[单master节点k8s部署]27.Istio流量管理(三)

已于 2024-10-04 23:59:53 修改
阅读量894 收藏 17
点赞数 9
分类专栏: k8s单节master点 文章标签: kubernetes istio 容器
于 2024-09-26 20:48:51 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45396500/article/details/142555581
版权

上面的内容先是部署了istio,后面又部署了bookinfo的微服务,现在来利用istio对bookinfo进行流量治理。 

设置网关

进入/root/istio-1.10.1/samples/bookinfo/networking目录下,运行下面yaml文件,从而进行网关配置:

[root@master networking]# kubectl apply -f bookinfo-gateway.yaml 
gateway.networking.istio.io/bookinfo-gateway created
virtualservice.networking.istio.io/bookinfo created

确认网关是否创建完成:

[root@master networking]# kubectl get gateway
NAME               AGE
bookinfo-gateway   66m

 yaml文件中有一个gateway,一个virtualService。 Gateway 定义的是进出的端口、协议、主机名等网络层的配置。它不关心请求的具体路径或内容,而是为外部请求打开一个入口。而virtualService用来定义具体的路由规则。

下面的gateway配置中可以看到,hosts为任何主机名,入口为80端口,允许进入的是http请求。

而virtualService中定义了目标端口,为productpage的9080端口,对于进入gateway的http请求,只允许转发匹配到/productpage、/login等的。

[root@master networking]# cat bookinfo-gateway.yaml 
apiVersion: networking.istio.io/v1alpha3
kind: Gateway
metadata:
  name: bookinfo-gateway
spec:
  selector:
    istio: ingressgateway # use istio default controller
  servers:
  - port:
      number: 80
      name: http
      protocol: HTTP
    hosts:
    - "*"
---
apiVersion: networking.istio.io/v1alpha3
kind: VirtualService
metadata:
  name: bookinfo
spec:
  hosts:
  - "*"
  gateways:
  - bookinfo-gateway
  http:
  - match:
    - uri:
        exact: /productpage
    - uri:
        prefix: /static
    - uri:
        exact: /login
    - uri:
        exact: /logout
    - uri:
        prefix: /api/v1/products
    route:
    - destination:
        host: productpage
        port:
          number: 9080

事实上,当我们查看istio的三个pod,可以发现有一个ingressgateway的pod

[root@master networking]# kubectl get pods -n istio-system
NAME                                    READY   STATUS    RESTARTS   AGE
istio-egressgateway-798787bd74-kj7tr    1/1     Running   0          25h
istio-ingressgateway-5d6489bf96-ps5t5   1/1     Running   0          25h
istiod-7d58bfb8-xtfjd                   1/1     Running   0          25h

 而这个ingressgateway的pod,有以下标签,而我们写的gateway的selector就匹配了其中的标签。

Labels:       app=istio-ingressgateway
              chart=gateways
              heritage=Tiller
              install.operator.istio.io/owning-resource=unknown
              istio=ingressgateway
              istio.io/rev=default
              operator.istio.io/component=IngressGateways
              pod-template-hash=5d6489bf96
              release=istio
              service.istio.io/canonical-name=istio-ingressgateway
              service.istio.io/canonical-revision=latest
              sidecar.istio.io/inject=false

所以,我们写的gateway.yaml实际是指导istio的ingressgateway的pod来如何处理流量,实际当外部客户端发送请求(例如通过 HTTP 或 HTTPS),这些请求会首先到达 istio-ingressgateway Pod。Gateway 资源定义了这个 Pod 应该监听的端口(如 80 或 443),并且可以通过 VirtualService 进一步定义流量的路由规则。

部署bookinfo的微服务成功后,可以看到如下信息:

[root@master ~]# kubectl get virtualservice
NAME       GATEWAYS               HOSTS   AGE
bookinfo   ["bookinfo-gateway"]   ["*"]   47m
[root@master ~]# kubectl get gateway
NAME               AGE
bookinfo-gateway   48m
蓝绿发布/金丝雀发布

上面的virtualservice里面有一个destination的字段,但是实际上为了实现蓝绿发布、金丝雀发布等更加高级的路由规则,可以另写一个destination的yaml文件。上面的virtualService定义的是针对所有host的,如果要针对不同的host,virtualservice需要定义不同的路由规则。假设有两个主机名:

  • myapp.example.com
  • testapp.example.com

其中针对myapp的主机名,进行了金丝雀发布,也就是只有10%的流量去v2版本,大部分都在v1版本处理。而对于testapp的主机名,进行蓝绿发布,也就是说v2是目前的版本,v1不再使用。

apiVersion: networking.istio.io/v1alpha3
kind: VirtualService
metadata:
  name: multi-host-virtualservice
spec:
  hosts:
  - myapp.example.com
  - testapp.example.com
  http:
  - match:
    - headers:
        host:
          exact: myapp.example.com
    route:
    - destination:
        host: myapp
        subset: v1
      weight: 90
    - destination:
        host: myapp
        subset: v2
      weight:10
  - match:
    - headers:
        host:
          exact: testapp.example.com
    route:
    - destination:
        host: testapp
        subset: v2
      weight: 100
    - destination:
        host: testapp
        subset: v1
      weight: 0

这里还需要写service定义的destination文件,因为一个destination文件对应一个service,所以这里需要两个destination文件来描述myapp和testapp的配置。

apiVersion: networking.istio.io/v1beta1
kind: DestinationRule
metadata:
  name: myapp-destination
spec:
  host: myapp
  subsets:
  - name: v1 
    labels:
      version: v1
  - name: v2
    labels:
      version: v2 

apiVersion: networking.istio.io/v1beta1
kind: DestinationRule
metadata:
  name: testapp-destination
spec:
  host: test
  subsets:
  - name: v1 
    labels:
      version: v1
  - name: v2
    labels:
      version: v2
流量镜像

流量镜像是一种测试策略,可以在不影响主流量的情况下,将请求副本发送到另一个服务,用于测试或监控。

apiVersion: networking.istio.io/v1alpha3
kind: VirtualService
metadata:
  name: myapp
spec:
  hosts:
  - myapp.example.com
  http:
  - route:
    - destination:
        host: myapp
        subset: v1
  - mirror:
      host: myapp
      subset: v2
    mirrorPercentage:
      value: 100.0
apiVersion: networking.istio.io/v1alpha3
kind: DestinationRule
metadata:
  name: myapp
spec:
  host: myapp
  subsets:
  - name: v1
    labels:
      version: v1
  - name: v2
    labels:
      version: v2
重试、超时和断路器
apiVersion: networking.iostio.io/v1alpha3
kind: VirtualService
metadata:
  name: myapp
spec:
  hosts:
  - myapp.example.com
  http:
  - route:
    - destinatioon:
        host: myapp
        subset: v1
    retries:
      attempts: 3     #如果请求失败,最多试三次
      perTryTimeout: 2s     #每次请求的最大超时时间为2s
      retryOn: gateway-error,connection-failure,refused-stream   #重试的条件
   timeout: 5s
apiVersion: networking.istio.io/v1alpha3
kind: DestinationRule
metadata:
  name: myapp
spec:
  host: myapp
  trafficPolicy:
    connectionPool:
      http:
        http1MaxPendingRequests: 100
        maxRequestsPerConnection: 10
    outlierDetection:
      consecutiveErrors: 5
      interval: 1s
      baseEjectionTime: 3m
      maxEjectionPercent: 50

 确定ingress IP和端口

[root@master 34istio]# kubectl get svc istio-ingressgateway -n istio-system
NAME                   TYPE           CLUSTER-IP       EXTERNAL-IP   PORT(S)                                                                      AGE
istio-ingressgateway   LoadBalancer   10.105.230.164   <pending>     15021:32087/TCP,80:30636/TCP,443:32496/TCP,31400:32213/TCP,15443:30298/TCP   29h

ingressgateway暴露了以上端口,可以满足流量的监听和转发需求,15021是istio进行健康检查的端口,80是http请求的端口,443是https请求的端口,31400这是 Istio 的一个备用端口,用于 TCP 流量或其他自定义协议的路由。而15443用于处理来自其他网格内服务的**双向 TLS(mTLS)**流量。它用于网格内部的安全通信。这些ingress gateway对内暴露的端口,可以方便gateway监听并转发流量,但是这些端口对外对应的分别是32087,30636,32496,32213等。

尽管15021是用于内部健康检查的端口,但由于 istio-ingressgateway 使用了 LoadBalancer 服务类型,Kubernetes 默认会为每个服务端口(包括健康检查端口)分配一个 NodePort,暴露在物理节点上。

可以看到,目前bookinfo无法从集群外部进行访问,因为istio-ingressgateway 在 Kubernetes 集群内部,它的职责是处理和路由流量,而不是直接将自己暴露给外部网络。Kubernetes LoadBalancer 服务的职责是为服务创建一个外部负载均衡器,并将外部流量通过这个负载均衡器转发到内部的 istio-ingressgateway。这种架构使得 istio-ingressgateway 能够保持为一个内部组件,而由云平台的负载均衡器来处理外部的流量入口。

针对这个问题,我们可以使用本地ip+暴露端口的方式来访问,已知http暴露的80端口映射到外面是30636端口,因此直接访问。根据上面的gateway规则,路径还需要加上productpage。

