Istio学习笔记
术语服务网格(Service Mesh)用于描述微服务之间的网络,以及通过此网络进行的服务之间的交互。随着服务数量和复杂度的增加,服务网格将变的难以理解和管理。
对服务网格的需求包括:服务发现、负载均衡、故障恢复、指标和监控,以及A/B测试、金丝雀发布、限速、访问控制、端对端身份验证等。
使用云平台给DevOps团队带来了额外的约束,为了Portability开发人员通常需要使用微服务架构,运维人员则需要管理非常多数量的服务。Istio能够连接、保护、控制、观察这些微服务。
Istio是运行于分布式应用程序之上的透明(无代码入侵)服务网格,它同时也是一个平台,提供集成到其它日志、监控、策略系统的接口。
Istio的实现原理是,为每个微服务部署一个Sidecar,代理微服务之间的所有网络通信。在此基础上你可以通过Istio的控制平面实现:
- 针对HTTP、gRPC、WebSocket、TCP流量的负载均衡
- 细粒度的流量控制行为,包括路由、重试、故障转移、故障注入(fault injection)
- 可拔插的策略层+配置API,实现访问控制、限速、配额
- 自动收集指标、日志,跟踪集群内所有流量,包括Ingress/Egress
- 基于强身份认证和授权来保护服务之间的通信
使用Istio你可以很容易的通过配置,对流量和API调用进行控制。服务级别的可配置属性包括断路器(circuit breakers)、超时、重试。
Istio支持基于流量百分比切分的A/B测试、金丝雀滚动发布、分阶段滚动发布。
可以提供安全信道,管理身份验证和授权,加密通信流量。
联用K8S的网络策略可以获得更多益处,例如保护Pod-to-Pod之间的通信。
Istio强壮的跟踪、监控、日志能力,让服务网格内部结构更容易观察 —— 一个服务的性能对上下游的影响可以直观的展现在仪表盘上。
Istio的Mixer组件——通用的策略和监控(Telemetry)中心(Hub)负责策略控制、指标收集。Mixer提供基础设施后端的隔离层,Istio的其它部分不需要关注后端细节。
Istio当前支持:
- Kubernetes上的Service
- 通过Consul注册的服务
- 在独立虚拟机上运行的服务
从整体上看,Istio的服务网格由数据平面、控制平面两部分组成:
- 数据平面由一系列作为Sidecar部署的智能代理(Envoy)构成。这些代理联合Mixer,中继、控制所有微服务之间的网络通信
- 控制平面负责管理、配置智能代理,实现流量路由,配置Mixers来应用策略、收集指标
架构图:
Istio使用一个扩展过的Envoy版本。Envoy是基于C++开发的高性能代理,Istio使用它的以下特性:
- 动态服务发现
- 负载均衡
- TLS termination —— 可将后端的HTTP服务包装为HTTPS
- HTTP/2和gRPC代理
- 断路器
- 健康检查
- 分阶段(基于流量百分比)发布
- 故障注入
- 丰富的监控指标
Envoy在和目标服务的相同Pod中,以Sidecar形式部署。
一个平台无关的组件:
- 为服务网格Apply访问控制策略
- 从Envoy和其它服务中收集指标
- Envoy收集的请求级别的属性,被发送到Mixer进行分析
Mixer提供了一个灵活的插件模型,让Istio能够灵活的和多种宿主机环境、基础设施后端进行对接。
该组件是Istio的控制器,它会监控各种规则、策略的存储,一旦配置文件发生变化,就会提取、处理,并同步给Envoy。
- 为Envoy提供服务发现
- 为智能路由(AB测试、金丝雀部署……)提供流量管理能力
- 提供弹性(Resiliency)——超时、重试、断路器等
- 分发身份验证策略给Envoy
Pilot将高级别的路由规则转换为Envoy理解的配置信息,并在运行时将这些配置传播到Sidecars。
Pilot将平台相关的服务发现机制抽象为标准的(Envoy data plane API)格式,这让Istio可以在K8S、Consul、Nomad等多种环境下运行。
提供服务-服务、终端用户的身份验证功能,可以加密服务网格中的流量。
部署服务网格带来了额外的性能损耗,下面是Istio组件的推荐资源配置:
- 对于启用了访问日志(默认启用)的Sidecar,每1000请求/s可以配备1个vCPU,如果没有启用访问日志则配备0.5个vCPU
- 节点上的Fluentd是资源消耗大户,它会捕获并上报日志,如果不关心可以排除Sidecar日志不上报
- 在大部分情况下,Mixer Check有超过80%的缓存命中率,在此前提下,可以为Mixer的Pod每1000请求/s配备0.5个vCPU
- 由于在通信两端都引入了Sidecar代理、并且需要上报Mixer,大概会引入10ms的延迟
任何控制平面组件都支持多实例部署,可以考虑配置HPA。
考虑将Mixer的check、report功能分开部署。当前官方Chart已经分开,分别对应istio-policy、istio-telemetry
| 术语 | 说明 |
| Service |
一个应用程序“行为单元”,它对应服务注册表(例如K8S的集群服务DNS)中的唯一的名称 服务具有0-N个网络端点(Endpoint),这些端点可以是Pod、容器、虚拟机 |
| Service versions |
也叫subsets,这是持续部署(CD)中的概念 在持续部署时,网格中可能运行着某个微服务的多种变体,这些变体的二进制代码不同,但是API版本不一定不同。这些变体代表了对某个服务的迭代性的改变,部署在不同的环境(dev/stg/pdt)中 |
| Source | 访问当前服务的下游(downstream)客户端 |
| Host | 客户端连接到服务器时所使用的DNS名称 |
| Destination | 表示一个可寻址的服务,请求/连接在经过路由处理后,将发送到Destination |
Istio的命令行配置工具,用于创建、查询、修改、删除Istio配置资源。
| 选项 | 说明 |
| --context | 使用的kubeconfig context,默认"" |
| -i | Istio安装在的命名空间,默认istio-system |
| -c | 使用的kubeconfig |
| --namespace | 在哪个命名空间执行命令 |
| --log_output_level |
日志级别,格式为scope:level,scope:level...默认default:info scope取值:ads, default, model, rbac level取值:debug, info, warn, error, none |
一组子命令,用于操控Istio的身份验证策略:
|
1 2 3 4 5 6 7 |
# 列出所有服务的身份验证策略 istioctl authn tls-check # 仅仅显示单个服务的 istioctl authn tls-check grafana.istio-system.svc.k8s.gmem.cc # 服务主机名和端口 状态 身份验证策略(服务器配置) 客户端配置 # HOST:PORT STATUS SERVER CLIENT AUTHN POLICY DESTINATION RULE # grafana.istio-system...:3000 OK HTTP HTTP grafana-ports-mtls-disabled/istio-system - |
创建策略、规则:
|
1 |
istioctl create -f example-routing.yaml |
获取策略、规则:
|
1 2 3 4 5 6 7 |
# 获取所有虚拟服务 istioctl get virtualservices # 获取所有目的地规则 istioctl get destinationrules # 输出为YAML istioctl get virtualservice bookinfo -o yaml |
替换掉策略、规则:
|
1 |
istioctl replace -f example-routing.yaml |
删除策略、规则,命令格式:
|
1 |
istioctl delete <type> <name> [<name2> ... <nameN>] [flags] |
示例:
|
1 2 3 4 |
istioctl delete virtualservice bookinfo # 也可以通过yaml文件删除 istioctl delete -f example-routing.yaml |
注册一个服务实例(例如一个VM)到服务网格中:
|
1 |
istioctl register <svcname> <ip> [name1:]port1 [name2:]port2 ... [flags] |
注销虚拟服务实例,命令格式:
|
1 |
istioctl deregister <svcname> <ip> [flags] |
一组试验性命令,未来可能修改或删除。
| 子命令 | 说明 | ||||
| convert-ingress |
尽最大努力的把Ingress资源转换为VirtualService,示例:
输出的VirtualService总是以svc.cluster.local为集群DNS后缀,可能需要修改 |
||||
| metrics |
打印一个或多个虚拟服务的统计指标,示例:
|
||||
| rbac |
检查是否有权限访问服务,格式:
示例:
|
手工的将Envoy Sidecar注入到K8S的工作负载的定义文件中。定义文件中包含多种不支持注入的资源是安全的:
|
1 2 3 4 |
# 输出到标准输出 kubectl apply -f <(istioctl kube-inject -f resource.yaml) # 输出到文件 istioctl kube-inject -f deployment.yaml -o deployment-injected.yaml |
一组命令,从Envoy示例中抽取代理的配置信息:
| 子命令 | 说明 | ||
| bootstrap |
获取Envoy实例的Boostrap信息:
|
||
| cluster | 获取Envoy实例的集群配置信息 | ||
| listener | 获取Envoy实例的listener配置信息 | ||
| route | 获取Envoy实例的路由配置信息 |
查询从Pilot最后一次发送到各Envoy的xDS同步的状态:
|
1 2 3 |
istioctl proxy-status # PROXY CDS LDS EDS RDS PILOT VERSION # details-v1-67c8f895b4-dnddn.default SYNCED SYNCED SYNCED (100%) SYNCED istio-pilot-77646875cd-jqmdh 1.0.2 |
这是Istio的负载测试工具。
|
1 2 |
# 子命令 # 选项 # 目标URL fortio command [flags] target |
| 子命令 | 说明 |
| load | 执行负载测试 |
| server | 启动GRPC ping/http服务 |
| grpcping | 启动GRPC客户端 |
| report | 启动用于查看报告的UI服务器 |
| redirect | 启动仅执行重定向的服务器 |
| curl | 简单的调试一个URL,显示响应的详细信息 |
| 选项 | 说明 |
| -H value | 添加额外的请求头 |
| -abort-on int | 如果遇到目标HTTP状态码,立即终止运行。例如503或-1,表示套接字错误 |
| -allow-initial-errors | 允许预热期间的错误,且不终止运行 |
| -c int | 连接/Goroutine/线程的并发数,默认4 |
| -compression | 启用HTTP压缩 |
| -http1.0 | 使用HTTP 1.0而非1.1 |
| -k | 不校验服务器端证书 |
| -keepalive | 传输层连接重用,默认true |
| -qps float | 目标QPS,如果为0则不做任何休眠,尽可能提高QPS,默认8 |
| -n int | 运行指定的次数 |
| -t duration | 运行指定的时间,默认5s,指定为0则一直运行 |
| -p string | 统计的百分比值(即耗时N%百分比的请求的最大耗时值),默认 50,75,90,99,99.9 |
| -timeout duration | HTTP连接/读取超时,默认15s |
| -user string | HTTP基本认证的凭证信息,格式user:pswd |
| -loglevel lv | 日志级别,可以取值Warning、Error等 |
|
1 2 3 |
cd /home/alex/Applications curl -L https://git.io/getLatestIstio | sh - mv istio-1.0.3 istio |
然后把istio/bin目录加入PATH环境变量。
Istio可以自动为Pod注入Sidecar,它基于Webhook实现此功能。
你可以执行下面的命令,确认MutatingAdmissionWebhook、ValidatingAdmissionWebhook这两种Admission controllers是否默认启用:
|
1 2 3 |
kubectl -n kube-system exec kube-apiserver-xenon -- kube-apiserver -h | grep enable-admission-plugins # 如果在你的K8S版本中,in addition to default enabled ones...后面的括号中有MutatingAdmissionWebhook # 和ValidatingAdmissionWebhook则说明默认已经启用 |
如果没有启用,则需要修改API Server的命令行参数。
此外,你还需要检查admissionregistration API是否启用:
|
1 2 |
kubectl api-versions | grep admissionregistration admissionregistration.k8s.io/v1beta1 |
和手工注入不同,自动注入是发生在Pod级别的。在Deployment上看不到任何变化,你需要直接检查Pod才能看到注入的Envoy。
为了加入到服务网格,K8S中的相关Pod、Service必须满足如下条件:
- 命名端口:服务的端口必须被命名,为了使用Istio的路由特性,端口名必须是 <protocol>[-<suffix>]的形式。protocol可以是http, http2, grpc, mongo或者redis,suffix是可选的,如果指定suffix则必须在前面加上短横线。如果protocol不支持,或者端口没有命名,则针对该端口的流量作为普通TCP流量看待(除非通过Protocol: UDP明确指定为UDP)
- 服务关联:如果一个Pod属于多个Kubernetes Service,则这些Service不得将同一端口用作不同协议
- app和version标签:建议为Pod添加app和version两个标签,分别表示应用程序的名称和版本。在分布式追踪(distributed tracing)中app标签用于提供上下文信息。在Metrics收集时app、version标签也提供上下文信息
Istio的Chart定义在install/kubernetes/helm/instio目录下 。默认情况下,Istio会以Sub chart的方式安装很多组件:
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 |
dependencies: # 这是一个Webhook,自动为所有Pod注入Sidecar。默认启用 - name: sidecarInjectorWebhook version: 1.0.3 condition: sidecarInjectorWebhook.enabled # 安全模块,即citadel。默认禁用 - name: security version: 1.0.3 condition: security.enabled # Ingress控制器,用于处理K8S的Ingress资源。默认禁用 - name: ingress version: 1.0.3 condition: ingress.enabled # 入口、出口网关。默认启用 - name: gateways version: 1.0.3 condition: gateways.enabled # 默认启用,核心组件 - name: mixer version: 1.0.3 condition: mixer.enabled # 默认启用,核心组件 - name: pilot version: 1.0.3 condition: pilot.enabled # 默认禁用 - name: grafana version: 1.0.3 condition: grafana.enabled # 默认启用 - name: prometheus version: 1.0.3 condition: prometheus.enabled # 用于绘制调用链图。默认禁用,被kiali代替 - name: servicegraph version: 1.0.3 condition: servicegraph.enabled # APM。默认禁用 - name: tracing version: 1.0.3 condition: tracing.enabled # 用于服务器端的配置合法性验证。默认启用 - name: galley version: 1.0.3 condition: galley.enabled # 服务网格可视化。默认禁用 - name: kiali version: 1.0.3 condition: kiali.enabled # 负责基于ACME执行数字证书签名。默认禁用 - name: certmanager version: 1.0.3 condition: certmanager.enabled |
如需禁用,在values.yaml中修改对应配置项即可。
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 |
docker pull docker.io/istio/proxyv2:1.0.3 docker pull docker.io/istio/proxy_init:1.0.3 docker pull docker.io/istio/sidecar_injector:1.0.3 docker pull docker.io/istio/galley:1.0.3 docker pull docker.io/istio/mixer:1.0.3 docker pull docker.io/istio/pilot:1.0.3 docker pull docker.io/istio/citadel:1.0.3 docker pull docker.io/istio/servicegraph:1.0.3 docker pull docker.io/jaegertracing/all-in-one:1.5 docker pull docker.io/kiali/kiali:v0.9 docker pull docker.io/prom/prometheus:v2.3.1 docker pull quay.io/jetstack/cert-manager-controller:v0.3.1 docker pull quay.io/coreos/hyperkube:v1.7.6_coreos.0 docker pull grafana/grafana:5.2.3 docker tag docker.io/istio/proxyv2:1.0.3 docker.gmem.cc/istio/proxyv2:1.0.3 docker tag docker.io/istio/proxy_init:1.0.3 docker.gmem.cc/istio/proxy_init:1.0.3 docker tag docker.io/istio/sidecar_injector:1.0.3 docker.gmem.cc/istio/sidecar_injector:1.0.3 docker tag docker.io/istio/galley:1.0.3 docker.gmem.cc/istio/galley:1.0.3 docker tag docker.io/istio/mixer:1.0.3 docker.gmem.cc/istio/mixer:1.0.3 docker tag docker.io/istio/pilot:1.0.3 docker.gmem.cc/istio/pilot:1.0.3 docker tag docker.io/istio/citadel:1.0.3 docker.gmem.cc/istio/citadel:1.0.3 docker tag docker.io/istio/servicegraph:1.0.3 docker.gmem.cc/istio/servicegraph:1.0.3 docker tag docker.io/jaegertracing/all-in-one:1.5 docker.gmem.cc/jaegertracing/all-in-one:1.5 docker tag docker.io/kiali/kiali:v0.9 docker.gmem.cc/kiali/kiali:v0.9 docker tag docker.io/prom/prometheus:v2.3.1 docker.gmem.cc/prom/prometheus:v2.3.1 docker tag quay.io/jetstack/cert-manager-controller:v0.3.1 docker.gmem.cc/jetstack/cert-manager-controller:v0.3.1 docker tag quay.io/coreos/hyperkube:v1.7.6_coreos.0 docker.gmem.cc/coreos/hyperkube:v1.7.6_coreos.0 docker tag grafana/grafana:5.2.3 docker.gmem.cc/grafana/grafana:5.2.3 docker push docker.gmem.cc/istio/proxyv2:1.0.3 docker push docker.gmem.cc/istio/proxy_init:1.0.3 docker push docker.gmem.cc/istio/sidecar_injector:1.0.3 docker push docker.gmem.cc/istio/galley:1.0.3 docker push docker.gmem.cc/istio/mixer:1.0.3 docker push docker.gmem.cc/istio/pilot:1.0.3 docker push docker.gmem.cc/istio/citadel:1.0.3 docker push docker.gmem.cc/istio/servicegraph:1.0.3 docker push docker.gmem.cc/jaegertracing/all-in-one:1.5 docker push docker.gmem.cc/kiali/kiali:v0.9 docker push docker.gmem.cc/prom/prometheus:v2.3.1 docker push docker.gmem.cc/jetstack/cert-manager-controller:v0.3.1 docker push docker.gmem.cc/coreos/hyperkube:v1.7.6_coreos.0 docker push docker.gmem.cc/grafana/grafana:5.2.3 |
