Istio学习笔记
术语服务网格(Service Mesh)用于描述微服务之间的网络,以及通过此网络进行的服务之间的交互。随着服务数量和复杂度的增加,服务网格将变的难以理解和管理。
对服务网格的需求包括:服务发现、负载均衡、故障恢复、指标和监控,以及A/B测试、金丝雀发布、限速、访问控制、端对端身份验证等。
使用云平台给DevOps团队带来了额外的约束,为了Portability开发人员通常需要使用微服务架构,运维人员则需要管理非常多数量的服务。Istio能够连接、保护、控制、观察这些微服务。
Istio是运行于分布式应用程序之上的透明(无代码入侵)服务网格,它同时也是一个平台,提供集成到其它日志、监控、策略系统的接口。
Istio的实现原理是,为每个微服务部署一个Sidecar,代理微服务之间的所有网络通信。在此基础上你可以通过Istio的控制平面实现:
- 针对HTTP、gRPC、WebSocket、TCP流量的负载均衡
- 细粒度的流量控制行为,包括路由、重试、故障转移、故障注入(fault injection)
- 可拔插的策略层+配置API,实现访问控制、限速、配额
- 自动收集指标、日志,跟踪集群内所有流量,包括Ingress/Egress
- 基于强身份认证和授权来保护服务之间的通信
使用Istio你可以很容易的通过配置,对流量和API调用进行控制。服务级别的可配置属性包括断路器(circuit breakers)、超时、重试。
Istio支持基于流量百分比切分的A/B测试、金丝雀滚动发布、分阶段滚动发布。
可以提供安全信道,管理身份验证和授权,加密通信流量。
联用K8S的网络策略可以获得更多益处,例如保护Pod-to-Pod之间的通信。
Istio强壮的跟踪、监控、日志能力,让服务网格内部结构更容易观察 —— 一个服务的性能对上下游的影响可以直观的展现在仪表盘上。
Istio的Mixer组件——通用的策略和监控(Telemetry)中心(Hub)负责策略控制、指标收集。Mixer提供基础设施后端的隔离层,Istio的其它部分不需要关注后端细节。
Istio当前支持:
- Kubernetes上的Service
- 通过Consul注册的服务
- 在独立虚拟机上运行的服务
从整体上看,Istio的服务网格由数据平面、控制平面两部分组成:
- 数据平面由一系列作为Sidecar部署的智能代理(Envoy)构成。这些代理联合Mixer,中继、控制所有微服务之间的网络通信
- 控制平面负责管理、配置智能代理,实现流量路由,配置Mixers来应用策略、收集指标
架构图:
Istio使用一个扩展过的Envoy版本。Envoy是基于C++开发的高性能代理,Istio使用它的以下特性:
- 动态服务发现
- 负载均衡
- TLS termination —— 可将后端的HTTP服务包装为HTTPS
- HTTP/2和gRPC代理
- 断路器
- 健康检查
- 分阶段(基于流量百分比)发布
- 故障注入
- 丰富的监控指标
Envoy在和目标服务的相同Pod中,以Sidecar形式部署。
一个平台无关的组件:
- 为服务网格Apply访问控制策略
- 从Envoy和其它服务中收集指标
- Envoy收集的请求级别的属性,被发送到Mixer进行分析
Mixer提供了一个灵活的插件模型,让Istio能够灵活的和多种宿主机环境、基础设施后端进行对接。
该组件是Istio的控制器,它会监控各种规则、策略的存储,一旦配置文件发生变化,就会提取、处理,并同步给Envoy。
- 为Envoy提供服务发现
- 为智能路由(AB测试、金丝雀部署……)提供流量管理能力
- 提供弹性(Resiliency)——超时、重试、断路器等
- 分发身份验证策略给Envoy
Pilot将高级别的路由规则转换为Envoy理解的配置信息,并在运行时将这些配置传播到Sidecars。
Pilot将平台相关的服务发现机制抽象为标准的(Envoy data plane API)格式,这让Istio可以在K8S、Consul、Nomad等多种环境下运行。
提供服务-服务、终端用户的身份验证功能,可以加密服务网格中的流量。
|
1 2 3 |
cd /home/alex/Applications curl -L https://git.io/getLatestIstio | sh - mv istio-1.0.3 istio |
然后把istio/bin目录加入PATH环境变量。
Istio可以自动为Pod注入Sidecar,它基于Webhook实现此功能。
你可以执行下面的命令,确认MutatingAdmissionWebhook、ValidatingAdmissionWebhook这两种Admission controllers是否默认启用:
|
1 2 3 |
kubectl -n kube-system exec kube-apiserver-xenon -- kube-apiserver -h | grep enable-admission-plugins # 如果在你的K8S版本中,in addition to default enabled ones...后面的括号中有MutatingAdmissionWebhook # 和ValidatingAdmissionWebhook则说明默认已经启用 |
如果没有启用,则需要修改API Server的命令行参数。
此外,你还需要检查admissionregistration API是否启用:
|
1 2 |
kubectl api-versions | grep admissionregistration admissionregistration.k8s.io/v1beta1 |
和手工注入不同,自动注入是发生在Pod级别的。在Deployment上看不到任何变化,你需要直接检查Pod才能看到注入的Envoy。
Istio的Chart定义在install/kubernetes/helm/instio目录下 。默认情况下,Istio会以Sub chart的方式安装很多组件:
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 |
dependencies: # 这是一个Webhook,自动为所有Pod注入Sidecar。默认启用 - name: sidecarInjectorWebhook version: 1.0.3 condition: sidecarInjectorWebhook.enabled # 安全模块,即citadel。默认禁用 - name: security version: 1.0.3 condition: security.enabled # Ingress控制器,用于处理K8S的Ingress资源。默认禁用 - name: ingress version: 1.0.3 condition: ingress.enabled # 入口、出口网关。默认启用 - name: gateways version: 1.0.3 condition: gateways.enabled # 默认启用,核心组件 - name: mixer version: 1.0.3 condition: mixer.enabled # 默认启用,核心组件 - name: pilot version: 1.0.3 condition: pilot.enabled # 默认禁用 - name: grafana version: 1.0.3 condition: grafana.enabled # 默认启用 - name: prometheus version: 1.0.3 condition: prometheus.enabled # 用于绘制调用链图。默认禁用,被kiali代替 - name: servicegraph version: 1.0.3 condition: servicegraph.enabled # APM。默认禁用 - name: tracing version: 1.0.3 condition: tracing.enabled # 用于服务器端的配置合法性验证。默认启用 - name: galley version: 1.0.3 condition: galley.enabled # 服务网格可视化。默认禁用 - name: kiali version: 1.0.3 condition: kiali.enabled # 负责基于ACME执行数字证书签名。默认禁用 - name: certmanager version: 1.0.3 condition: certmanager.enabled |