刷新页面,可以看到 book reviews部分的页面是会变化的,因为reviews有三个版本,且他们的selector都是一样的,所以在没有预设的情况下,istio会以轮询的方式给三个pod分发流量。

review流量转发规则 

我们可以通过为review设置流量转发规则的方式来进行流量控制。已知review本身有一个服务svc,查看这个服务,可以看到selector是app:reviews

[root@master networking]# kubectl get svc reviews -o yaml
apiVersion: v1
kind: Service
metadata:
  annotations:
    kubectl.kubernetes.io/last-applied-configuration: |
      {"apiVersion":"v1","kind":"Service","metadata":{"annotations":{},"labels":{"app":"reviews","service":"reviews"},"name":"reviews","namespace":"default"},"spec":{"ports":[{"name":"http","port":9080}],"selector":{"app":"reviews"}}}
  creationTimestamp: "2024-09-26T06:01:19Z"
  labels:
    app: reviews
    service: reviews
  name: reviews
  namespace: default
  resourceVersion: "8274224"
  selfLink: /api/v1/namespaces/default/services/reviews
  uid: fd3c4f5a-8081-41a9-8e39-1576d33ac078
spec:
  clusterIP: 10.97.52.159
  clusterIPs:
  - 10.97.52.159
  internalTrafficPolicy: Cluster
  ipFamilies:
  - IPv4
  ipFamilyPolicy: SingleStack
  ports:
  - name: http
    port: 9080
    protocol: TCP
    targetPort: 9080
  selector:
    app: reviews
  sessionAffinity: None
  type: ClusterIP
status:
  loadBalancer: {}

我们写一个virtualService

apiVersion: networking.istio.io/v1alpha3
kind: VirtualService
metadata:
  name: reviews
  namespace: default
spec:
  http:
  - route:
    - destination:
        host: reviews
        subset: v2
      weight: 50
    - destination:
        host: reviews
        subset: v3
      weight: 50
  hosts:
  - reviews

写一个destinationRule

apiVersion: networking.istio.io/v1alpha3
kind: DestinationRule
metadata:
  name: reviews-destination
  namespace: default
spec:
  host: reviews
  subsets:
  - name: v1
    labels:
      version: v1
  - name: v2
    labels:
      version: v2
  - name: v3
    labels:
      version: v3