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 |
# 创建命名空间 kubectl create ns istio-system # 创建访问Docker镜像仓库的保密字典 kubectl -n istio-system create secret docker-registry gmemregsecret \ --docker-server=docker.gmem.cc --docker-username=alex \ --docker-password=$PSWD --docker-email=k8s@gmem.cc # 创建入口网关控制器所需的数字证书,这里是*.k8s.gmem.cc的通配符证书 pushd /home/alex/Documents/puTTY/k8s.gmem.cc kubectl create -n istio-system secret generic istio-ingressgateway-certs --from-file=. popd # 创建kiali的Ingress所需的数字证书保密字典 pushd /etc/letsencrypt/live/kiali.k8s.gmem.cc kubectl create -n istio-system secret generic gmemk8scert-kiali --from-file=tls.crt=fullchain.pem,tls.key=privkey.pem popd # 创建Jaeger的Ingress所需的数字证书保密字典 pushd /etc/letsencrypt/live/jaeger.k8s.gmem.cc kubectl create -n istio-system secret generic gmemk8scert-jaeger --from-file=tls.crt=fullchain.pem,tls.key=privkey.pem popd # 为默认证书设置imagePullSecrets kubectl -n istio-system patch serviceaccount default -p '{"imagePullSecrets": [{"name": "gmemregsecret"}]}' # Citadel不使用自签名根证书 pushd ~/Documents/puTTY/ touch empty.pem kubectl -n istio-system create secret generic cacerts --from-file=ca-cert.pem=ca.crt \ --from-file=ca-key.pem=ca.key \ --from-file=root-cert.pem=ca.crt \ --from-file=cert-chain.pem=empty.pem popd # 挂载Ceph卷所需的密钥 kubectl get secrets pvc-ceph-key -o yaml --export | kubectl -n istio-system apply -f - # 安装Istio helm install install/kubernetes/helm/istio --name istio --namespace istio-system --set kiali.dashboard.passphrase=$PSWD -f install/kubernetes/helm/istio/overrides/gmem.yaml # 为kiali的服务账号授予必要的权限 kubectl create clusterrolebinding istio-system-kiali-role-binding --clusterrole=cluster-admin --serviceaccount=istio-system:kiali-service-account |
|
1 2 3 4 5 6 7 8 9 10 11 |
helm install install/kubernetes/helm/istio --name istio-minimal --namespace istio-system \ --set security.enabled=false \ --set ingress.enabled=false \ --set gateways.istio-ingressgateway.enabled=false \ --set gateways.istio-egressgateway.enabled=false \ --set galley.enabled=false \ --set sidecarInjectorWebhook.enabled=false \ --set mixer.enabled=false \ --set prometheus.enabled=false \ --set global.proxy.envoyStatsd.enabled=false \ --set pilot.sidecar=false |
最小化安装时,仅仅安装pilot组件。
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 |
helm delete istio --purge kubectl -n istio-system delete all --all kubectl delete ns istio-system kubectl delete crd adapters.config.istio.io kubectl delete crd apikeys.config.istio.io kubectl delete crd attributemanifests.config.istio.io kubectl delete crd authorizations.config.istio.io kubectl delete crd bypasses.config.istio.io kubectl delete crd certificates.certmanager.k8s.io kubectl delete crd checknothings.config.istio.io kubectl delete crd circonuses.config.istio.io kubectl delete crd cloudwatches.config.istio.io kubectl delete crd clusterissuers.certmanager.k8s.io kubectl delete crd deniers.config.istio.io kubectl delete crd destinationrules.networking.istio.io kubectl delete crd dogstatsds.config.istio.io kubectl delete crd edges.config.istio.io kubectl delete crd envoyfilters.networking.istio.io kubectl delete crd fluentds.config.istio.io kubectl delete crd gateways.networking.istio.io kubectl delete crd handlers.config.istio.io kubectl delete crd httpapispecbindings.config.istio.io kubectl delete crd httpapispecs.config.istio.io kubectl delete crd instances.config.istio.io kubectl delete crd issuers.certmanager.k8s.io kubectl delete crd kubernetesenvs.config.istio.io kubectl delete crd kuberneteses.config.istio.io kubectl delete crd listcheckers.config.istio.io kubectl delete crd listentries.config.istio.io kubectl delete crd logentries.config.istio.io kubectl delete crd memquotas.config.istio.io kubectl delete crd meshpolicies.authentication.istio.io kubectl delete crd metrics.config.istio.io kubectl delete crd noops.config.istio.io kubectl delete crd opas.config.istio.io kubectl delete crd policies.authentication.istio.io kubectl delete crd prometheuses.config.istio.io kubectl delete crd quotas.config.istio.io kubectl delete crd quotaspecbindings.config.istio.io kubectl delete crd quotaspecs.config.istio.io kubectl delete crd rbacconfigs.rbac.istio.io kubectl delete crd rbacs.config.istio.io kubectl delete crd redisquotas.config.istio.io kubectl delete crd reportnothings.config.istio.io kubectl delete crd rules.config.istio.io kubectl delete crd servicecontrolreports.config.istio.io kubectl delete crd servicecontrols.config.istio.io kubectl delete crd serviceentries.networking.istio.io kubectl delete crd servicerolebindings.rbac.istio.io kubectl delete crd serviceroles.rbac.istio.io kubectl delete crd signalfxs.config.istio.io kubectl delete crd solarwindses.config.istio.io kubectl delete crd stackdrivers.config.istio.io kubectl delete crd statsds.config.istio.io kubectl delete crd stdios.config.istio.io kubectl delete crd templates.config.istio.io kubectl delete crd tracespans.config.istio.io kubectl delete crd virtualservices.networking.istio.io |
如果你的Kubernetes集群不使用缺省的集群DNS后缀(即cluster.local),则很多组件的参数需要修改,可以参考chart-istio项目,搜索{{ .Values.global.domain }}找到需要修改的位置。
Istio暴露了几个Configmap,修改这些Configmap以影响Istio的行为。
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 |
apiVersion: v1 kind: ConfigMap metadata: name: istio namespace: istio-system labels: app: istio chart: istio-1.0.5 release: istio heritage: Tiller data: mesh: |- # 设置为true则禁用策略检查 # 不影响遥测指标的报送 disablePolicyChecks: false # 是否启用请求跟踪 enableTracing: true # 设置为空字符串可以禁用访问日志 accessLogFile: "/dev/stdout" # Deprecated: mixer is using EDS mixerCheckServer: istio-policy.istio-system.svc.k8s.gmem.cc:9091 mixerReportServer: istio-telemetry.istio-system.svc.k8s.gmem.cc:9091 # 如果设置为true,则Mixer的策略服务不可用导致策略检查失败时,允许请求而非拒绝 policyCheckFailOpen: false defaultConfig: # # Envoy和应用之间、Envoy之间的TCP链接超时 connectTimeout: 10s # ### ADVANCED SETTINGS ############# # istio-proxy容器中,Envoy的配置存放在何处 configPath: "/etc/istio/proxy" # Envoy二进制文件的路径 binaryPath: "/usr/local/bin/envoy" # The pseudo service name used for Envoy. serviceCluster: istio-proxy # 如果发生偶然性的Envoy reload,旧的Envoy进程保留多长时间 drainDuration: 45s parentShutdownDuration: 1m0s # # 将入口流量重定向到Envoy的模式,对出口流量无影响,后者总是使用iptables REDIRECT # 取值: # REDIRECT,使用iptables REDIRECT来NAT,并重定向到Envoy。源地址信息会丢失 # TPROXY,使用iptables TPROXY来重定向到Envoy,同时保留原始的source/dest IP地址和端口 # 可以用于高级过滤和操控。此模式会配置sidecar,启用CAP_NET_ADMIN能力,这是TPROXY所需的 # The "TPROXY" mode also configures the sidecar to run with the interceptionMode: REDIRECT # # Envoy在本地环回网卡上监听的管理端口,你可以进入istio-proxy容器并执行 # curl http://localhost:15000/获取Envoy的诊断信息 # 访问https://lyft.github.io/envoy/docs/operations/admin.html了解更多信息 proxyAdminPort: 15000 # # Envoy工作线程数量,如果设置为0,自动根据CPU核心数量确定 concurrency: 0 # # Zipkin/Jaeger的访问地址,Envoy向其报送APM数据 zipkinAddress: zipkin.istio-system:9411 # # Sidecar和Istio控制平面的mTLS认证策略 controlPlaneAuthPolicy: NONE # # Pilot服务的地址 discoveryAddress: istio-pilot.istio-system:15007 |
可以跨越多个Kubernetes集群来部署Istio服务网格。
- 两个或更多的运行1.9+版本的Kubernetes集群
- 有权在其中一个集群上部署Istio控制平面
- 使用RFC1918网络、VPN或更高级的网络技术将集群连接在一起,并且满足:
- 所有集群的Pod网络CIDR、Service网络CIDR不重叠
- 所有集群的Pod网络可以相互路由
- 所有集群的API Server可相互联通
- Helm 2.7.2或更高版本
Istio提供了一个示例应用程序Bookinfo,我可以部署该应用 ,并为其配置服务网格,以学习Istio。该应用程序能够显示书籍的基本信息,包括ISBN、页数,还能显示书籍的评论信息。
Bookinfo由4个独立的微服务组成:
- productpage,调用details、reviews渲染页面
- details,提供书籍基本信息
- reviews,提供书评信息,调用ratings。该服务有v1、v2、v3三个版本
- ratings,提供书籍的评级信息
下图显示了没有部署Istio之前,Bookinfo的端对端架构:
下图显示受到Istio服务网格管理的Bookinfo的架构:
如果启用了自动化的Sidecar注入,你需要在安装到的命名空间上打标签:
|
1 |
kubectl label namespace default istio-injection=enabled |
打上此标签后,default命名空间中创建的新Pod,自动会有一个名为stio-proxy的容器,它运行istio/proxyv2镜像。
如果没有启用自动化的Sidecar注入,你需要执行:
|
1 |
kubectl apply -f <(istioctl kube-inject -f samples/bookinfo/platform/kube/bookinfo.yaml) |
然后,执行下面的命令安装所有组件:
|
1 |
kubectl apply -f samples/bookinfo/platform/kube/bookinfo.yaml |
等所有容器都运行起来了,检查一下当前命名空间,应该多出6个Pod、4个Service。
当所有Pod都进入Running状态后,你需要创建一个(入口)网关,这样浏览器才能访问到集群中的Bookinfo服务:
|
1 |
kubectl apply -f samples/bookinfo/networking/bookinfo-gateway.yaml |
上述命令会创建一个Gateway,一个VirtualService:
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 |
# kubectl get gateway bookinfo-gateway -o yaml --export apiVersion: networking.istio.io/v1alpha3 kind: Gateway metadata: name: bookinfo-gateway namespace: default spec: selector: istio: ingressgateway servers: - hosts: - '*' port: name: http number: 80 protocol: HTTP # kubectl get virtualservice bookinfo -o yaml --export apiVersion: networking.istio.io/v1alpha3 kind: VirtualService metadata: name: bookinfo spec: gateways: - bookinfo-gateway # 和前面的网关绑定 hosts: - '*' http: - match: # 以下3个URL模式发送给productpage服务 - uri: exact: /productpage - uri: exact: /login - uri: exact: /logout - uri: prefix: /api/v1/products route: - destination: host: productpage port: number: 9080 |
我的本地环境,通过配置路由,允许集群外部访问ClusterIP:
|
1 2 3 |
kubectl get svc istio-ingressgateway -n istio-system # NAME TYPE CLUSTER-IP EXTERNAL-IP PORT(S) AGE # istio-ingressgateway NodePort 10.109.97.20 <none> 80:20080/TCP,443:20443/TCP,31400:31400/TCP,15011:20493/TCP,8060:1164/TCP,853:5745/TCP,15030:1299/TCP,15031:11899/TCP 14d |
因此直接使用上述地址10.109.97.20即可。如果你使用NodePort方式,则需要使用宿主机IP + 映射后的端口。
如果使用外部负载均衡器(LoadBalancer类的Service),则参考如下命令:
|
1 2 3 4 5 6 |
export INGRESS_HOST=$(kubectl -n istio-system get service istio-ingressgateway -o jsonpath='{.status.loadBalancer.ingress[0].ip}') export INGRESS_PORT=$(kubectl -n istio-system get service istio-ingressgateway -o jsonpath='{.spec.ports[?(@.name=="http2")].port}') export SECURE_INGRESS_PORT=$(kubectl -n istio-system get service istio-ingressgateway -o jsonpath='{.spec.ports[?(@.name=="https")].port}') # 某些环境下,LB通过主机名而非IP暴露 export INGRESS_HOST=$(kubectl -n istio-system get service istio-ingressgateway -o jsonpath='{.status.loadBalancer.ingress[0].hostname}') |
|
1 2 3 4 5 |
export INGRESS_HOST=`kubectl -n istio-system get service istio-ingressgateway --no-headers | awk '{print $3}'` export INGRESS_PORT=80 export GATEWAY_URL=$INGRESS_HOST:$INGRESS_PORT curl -o /dev/null -s -w "%{http_code}\n" http://${GATEWAY_URL}/productpage |
如果一切正常,应该打印200到控制台。 如果通过浏览器查看,界面右侧的Reviews面板会随机出现无星、黑星、红星,这种随机是K8S的Service负载均衡机制导致的。
下面的DestinationRule声明了productpage、reviews、ratings、details等微服务的不同版本。版本通过Pod的version标签来区分。
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 |
# kubectl apply -f samples/bookinfo/networking/destination-rule-all.yaml apiVersion: networking.istio.io/v1alpha3 kind: DestinationRule metadata: name: productpage spec: host: productpage subsets: - name: v1 labels: version: v1 --- apiVersion: networking.istio.io/v1alpha3 kind: DestinationRule metadata: name: reviews spec: host: reviews subsets: - name: v1 labels: version: v1 - name: v2 labels: version: v2 - name: v3 labels: version: v3 --- apiVersion: networking.istio.io/v1alpha3 kind: DestinationRule metadata: name: ratings spec: host: ratings subsets: - name: v1 labels: version: v1 - name: v2 labels: version: v2 - name: v2-mysql labels: version: v2-mysql - name: v2-mysql-vm labels: version: v2-mysql-vm --- apiVersion: networking.istio.io/v1alpha3 kind: DestinationRule metadata: name: details spec: host: details subsets: - name: v1 labels: version: v1 - name: v2 labels: version: v2 --- |
一个简单的HTTP测试服务,用于试验Istio的各种特性:
|
1 |
kubectl apply -f samples/httpbin/httpbin.yaml |
Fortio是Istio的负载测试工具,提供CLI和Web UI。
Fortio能够按照指定的QPS来执行HTTP请求,录制执行耗时、百分比分布(percentiles,例如p99表示99%的请求耗时小于的数值)直方图。
|
1 |
kubectl apply -f samples/httpbin/sample-client/fortio-deploy.yaml |
这是一个基于Ubuntu的容器,它启动后只是简单的休眠。你可以通过kubectl连接到此容器并执行curl命令:
|
1 |
kubectl apply -f samples/sleep/sleep.yaml |
下面的例子创建了几个“虚拟服务“,这些虚拟服务将请求流量全部路由给各微服务的v1版本:
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 |
# kubectl apply -f samples/bookinfo/networking/virtual-service-all-v1.yaml apiVersion: networking.istio.io/v1alpha3 kind: VirtualService metadata: name: productpage spec: hosts: - productpage http: - route: - destination: host: productpage subset: v1 --- apiVersion: networking.istio.io/v1alpha3 kind: VirtualService metadata: name: reviews spec: hosts: - reviews http: - route: - destination: host: reviews subset: v1 --- apiVersion: networking.istio.io/v1alpha3 kind: VirtualService metadata: name: ratings spec: hosts: - ratings http: - route: - destination: host: ratings subset: v1 --- apiVersion: networking.istio.io/v1alpha3 kind: VirtualService metadata: name: details spec: hosts: - details http: - route: - destination: host: details subset: v1 --- |
虚拟服务的会被转换为Envoy配置信息,在若干秒内传递到所有Pod的Sidecar,达到最终一致性。
虚拟服务可以遮蔽掉K8S的同名Service,启用了Envoy Sidecar的Pod(包括入口网关)访问productpage、reviews、ratings、details这几个微服务(各自对应了一个K8S Service、一个虚拟服务、以及一个DNS名称)时,会自动经由上面定义的几个虚拟服务处理,其效果就是全部访问v1版本的微服务。虚拟服务的路由逻辑在请求方的Sidecar中实现。
现在再打开浏览器访问/productpage,你会发现,不管刷新多少次,Reviews面板总是显示为无星。
从本章开始处的架构图可以知道,productpage会访问reviews服务,我们看一下前者Sidecar日志,可以发现类似下面的内容:
|
1 2 3 |
"GET /reviews/0 HTTP/1.1" 200 - 0 295 85 84 "-" "python-requests/2.18.4" "4e51c6d9-b7d7-483f-912c-986b4ca1ccff" # 目标服务 实际访问的IP:PORT组合 出站流量 访问reviews的v1版本 # 服务端 客户端 "reviews:9080" "172.27.252.190:9080" outbound|9080|v1|reviews.default.svc.k8s.gmem.cc - 10.105.173.219:9080 172.27.121.172:56202 |
在看看后者v1版本的Sidecar日志,可以发现相呼应的内容:
|
1 2 3 |
"GET /reviews/0 HTTP/1.1" 200 - 0 295 14 8 "-" "python-requests/2.18.4" "148f4c19-8106-4833-8a62-7b464b33e807" # 入站流量 "reviews:9080" "127.0.0.1:9080" inbound|9080||reviews.default.svc.k8s.gmem.cc - 172.27.252.190:9080 172.27.121.172:49704 |
你可以修改虚拟服务reviews,将v1替换为v2、v3,看看有何效果:
|
1 |
kubectl edit virtualservice reviews |
虚拟服务支持根据请求信息路由,下面的例子依据请求头end-user的值决定使用什么版本的reviews服务:
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 |
# kubectl apply -f samples/bookinfo/networking/virtual-service-reviews-test-v2.yaml apiVersion: networking.istio.io/v1alpha3 kind: VirtualService metadata: name: reviews spec: hosts: - reviews http: # 如果登陆用户为alex,则使用v2版本 - match: - headers: end-user: exact: alex route: - destination: host: reviews subset: v2 # 否则使用v1版本 - route: - destination: host: reviews subset: v1 |
现在,刷新/productpage可以发现是无星,以alex登陆(密码随意)后则显示为黑星。
故障注入(Fault Injection)属于破坏性测试,用于考验应用的韧性(resiliency)。
下面的例子,专为alex用户在reviews:v2和ratings之间引入7s的延迟:
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 |
# kubectl apply -f samples/bookinfo/networking/virtual-service-ratings-test-delay.yaml apiVersion: networking.istio.io/v1alpha3 kind: VirtualService metadata: name: ratings spec: hosts: - ratings http: # 对于alex用户,全部请求引入7s延迟,使用ratings的v1版本 - match: - headers: end-user: exact: alex fault: delay: percent: 100 fixedDelay: 7s route: - destination: host: ratings subset: v1 # 对于其它用户,也使用ratings的v1版本,但是不引入延迟 - route: - destination: host: ratings subset: v1 |
以alex访问/productpage,页面会在挂起6秒后提示reviews不可用。这是由于productpage到reviews的超时被硬编码为6秒,而reviews到ratings的超时被硬编码为10秒,我们的故障注入导致productpage访问reviews出现超时错误。
除了timeout之外,你还可以注入abort形式的故障,即立刻访问一个HTTP错误码。
Istio支持逐步的将流量从一个版本迁移到另一个,通常是从老版本迁移到新版本。
定义虚拟服务时,你可以设置不同destination的权重,并逐步调整,直到完全切换到另一个版本。下面的例子会让你由50%的概率看到无星或红星:
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 |
# kubectl apply -f samples/bookinfo/networking/virtual-service-reviews-50-v3.yaml apiVersion: networking.istio.io/v1alpha3 kind: VirtualService metadata: name: reviews spec: hosts: - reviews http: - route: - destination: host: reviews subset: v1 weight: 50 - destination: host: reviews subset: v3 weight: 50 |
你可以为虚拟服务中的路由规则设置超时,默认的HTTP调用超时为15秒。
下面的例子把reviews服务的timeout设置为1ms,这意味着访问该服务的客户端都会基本都会收到超时错误:
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 |
# kubectl edit virtualservice reviews apiVersion: networking.istio.io/v1alpha3 kind: VirtualService metadata: name: reviews namespace: default spec: hosts: - reviews http: - route: - destination: host: reviews subset: v1 # 立即超时 timeout: 1ms |
此时再访问/productpage,会提示product reviews are currently unavailable。
istio-ingressgateway负责处理Gateway资源,就像K8S中Ingress Controller负责处理Ingress资源那样。
istio-ingressgateway默认已经同时支持HTTP/HTTPS,并在80/443端口上监听。
下面的例子创建一个HTTPS网关:
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 |
cat <<EOF | kubectl apply -f - apiVersion: networking.istio.io/v1alpha3 kind: Gateway metadata: name: httpbin-gateway spec: selector: istio: ingressgateway servers: - port: number: 443 name: https protocol: HTTPS tls: # 单向认证 mode: SIMPLE # 下面指定istio-ingressgateway的Pod的一个文件系统路径,提示HTTPS所需的证书、私钥的所在位置 # 默认情况下,网关控制器会将保密字典istio-ingressgateway-certs挂载到/etc/istio/ingressgateway-certs目录下 # 但是此保密字典默认并不创建,挂载也是可选的(optional: true),本文在《安装到K8S》一章已经创建了保密字典 # 如果你要多套数字证书需要使用,则必须在部署Charts时指定: # --set gateways.istio-ingressgateway.secretVolumes[N].name=ingressgateway-*-certs \ # --set gateways.istio-ingressgateway.secretVolumes[N].secretName=istio-ingressgateway-*-certs \ # --set gateways.istio-ingressgateway.secretVolumes[N].mountPath=/etc/istio/ingressgateway-*-certs \ # ... # 来挂载所有数字证书,添加新证书后,deployment istio-ingressgateway必须被编辑以使用新证书,对应Pod会重启 # 使用通配符证书以免除此麻烦 serverCertificate: /etc/istio/ingressgateway-certs/tls.crt privateKey: /etc/istio/ingressgateway-certs/tls.key # 如果mode为MUTUAL则需要提供CA证书位置 caCertificates: /etc/istio/ingressgateway-certs/ca.crt hosts: - "httpbin.k8s.gmem.cc" EOF |
你总是需要一个VirtualService来配合Gateway:
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 |
cat <<EOF | kubectl apply -f - apiVersion: networking.istio.io/v1alpha3 kind: VirtualService metadata: name: httpbin spec: hosts: - "httpbin.k8s.gmem.cc" gateways: - httpbin-gateway http: - match: - uri: prefix: /status - uri: prefix: /delay route: - destination: port: number: 8000 host: httpbin EOF |
注意SSL Termination在网关,后端服务不需要启用HTTPS。
完成上述步骤后,访问https://httpbin.k8s.gmem.cc/status/418可以看到如下输出:
|
1 2 3 4 5 6 7 8 9 10 11 12 |
# 这里是入口网关的IP curl -HHost:httpbin.k8s.gmem.cc --resolve httpbin.k8s.gmem.cc:443:10.102.172.91 https://httpbin.k8s.gmem.cc/status/418 # -=[ teapot ]=- # _...._ # .' _ _ `. # | ."` ^ `". _, # \_;`"---"`|// # | ;/ # \_ _/ # `"""` |
和上一节的单向认证类似,但双向(mutual TLS )认证需要额外为入口网关控制器提供一个CA证书,用于校验客户端的数字证书。
使用官方Istio的Chart安装时,它默认从保密字典istio-ingressgateway-ca-certs加载CA证书,且挂载到/etc/istio/ingressgateway-ca-certs。
参考下面的代码修改Gateway的定义:
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 |
cat <<EOF | kubectl apply -f - apiVersion: networking.istio.io/v1alpha3 kind: Gateway metadata: name: httpbin-gateway spec: selector: istio: ingressgateway servers: - port: number: 443 name: https protocol: HTTPS tls: # 双向认证 mode: MUTUAL # 客户端证书和私钥 serverCertificate: /etc/istio/ingressgateway-certs/tls.crt privateKey: /etc/istio/ingressgateway-certs/tls.key # 服务器用来校验客户端证书的CA证书 caCertificates: /etc/istio/ingressgateway-ca-certs/ca-chain.cert.pem hosts: - "httpbin.k8s.gmem.cc" EOF |