如需禁用,在values.yaml中修改对应配置项即可。
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 |
docker pull docker.io/istio/proxyv2:1.0.3 docker pull docker.io/istio/proxy_init:1.0.3 docker pull docker.io/istio/sidecar_injector:1.0.3 docker pull docker.io/istio/galley:1.0.3 docker pull docker.io/istio/mixer:1.0.3 docker pull docker.io/istio/pilot:1.0.3 docker pull docker.io/istio/citadel:1.0.3 docker pull docker.io/istio/servicegraph:1.0.3 docker pull docker.io/jaegertracing/all-in-one:1.5 docker pull docker.io/kiali/kiali:v0.9 docker pull docker.io/prom/prometheus:v2.3.1 docker pull quay.io/jetstack/cert-manager-controller:v0.3.1 docker pull quay.io/coreos/hyperkube:v1.7.6_coreos.0 docker pull grafana/grafana:5.2.3 docker tag docker.io/istio/proxyv2:1.0.3 docker.gmem.cc/istio/proxyv2:1.0.3 docker tag docker.io/istio/proxy_init:1.0.3 docker.gmem.cc/istio/proxy_init:1.0.3 docker tag docker.io/istio/sidecar_injector:1.0.3 docker.gmem.cc/istio/sidecar_injector:1.0.3 docker tag docker.io/istio/galley:1.0.3 docker.gmem.cc/istio/galley:1.0.3 docker tag docker.io/istio/mixer:1.0.3 docker.gmem.cc/istio/mixer:1.0.3 docker tag docker.io/istio/pilot:1.0.3 docker.gmem.cc/istio/pilot:1.0.3 docker tag docker.io/istio/citadel:1.0.3 docker.gmem.cc/istio/citadel:1.0.3 docker tag docker.io/istio/servicegraph:1.0.3 docker.gmem.cc/istio/servicegraph:1.0.3 docker tag docker.io/jaegertracing/all-in-one:1.5 docker.gmem.cc/jaegertracing/all-in-one:1.5 docker tag docker.io/kiali/kiali:v0.9 docker.gmem.cc/kiali/kiali:v0.9 docker tag docker.io/prom/prometheus:v2.3.1 docker.gmem.cc/prom/prometheus:v2.3.1 docker tag quay.io/jetstack/cert-manager-controller:v0.3.1 docker.gmem.cc/jetstack/cert-manager-controller:v0.3.1 docker tag quay.io/coreos/hyperkube:v1.7.6_coreos.0 docker.gmem.cc/coreos/hyperkube:v1.7.6_coreos.0 docker tag grafana/grafana:5.2.3 docker.gmem.cc/grafana/grafana:5.2.3 docker push docker.gmem.cc/istio/proxyv2:1.0.3 docker push docker.gmem.cc/istio/proxy_init:1.0.3 docker push docker.gmem.cc/istio/sidecar_injector:1.0.3 docker push docker.gmem.cc/istio/galley:1.0.3 docker push docker.gmem.cc/istio/mixer:1.0.3 docker push docker.gmem.cc/istio/pilot:1.0.3 docker push docker.gmem.cc/istio/citadel:1.0.3 docker push docker.gmem.cc/istio/servicegraph:1.0.3 docker push docker.gmem.cc/jaegertracing/all-in-one:1.5 docker push docker.gmem.cc/kiali/kiali:v0.9 docker push docker.gmem.cc/prom/prometheus:v2.3.1 docker push docker.gmem.cc/jetstack/cert-manager-controller:v0.3.1 docker push docker.gmem.cc/coreos/hyperkube:v1.7.6_coreos.0 docker push docker.gmem.cc/grafana/grafana:5.2.3 |
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 |