就可以实现只展示v2和v3的reviews。

weixin_45396500
关注
专栏目录
[master节点k8s部署]29.Istio流量管理(五)
weixin_45396500的博客
10-05 407
测试istio熔断管理。采用httpbin镜像和fortio镜像,其中httpbin作为服务端,fortio是请求端。这两个的配置yaml文件都在istio的samples/httpbin目录下,fortio的配置文件在samples-client目录下。启动httpbin和fortio的pod,fortio为用户提供了一个UI界面,但是fortio的服务默认是一个ClusterIP服务,因此需要修改,通过kubectl edit svc fortio来完成。
[master节点k8s部署]25.Istio流量管理(一)
weixin_45396500的博客
09-26 827
Istio用于介绍微服务架构下的流量管理。它在服务之间引入一个透明的代理层,负责对微服务的流量管理、安全性、弹性和监控等。Istio提供了良好的可观察性和平台无关性。Istio可以弥补k8s在服务治理上的缺点。负载均衡流量管控度量故障恢复灰度发布可观察性(observability):全链路追踪、监控、数据收集,通过控制后台全面了解上行下行流量
[master节点k8s部署]26.Istio流量管理(二)
weixin_45396500的博客
09-26 328
details,可以看到有一个service,一个ServiceAccount和一个deployment,其中这里定义了 securityContext:runAsUser: 1000,这是为了防止进程以root权限运行,这里规定进程以用户ID 1000运行。个有代表性的服务网格的例子:它由多个服务、多个语言构成,并且 reviews 服务具有多个版本。3)reviews 这个微服务中包含了书籍相关的评论,它还会调用 ratings 微服务;4)ratings 这个微服务中包含了由书籍评价组成的评级信息。
[master节点k8s部署]28.Istio流量管理(四)
最新发布
weixin_45396500的博客
10-05 255
可以看到上面的service是TCP协议的,而这里的gateway是HTTP协议的。实际上,virtualService处理的是来自service的流量,因此这里的host名称应该和service名称对应,所以这里的host名称是:canary-svc34.default.svc.cluster.local。从内容上讲除了headers匹配,还有uri匹配,queryParams 匹配(参数匹配)、方法匹配(GET/POST),从规则上讲,有prefix匹配、exact匹配和regex匹配(正则匹配)。
K8S--部署Nacos
IT利刃出鞘的博客
01-18 3599
本文介绍K8S部署Nacos的方法。
K8S集群部署istio
dz45693的专栏
04-08 9294
简介 Istio 提供一种简的方式来为已部署的服务建立网络,该网络具有负载均衡、服务间认证、监控等功能,而不需要对服务的代码做任何改动。 istio 适用于容器或虚拟机环境(特别是 k8s),兼容异构架构。 istio 使用 sidecar(边车模式)代理服务的网络,不需要对业务代码本身做任何的改动。 HTTP、gRPC、WebSocket 和 TCP 流量的自动负载均衡。 istio 通过丰富的路由规则、重试、故障转移和故障注入,可以对流量行为进行细粒度控制;支持访问控制、速率限制和配额。 istio
《云原生》快速部署istioistio+k8s
crayon
08-08 1335
试验环境是一个3节点k8s集群(一个master两个worker),k8s版本是1.8.0。先看效果图。
03istiok8s部署与移除
weixin_60092693的博客
05-05 773
1. Istio下载 官网https://istio.io/ https://github.com/istio/istio/releases/ ~]# curl -L https://istio.io/downloadIstio | ISTIO_VERSION=1.6.0 sh - //国内网用GitHub下,下载指定的版本1.6.0 Downloading istio-1.6.0 from Istio has been successfully downloaded into the istio-
k8s 集群安装-CentOS 9 + Kubernetes 1.30 + istio 1.22.3
mraym的博客
08-23 866
k8s集群环境安装
【2021年12月升级版】Kubernetes全栈架构师:基于世界500强的k8s实战课程.rar
01-05
2. **集群搭建与管理**:掌握在不同环境(如本地、AWS、GCP或Azure)下设置Kubernetes集群的方法,理解Master节点和Worker节点的角色,以及etcd、API Server、Controller Manager和Scheduler等关键组件的工作原理。...
vagrant-lxc-k8s:使用Linux容器在本地运行多节点Kubernetes
02-06
Istio 是一个服务网格,提供强大的服务间通信功能,包括流量管理、安全性和可观测性。虽然 `vagrant-lxc-k8s` 示例未明确提及 Istio,但在本地环境中部署 Istio 可以帮助开发者更好地理解服务网格的运作机制。 **10...
k8s学习资料.zip
02-07
- **Istio**:服务网格,提供服务发现、流量管理、安全性和可观测性。 - **Jenkins X**:自动化持续集成和持续部署(CI/CD)的平台。 8. **Kubernetes实践** - **本地环境搭建**:使用minikube或kind创建节点...
第四篇:kubernetes部署istio
kjkdd的博客
01-12 1239
说明: 总的目标是在k8s集群部署gitlab、jenkins,并且在本地提交代码到gitlab后jenkin流水线可以自动编译打包成为docker镜像然后部署k8s中并实现客户端外部域名访问,在文档分为多个部分,其中涉及的技术有docker安装、k8s搭建、部署gitlab、部署jenkins、部署sonarqube、gitlab和jenkin联动、jenkins和sonarqube联动、pipline脚本编写、istio部署istio服务网关等…
[k8s理论知识]1.runc容器管理工具
weixin_45396500的博客
10-03 255
是一个 CLI 工具,用于根据 OCI 规范创建和运行容器。它是容器底层的核心组件,负责直接与 Linux 内核的 cgroups 和 namespaces 交互,以实现容器的隔离和资源限制。在容器生态系统中,runc是容器运行时containerd和dockerd的底层工具,被更高级的工具(docker和container)使用。runc是一个用来启动和管理容器的轻量级工具,它是开放容器项目(Open Container Initiative, OCI)的标准实现。
pod管理及优化
2302_81167603的博客
10-02 1161
Pod是可以创建和管理Kubernetes计算的最小可部署元一个Pod代表着集群中运行的一个进程,每个pod都有一个唯一的ip一个pod类似一个豌豆荚,包含一个或多个容器(通常是docker)多个容器间共享IPC、Network和UTC namespace。
【CKA】二、节点管理-设置节点不可用
weixin_43837718的博客
09-29 498
[CKA]二、节点管理-设置节点不可用
kubeadm部署k8s
qq_63652578的博客
10-04 917
为了实现docker使用的cgroupdriver与kubelet使用的cgroup的一致性,修改如下文件内容。
21.2 k8s中etcd的tls双向认证原理解析
福大大架构师每日一题
10-01 1180
tls向认证原理tls双向认证原理在k8s中etcd监控的应用以ca.crt client.crt client.key创建的secret并挂载到prometheus中prometheus配置证书信息打到采集etcd的目的。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值