然后,通过CA为客户端签发证书,并在访问服务器时指定自己的密钥和此证书:
|
1 |
curl ... --cacert /home/alex/Documents/puTTY/ca.crt --cert alex.cert --key alex.key ... |
要从服务网格内访问外部URL,需要配置绕过代理的IP范围,或者配置出口网关,否则无法仅仅能得到404:
|
1 2 3 4 |
SLEEP_POD=`kubectl get pod -l app=sleep -o jsonpath={.items..metadata.name}` kubectl exec -it $SLEEP_POD -c sleep -- curl -o /dev/null -s -w "%{http_code}\n" http://gmem.cc # 404 |
下面是通过出口网关访问gmem.cc的例子:
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 |
cat <<EOF | kubectl apply -f - apiVersion: networking.istio.io/v1alpha3 kind: ServiceEntry metadata: name: gmem-ext spec: hosts: - gmem.cc ports: - number: 443 name: https protocol: HTTPS # 如果解析名称: # NONE,假设入站连接已经被解析。也就是说必须路由给请求发起者已经解析出的那个IP # STATIC,使用Endpoint中定义的静态IP地址 # DNS,通过DNS服务器解析。可能转发给不同的IP(与请求者的解析结果不同) resolution: DNS # 服务位置: # MESH_EXTERNAL,提示目标服务位于网格外部 # MESH_INTERNAL,提示目标服务位于网格内部。用于那些手工加入的服务,例如手工加入到K8S网格的VM # 对于网格外部的服务,必须明确指定,否则Kiali会显示Unkown节点 location: MESH_EXTERNAL EOF |
现在再尝试上面的kubectl exec命令,会发现能正常获得响应。
当访问外部HTTPS服务(TLS协议)时,可能需要同时创建ServiceEntry + VirtualService。此外如同访问网格内部服务一样,你可以通过VirtualService对外部服务进行流量管理。
下面的例子,允许网格内部访问mynewproddb.idc2提供的MySQL服务:
|
1 2 3 4 5 6 7 8 9 10 11 12 13 |
apiVersion: networking.istio.io/v1alpha3 kind: ServiceEntry metadata: name: mynewproddb spec: hosts: - mynewproddb.idc2 ports: - name: tcp number: 3306 protocol: TCP resolution: NONE location: MESH_EXTERNAL |
断路器是创建韧性微服务应用所常用的一种模式,可以让应用程序免受上游(Upstream,即调用链中更加远离根的节点)服务失败、延迟峰值(latency spikes)或其它网络异常的侵害。
下面的示例配置了一个断路器,它在客户端访问httpbin服务时生效:
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 |
cat <<EOF | kubectl apply -f - apiVersion: networking.istio.io/v1alpha3 kind: DestinationRule metadata: name: httpbin spec: host: httpbin trafficPolicy: # 在客户端Sidecar中维护连接池 connectionPool: tcp: # 最大TCP连接数 maxConnections: 1 http: # 最大等待转发的、从主容器发来的HTTP请求数 http1MaxPendingRequests: 1 # 每个TCP连接最多可以处理的HTTP请求数 maxRequestsPerConnection: 1 # 异常检测,用于剔除不正常的上游服务的实例 outlierDetection: # 将实例从负载均衡池中剔除,需要连续的错误(HTTP 5XX或者TCP断开/超时)次数 consecutiveErrors: 1 # 分析是否需要剔除的频率,多久分析一次 interval: 1s # 实例被剔除后,至少多久不得返回负载均衡池 baseEjectionTime: 3m # 负载均衡池中最多有多大比例被剔除 maxEjectionPercent: 100 EOF |
登陆到fortio来访问受断路器控制的httpbin服务:
|
1 2 3 |
FORTIO_POD=`kubectl get pod -l app=fortio -o jsonpath={.items..metadata.name}` # 负载测试 # 并发2,不限QPS,执行20次 kubectl exec -it $FORTIO_POD -c fortio -- fortio load -c 2 -qps 0 -n 20 -loglevel Error http://httpbin:8000/get |
上面的fortio命令并发度为2,而断路器仅仅允许1个并发请求,因此会有几率出现错误:
|
1 2 3 4 5 6 7 8 9 10 11 12 |
Fortio 1.0.1 running at 0 queries per second, 4->4 procs, for 20 calls: http://httpbin:8000/get Aggregated Function Time : count 20 avg 0.022291169 +/- 0.03153 min 0.000243608 max 0.086822606 sum 0.44582338 # target 50% 0.0055 # target 75% 0.0225 # target 90% 0.0834113 # target 99% 0.0864815 # target 99.9% 0.0867885 Sockets used: 5 (for perfect keepalive, would be 2) # 错误率15% Code 200 : 17 (85.0 %) Code 503 : 3 (15.0 %) All done 20 calls (plus 0 warmup) 22.291 ms avg, 86.0 qps |
如果将并发度设置为20,连续发送1000次,则错误率飙高到90%:
|
1 2 |
Code 200 : 94 (9.4 %) Code 503 : 906 (90.6 %) |
查询客户端Proxy的统计信息,可以看到更多细节:
|
1 2 3 4 5 6 7 |
kubectl exec -it $FORTIO_POD -c istio-proxy -- sh -c 'curl localhost:15000/stats' | grep httpbin | grep pending # cluster.outbound|8000||httpbin.default.svc.k8s.gmem.cc.upstream_rq_pending_active: 0 # cluster.outbound|8000||httpbin.default.svc.k8s.gmem.cc.upstream_rq_pending_failure_eject: 0 # pstream_rq_pending_overflow提示被断路掉的请求次数 # cluster.outbound|8000||httpbin.default.svc.k8s.gmem.cc.upstream_rq_pending_overflow: 10326 # cluster.outbound|8000||httpbin.default.svc.k8s.gmem.cc.upstream_rq_pending_total: 1016 |
下面的虚拟服务,将所有请求发送给v1,同时镜像一份给v2:
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 |
cat <<EOF | kubectl apply -f - apiVersion: networking.istio.io/v1alpha3 kind: VirtualService metadata: name: httpbin spec: hosts: - httpbin http: - route: - destination: host: httpbin subset: v1 weight: 100 # 流量镜像 mirror: host: httpbin subset: v2 EOF |
发送给镜像服务的请求,其Host/Authority请求头被自动加上-shadow后缀。
利用Mixer和Sidercar,可以获得服务网格的各种统计指标(Metrics)、日志,或者跨越不同的服务进行分布式的调用链追踪。
通过配置,Istio可以自动收集网格中某个服务的统计指标,或者为每次请求产生日志。
下面的例子,为每个请求生成一个Prometheus指标值:
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 |
# 定义一个指标(Metrics)类型的instances的规格,将Istio请求的属性映射为包含维度、度量的指标 # 针对每次请求,都会根据这里的配置,生成一个metrics类型的实例 apiVersion: "config.istio.io/v1alpha2" kind: metric metadata: # 名称 name: doublerequestcount namespace: istio-system spec: # 度量信息,为固定值2 value: "2" # 维度信息 dimensions: # 维度名 维度值 # context,source,destination等都是预定义的Istio请求属性 reporter: conditional((context.reporter.kind | "inbound") == "outbound", "client", "server") # 竖线用于提供默认值 source: source.workload.name | "unknown" destination: destination.workload.name | "unknown" # 除了请求属性表达式外,还可以使用字面值 message: '"twice the fun!"' monitored_resource_type: '"UNSPECIFIED"' --- # 配置一个prometheus适配器,也叫处理器(Handler) # 适配器能够处理instances并和输出到外部系统 apiVersion: "config.istio.io/v1alpha2" kind: prometheus metadata: name: doublehandler namespace: istio-system spec: metrics: # 生成的Prometheus指标的名称,注意,prometheus适配器总是自动添加istio_前缀 - name: double_request_count # instance规格的全限定名称,提供当前适配器的输入 instance_name: doublerequestcount.metric.istio-system # 指标的类型 kind: COUNTER # 产生哪些标签 label_names: # 这些维度作为标签 - reporter - source - destination - message --- # 将doublerequestcount.metric的所有instance派发给适配器prometheus apiVersion: "config.istio.io/v1alpha2" kind: rule metadata: name: doubleprom # 定义在默认配置命名空间,且没有match配置,因此会派发所有instance namespace: istio-system spec: actions: - handler: doublehandler.prometheus instances: - doublerequestcount.metric |
下面的例子,为每个请求产生一条日志:
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 |
# 定义另外一种instance —— 日志条目 —— 的规格 apiVersion: "config.istio.io/v1alpha2" kind: logentry metadata: name: newlog namespace: istio-system spec: # 日志严重度级别 severity: '"warning"' # 日志时间戳 timestamp: request.time # 日志变量 variables: source: source.labels["app"] | source.workload.name | "unknown" user: source.user | "unknown" destination: destination.labels["app"] | destination.workload.name | "unknown" responseCode: response.code | 0 responseSize: response.size | 0 latency: response.duration | "0ms" monitored_resource_type: '"UNSPECIFIED"' --- # 这种处理器处理instance并输出到标准输出 apiVersion: "config.istio.io/v1alpha2" kind: stdio metadata: name: newhandler namespace: istio-system spec: severity_levels: # 将instance.severity == warning映射为WARNIN这个日志级别 warning: 1 # Params.Level.WARNING # 生成JSON格式的日志 outputAsJson: true --- # 将logentry的所有实例发送给stdio处理 apiVersion: "config.istio.io/v1alpha2" kind: rule metadata: name: newlogstdio namespace: istio-system spec: # 匹配所有请求 match: "true" actions: - handler: newhandler.stdio instances: - newlog.logentry --- |
将上述两端配置文件保存为yaml文件,并通过kubectl apply命令安装到K8S,然后进行下一步试验。
打开Istio内置Prometheus服务的Web界面, 输入istio_double_request_count进行查询,可以看到每个微服务的请求次数都被client、server方分别报送,并预先聚合了。
实际上Istio官方提供的Chart中,以及提供了HTTP/TCP请求的次数、持续时间、请求长度、应答长度,以及访问日志的instance/handler/rule配置,可以直接安装使用。
打开Istio内置Grafana服务的Web界面,可以看到Istio目录下预定义好了7个仪表盘页面。该服务使用grafana/grafana:5.0.4版本的镜像。
参考配置请求限速一节。
你可以使用Mixer中可见的任何请求属性来控制对服务的访问。下面的例子禁用了对ratings:v3的访问:
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 |
# 这种适配器用于提示Envoy拒绝访问 apiVersion: "config.istio.io/v1alpha2" kind: denier metadata: name: denyreviewsv3handler spec: status: # 状态码和消息 code: 7 message: Not allowed --- # instance apiVersion: "config.istio.io/v1alpha2" kind: checknothing metadata: name: denyreviewsv3request spec: --- # rule apiVersion: "config.istio.io/v1alpha2" kind: rule metadata: name: denyreviewsv3 spec: # 只要是reviews访问ratings的v3版本,立即拒绝 match: destination.labels["app"] == "ratings" && source.labels["app"]=="reviews" && source.labels["version"] == "v3" actions: - handler: denyreviewsv3handler.denier instances: [ denyreviewsv3request.checknothing ] |
Istio也支持基于请求属性的黑白名单,下面的例子和上面的denier是等价的:
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 |
# 列表检查器,值匹配列表项则进入黑或白名单 apiVersion: config.istio.io/v1alpha2 kind: listchecker metadata: name: whitelist spec: overrides: ["v1", "v2"] # 静态值列表 blacklist: false # 这是白名单 --- # 列表条目instance,从请求抽取单个值 apiVersion: config.istio.io/v1alpha2 kind: listentry metadata: name: appversion spec: # 取版本号 value: destination.labels["version"] --- # 关联两者,效果就是检查版本号,如果不是v1/v2则拒绝访问 apiVersion: config.istio.io/v1alpha2 kind: rule metadata: name: checkversion spec: match: destination.labels["app"] == "ratings" actions: - handler: whitelist.listchecker instances: - appversion.listentry |
以--set tracing.enabled=true选项安装Istio Chart,即可使用。由于默认设置的采样率较低,你需要反复访问多次/productpage才能捕获到Trace。
打开Istio内置Jaeger服务的Web界面,点击顶部按钮切换到Search页签,在Find Traces面板中Service选取productpage,点击Find Traces,看到如下的Trace列表:
点击其中一个Trace,可以查看其调用链信息:
可以看到,这个由单次/productpage请求产生的调用链由6个Span构成,每个Span对应一个彩色条带。每个Span消耗的时间都标注在界面上了。
打开Istio内置Jaeger服务的Web界面,点击顶部按钮切换到Dependencies页签,可以看到Jaeger依据Traces计算出的服务依赖关系图(DAG,有向无环图):
尽管Istio的Sidecar能够自动发送Span给Jaeger,要将这些Span合并为完整的Trace还需要额外的信息,应用程序必须提供必要的HTTP请求头。
每个微服务都需要收集调用它的HTTP请求的x-request-id、x-b3-traceid、x-b3-spanid、x-b3-parentspanid、x-b3-sampled、x-b3-flags、x-ot-span-context头,并在它调用任何上游(Upstream,上图的ratings是reviews的Upstream)微服务时,带上这些头。
Bookinfo中,productpage服务基于Python编写,收集请求头的代码如下:
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 |
def getForwardHeaders(request): headers = {} if 'user' in session: headers['end-user'] = session['user'] incoming_headers = [ 'x-request-id', 'x-b3-traceid', 'x-b3-spanid', 'x-b3-parentspanid', 'x-b3-sampled', 'x-b3-flags', 'x-ot-span-context' ] for ihdr in incoming_headers: val = request.headers.get(ihdr) if val is not None: headers[ihdr] = val return headers |
reviews服务则基于Java编写, 收集请求头的代码如下:
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 |
@GET @Path("/reviews/{productId}") public Response bookReviewsById(@PathParam("productId") int productId, @HeaderParam("end-user") String user, @HeaderParam("x-request-id") String xreq, @HeaderParam("x-b3-traceid") String xtraceid, @HeaderParam("x-b3-spanid") String xspanid, @HeaderParam("x-b3-parentspanid") String xparentspanid, @HeaderParam("x-b3-sampled") String xsampled, @HeaderParam("x-b3-flags") String xflags, @HeaderParam("x-ot-span-context") String xotspan) { int starsReviewer1 = -1; int starsReviewer2 = -1; if (ratings_enabled) { JsonObject ratingsResponse = getRatings(Integer.toString(productId), u ser, xreq, xtraceid, xspanid, xparentspanid, xsampled, xflags, xotspan); } } |
Istio默认会追踪任何请求, 对于开发、测试环境这是可以的,线上环境通常需要降低采样率,否则压力太大。调整采样率有两种方式:
- 使用官方Chart安装时,调整pilot.traceSampling,当前使用的Chart版本已经将其设置为1.0,即百分之一的采样率
- 修改Deployment istio-pilot的环境变量PILOT_TRACE_SAMPLING
采样率的精度是0.01
|
1 2 3 4 |
samples/bookinfo/platform/kube/cleanup.sh kubectl delete -f samples/httpbin/httpbin.yaml kubectl delete -f samples/httpbin/sample-client/fortio-deploy.yaml kubectl delete -f samples/sleep/sleep.yaml |
Istio的流量管理模型,从根本上将流量(traffic flow)和基础设施扩容(infrastructure scaling)进行了解耦。通过Pilot,你可以通过更细致的规则来说明流量如何流动,而不是简单的指定哪个VM/Pod来接收流量。例如,你可以指定某个服务的5%的流量发往金丝雀版本(不管金丝雀的实例数量),或者指定根据请求内容来选择特定版本的服务:
将流量(traffic flow)和基础设施扩容解耦后,Istio可以在应用程序代码外部提供大量的流量管理特性,包括AB测试的请求路由、逐步发布、金丝雀发布,基于超时、重试、断路器的故障恢复,以及为了测试故障恢复策略而进行的故障注入(fault injection)。
流量管理的核心组件是Pilot,它管理、配置所有部署在服务网格中的Envoy代理实例,对Envoy的完整生命周期负责。Pilot除了可以配置路由规则、配置故障恢复特性之外,还维护网格中所有服务的规范(canonical)模型。Envoy就是基于此模型,通过自己的发现服务,找到网格中其它Envoy。
每个Envoy实例都基于从Pilot得到的信息、以及针对负载均衡池中的实例进行周期性的健康检查,来维护负载均衡信息。根据此负载均衡信息,Envoy能够在遵守路由规则的同时,智能的在目的实例之间分发请求。
规范模型是独立于底层平台的,和底层平台的对接由Pilot中的适配器负责,适配器调用底层平台的API(例如K8S适配器实现了必要的控制器来Watch API Server,获取Pod、Ingress等资源的变动),并产生适当的规范模型。
Pilot启用了服务发现,路由表,以及对负载均衡池的动态更新。
使用Pilot的规则配置(Rule Configuration),可以制定高级别的流量管理规则。这些规则会被转换为低级别的配置信息,并分发给Envoy实例。
如上文所述,网格中服务的规范模型由Pilot维护。Istio还引入了服务版本的概念,用于对服务实例进行细粒度区分。服务版本既可以指服务API的版本(v1,v2),也可以指服务运行环境(stg,pdt)或任何其它属性。
在上图中,服务的客户端对服务的不同版本毫无感知。客户端仍然使用服务的IP或主机名来访问,只是Envoy在客户端-服务器之间拦截并转发了请求和响应。
Envoy根据你通过Pilot指定的路由规则,决定实际使用的服务版本。这让应用程序代码和被依赖服务之间实现解耦,可分别独立演化。在路由规则中,你可以指定让Envoy依据源/目标的消息头、Tag来判定服务版本。
Istio假设服务网格的所有出入流量都经由Envoy代理转发。通过这种前置代理可以实现面向用户的服务,包括AB测试、金丝雀部署。在访问外部服务时,Envoy可以实现必要的故障恢复特性,包括超时、重试,并获取外部服务的性能指标。
Istio能够在网格中服务实例之间进行负载均衡。
Istio假设基础设置提供一个服务注册表,此表跟踪某个服务的VM/Pod集。此服务注册表应当负责新实例的加入、不健康实例的移除。
Istio从服务注册表(service registry)中读取服务的信息,并生成平台无关的服务发现接口。Envoy执行服务发现,并动态的更新其负载均衡池。
网格中的服务,利用DNS名称来相互访问。所有针对某个服务的流量,都会在出站前经由Envoy进行重新路由。负载均衡池是决定路由到哪个节点的关键因素。Envoy支持多种负载均衡算法,但是Istio目前仅仅允许:轮询、随机、带权重的最少请求。
Envoy还会周期性的检查负载均衡池中实例的健康情况,这种检查从外部(准确的说是服务消费者)发出的,而不是像K8S Pod健康检查那样,在Pod本地执行。
判断实例是否健康时,Envoy遵循一种断路器模式(circuit breaker pattern),此模式下调用实例API的故障率决定了实例是否健康。当健康检查连续失败指定的次数后,实例被移除负载均衡池;当被移除的实例连续成功指定次数后,它又回到负载均衡池。
如果实例以503代码响应健康检查请求,则它会立即被调用者移出负载均衡池。
Envoy提供了一系列开箱即用的错误恢复机制:
- 超时
- 有限次数的重试,支持可变的重试延迟(jitter)
- 限制针对上游服务的并发连接数、并发请求数
- 主动健康检查——针对负载均衡池中所有成员进行健康检查,并移除不健康实例,移回健康实例
- 可精细控制的断路器(被动健康检查) ,同样针对负载均衡池中的每个实例
所有这些特性,都可以在运行时,利用Istio的流量管理规则动态配置。
联用主动、被动健康检查,可以更大程度上降低访问不健康实例的几率。联用底层基础设施的健康检查机制,不健康实例可以很快的被剔除。
流量管理规则可以为每个服务/版本来配置默认的故障恢复特性。
用于辅助测试端对端的故障恢复能力。
Istio支持多种具体的协议,并向其注入错误信息。而不是粗暴的杀死Pod,或者在TCP层延迟/污染网络包。你可以在应用层注入更加有意义的错误,例如HTTP的状态码。
Istio支持对特定请求进行错误注入,或者指定多少百分比的请求被错误注入。
可以注入的错误有两类:
- 延迟:模拟网络延迟和上游服务过载
- 中止:模拟上游服务错误,通常使用HTTP错误码、TCP连接错误的方式
流量镜像(Traffic mirroring)也叫shadowing,运行团队在最小风险的前提下改变产品的功能。其做法是将线上环境的流量复制到一个“镜像服务“中,镜像服务和关键请求处理链是隔离。
VirtualService支持为route配置mirror。
网关是运行在服务网格边缘的负载均衡器,它处理入站或出站的TCP/HTTP连接。
Istio提供入口网关,出口网关,对应:
- 的CRD为Gateway、ServiceEntry
- 的Operator为istio-ingressgateway、istio-egressgateway
在典型的Kubernetes环境下,Ingress控制器读取Ingress资源,提供外部访问K8S集群的入口。
而使用Istio时,Ingress资源的地位由Gateway + VirtualServices取代。在集群内部组件相互交互时,不需要配置Gateway资源。
使用Istio Gateway时的客户端访问时序如下:
- 客户端发起针对负载均衡器的请求
- 负载均衡器将请求转发给集群的IngressGateway Service,该服务可以部署为NodePort,它的后端是一个Deployment
- IngressGateway根据Gateway资源、VirtualService资源的配置信息,将请求路由给K8S的Service
- Gateway提供端口、协议、数字证书信息
- VirtualService到K8S Service的路由信息
- K8S Service将请求路由给Pod
该时序如下图所示,注意IngressGateway的Sidecar负责转发客户端请求:
每当你创建/修改Gateway、VirtualService资源,Pilot会监测到并将其转换为Envoy配置,然后发送给相关的Sidecar,包括运行在IngressGateway Pod中的Envoy。
默认情况下,启用了Istio的微服务无法访问集群外部的URL, 这是因为Envoy修改了Pod所在网络命名空间的Iptables,透明的将所有出口流量都重定向到Sidercar,而不经任何配置Sidecar只会处理集群内部的Destination。
要将外部服务暴露给启用了Istio的微服务(外部服务的客户端),必须:
- 定义ServiceEntry,这种自定义资源相当于出口网关定义。ServiceEntry支持通配符匹配主机,可以降低配置工作量
- 或者,配置一个IP范围,此范围跳过Istio代理。你可以设置Chart变量, --global.proxy.includeIPRanges=“10.5.0.0/16”,则当从网格内部访问10.5网段时直接绕过代理。此特性已经弃用。可以使用sidecar-injector的ConfigMap的includeOutboundIpRanges,或者Pod注解traffic.sidecar.istio.io/includeOutboundIPRanges代替
另外注意,访问集群内部域名、IP地址不受限制,即使不配置VirtualService也可以访问,而且Kiali直接可以识别出这种流量。
ServiceEntry还可以配合Gateway+VirtualService,将出口流量导向一组特殊的Pod —— istio-egressgateway,这种配置方式的适用场景是:
- 离开网格的所有流量必须流经一组专用节点,这一组节点有特殊的监控和审查
- 集群中的一般性节点不能访问网格外部
Istio使用一个简单的配置模型来描述API调用/TCP流量如果在服务网格中流动。使用此配置模型,你可以:
- 配置服务级别的属性,例如断路器、超时、重试
- 配置通用的持续交付(CD)任务,例如金丝雀发布(Canary rollout)、A/B测试、阶段性部署(Staged rollout)——基于百分比的流量分配
配置模型映射为K8S的资源,包括VirtualService、DestinationRule、ServiceEntry、Gateway四种。
在K8S中你可以用kubectl来配置这些资源,它们都是CR。
定义服务的请求如何在服务网格中路由。虚拟服务能够将请求路由给服务的不同版本,甚至是完全不同的服务。
下面的示例,将针对review服务的请求,3/4发给v1版本,1/4发给v2版本:
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 |
apiVersion: networking.istio.io/v1alpha3 kind: VirtualService metadata: # 虚拟服务的名字 name: reviews spec: hosts: # 服务的DNS名称,可以是FQDN,在K8S环境下,可以直接指定服务的短名 - reviews http: # 路由规则的数组 - route: - destination: # host必须是服务注册表中,没有歧义的名称 # Istio服务注册表包含底层平台(K8S)服务注册表的全部条目,以及ServiceEntry声明的服务条目 # 对于K8S用户需要注意,使用DNS短名时,Istio将根据DestinationRule的命名空间来生成FQDN,而不是当前VirtualService host: reviews # 发送给reviews服务实例的v1子集 # 这里仅仅指定子集的名称,子集的规格通过DestinationRule配置 subset: v1 # 路由到此版本的权重,取值0-100 weight: 75 - destination: host: reviews # 如果目标服务仅仅暴露单个端口,则不需要声明下面这个字段 port: 80 subset: v2 weight: 25 |
默认情况下HTTP请求的超时为15秒,你可以覆盖此默认值。重试也类似:
|
1 2 3 4 5 6 7 8 9 10 11 12 13 |
... spec: ... http: - route: # 超时 timeout: 10s # 重试 retries: # 最多重试次数 attempts: 3 # 每次重试的超时 perTryTimeout: 2s |
也可以在请求级别覆盖超时、重试配置,只需要提供特殊的请求头x-envoy-upstream-rq-timeout-ms、x-envoy-max-retries即可。
你可以为http进行故障注入,要么是delay,要么是abort。
下面的例子,为ratings服务的v1版本10%的请求引入5秒的延迟:
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 |
apiVersion: networking.istio.io/v1alpha3 kind: VirtualService metadata: name: ratings spec: hosts: - ratings http: - fault: delay: # 多少比例的请求被注入故障 percent: 10 # 引入固定5秒的延迟 fixedDelay: 5s route: - destination: host: ratings subset: v1 |
下面的例子,则为10%的请求引发400错误:
|
1 2 3 4 5 6 7 8 9 10 |
... spec: ... http: - fault: abort: # 多少比例的请求被注入故障 percent: 10 # 返回的HTTP状态码 httpStatus: 400 |
delay和abort是可以联合使用的:
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 |
... metadata: name: ratings spec: http: # 从reviews服务v2版本发起的,针对ratings服务v1版本的请求 - match: - sourceLabels: app: reviews version: v2 fault: # 引入5秒延迟 delay: fixedDelay: 5s # 为10%请求引发400错误 abort: percent: 10 httpStatus: 400 |
规则可以仅仅针对满足特定条件的请求。
可以限定请求者的标签,在K8S环境下即Pod的Label:
|
1 2 3 4 5 6 7 8 9 |
... spec: http: # 仅针对reviews服务v2版本发起的请求 - match: - sourceLabels: app: reviews version: v2 route: ... |
也可以限定HTTP请求头:
|
1 2 3 4 5 6 7 8 |
... spec: http: - match: - headers: # end-user头必须为alex end-user: exact: alex |
还可以限定请求URL路径、HTTP方法、HTTP Scheme、HTTP Authority值:
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 |
... spec: http: - match: - uri: # 请求URL,除去scheme://host部分,必须以/api/v1开头 # 除了prefix,还可以配置 # exact,表示精确匹配 # regex,表示正则式匹配 prefix: /api/v1 - scheme: exact: https - authority: regex: ".*.gmem.cc" - method: regex: "GET|POST" |
多个条件可以进行逻辑与/或。在单个match元素中声明多个条件,则为AND:
|
1 2 3 4 5 6 7 8 9 10 |
spec: http: - match: # 同时限定Pod标签、请求头 - sourceLabels: app: reviews version: v2 headers: end-user: exact: alex |
在多个match元素中分别声明,则为OR:
|
1 2 3 4 5 6 7 8 9 10 11 |
spec: http: - match: # Pod标签匹配 - sourceLabels: app: reviews version: v2 # 或者请求头匹配 - headers: end-user: exact: alex |
如果对于相同的目标(host + subset),配置了两个或更多的规则(http子元素),那么第一个(配置文件最前面)匹配的规则优先级最高。
Istio支持为虚拟服务配置跨源资源共享策略:
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 |
spec: http: - route: corsPolicy: # 允许发起CORS请求的源,设置为*则允许任何源 allowOrigin: - gmem.cc # CORS请求可以使用的HTTP方法 allowMethods: - POST - GET # Access-Control-Allow-Credentials头 allowCredentials: false # 允许的请求头 allowHeaders: - X-Foo-Bar # preflight request可以被缓存的时间 maxAge: "1d" |
虚拟服务可以直接返回301重定向给调用者:
|
1 2 3 4 5 6 7 |
spec: http: redirect: # 重定向时覆盖URL查询路径 uri: /v1/bookRatings # 重定向时覆盖URL的Authority(Host)部分 authority: newratings.default.svc.cluster.local |
虚拟服务可以在转发请求给Dest之前,对HTTP请求的特定部分进行修改:
|
1 2 3 4 5 6 7 8 9 |
spec: http: - match: - uri: prefix: /ratings # 将URL前缀从/ratings修改为/v1/bookRatings rewrite: uri: /v1/bookRatings authority: ... |
参考上文的例子。
在VirtualService定义了路由发生后,DestinationRule进一步应用一系列的策略到请求上。这类规则可能声明断路器、负载均衡器的属性,执行TLS配置,最基本的是定义可寻址的服务子集。DestinationRule针对某个特定的真实服务(host)。
下面的示例,声明了服务子集:
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 |
apiVersion: networking.istio.io/v1alpha3 kind: DestinationRule metadata: # 服务的名称 name: reviews spec: host: reviews # 配置服务的子集 # 在K8S中,服务的具有标签version=v1的Pod,并加入到v1子集 subsets: - name: v1 labels: version: v1 - name: v2 labels: version: v2 |
可以针对所有子集配置:
|
1 2 3 4 5 6 7 8 9 10 11 |
... spec: host: reviews trafficPolicy: # 负载均衡策略 loadBalancer: # 算法:ROUND_ROBIN(默认) # LEAST_CONN, O(1)复杂度算法,随机选取两个健康实例,并取其中活动请求少的 # RANDOM # PASSTHROUGH,直接转发给调用者请求的IP地址,不进行任何负载均衡 simple: RANDOM |
也可以针对特定子集:
|
1 2 3 4 5 6 7 8 |
spec: subsets: - name: v2 labels: version: v2 trafficPolicy: loadBalancer: simple: ROUND_ROBIN |
基于一致性哈希的负载均衡可以实现基于HTTP请求头、Cookie或其它属性的软的会话绑定(Session affinity):
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 |