# 创建命名空间 kubectl create ns istio-system # 创建访问Docker镜像仓库的保密字典 kubectl -n istio-system create secret docker-registry gmemregsecret \ --docker-server=docker.gmem.cc --docker-username=alex \ --docker-password=$PSWD --docker-email=k8s@gmem.cc # 创建kiali的Ingress所需的数字证书保密字典 pushd /etc/letsencrypt/live/kiali.k8s.gmem.cc kubectl create -n istio-system secret generic gmemk8scert-kiali --from-file=tls.crt=fullchain.pem,tls.key=privkey.pem popd # 为默认证书设置imagePullSecrets kubectl -n istio-system patch serviceaccount default -p '{"imagePullSecrets": [{"name": "gmemregsecret"}]}' # Citadel不使用自签名根证书 pushd ~/Documents/puTTY/ touch empty.pem kubectl -n istio-system create secret generic cacerts --from-file=ca-cert.pem=ca.crt \ --from-file=ca-key.pem=ca.key \ --from-file=root-cert.pem=ca.crt \ --from-file=cert-chain.pem=empty.pem popd # 安装Istio helm install install/kubernetes/helm/istio --name istio --namespace istio-system --set kiali.dashboard.passphrase=$PSWD # 为kiali的服务账号授予必要的权限 kubectl create clusterrolebinding istio-system-kiali-role-binding --clusterrole=cluster-admin --serviceaccount=istio-system:kiali-service-account |
|
1 2 3 4 5 6 7 8 9 10 11 |
helm install install/kubernetes/helm/istio --name istio-minimal --namespace istio-system \ --set security.enabled=false \ --set ingress.enabled=false \ --set gateways.istio-ingressgateway.enabled=false \ --set gateways.istio-egressgateway.enabled=false \ --set galley.enabled=false \ --set sidecarInjectorWebhook.enabled=false \ --set mixer.enabled=false \ --set prometheus.enabled=false \ --set global.proxy.envoyStatsd.enabled=false \ --set pilot.sidecar=false |
最小化安装时,仅仅安装pilot组件。
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 |
helm delete istio --purge kubectl -n istio-system delete all --all kubectl delete ns istio-system kubectl delete crd adapters.config.istio.io kubectl delete crd apikeys.config.istio.io kubectl delete crd attributemanifests.config.istio.io kubectl delete crd authorizations.config.istio.io kubectl delete crd bypasses.config.istio.io kubectl delete crd certificates.certmanager.k8s.io kubectl delete crd checknothings.config.istio.io kubectl delete crd circonuses.config.istio.io kubectl delete crd cloudwatches.config.istio.io kubectl delete crd clusterissuers.certmanager.k8s.io kubectl delete crd deniers.config.istio.io kubectl delete crd destinationrules.networking.istio.io kubectl delete crd dogstatsds.config.istio.io kubectl delete crd edges.config.istio.io kubectl delete crd envoyfilters.networking.istio.io kubectl delete crd fluentds.config.istio.io kubectl delete crd gateways.networking.istio.io kubectl delete crd handlers.config.istio.io kubectl delete crd httpapispecbindings.config.istio.io kubectl delete crd httpapispecs.config.istio.io kubectl delete crd instances.config.istio.io kubectl delete crd issuers.certmanager.k8s.io kubectl delete crd kubernetesenvs.config.istio.io kubectl delete crd kuberneteses.config.istio.io kubectl delete crd listcheckers.config.istio.io kubectl delete crd listentries.config.istio.io kubectl delete crd logentries.config.istio.io kubectl delete crd memquotas.config.istio.io kubectl delete crd meshpolicies.authentication.istio.io kubectl delete crd metrics.config.istio.io kubectl delete crd noops.config.istio.io kubectl delete crd opas.config.istio.io kubectl delete crd policies.authentication.istio.io kubectl delete crd prometheuses.config.istio.io kubectl delete crd quotas.config.istio.io kubectl delete crd quotaspecbindings.config.istio.io kubectl delete crd quotaspecs.config.istio.io kubectl delete crd rbacconfigs.rbac.istio.io kubectl delete crd rbacs.config.istio.io kubectl delete crd redisquotas.config.istio.io