway 部署在 istio-system
  spec:
    # selector 非常重要，它关联到运行 Ingress Gateway 的 Envoy Pod
    selector:
      istio: ingressgateway
    servers:
    - port:
        number: 80
        name: http
        protocol: HTTP
      hosts:
      - "myapp.example.com" # 指定此网关处理哪个域名(或通配符)的流量
    #  tls: # 如果需要 HTTPS，可以在这里配置
    #    mode: SIMPLE # 或 MUTUAL
    #    credentialName: myapp-tls-secret # 引用包含证书和私钥的 K8s Secret
  

• 关键字段解释：

  • selector: 将此 Gateway 配置应用到哪些 Envoy 代理 Pod 上（通过标签匹配）。
  • servers: 定义监听的端口、协议和关联的主机名。
  • port: number, name, protocol (HTTP, HTTPS, GRPC, TCP, TLS 等)。
  • hosts: 一个或多个主机名，支持通配符。
  • tls: (可选) 配置 TLS 模式（单向 SIMPLE 或双向 MUTUAL）及引用的证书 Secret。

• 效果 (输出)：应用此配置后 (kubectl apply -f ...)，Istio 控制平面会指令匹配 selector 的 Envoy 代理（即 istio-ingressgateway Pods）监听指定的端口，并准备接收匹配 hosts 的流量。它只负责“开门”，不负责“指路”。

2. 路由规则：VirtualService - 网格的“GPS 导航”

• 作用：VirtualService 定义了服务请求的路由规则