apiVersion: networking.istio.io/v1alpha3 kind: DestinationRule metadata: name: bookinfo-ratings spec: host: ratings.prod.svc.cluster.local trafficPolicy: loadBalancer: consistentHash: # 三选一 # 基于请求头进行哈希计算 httpHeaderName: end-user # 基于源IP地址进行哈希计算 useSourceIp: true # 基于Cookie进行哈希计算,如果Cookie不存在,Envoy会自动产生 httpCookie: # Cookie的名称、路径、生命周期 name: user path: .. ttl: 0s |
可以根据一系列条件进行断路,例如根据并发连接数:
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 |
spec: subsets: - name: v1 labels: version: v1 trafficPolicy: # Sidecar为每个上游服务的实例都配备一个连接池,断路器依赖此连接池才能工作 # connectionPool可以有tcp、http两个字段 connectionPool: tcp: # 最大连接数 maxConnections: 100 # 连接超时 connectTimeout: http: # 最大等待处理的请求数量 http1MaxPendingRequests: 1024 # HTTP2最大请求数 http2MaxRequests: 1024 # 每个TCP连接可以被多少请求共享使用,设置为1则禁用keep-alive maxRequestsPerConnection: # 最大重试次数 maxRetries: 3 # 异常检测 outlierDetection: ... |
上文有个具体的例子。
用于访问位于服务网格外部的服务,将其作为服务条目添加到Istio内部管理的服务注册表(service registry)中。
下面的例子,允许Envoy代理针对gmem.cc的HTTP请求:
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 |
apiVersion: networking.istio.io/v1alpha3 kind: ServiceEntry metadata: name: gmem-ext-svc spec: hosts: # 可以使用通配符,表示一个白名单,允许从服务网格内部访问它们 # 注意,1.0.5貌似不支持通配符 - *.gmem.cc location: MESH_EXTERNAL resolution: DNS ports: - number: 80 name: http protocol: HTTP - number: 443 name: https protocol: HTTPS |
ServiceEntry可以和VirtualService一起工作,作为VirtualService的host。
下面的例子以主机名来指定外部服务端点:
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 |
apiVersion: networking.istio.io/v1alpha3 kind: ServiceEntry metadata: name: external-svc-dns spec: hosts: - foo.bar.com location: MESH_EXTERNAL ports: - number: 80 name: https protocol: HTTP resolution: DNS # 端点列表 endpoints: - address: us.foo.bar.com ports: https: 8080 - address: uk.foo.bar.com ports: https: 9080 - address: in.foo.bar.com ports: https: 7080 |
下面的例子以IP来指定外部服务端点:
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 |
apiVersion: networking.istio.io/v1alpha3 kind: ServiceEntry metadata: name: external-svc-mongocluster spec: hosts: - mymongodb.somedomain # 网格内部通过此域名访问 addresses: - 192.192.192.192/24 # 指定虚拟IP ports: - number: 27018 name: mongodb protocol: MONGO location: MESH_INTERNAL # 用Proxy静态解析域名 resolution: STATIC # 解析到: endpoints: - address: 2.2.2.2 - address: 3.3.3.3 |
配置在网格的边缘,用于外部访问服务网格(Ingress),为TCP/HTTP流量提供负载均衡。
和Kubernetes的Ingress不同,Istio网关仅仅在L4-L6上配置,而不使用L7。 你可以把Gateway绑定到VirtualService,进而使用Istio标准的方式来管理HTTP请求和TCP流量。
下面的例子,允许网格外部发送针对gmem.cc的HTTPS请求:
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 |
apiVersion: networking.istio.io/v1alpha3 kind: Gateway metadata: name: gmem-gateway spec: servers: # 多个网关可以分开配置,也可以配置在同一个Gateway资源中 - port: number: 443 name: https protocol: HTTPS hosts: - gmem.cc tls: mode: SIMPLE # 服务器数字证书,必须挂载到istio-ingressgateway serverCertificate: /tmp/tls.crt # 服务器私钥,必须挂载到istio-ingressgateway privateKey: /tmp/tls.key # 如果客户端发送HTTP请求,则将其重定向到HTTPS httpsRedirect: true # 下面是一个TCP网关,使用MongoDB协议 - port: number: 2379 name: mongo protocol: MONGO hosts: [ "*" ] |
必须把上述网关绑定到VirtualService,它才能工作:
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 |
apiVersion: networking.istio.io/v1alpha3 kind: VirtualService metadata: name: gmem spec: selector: istio: ingressgateway servers: hosts: - gmem.cc - "*" # 参考下面的TCP网关 # 将虚拟服务绑定到网关 gateways: - gmem-gateway http: - match: - uri: prefix: /blog route: ... |
为集群内的TCP服务建立入口Gateway时,hosts字段被忽略,你可以设置为通配符以匹配任何VirtualService:
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 |
apiVersion: networking.istio.io/v1alpha3 kind: Gateway样例 metadata: name: default-gateway namespace: istio-system spec: selector: # 使用Istio的入口网关专用Pod istio: ingressgateway servers: - hosts: - '*' port: name: mysql number: 3306 protocol: TCP |
ServiceEntry可以配合Gateway+VirtualService,将出口流量导向一组特殊的Pod —— istio-egressgateway。本节给出一个样例。
首先定义一个ServiceEntry:
|
1 2 3 4 5 6 7 8 9 10 11 12 |
apiVersion: networking.istio.io/v1alpha3 kind: ServiceEntry metadata: name: gmem spec: hosts: - k8s.gmem.cc ports: - number: 80 name: http protocol: HTTP resolution: DNS |
有了这个配置以后,就可以从网格内部访问k8s.gmem.cc了,但是流量直接从Sidecar发往k8s.gmem.cc。
现在,我们要让流量通过istio-egressgateway的Pod转发。首先,定义一个Gateway:
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 |
apiVersion: networking.istio.io/v1alpha3 kind: Gateway metadata: name: gmem spec: selector: # 使用Istio的出口网关专用Pod istio: egressgateway servers: - port: number: 80 name: http protocol: HTTP hosts: - k8s.gmem.cc |
然后,定义一个虚拟服务:
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 |
apiVersion: networking.istio.io/v1alpha3 kind: VirtualService spec: hosts: - k8s.gmem.cc gateways: - istio-egressgateway - mesh http: - match: # 此路由规则作用在mesh,也就是网格中所有的sidecar上 - gateways: - mesh port: 80 route: # 将流量转发到istio-egressgateway - destination: host: istio-egressgateway.istio-system.svc.k8s.gmem.cc port: number: 80 weight: 100 - match: # 此路由规则作用在istio-egressgateway,将流量导出到集群外部 - gateways: - istio-egressgateway port: 80 route: - destination: host: k8s.gmem.cc port: number: 80 weight: 100 |
Istio提供了一个灵活的模型,用以收集网格中服务的各种指标(telemetry)。指标收集工作主要由Mixer负责。
从逻辑上说,每次:
- 请求发起前,消费者的Envoy都会调用Mixer,执行前提条件检查
- 每次请求处理完成后,都会调用Mixer,发送监控指标
Sidecar在本地具有缓存,大部分前提条件检查都在本地完成。此外监控指标也具有本地缓冲,不会频繁的发送给Mixer。
Mixer是高度模块化的、可扩展的组件。通过适配器,它支持多种日志记录、配额、授权、监控后端,并将这些策略、监控后端和Istio的其它部分解耦。
适配器封装了Mixer和外部基础设施后端(例如Prometheus)交互的逻辑,每个适配器都需要特定的配置参数才能工作,例如logging适配器需要知道后端服务的IP和端口。
具体使用哪些适配器,也就是启用哪些后端,通过配置文件来指定。
| 适配器 | 说明 |
| prometheus |
此适配器暴露了HTTP访问端点,Prometheus可以来采集此端点,获取服务网格的各项指标 使用Istio官方提供的Chart时,默认会在当前命名空间安装一个Prometheus服务器,并自动配置以抓取以下端点:
|
Mixer是非常高可用的组件,并且,它能在整体上提供服务网格的可用性、降低延迟:
- 无状态,Mixer没有任何持久化状态
- 高度健壮,每个实例都具有99.999%的可用性
- 缓存和缓冲,Mixer可以在本地累积大量的临时数据
在每个Pod上都要部署的Sidecar,必须尽可能占用少的内存。这意味着Sidecar的本地缓存、缓冲不能太大。Mixer可以作为Sidercar的高可用二级缓存使用。此外,Mixer的缓冲可以在后端基础设施(例如Prometheus)失败的情况下,继续运行(接受Envoy发来的指标),因而提高了可用性。
Mixer的缓存/缓冲也减少了对后端基础设施的访问频率,甚至减少访问数据量,因为它可以在本地进行数据聚合。
属性(Attributes)是Istio策略/监控功能的关键概念。属性是一小块数据,描述某个请求的自身的特征(property)或请求所处的环境,例如一个属性可能表示请求的长度、响应的状态码、请求来自的IP地址。每个属性都具有名称和取值。
属性的字段,可能由请求的客户端Sidecar报告,也可能由请求的服务端Sidecar报告。
Mixer本质上就是属性处理程序。Envoy为每个请求调用Mixer,并且发送请求的属性。Mixer依据请求属性,以及Mixer自己的配置,对若干基础设施后端发起调用:
| 属性 | 说明 |
| source.uid |
平台相关的源工作负载实例的唯一标识,例如: kubernetes://redis-master-0.default |
| source.ip | ip_address,源工作负载实例的IP地址 |
| source.labels |
map[string, string],源工作负载实例的标签集,例如: version => v1 |
| source.name | 源工作负载实例的名称,例如:redis-master-0 |
| source.namespace | 源工作负载实例所在的命名空间,例如default |
| source.principal | 源工作负载实例的身份认证主体,例如service-account-redis |
| source.owner | 源工作负载实例的所有者资源的唯一标识,Pod常常由Deployment所有,例如:kubernetes://apis/extensions/v1beta1/namespaces/istio-system/deployments/istio-policy |
| source.workload.uid | 源工作负载(非实例,也就是服务)的信息 |
| source.workload.name | |
| source.workload.namespace | |
| destination.uid | 目标工作负载实例的信息 |
| destination.ip | |
| destination.port | |
| destination.labels | |
| destination.name | |
| destination.namespace | |
| destination.principal | |
| destination.owner | |
| destination.workload.uid | 目标工作负载的信息 |
| destination.workload.name | |
| destination.workload.namespace | |
| destination.container.name | 目标工作负载实例的容器名,例如runtime |
| destination.container.image | 目标工作负载实例的容器镜像 |
| destination.service.host | 目标工作负载的主机名,例如grafana.default.svc.k8s.gmem.cc |
| destination.service.uid | 目标工作负载的唯一标识 |
| destination.service.name | 目标工作负载的名称,也就是K8S服务短名 |
| destination.service.namespace | 目标工作负载所在命名空间 |
| request.headers | map[string, string],HTTP请求头,对于gRPC,其元数据存放在此 |
| request.id | 低碰撞风险的请求唯一标识 |
| request.path | 请求的URL查询路径部分 |
| request.host | 请求的URL主机部分 |
| request.method | 请求的HTTP方法 |
| request.reason | 用于审计系统的请求原因 |
| request.referer | HTTP referer头 |
| request.scheme | 请求URL的Schema部分 |
| request.size | 请求字节数,对于HTTP来说等于Content-Length |
| request.total_size | 请求总大小,包括请求头、请求体、请求尾 |
| request.time | timestamp,目标接收到请求的时间 |
| request.useragent | HTTP User-Agent头 |
| response.headers | HTTP响应头 |
| response.size | HTTP响应大小 |
| response.total_size | |
| response.time | timestamp,目标返回响应的时间 |
| response.duration | duration,目标处理请求所消耗的时间 |
| response.code | int64,HTTP状态码 |
| response.grpc_status | gRPC状态码 |
| response.grpc_message | gRPC状态消息 |
| connection.id | 低碰撞风险的TCP连接的唯一标识 |
| connection.event | TCP连接的状态,open/continue/close之一 |
| connection.received.bytes | 针对连接的最后一次Report()调用之后,接收到的字节数 |
| connection.received.bytes_total | 接收到的总字节数 |
| connection.sent.bytes | 针对连接的最后一次Report()调用之后,发送的字节数 |
| connection.sent.bytes_total | 发送的总字节数 |
| connection.duration | TCP连接已经打开的时间 |
| connection.mtls | boolean,是否启用mTLS |
| connection.requested_server_name | 连接所请求的服务器名称(SNI) |
| context.protocol | 请求或被代理连接使用的协议,例如tcp |
| context.time | Mixer操作的时间戳 |
| context.reporter.kind |
如果当前请求属性是从客户端报告,则为outbound 如果当前请求属性是从服务端报告,则为inbound |
| context.reporter.uid | 请求报告者的UID |
| api.service | gRPC公共服务名,不是网格内部的服务标识,而是暴露给客户端的服务的名称 |
| api.version | gRPC接口版本 |
| api.operation | gRPC操作名称,例如getPetsById |
| api.protocol | 暴露给客户端的协议,可以是http, https, grpc |
| request.auth.principal | 源身份验证相关 |
| request.auth.audiences | |
| request.auth.presenter | |
| request.auth.claims | |
| request.api_key | |
| check.error_code | Mixer Check调用的错误码 |
| check.error_message | Mixer Check调用的错误消息 |
| check.cache_hit | Mixer Check调用是否命中本地缓存 |
| quota.cache_hit | Mixer Quota调用是否命中本地缓存 |
在你配置Instance的时候,往往需要对Attributes进行各种计算,才能得到Instance的字段。Attributes表达式是Go expressions的子集。
| 操作符 | 说明 |
| == | 逻辑等于,示例: request.size == 200 |
| != | 逻辑不等,示例: request.auth.principal != "admin" |
| || | 逻辑或,示例: (request.size == 200) || (request.auth.principal == "admin") |
| && | 逻辑与 |
| [ ] | 用于访问映射,示例: request.headers["x-id"] |
| + | 算术加或字符串拼接,示例: request.host + request.path |
| | |
如果左操作数为空,则表达式值为右操作数,示例: source.labels["app"] | source.labels["svc"] | "unknown" |