kubectl delete crd reportnothings.config.istio.io kubectl delete crd rules.config.istio.io kubectl delete crd servicecontrolreports.config.istio.io kubectl delete crd servicecontrols.config.istio.io kubectl delete crd serviceentries.networking.istio.io kubectl delete crd servicerolebindings.rbac.istio.io kubectl delete crd serviceroles.rbac.istio.io kubectl delete crd signalfxs.config.istio.io kubectl delete crd solarwindses.config.istio.io kubectl delete crd stackdrivers.config.istio.io kubectl delete crd statsds.config.istio.io kubectl delete crd stdios.config.istio.io kubectl delete crd templates.config.istio.io kubectl delete crd tracespans.config.istio.io kubectl delete crd virtualservices.networking.istio.io |
Istio提供了一个示例应用程序Bookinfo,我可以部署该应用 ,并为其配置服务网格,以学习Istio。该应用程序能够显示书籍的基本信息,包括ISBN、页数,还能显示书籍的评论信息。
Bookinfo由4个独立的微服务组成:
- productpage,调用details、reviews渲染页面
- details,提供书籍基本信息
- reviews,提供书评信息,调用ratings。该服务有v1、v2、v3三个版本
- ratings,提供书籍的评级信息
下图显示了没有部署Istio之前,Bookinfo的端对端架构:
下图显示受到Istio服务网格管理的Bookinfo的架构:
如果启用了自动化的Sidecar注入,你需要在安装到的命名空间上打标签:
|
1 |
kubectl label namespace default istio-injection=enabled |
打上此标签后,default命名空间中创建的新Pod,自动会有一个名为stio-proxy的容器,它运行istio/proxyv2镜像。
如果没有启用自动化的Sidecar注入,你需要执行:
|
1 |
kubectl apply -f <(istioctl kube-inject -f samples/bookinfo/platform/kube/bookinfo.yaml) |
Istio的流量管理模型,从根本上将流量(traffic flow)和基础设施扩容(infrastructure scaling)进行了解耦。通过Pilot,你可以通过更细致的规则来说明流量如何流动,而不是简单的指定哪个VM/Pod来接收流量。例如,你可以指定某个服务的5%的流量发往金丝雀版本(不管金丝雀的实例数量),或者指定根据请求内容来选择特定版本的服务:
将流量(traffic flow)和基础设施扩容解耦后,Istio可以在应用程序代码外部提供大量的流量管理特性,包括AB测试的请求路由、逐步发布、金丝雀发布,基于超时、重试、断路器的故障恢复,以及为了测试故障恢复策略而进行的故障注入(fault injection)。
流量管理的核心组件是Pilot,它管理、配置所有部署在服务网格中的Envoy代理实例,对Envoy的完整生命周期负责。Pilot除了可以配置路由规则、配置故障恢复特性之外,还维护网格中所有服务的规范(canonical)模型。Envoy就是基于此模型,通过自己的发现服务,找到网格中其它Envoy。
每个Envoy实例都基于从Pilot得到的信息、以及针对负载均衡池中的实例进行周期性的健康检查,来维护负载均衡信息。根据此负载均衡信息,Envoy能够在遵守路由规则的同时,智能的在目的实例之间分发请求。
规范模型是独立于底层平台的,和底层平台的对接由Pilot中的适配器负责,适配器调用底层平台的API(例如K8S适配器实现了必要的控制器来Watch API Server,获取Pod、Ingress等资源的变动),并产生适当的规范模型。
Pilot启用了服务发现,路由表,以及对负载均衡池的动态更新。
使用Pilot的规则配置(Rule Configuration),可以制定高级别的流量管理规则。这些规则会被转换为低级别的配置信息,并分发给Envoy实例。
如上文所述,网格中服务的规范模型由Pilot维护。Istio还引入了服务版本的概念,用于对服务实例进行细粒度区分。服务版本既可以指服务API的版本(v1,v2),也可以指服务运行环境(stg,pdt)或任何其它属性。
在上图中,服务的客户端对服务的不同版本毫无感知。客户端仍然使用服务的IP或主机名来访问,只是Envoy在客户端-服务器之间拦截并转发了请求和响应。
Envoy根据你通过Pilot指定的路由规则,决定实际使用的服务版本。这让应用程序代码和被依赖服务之间实现解耦,可分别独立演化。在路由规则中,你可以指定让Envoy依据源/目标的消息头、Tag来判定服务版本。
Istio假设服务网格的所有出入流量都经由Envoy代理转发。通过这种前置代理可以实现面向用户的服务,包括AB测试、金丝雀部署。在访问外部服务时,Envoy可以实现必要的故障恢复特性,包括超时、重试,并获取外部服务的性能指标。
Istio能够在网格中服务实例之间进行负载均衡。
Istio假设基础设置提供一个服务注册表,此表跟踪某个服务的VM/Pod集。此服务注册表应当负责新实例的加入、不健康实例的移除。
Istio从服务注册表(service registry)中读取服务的信息,并生成平台无关的服务发现接口。Envoy执行服务发现,并动态的更新其负载均衡池。
网格中的服务,利用DNS名称来相互访问。所有针对某个服务的流量,都会在出站前经由Envoy进行重新路由。负载均衡池是决定路由到哪个节点的关键因素。Envoy支持多种负载均衡算法,但是Istio目前仅仅允许:轮询、随机、带权重的最少请求。
Envoy还会周期性的检查负载均衡池中实例的健康情况,这种检查从外部(准确的说是服务消费者)发出的,而不是像K8S Pod健康检查那样,在Pod本地执行。
判断实例是否健康时,Envoy遵循一种断路器模式(circuit breaker pattern),此模式下调用实例API的故障率决定了实例是否健康。当健康检查连续失败指定的次数后,实例被移除负载均衡池;当被移除的实例连续成功指定次数后,它又回到负载均衡池。
如果实例以503代码响应健康检查请求,则它会立即被调用者移出负载均衡池。
Envoy提供了一系列开箱即用的错误恢复机制:
- 超时
- 有限次数的重试,支持可变的重试延迟(jitter)
- 限制针对上游服务的并发连接数、并发请求数
- 主动健康检查——针对负载均衡池中所有成员进行健康检查,并移除不健康实例,移回健康实例
- 可精细控制的断路器(被动健康检查) ,同样针对负载均衡池中的每个实例
所有这些特性,都可以在运行时,利用Istio的流量管理规则动态配置。
联用主动、被动健康检查,可以更大程度上降低访问不健康实例的几率。联用底层基础设施的健康检查机制,不健康实例可以很快的被剔除。
流量管理规则可以为每个服务/版本来配置默认的故障恢复特性。