| 函数 | 说明 | ||
| match | Glob匹配,示例: match(destination.service, "*.default.svc.k8s.gmem.cc") | ||
| 将文本转换为EMAIL_ADDRESS类型,示例: email("alex@gmem.cc") | |||
| dnsName | 将文本转换为DNS_NAME类型,示例: dnsName("www.gmem.cc") | ||
| ip | 将文本转换为IP_ADDRESS类型,示例: source.ip == ip("10.11.12.13") | ||
| timestamp | 将RFC 3339文本转换为TIMESTAMP类型,示例: timestamp("2015-01-02T15:04:35Z") | ||
| uri | 将文本转换为URI类型,示例: uri("http://istio.io") | ||
| .matches | 正则式匹配,示例: "svc.*".matches(destination.service) | ||
| .startsWith |
判断是否字符串以目标子串开头/结尾,示例:
|
||
| .endsWith | |||
| emptyStringMap |
创建一个空的map[string][string],示例:
|
||
| conditional |
模拟三元表达式:
|
Istio的策略和监控特性基于一个公共的模型来配置,你需要配置三类资源:
- Handlers:决定使用哪些适配器,这些适配器如何运作
- Instances:定义如何把请求属性映射为适配器的输入。Instance代表一个或多个适配器需要处理的数据块
- Rules:决定何时调用适配器,传递什么instance给它
每种适配器都有自己的CRD,下面的例子是listchecker。该适配器检查输入参数是否在列表中,如果是,适配器返回true:
|
1 2 3 4 5 6 7 8 |
apiVersion: config.istio.io/v1alpha2 kind: listchecker metadata: name: staticversion namespace: istio-system spec: providerUrl: http://white_list_registry/ blacklist: false |
下面的例子是prometheus,该适配器消费指标并且进行预聚合:
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 |
apiVersion: config.istio.io/v1alpha2 kind: prometheus metadata: name: handler namespace: istio-system spec: metrics: # 指标列表 - name: request_count # 使用哪个instance instance_name: requestcount.metric.istio-system # 指标类型 kind: COUNTER # 额外添加的标签,这里指定的都是instance的dimensions元素 label_names: - destination_service - destination_version - response_code - name: request_duration instance_name: requestduration.metric.istio-system kind: DISTRIBUTION label_names: - destination_service - destination_version - response_code buckets: explicit_buckets: bounds: [0.005, 0.01, 0.025, 0.05, 0.1, 0.25, 0.5, 1, 2.5, 5, 10] |
每种Instance都有自己的CRD,用于将请求属性映射为适配器的输入。下面的例子为prometheus适配器提供输入:
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 |
apiVersion: config.istio.io/v1alpha2 kind: metric metadata: name: requestduration namespace: istio-system spec: # 注意可以用 | 提供默认值 value: response.duration | "0ms" # 额外的标签 dimensions: destination_service: destination.service | "unknown" destination_version: destination.labels["version"] | "unknown" response_code: response.code | 200 monitored_resource_type: '"UNSPECIFIED"' |
指定在何时调用handler,传递什么instance给它。下面的规则表示,如果被访问的服务是service1,且请求头x-user为user1,则将名为requestduration的metric传递给Prometheus:
|
1 2 3 4 5 6 7 8 9 10 11 |
apiVersion: config.istio.io/v1alpha2 kind: rule metadata: name: promhttp namespace: istio-system spec: match: destination.service == "service1.ns.svc.cluster.local" && request.headers["x-user"] == "user1" actions: - handler: handler.prometheus instances: - requestduration.metric.istio-system |
适配器memquota可以用于实现流量配额,也就是限制请求速率。在生产环境下常常使用redisquota代替之。
要实现速率限制,需要在Client、Mixer两个地方进行配置:
- Client:
- QuotaSpec,指定配额的名称,客户端需要请求的量
- QuotaSpecBinding,条件性的将QuotaSpec关联到一个或多个服务
- Mixer:
- quota instance:从请求总抽取配额使用信息
- memquota handler:处理instance的适配器
- quota rule:规定何时将instance发送给handler
每个Quota实例都维护了一组计数器的集合,集合的大小即为dimensions的笛卡尔积。
当一个新请求到来时,如果Mixer发现超过在validDuration时间内超过maxAmount限制,则它发送RESOURCE_EXHAUSTED消息给请求方的Envoy,Envoy则返回429响应码给调用者。
memquota的时间区间使用滑动窗口的方式,分辨率为亚秒级。redisquota则既支持滚动窗口、也支持固定窗口算法。
适配器配置如下:
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 |
apiVersion: "config.istio.io/v1alpha2" kind: memquota metadata: name: handler namespace: istio-system spec: # 定义了四个不同的限速模式(Scheme),本质上是依据请求属性的不同,应用不同的限速规则 quotas: # 针对的instance的全限定名称 - name: requestcount.quota.istio-system # 第一个,默认模式:对于不匹配任何overrides的请求,应用 500 req/s 的限制 maxAmount: 500 validDuration: 1s overrides: # 第二个,不管源(source,在本示例中即请求头x-forwarded-for)是谁,只要目标(服务)是reviews,应用 1 req/5s 的限制 - dimensions: destination: reviews maxAmount: 1 validDuration: 5s # 第三个,如果源的IP是10.28.11.20,且目标是productpage服务,应用 500 req/s 的限制 - dimensions: destination: productpage source: "10.28.11.20" maxAmount: 500 validDuration: 1s # 第四个,如果目标是productpage服务,应用 2 req/5s 的限制 - dimensions: destination: productpage maxAmount: 2 validDuration: 5s |
对于每个请求,从上往下寻找匹配的overrides,如果发现匹配则不再继续寻找,如果找不到匹配使用默认模式。
该Instance从请求中抽取memquota所需的输入:
|
1 2 3 4 5 6 7 8 9 10 11 12 13 |
apiVersion: "config.istio.io/v1alpha2" kind: quota metadata: name: requestcount namespace: istio-system spec: dimensions: # 源,以x-forwarded-for头为准,此头是请求经过的代理的链,逗号分隔,第一个是真实IP source: request.headers["x-forwarded-for"] | "unknown" # 目的服务,优先取app标签 destination: destination.labels["app"] | destination.service | "unknown" # 目的服务的版本,取version标签 destinationVersion: destination.labels["version"] | "unknown" |
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 |
apiVersion: config.istio.io/v1alpha2 kind: rule metadata: name: quota # 需要注意,官方下载的sample中忘记了下面这行 namespace: istio-system spec: # 条件性配额,只有满足条件的请求才被限速 match: match(request.headers["cookie"], "user=*") == false actions: # 将handler和instance绑定 - handler: handler.memquota instances: - requestcount.quota |
配额规格,可以指定单次请求会消耗哪些配额,消耗的量是多大:
|
1 2 3 4 5 6 7 8 9 10 11 |
apiVersion: config.istio.io/v1alpha2 kind: QuotaSpec metadata: name: request-count namespace: istio-system spec: rules: - quotas: # 每个请求消耗多少份量的requestcount配额。如果配额500,该参数设置为5,则validDuration时间区间内你最多请求100次 - charge: 1 quota: requestcount |
将配额规格关联到需要启用限速功能的服务:
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 |
apiVersion: config.istio.io/v1alpha2 kind: QuotaSpecBinding metadata: name: request-count namespace: istio-system spec: quotaSpecs: - name: request-count namespace: istio-system services: # default命名空间的productpage服务,客户端访问它时,会被限速 - name: productpage # 由于被限制的服务不在当前命名空间(istio-system),需要明确指定 namespace: default |
如果要将配额绑定到所有服务,限制它们作为客户端时的访问速率,则:
|
1 |
- service: '*' |
上述几个CR可以通过下面的命令创建:
|
1 |
kubectl apply -f samples/bookinfo/policy/mixer-rule-productpage-ratelimit.yaml |
然后,反复刷新/productpage, 你会接收到错误提示:RESOURCE_EXHAUSTED:Quota is exhausted for: requestcount。这个信息是被调用服务的Envoy的响应体,它同时提供了429状态码。
查看productpage的日志,可以看到:
|
1 |
[2018-11-29T13:37:47.294Z] "GET /productpageHTTP/1.1" 429 |
再查看调用者即入口网关的日志,可以看到:
|
1 |
"GET /productpageHTTP/1.1" 429 ... outbound|9080||productpage.default.svc.k8s.gmem.cc |
被限速的情况下,入口网关根本没有访问到productpage,直接被后者的Sidecar给拦截了。
本例中大部分资源都在istio-system中创建,如果你希望仅仅影响单个命名空间而非整个服务网格,则可以把它们都创建到指定的其它命名空间。
将单体应用分解为微服务可以获得很多好处,例如更灵活、更容易扩容、更容易重用。但是,微服务也引入额外的安全需求:
- 为了防止中间人攻击,需要进行流量加密。安全内网环境下可以忽略
- 为了提供灵活的访问控制,需要双向TLS认证,以及细粒度的访问控制策略
- 为了审计谁在什么时候访问了什么,需要审计工具
Istio的安全特性能够满足以上需求。Istio安全支持:
- 强身份验证(strong identity)
- 强大的策略配置
- 透明的TLS传输
- AAA —— 认证、授权、审计
和Istio安全有关的组件包括:
- Citadel,负责密钥、证书管理
- Sidecar和周边代理(perimeter proxies,运行在Ingress/Egress的代理 ),实现客户端 - 服务之间的安全通信
- Pilot,分发身份验证策略、安全命名信息给代理
- Mixer,管理授权和审计
身份标识(Identity)是任何安全基础设施的基础。两个服务开始交互前,需要相互交换自己身份的凭证信息,以进行双向身份验证:
- 客户端利用安全命名(secure naming information)信息检查服务器的身份,以确保它是服务的授权提供者(Runner)
- 在服务器端:
- 利用授权策略(authorization policies)来决定是否接受客户访问
- 记录审计日志 —— 谁在何时访问了什么
- 根据其使用的服务,对客户端计费
- 拒绝没付费的客户端的访问请求
在不同平台上,Istio使用不同方式来实现服务身份(Service identities):
- 在K8S上使用ServiceAccount
- 在GKE/GCE上使用GCP服务账号
- 在AWS上使用AWS IAM用户/角色账号
- 裸机器,可以使用用户账号、自定义服务账号、服务名称、Istio服务账号,等等
Istio的PKI建立在Citadel之上,能够安全的为任何工作负载提供代表身份的数字证书(X.509,SPIFFE格式),并且支持密钥和证书的自动轮换(更新)。
在K8S场景下:
- Citadel会监控API Server,为所有Service Account创建SPIFFE格式的密钥对,并且存储为K8S的Sercret
- 当创建Pod后,Pod使用的Service Account的密钥对会挂载为卷
- Citadel会监控证书的生命周期,并自动轮换,然后自动更新Secret,从而让Pod自动获得更新
- Pilot会创建安全命名信息,此信息定义了什么Service Account能够运行什么服务。安全命名信息被传播给Envoy
Istio提供两种类型的身份验证:
- 传输身份验证:即服务-服务身份验证。 认证直接的请求发起者的身份,Istio支持双向身份验证
- 源(Origin)身份验证:即终端用户身份验证。验证最初发起请求的用户或者设备。Istio支持基于JSON Web Token(JWK)的请求级身份验证
通过配置服务的身份验证策略(authentication policies),可以为其启用身份验证功能。
通过服务消费者、提供者的Envoy代理,Istio实现了服务-服务通信的安全隧道。请求的处理步骤如下:
- 将消费者的请求重新路由到本地的Sidecar —— Envoy
- 消费者Envoy向提供者的Envoy发起双向认证的TLS握手。在握手期间,消费者Envoy也会对提供者进行安全命名检查,看看它的Service Account是否有权提供目标服务
- 两个Envoy建立TLS连接,流量通过此连接转发
- 提供者确认消费者有权限访问后,将流量转发给本地的主容器
安全命名信息是一个多对多映射,从编码在数字证书中的服务的身份标识(K8S中为Service Account),到(被发现服务或DNS引用的)服务名称。从A到B的映射,其含义是A有资格运行B服务。
Pilot会监控K8S的API Server,取得Service Account + Pod等信息,生成安全命名信息,并安全的分发给Envoy。
Istio使用基于角色的权限控制(RBAC),允许命名空间级别、服务级别、HTTP方法级别的访问控制。Istio支持:
- 基于角色的授权,简单易用
- 服务-服务、终端用户-服务,两种访问控制
- 高性能,授权直接在Envoy上发生
架构图如下:
默认情况下Citadel会自己生成密钥对并自签名,作为CA证书。你也可以提供现有的CA证书,只需要创建对应的保密字典即可:
|
1 2 3 4 5 6 7 8 9 |
kubectl create secret generic cacerts -n istio-system \ # CA证书 --from-file=certs/ca-cert.pem \ # CA密钥 --from-file=certs/ca-key.pem \ # 根证书 --from-file=certs/root-cert.pem \ # 证书链 --from-file=scerts/cert-chain.pem |
Citadel会使用该CA证书为工作负载的数字证书进行签名。
这里的策略都是针对服务端(服务提供者)的:
你可以为整个服务网格设置默认的身份验证策略(不指定targets):
|
1 2 3 4 5 6 7 8 |
apiVersion: "authentication.istio.io/v1alpha1" kind: "MeshPolicy" metadata: # 名字必须为default name: "default" spec: peers: - mtls: {} |
上述配置应用后,所有被网格管理的服务仅仅接受基于TLS加密的请求。
或者为某个命名空间设置默认的身份验证策略:
|
1 2 3 4 5 6 7 8 |
apiVersion: "authentication.istio.io/v1alpha1" kind: "Policy" metadata:text-processing-with-gotext-processing-with-go name: "default" namespace: "ns1" spec: peers: - mtls: {} |
|
1 2 3 4 5 6 7 8 9 10 11 |
apiVersion: "authentication.istio.io/v1alpha1" kind: "Policy" metadata: name: "reviews" spec: targets: # 对于reviews服务 - name: reviews peers: # 必须启用双向的TLS - mtls: {} |
使用mutual TLS时,客户端必须在DestinationRule中配置TLSSettings。
身份验证策略所针对的服务,在targets字段中配置:
|
1 2 3 4 5 6 7 8 |
spec: targets: # 任何单品页服务 - name: product-page # 运行在9000端口的reviews服务 - name: reviews ports: - number: 9000 |
peers字段定义了服务-服务的身份验策略。0.7版本的Istio仅支持mTLS:
|
1 2 3 |
spec: peers: - mtls: {} |
配置mode为PERMISSIVE,则mTLS是可选的,允许基于明文发起请求:
|
1 2 3 |
peers: - mTLS: mode: PERMISSIVE |
有了上面的、针对服务端的配置后,如果客户端不经任何配置,所有请求都会遭遇503错误。
要解决此问题,你必须为客户端配置DestinationRule,声明使用mtls:
|
1 2 3 4 5 6 7 8 9 10 11 12 |
apiVersion: "networking.istio.io/v1alpha3" kind: "DestinationRule" metadata: name: "default" namespace: "default" spec: # 针对所有DNS名称的访问,都启用mtls host: "*.svc.k8s.gmem.cc" trafficPolicy: tls: # Istio会自动设置客户端私钥和证书的路径 mode: ISTIO_MUTUAL |