用于辅助测试端对端的故障恢复能力。
Istio支持多种具体的协议,并向其注入错误信息。而不是粗暴的杀死Pod,或者在TCP层延迟/污染网络包。你可以在应用层注入更加有意义的错误,例如HTTP的状态码。
Istio支持对特定请求进行错误注入,或者指定多少百分比的请求被错误注入。
可以注入的错误有两类:
- 延迟:模拟网络延迟和上游服务过载
- 中止:模拟上游服务错误,通常使用HTTP错误码、TCP连接错误的方式
在典型的Kubernetes环境下,Ingress控制器读取Ingress资源,提供外部访问K8S集群的入口。
而使用Istio时,Ingress资源的地位由Gateway + VirtualServices取代。在集群内部组件相互交互时,不需要配置Gateway资源。
使用Istio Gateway时的客户端访问时序如下:
- 客户端发起针对负载均衡器的请求
- 负载均衡器将请求转发给集群的IngressGateway Service,该服务可以部署为NodePort,它的后端是一个Deployment
- IngressGateway根据Gateway资源、VirtualService资源的配置信息,将请求路由给K8S的Service
- Gateway提供端口、协议、数字证书信息
- VirtualService到K8S Service的路由信息
- K8S Service将请求路由给Pod
该时序如下图所示,注意IngressGateway的Sidecar负责转发客户端请求:
每当你创建/修改Gateway、VirtualService资源,Pilot会监测到并将其转换为Envoy配置,然后发送给相关的Sidecar,包括运行在IngressGateway Pod中的Envoy。
Istio使用一个简单的配置模型来描述API调用/TCP流量如果在服务网格中流动。使用此配置模型,你可以:
- 配置服务级别的属性,例如断路器、超时、重试
- 配置通用的持续交付(CD)任务,例如金丝雀发布(Canary rollout)、A/B测试、阶段性部署(Staged rollout)——基于百分比的流量分配
配置模型映射为K8S的资源,包括VirtualService、DestinationRule、ServiceEntry、Gateway四种。
在K8S中你可以用kubectl来配置这些资源,它们都是CR。
定义服务的请求如何在服务网格中路由。虚拟服务能够将请求路由给服务的不同版本,甚至是完全不同的服务。
下面的示例,将针对review服务的所有请求都发送给v1版本:
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 |
apiVersion: networking.istio.io/v1alpha3 kind: VirtualService metadata: # 服务的名称 name: reviews spec: hosts: # 服务的DNS名称,可以是FQDN,在K8S环境下,可以直接指定服务的短名 - reviews http: # 路由规则的数组 - route: - destination: host: reviews # 发送给reviews服务实例的v1子集 # 这里仅仅指定子集的名称,子集的规格通过DestinationRule配置 subset: v1 # 路由到此版本的权重 weight: 75 - destination: host: reviews subset: v2 weight: 25 |
默认情况下HTTP请求的超时为15秒,你可以覆盖此默认值。重试也类似:
|
1 2 3 4 5 6 7 8 9 10 11 12 13 |
... spec: ... http: - route: # 超时 timeout: 10s # 重试 retries: # 最多重试次数 attempts: 3 # 每次重试的超时 perTryTimeout: 2s |
请求也可以覆盖超时、重试配置,只需要提供特殊的请求头x-envoy-upstream-rq-timeout-ms、x-envoy-max-retries即可。
你可以为http进行故障注入,要么是delay,要么是abort。
下面的例子,为ratings服务的v1版本10%的请求引入5秒的延迟:
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 |
apiVersion: networking.istio.io/v1alpha3 kind: VirtualService metadata: name: ratings spec: hosts: - ratings http: - fault: delay: percent: 10 fixedDelay: 5s route: - destination: host: ratings subset: v1 |
下面的例子,则为10%的请求引发400错误:
|
1 2 3 4 5 6 7 8 |
... spec: ... http: - fault: abort: percent: 10 httpStatus: 400 |
delay和abort是可以联合使用的:
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 |
... metadata: name: ratings spec: http: # 从reviews服务v2版本发起的,针对ratings服务v1版本的请求 - match: - sourceLabels: app: reviews version: v2 fault: # 引入5秒延迟 delay: fixedDelay: 5s # 为10%请求引发400错误 abort: percent: 10 httpStatus: 400 |
规则可以仅仅针对满足特定条件的请求。
可以限定请求者的标签,在K8S环境下即Pod的Label:
|
1 2 3 4 5 6 7 8 |
... spec: http: # 仅针对reviews服务v2版本发起的请求 - match: - sourceLabels: app: reviews version: v2 |
也可以限定HTTP请求头:
|
1 2 3 4 5 6 7 8 |
... spec: http: - match: - headers: # end-user头必须为alex end-user: exact: alex |
还可以限定请求URL路径:
|
1 2 3 4 5 6 7 |
... spec: http: - match: - uri: # 请求URL,除去scheme://host部分,必须以/api/v1开头 prefix: /api/v1 |
多个条件可以进行逻辑与/或。在单个match元素中声明多个条件,则为AND:
|
1 2 3 4 5 6 7 8 9 10 |
spec: http: - match: # 同时限定Pod标签、请求头 - sourceLabels: app: reviews version: v2 headers: end-user: exact: jason |
在多个match元素中分别声明,则为OR:
|
1 2 3 4 5 6 7 8 9 10 11 |
spec: http: - match: # Pod标签匹配 - sourceLabels: app: reviews version: v2 # 或者请求头匹配 - headers: end-user: exact: jason |
如果对于相同的目标(host + subset),配置了两个或更多的规则(http子元素),那么第一个(配置文件最前面)匹配的规则优先级最高。
在VirtualService定义了路由发生后,DestinationRule进一步应用一系列的策略到请求上。这类规则可能声明断路器、负载均衡器的属性,执行TLS配置,最基本的是定义可寻址的服务子集。DestinationRule针对某个特定的真实服务(host)。
下面的示例,声明了服务子集:
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 |
apiVersion: networking.istio.io/v1alpha3 kind: DestinationRule metadata: # 服务的名称 name: reviews spec: host: reviews # 配置服务的子集 # 在K8S中,服务的具有标签version=v1的Pod,并加入到v1子集 subsets: - name: v1 labels: version: v1 - name: v2 labels: version: v2 |
可以针对所有子集配置:
|
1 2 3 4 5 6 7 |
... spec: host: reviews trafficPolicy: # 负载均衡策略 loadBalancer: simple: RANDOM |
也可以针对特定子集:
|
1 2 3 4 5 6 7 8 |
spec: subsets: - name: v2 labels: version: v2 trafficPolicy: loadBalancer: simple: ROUND_ROBIN |
可以根据一系列条件进行断路,例如根据并发连接数:
|
1 2 3 4 5 6 7 8 9 |
spec: subsets: - name: v1 labels: version: v1 trafficPolicy: connectionPool: tcp: maxConnections: 100 |
用于访问位于服务网格外部的服务,将其作为服务条目添加到Istio内部管理的服务注册表(service registry)中。
下面的例子,允许Envoy代理针对gmem.cc的HTTP请求:
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 |
apiVersion: networking.istio.io/v1alpha3 kind: ServiceEntry metadata: name: gmem-ext-svc spec: hosts: # 可以使用通配符,表示一个百名单,允许从服务网格内部访问它们 - *.gmem.cc ports: - number: 80 name: http protocol: HTTP - number: 443 name: https protocol: HTTPS |
ServiceEntry可以和VirtualService一起工作,作为VirtualService的host。
配置在网格的边缘,用于外部访问服务网格(Ingress),为TCP/HTTP流量提供负载均衡。
和Kubernetes的Ingress不同,Istio网关仅仅在L4-L6上配置,而不使用L7。 你可以把Gateway绑定到VirtualService,进而使用Istio标准的方式来管理HTTP请求和TCP流量。
下面的例子,允许网格外部发送针对gmem.cc的HTTPS请求:
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 |
apiVersion: networking.istio.io/v1alpha3 kind: Gateway metadata: name: gmem-gateway spec: servers: # 多个网关可以分开配置,也可以配置在同一个Gateway资源中 - port: number: 443 name: https protocol: HTTPS hosts: - gmem.cc tls: mode: SIMPLE serverCertificate: /tmp/tls.crt privateKey: /tmp/tls.key |
必须把上述网关绑定到VirtualService,它才能工作:
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 |
apiVersion: networking.istio.io/v1alpha3 kind: VirtualService metadata: name: gmem spec: hosts: - gmem.cc - "*" # 参考下面的TCP网关 # 将虚拟服务绑定到网关 gateways: - gmem-gateway http: - match: - uri: prefix: /blog route: ... |
为集群内的TCP服务建立入口Gateway时,hosts字段被忽略,你可以设置为通配符以匹配任何VirtualService:
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 |
apiVersion: networking.istio.io/v1alpha3 kind: Gateway metadata: name: default-gateway namespace: istio-system spec: selector: istio: ingressgateway servers: - hosts: - '*' port: name: mysql number: 3306 protocol: TCP |
Istio提供了一个灵活的模型,用以收集网格中服务的各种指标(telemetry)。指标收集工作主要由Mixer负责。
从逻辑上说,每次:
- 请求发起前,消费者的Envoy都会调用Mixer,执行前提条件检查
- 每次请求处理完成后,都会调用Mixer,发送监控指标
Sidecar在本地具有缓存,大部分前提条件检查都在本地完成。此外监控指标也具有本地缓冲,不会频繁的发送给Mixer。
Mixer是高度模块化的、可扩展的组件。通过适配器,它支持多种日志记录、配额、授权、监控后端,并将这些策略、监控后端和Istio的其它部分解耦。
适配器封装了Mixer和外部基础设施后端(例如Prometheus)交互的逻辑,每个适配器都需要特定的配置参数才能工作,例如logging适配器需要知道后端服务的IP和端口。
具体使用哪些适配器,也就是启用哪些后端,通过配置文件来指定。
Mixer是非常高可用的组件,并且,它能在整体上提供服务网格的可用性、降低延迟:
- 无状态,Mixer没有任何持久化状态
- 高度健壮,每个实例都具有99.999%的可用性
- 缓存和缓冲,Mixer可以在本地累积大量的临时数据
在每个Pod上都要部署的Sidecar,必须尽可能占用少的内存。这意味着Sidecar的本地缓存、缓冲不能太大。Mixer可以作为Sidercar的高可用二级缓存使用。此外,Mixer的缓冲可以在后端基础设施(例如Prometheus)失败的情况下,继续运行(接受Envoy发来的指标),因而提高了可用性。
Mixer的缓存/缓冲也减少了对后端基础设施的访问频率,甚至减少访问数据量,因为它可以在本地进行数据聚合。
属性(Attributes)是Istio策略/监控功能的关键概念。属性是一小块数据,描述某个请求的自身的特征(property)或请求所处的环境,例如一个属性可能表示请求的长度、响应的状态码、请求来自的IP地址。每个属性都具有名称和取值。
Mixer本质上就是属性处理程序。Envoy为每个请求调用Mixer,并且发送请求的属性。Mixer依据请求属性,以及Mixer自己的配置,对若干基础设施后端发起调用:
Istio的策略和监控特性基于一个公共的模型来配置,你需要配置三类资源:
- Handlers:决定使用哪些适配器,这些适配器如何运作
- Instances:定义如何把请求属性映射为适配器的输入。Instance代表一个或多个适配器需要处理的数据块
- Rules:决定何时调用适配器,传递什么instance给它
每种适配器都有自己的CRD,下面的例子是listchecker。该适配器检查输入参数是否在列表中,如果是,适配器返回true:
|
1 2 3 4 5 6 7 8 |
apiVersion: config.istio.io/v1alpha2 kind: listchecker metadata: name: staticversion namespace: istio-system spec: providerUrl: http://white_list_registry/ blacklist: false |
下面的例子是prometheus,该适配器消费指标并且进行预聚合:
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 |
apiVersion: config.istio.io/v1alpha2 kind: prometheus metadata: name: handler namespace: istio-system spec: metrics: # 指标列表 - name: request_count # 使用哪个instance instance_name: requestcount.metric.istio-system # 指标类型 kind: COUNTER # 额外添加的标签,这里指定的都是instance的dimensions元素 label_names: - destination_service - destination_version - response_code - name: request_duration instance_name: requestduration.metric.istio-system kind: DISTRIBUTION label_names: - destination_service - destination_version - response_code buckets: explicit_buckets: bounds: [0.005, 0.01, 0.025, 0.05, 0.1, 0.25, 0.5, 1, 2.5, 5, 10] |
每种Instance都有自己的CRD,用于将请求属性映射为适配器的输入。下面的例子为prometheus适配器提供输入:
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 |
apiVersion: config.istio.io/v1alpha2 kind: metric metadata: name: requestduration namespace: istio-system spec: # 注意可以用 | 提供默认值 value: response.duration | "0ms" # 额外的标签 dimensions: destination_service: destination.service | "unknown" destination_version: destination.labels["version"] | "unknown" response_code: response.code | 200 monitored_resource_type: '"UNSPECIFIED"' |
指定在何时调用handler,传递什么instance给它。下面的规则表示,如果被访问的服务是service1,且请求头x-user为user1,则将名为requestduration的metric传递给Prometheus:
|
1 2 3 4 5 6 7 8 9 10 11 |
apiVersion: config.istio.io/v1alpha2 kind: rule metadata: name: promhttp namespace: istio-system spec: match: destination.service == "service1.ns.svc.cluster.local" && request.headers["x-user"] == "user1" actions: - handler: handler.prometheus instances: - requestduration.metric.istio-system |
将单体应用分解为微服务可以获得很多好处,例如更灵活、更容易扩容、更容易重用。但是,微服务也引入额外的安全需求:
- 为了防止中间人攻击,需要进行流量加密。安全内网环境下可以忽略
- 为了提供灵活的访问控制,需要双向TLS认证,以及细粒度的访问控制策略
- 为了审计谁在什么时候访问了什么,需要审计工具
Istio的安全特性能够满足以上需求。Istio安全支持:
- 强身份验证(strong identity)
- 强大的策略配置
- 透明的TLS传输
- AAA —— 认证、授权、审计
和Istio安全有关的组件包括:
- Citadel,负责密钥、证书管理
- Sidecar和周边代理(perimeter proxies,运行在Ingress/Egress的代理 ),实现客户端 - 服务之间的安全通信
- Pilot,分发身份验证策略、安全命名信息给代理
- Mixer,管理授权和审计
身份标识(Identity)是任何安全基础设施的基础。两个服务开始交互前,需要相互交换自己身份的凭证信息,以进行双向身份验证:
- 客户端利用安全命名(secure naming information)信息检查服务器的身份,以确保它是服务的授权提供者(Runner)
- 在服务器端:
- 利用授权策略(authorization policies)来决定是否接受客户访问
- 记录审计日志 —— 谁在何时访问了什么
- 根据其使用的服务,对客户端计费
- 拒绝没付费的客户端的访问请求
在不同平台上,Istio使用不同方式来实现服务身份(Service identities):
- 在K8S上使用ServiceAccount
- 在GKE/GCE上使用GCP服务账号
- 在AWS上使用AWS IAM用户/角色账号
- 裸机器,可以使用用户账号、自定义服务账号、服务名称、Istio服务账号,等等
Istio的PKI建立在Citadel之上,能够安全的为任何工作负载提供代表身份的数字证书(X.509,SPIFFE格式),并且支持密钥和证书的自动轮换(更新)。
在K8S场景下:
- Citadel会监控API Server,为所有Service Account创建SPIFFE格式的密钥对,并且存储为K8S的Sercret
- 当创建Pod后,Pod使用的Service Account的密钥对会挂载为卷
- Citadel会监控证书的生命周期,并自动轮换,然后自动更新Secret,从而让Pod自动获得更新
- Pilot会创建安全命名信息,此信息定义了什么Service Account能够运行什么服务。安全命名信息被传播给Envoy
Istio提供两种类型的身份验证:
- 传输身份验证:即服务-服务身份验证。 认证直接的请求发起者的身份,Istio支持双向身份验证
- 源(Origin)身份验证:即终端用户身份验证。验证最初发起请求的用户或者设备。Istio支持基于JSON Web Token(JWK)的请求级身份验证
通过配置服务的身份验证策略(authentication policies),可以为其启用身份验证功能。