不要忘记,DestinationRule也用于流量管理的配置。因此,如果某个具体服务需要独立的DestinationRule配置,一定要加上tls配置,因为上述DestinationRule被覆盖,而不是合并。
Istio会自动把客户端证书注入到所有Sidecar的/etc/certs目录下:
|
1 2 3 4 5 6 7 |
kubectl exec $(kubectl get pod -l app=httpbin -o jsonpath={.items..metadata.name}) -c istio-proxy -- ls /etc/certs # 证书链 # cert-chain.pem # 客户端私钥 # key.pem # CA跟证书,用于验证服务端 # root-cert.pem |
本节介绍当启用mTLS后,服务网格内外进行通信的可能性。
对于来自网格外部(包括没有Sidecar的集群内部组件)的请求,由于无法初始化mTLS连接,一定会失败。curl会得到退出码56,表示接收网络数据失败。
这个问题目前无解,除非降低目标服务的身份验证需求。
同样会失败,因为客户端会发起mTLS连接,而没有Sidecar的外部服务无法处理这种连接。
解决办法是为目标服务配置DestinationRule,并禁用TLS:
|
1 2 3 4 5 6 7 8 9 10 |
apiVersion: networking.istio.io/v1alpha3 kind: DestinationRule metadata: name: "httpbin-noistio" spec: host: "httpbin.noistio.svc.k8s.gmem.cc" trafficPolicy: tls: # 禁用TLS mode: DISABLE |
Kubernetes的API Server也没有Sidecar,如果网格内部服务需要访问K8S API Server,则也需要DestinationRule配置:
|
1 2 3 4 5 6 7 8 9 |
apiVersion: networking.istio.io/v1alpha3 kind: DestinationRule metadata: name: "api-server" spec: host: "kubernetes.default.svc.k8s.gmem.cc" trafficPolicy: tls: mode: DISABLE |
origins字段定义了终端用户的设法验证策略。目前仅仅支持JWT认证。
|
1 2 3 4 5 6 |
spec: origins: # 承认Google签发的JWT - jwt: issuer: "https://accounts.google.com" jwksUri: "https://www.googleapis.com/oauth2/v3/certs" |
要启用访问控制,你需要配置CRD —— RbacConfig。这是一个全局的单例对象,名字必须为default:
|
1 2 3 4 5 6 7 8 9 10 11 12 13 |
apiVersion: "rbac.istio.io/v1alpha1" kind: RbacConfig metadata: name: default spec: # OFF 禁用访问控制 # ON 为所有服务启用访问控制 # ON_WITH_INCLUSION 仅仅为指定的服务、命名空间启用访问控制 # ON_WITH_EXCLUSION 除了指定的服务、命名空间,都启用访问控制 mode: 'ON_WITH_INCLUSION' # 指定启用访问控制的命名空间、服务 inclusion: namespaces: ["default"] |
定义一个角色,并声明该角色对哪些服务具有哪些访问权限。
ServiceRole包含一系列rules,也就是许可(permissions):
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 |
apiVersion: "rbac.istio.io/v1alpha1" kind: ServiceRole metadata: name: service-admin namespace: default spec: # 许可列表 rules: # 针对的服务,通配符*表示当前命名空间的任何服务。admin-*表示任何以admin-开头的服务 - services: ["*", "admin-*", "httpbin.default.svc.k8s.gmem.cc"] # 允许的HTTP方法,对于gRPC请求来说,HTTP方法总是POST。通配符*表示允许任何方法 methods: ["*"] # 允许的URL路径,或者gRPC方法。 # gRPC方法必须是 /packageName.serviceName/methodName 形式,大小写敏感 paths: - /admin # 允许 /books/reviews, /events/booksale/reviews, /reviews - */reviews |
除了限定命名空间 + 服务 + 动词 + 路径以外,你还可以提供额外的约束,例如限定请求头:
|
1 2 3 4 |
constraints: # 请求头中的version必须声明为v1或v2 - key: request.headers[version] values: ["v1", "v2"] |
为用户、组、服务授予ServiceRole。示例:
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 |
apiVersion: "rbac.istio.io/v1alpha1" kind: ServiceRoleBinding metadata: name: test-binding-products namespace: default spec: # 被授予角色的主体 subjects: # 主体为service-account-a,它是服务a使用的service-account - user: "service-account-a" # 主体为Istio的Ingress服务账号 - user: "istio-ingress-service-account" # 同时要求请求的JWT的email为me@gmem.cc properties: request.auth.claims[email]: "me@gmem.cc" # 允许任何人访问服务 - user: "*" # 允许任何通过身份验证的人访问服务 - properties: source.principal: "*" # 角色 roleRef: kind: ServiceRole name: "products-viewer" |
要定制Sidecar的行为,可以修改istio-sidecar-injector这个Configmap,或者给Pod添加对应的注解。
istio-sidecar-injector声明了需要给目标Pod注入的两个容器 —— istio-init、istio-proxy —— 的全部配置信息。这两个容器会自动读取Pod上的注解,覆盖对应的默认配置。
默认配置在安装时,通过Helm Chart的Values传入。
常用的注解如下:
| 注解 | 说明 |
| sidecar.istio.io/interceptionMode | 对应istio-init参数-m。重定向入站流量到Envoy的模式,REDIRECT或TPROXY |
| traffic.sidecar.istio.io/includeOutboundIPRanges | 对应istio-init参数-i。逗号分隔的CIRD形式的IP范围列表,针对匹配IP的出站流量将被重定向给Envoy。设置为*则所有出站流量都被重定向给Envoy |
| traffic.sidecar.istio.io/excludeOutboundIPRanges |
对应istio-init参数-x。当上一个参数设置为*时,用来指明哪些出站流量不重定向给Envoy,形式与上一参数相同 不重定向给Envoy,则流量的行为和没有部署服务网格时一致 |
| traffic.sidecar.istio.io/includeInboundPorts | 对应istio-init参数-b。逗号分隔的端口列表,来自这些端口的入站流量将重定向给Envoy。设置为*则所有入站流量都重定向给Envoy,设置为空则禁用入站流量重定向 |
| traffic.sidecar.istio.io/excludeInboundPorts | 对应istio-init参数-d。当上一个参数设置为*时,用来指定哪些入站流量不重定向给Envoy,形式与上一参数相同 |
traffic.sidecar.istio.io/*会导致Iptables规则的变更。例如:
|
1 2 3 4 5 6 7 8 9 10 11 |
# 注解: # traffic.sidecar.istio.io/includeOutboundIPRanges: "221.0.0.0/8" # 产生 iptables -t nat -A ISTIO_OUTPUT -d 221.0.0.0/8 -j ISTIO_REDIRECT # 注解: # traffic.sidecar.istio.io/includeOutboundIPRanges: "*" # traffic.sidecar.istio.io/excludeOutboundIPRanges: "221.0.0.0/8" # 产生: iptables -t nat -A ISTIO_OUTPUT -j ISTIO_REDIRECT iptables -t nat -A ISTIO_OUTPUT -d 221.0.0.0/8 -j RETURN |
istio-init会把上述规则打印到标准输出。
可以修改istio-sidecar-injector中istio-proxy容器的命令行参数,从而间接的影响Envoy的行为。
此代理的入口点是pilot-agent,该进程会创建envoy进程,执行下面的命令可以了解可传递给Envoy的参数列表:
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 |
docker run -it --rm registry.k8s.arch.mid/istio/proxyv2:1.0.3 proxy --help # 查看proxy子命令(启动envoy)的参数: # --applicationPorts stringSlice 应用程序暴露的端口 # --availabilityZone string 可用性区域 # --binaryPath string Envoy的位置,默认/usr/local/bin/envoy # --concurrency int 工作线程数量 # --configPath string 自动产生的Envoy配置文件位置,默认/etc/istio/proxy # --connectTimeout duration Envoy连接到支持性服务的超时,默认1s # --controlPlaneAuthPolicy string 控制平面身份验证策略,默认NONE # --customConfigFile string 自定义配置文件的位置 # --disableInternalTelemetry 禁用内部遥测 # --discoveryAddress string 暴露xDS的发现服务的地址,默认istio-pilot:15007 # --discoveryRefreshDelay duration 服务发现轮询间隔,EDS, CDS, LDS使用,RDS不使用,默认1秒 # --domain string DNS后缀,默认${POD_NAMESPACE}.svc.cluster.local # --drainDuration duration 热重启时Envoy Drain连接的时间,默认2秒 # --id string 代理的唯一标识,默认${POD_NAME}.${POD_NAMESPACE} # --ip string 代理的IP地址,默认${INSTANCE_IP} # --proxyAdminPort uint16 Envoy监听管理命令的端口,默认15000 # --proxyLogLevel string Envoy的日志级别,trace, debug, info, warn, err, critical, off。默认warn # --serviceregistry string 服务注册表的底层平台,Kubernetes, Consul, CloudFoundry, Mock, Config。默认Kubernetes # --statsdUdpAddress string Statd的UDP监听地址 # --statusPort uint16 在什么端口上暴露Pilot代理的状态 # --zipkinAddress string Zipkin服务的地址 # 全局参数: # --log_as_json 是否将日志输出为JSON格式,默认输出人类友好的控制台格式 # --log_output_level string debug, info, warn, error, none,默认default:info |
下面的配置,可以让位于网格内部的容器访问10.0.0.0/8网段,而不需要定义ServiceEntry即可访问该网络的任意IP(或者DNS名称)的任意端口:
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 |
apiVersion: apps/v1 kind: Deployment metadata: labels: app: ubuntu tier: devops name: ubuntu spec: replicas: 1 selector: matchLabels: app: ubuntu tier: devops template: metadata: annotations: traffic.sidecar.istio.io/includeOutboundIPRanges: "*" # 要仅仅允许单个IP绕过出口网关,可以用 10.5.12.157/32的形式 traffic.sidecar.istio.io/excludeOutboundIPRanges: "10.0.0.0/8" labels: app: ubuntu tier: devops spec: containers: - args: - -c - sleep 365d command: - /bin/sh image: docker.gmem.cc/ubuntu:16.04 imagePullPolicy: Always name: ubuntu dnsPolicy: ClusterFirst restartPolicy: Always |
|
1 2 3 |
# 让容器网络、集群服务网络,以及单个IP地址10.5.12.157走出口网关 # 其它地址都不走出口网关 traffic.sidecar.istio.io/includeOutboundIPRanges: "172.27.0.0/16,10.96.0.0/12,10.5.12.157/32" |
注意一个现象:通过IP地址10.5.12.157访问,可以发现是通过出口网关的。但是通过域名(解析到10.5.12.157)访问,则绕过了出口网关。
这个CRD用于描述Envoy代理的网络过滤器/HTTP过滤器的配置信息,可以用来定制化Istio生成的Envoy配置。
使用此特性时需要小心,否则整个网格的稳定性可能受到影响,此外需要注意:
- Istio不会保证向后兼容性
- 如果多个EnvoyFilter被配置到同一工作负载,则相应的过滤器配置在创建时刻会顺序的处理。如果这些过滤器存在冲突,影响是未知的
下面的例子,为具有标签app:reviews的review服务的工作负载的Envoy添加Lua过滤器,针对8080端口:
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 |
apiVersion: networking.istio.io/v1alpha3 kind: EnvoyFilter metadata: name: reviews-lua spec: # 匹配工作负载 workloadLabels: app: reviews filters: # 匹配监听器,入站监听器8080 - listenerMatch: # 匹配端口名前缀,例如mongo匹配mongo-port, mongo, mongoDB, MONGO... portNamePrefix: portNumber: 8080 # 监听器类型: # ANY 任何监听器,默认 # SIDECAR_INBOUND Sidecar的入站监听器 # SIDECAR_OUTBOUND Sidecar的出站监听器 # GATEWAY 网关监听器 listenerType: SIDECAR_INBOUND # 一个或多个IP地址,监听器至少绑定到其中一个地址,才能匹配 address: [] # Envoy网络过滤器名称,必须是已经编译到Envoy二进制文件的过滤器 filterName: envoy.lua # 插入到过滤器链的什么地方 insertPosition: # FIRST,插入到过滤器链最前面 # AFTER,插入到过滤器链最后面 # BEFORE,插入到指定名称过滤器的前面 # AFTER,插入到指定名称过滤器的后面 index: AFTER # 对于BEFORE/AFTER,相对的过滤器 relativeTo: envoy.buffer # 过滤器类别: # INVALID 占位符 # HTTP 过滤器 # NETWORK 网络过滤器 filterType: HTTP filterConfig: inlineCode: | ... lua code ... |
Istio的组件使用了一个灵活的日志框架,你可以很方便的切换日志级别(修改命令行参数),查看某个组件的日志。
一个组件输出的日志被分类到scope中,scope代表一组相关的、可以一起控制的日志消息。不同组件具有不同的scopes,所有组件都包含一个名为default的scope,所有未分类的日志消息都在其中。
例如,Mixer包含5个scope,分别对应了Mixer的不同功能区域:adapter、sapi、attributes、default、grpcAdapter。
每个scope都包含以下日志级别:none、error、warning、info、debug。
要控制输出哪些日志,你可以用--log_output_level参数,例如:
|
1 |
mixs server --log_output_level attributes=debug,adapters=warning |
你也可以使用ControlZ在运行时动态的修改日志级别。
选项--log_target用于重定向日志到任意位置,可以指定逗号分割的系统路径,以及stdout、stderr。
选项--log_as_json可以让日志输出为JSON格式。
选项--log_rotate控制日志轮换的basename。--log_rotate_max_size指定日志的最大MB。--log_rotate_max_backups指定保留的日志文件个数。
选项--log_caller和--log_stacktrace_level可以控制日志中是否包含编程级别的信息,用于跟踪组件的潜在缺陷。
Istio的组件使用了一个灵活的内省(Introspection)框架,让你能够轻松的查看、操控运行中的组件的内部状态,这个功能叫ControlZ。
组件可以暴露一个端口,此端口提供一个WebUI供你访问ControlZ。
通过ControlZ可以调整日志级别、查看组件内存用量、环境变量、进程信息、命令行参数、版本信息、统计指标。
选项--ctrlz_address、--ctrlz_port用于控制在什么网络接口、端口上暴露ControlZ。
使用proxy-status命令可以获取网格的整体状态,并识别由代理造成的问题。使用proxy-config命令可以查看Envoy的配置以帮助诊断问题。
|
1 2 3 |
istioctl proxy-status # PROXY CDS LDS EDS RDS PILOT VERSION # details-v1.default SYNCED SYNCED SYNCED (100%) SYNCED istio-pilot-8499b 1.0.2 |
如上面的例子所示,Envoy的CDS(集群发现服务)、LDS(监听器发现服务)、EDS(端点发现服务)、RDS(路由发现服务)的状态都被显示。状态的值可以是:
- SYNCED,Envoy已经确认了Pilot发送给它的最后配置
- SYNCED (100%) ,Envoy已经完全同步了集群的端点
- NOT SENT ,Pilot没有发送任何东西给Envoy
- STALE,Pilot发送了更新给Enovy,但是后者没有接收到并给与确认。可能原因是网络故障或者Istio的Bug
执行下面的命令可以查看Pilot配置和某个Envoy实例配置存在什么差异,也就是哪些配置没有同步:
|
1 |
istioctl proxy-status details-v1-876bf485f-bxwh7.default |
istioctl proxy-config包含以下子命令:
| 子命令 | 说明 | ||
| bootstrap |
自举配置,包含一些启动时必要的信息,例如Pilot地址是什么 命令示例:
|
||
| cluster |
上游集群配置 命令示例,根据全限定DNS名称查询:
可以看到有三个集群的FQDN是details.default.svc.k8s.gmem.cc,它们对应了不同的subset |
||
| endpoint |
集群的端点配置 下面的例子显示Ingress网关Pod的Envoy的上游集群配置:
|