通过服务消费者、提供者的Envoy代理,Istio实现了服务-服务通信的安全隧道。请求的处理步骤如下:
- 将消费者的请求重新路由到本地的Sidecar —— Envoy
- 消费者Envoy向提供者的Envoy发起双向认证的TLS握手。在握手期间,消费者Envoy也会对提供者进行安全命名检查,看看它的Service Account是否有权提供目标服务
- 两个Envoy建立TLS连接,流量通过此连接转发
- 提供者确认消费者有权限访问后,将流量转发给本地的主容器
安全命名信息是一个多对多映射,从编码在数字证书中的服务的身份标识(K8S中为Service Account),到(被发现服务或DNS引用的)服务名称。从A到B的映射,其含义是A有资格运行B服务。
Pilot会监控K8S的API Server,取得Service Account + Pod等信息,生成安全命名信息,并安全的分发给Envoy。
Istio使用基于角色的权限控制(RBAC),允许命名空间级别、服务级别、HTTP方法级别的访问控制。Istio支持:
- 基于角色的授权,简单易用
- 服务-服务、终端用户-服务,两种访问控制
- 高性能,授权直接在Envoy上发生
架构图如下:
这里的策略是针对针对服务提供者的:
|
1 2 3 4 5 6 7 8 9 10 11 |
apiVersion: "authentication.istio.io/v1alpha1" kind: "Policy" metadata: name: "reviews" spec: targets: # 对于reviews服务 - name: reviews peers: # 必须启用双向的TLS - mtls: {} |
使用mutual TLS时,要在客户端指定身份验证规则,需要在DestinationRule中配置TLSSettings。
你可以为整个服务网格设置默认的身份验证策略(不指定targets):
|
1 2 3 4 5 6 7 |
apiVersion: "authentication.istio.io/v1alpha1" kind: "MeshPolicy" metadata: name: "default" spec: peers: - mtls: {} |
或者为某个命名空间设置默认的身份验证策略:
|
1 2 3 4 5 6 7 8 |
apiVersion: "authentication.istio.io/v1alpha1" kind: "Policy" metadata: name: "default" namespace: "ns1" spec: peers: - mtls: {} |
身份验证策略所针对的服务,在targets字段中配置:
|
1 2 3 4 5 6 7 8 |
spec: targets: # 任何单品页服务 - name: product-page # 运行在9000端口的reviews服务 - name: reviews ports: - number: 9000 |
peers字段定义了服务-服务的身份验策略。0.7版本的Istio仅支持mTLS:
|
1 2 3 |
spec: peers: - mtls: {} |
配置mode为PERMISSIVE,则mTLS是可选的,允许基于明文发起请求:
|
1 2 3 |
peers: - mTLS: mode: PERMISSIVE |
origins字段定义了终端用户的设法验证策略。目前仅仅支持JWT认证。
|
1 2 3 4 5 6 |
spec: origins: # 承认Google签发的JWT - jwt: issuer: "https://accounts.google.com" jwksUri: "https://www.googleapis.com/oauth2/v3/certs" |
要启用访问控制,你需要配置CRD —— RbacConfig。这是一个全局的单例对象,名字必须为default:
|
1 2 3 4 5 6 7 8 9 10 11 12 13 |
apiVersion: "rbac.istio.io/v1alpha1" kind: RbacConfig metadata: name: default spec: # OFF 禁用访问控制 # ON 为所有服务启用访问控制 # ON_WITH_INCLUSION 仅仅为指定的服务、命名空间启用访问控制 # ON_WITH_EXCLUSION 除了指定的服务、命名空间,都启用访问控制 mode: 'ON_WITH_INCLUSION' # 指定启用访问控制的命名空间、服务 inclusion: namespaces: ["default"] |
定义一个角色,并声明该角色对哪些服务具有哪些访问权限。
ServiceRole包含一系列rules,也就是许可(permissions):
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 |
apiVersion: "rbac.istio.io/v1alpha1" kind: ServiceRole metadata: name: service-admin namespace: default spec: # 许可列表 rules: # 针对的服务,通配符*表示当前命名空间的任何服务。admin-*表示任何以admin-开头的服务 - services: ["*","admin-*"] # 允许的HTTP方法,对于gRPC请求来说,HTTP方法总是POST。通配符*表示允许任何方法 methods: ["*"] # 允许的URL路径,或者gRPC方法。 # gRPC方法必须是 /packageName.serviceName/methodName 形式,大小写敏感 paths: - /admin # 允许 /books/reviews, /events/booksale/reviews, /reviews - */reviews |
除了限定命名空间 + 服务 + 动词 + 路径以外,你还可以提供额外的约束,例如限定请求头:
|
1 2 3 4 |
constraints: # 请求头中的version必须声明为v1或v2 - key: request.headers[version] values: ["v1", "v2"] |
为用户、组、服务授予ServiceRole。示例:
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 |
apiVersion: "rbac.istio.io/v1alpha1" kind: ServiceRoleBinding metadata: name: test-binding-products namespace: default spec: # 被授予角色的主体 subjects: # 主体为service-account-a,它是服务a使用的service-account - user: "service-account-a" # 主体为Istio的Ingress服务账号 - user: "istio-ingress-service-account" # 同时要求请求的JWT的email为me@gmem.cc properties: request.auth.claims[email]: "me@gmem.cc" # 允许任何人访问服务 - user: "*" # 允许任何通过身份验证的人访问服务 - properties: source.principal: "*" # 角色 roleRef: kind: ServiceRole name: "products-viewer" |
Leave a Reply