聊一聊 Google、IBM 和 Lyft 聯(lián)合開源的微服務(wù) Service Mesh 框架 Istio

Google,IBM 和 Lyft 自豪地宣布 Istio 的第一個(gè)公開發(fā)布:一個(gè)開源項(xiàng)目,提供統(tǒng)一的連接,安全,管理和監(jiān)控微服務(wù)的方。 我們目前的版本針對(duì) Kubernetes 環(huán)境; 我們打算在未來幾個(gè)月內(nèi)為虛擬機(jī)和 Cloud Foundry 等其他環(huán)境增加支持。 Istio 將流量管理添加到微服務(wù)中,并為增值功能(如安全性,監(jiān)控,路由,連接管理和策略)創(chuàng)造了基礎(chǔ)。 該軟件使用來自 Lyft 的經(jīng)過測(cè)試的特使代理構(gòu)建,并提供對(duì)流量的可見性和控制,而不需要對(duì)應(yīng)用程序代碼進(jìn)行任何更改。 Istio 為 CIO 提供了強(qiáng)大的工具,可以在整個(gè)企業(yè)中實(shí)施安全性,政策和合規(guī)性要求。

Istio 和 Service Mesh

Istio 是 Google、IBM 和 Lyft 聯(lián)合開源的微服務(wù) Service Mesh 框架,旨在解決大量微服務(wù)的發(fā)現(xiàn)、連接、管理、監(jiān)控以及安全等問題。Istio 對(duì)應(yīng)用是透明的,不需要改動(dòng)任何服務(wù)代碼就可以實(shí)現(xiàn)透明的服務(wù)治理。

Istio 的主要特性包括:

  • HTTP、gRPC 和 TCP 網(wǎng)絡(luò)流量的自動(dòng)負(fù)載均衡

  • 豐富的路由規(guī)則,細(xì)粒度的網(wǎng)絡(luò)流量行為控制

  • 流量加密、服務(wù)間認(rèn)證,以及強(qiáng)身份聲明

  • 全范圍( Fleet-wide )策略執(zhí)行

  • 深度遙測(cè)和報(bào)告

Service Mesh

Service Mesh(服務(wù)網(wǎng)格)是一個(gè)用于保證服務(wù)間安全、快速、可靠通信的網(wǎng)絡(luò)代理組件,是隨著微服務(wù)和云原生應(yīng)用興起而誕生的基礎(chǔ)設(shè)施層。它通常以輕量級(jí)網(wǎng)絡(luò)代理的方式同應(yīng)用部署在一起(比如 sidecar 方式,如下圖所示)。Serivce Mesh 可以看作是一個(gè)位于 TCP/IP 之上的網(wǎng)絡(luò)模型,抽象了服務(wù)間可靠通信的機(jī)制。但與 TCP 不同,它是面向應(yīng)用的,為應(yīng)用提供了統(tǒng)一的可視化和控制。

為了保證服務(wù)間通信的可靠性,Service Mesh 需要支持熔斷機(jī)制、延遲感知的負(fù)載均衡、服務(wù)發(fā)現(xiàn)、重試等一些列的特性。

比如 Linkerd 處理一個(gè)請(qǐng)求的流程包括

  • 查找動(dòng)態(tài)路由確定請(qǐng)求的服務(wù)

  • 查找該服務(wù)的實(shí)例

  • Linkerd 跟響應(yīng)延遲等因素選擇最優(yōu)的實(shí)例

  • 將請(qǐng)求轉(zhuǎn)發(fā)給最優(yōu)實(shí)例,記錄延遲和響應(yīng)情況

  • 如果請(qǐng)求失敗或?qū)嵗龑?shí)效,則轉(zhuǎn)發(fā)給其他實(shí)例重試(需要是冪等請(qǐng)求)

  • 如果請(qǐng)求超時(shí),則直接失敗,避免給后端增加更多的負(fù)載

  • 記錄請(qǐng)求的度量和分布式跟蹤情況

為什么 Service Mesh 是必要的

  • 將服務(wù)治理與實(shí)際服務(wù)解耦,避免微服務(wù)化過程中對(duì)應(yīng)用的侵入

  • 加速傳統(tǒng)應(yīng)用轉(zhuǎn)型微服務(wù)或云原生應(yīng)用

Service Mesh 并非一個(gè)全新的功能,而是將已存在于眾多應(yīng)用之中的相關(guān)功能分離出來,放到統(tǒng)一的組件來管理。特別是在微服務(wù)應(yīng)用中,服務(wù)數(shù)量龐大,并且可能是基于不同的框架和語言構(gòu)建,分離出來的 Service Mesh 組件更容易管理和協(xié)調(diào)它們。

Istio 原 理

Istio 從邏輯上可以分為數(shù)據(jù)平面和控制平面:

  • 數(shù)據(jù)平面主要由一系列的智能代理(Envoy)組成,管理微服務(wù)之間的網(wǎng)絡(luò)通信

  • 控制平面負(fù)責(zé)管理和配置這些智能代理,并動(dòng)態(tài)執(zhí)行策略

Istio 架構(gòu)可以如下圖所示

主要由以下組件構(gòu)成

  • Envoy :Lyft 開源的高性能代理總線,支持動(dòng)態(tài)服務(wù)發(fā)現(xiàn)、負(fù)載均衡、TLS 終止、HTTP/2 和 gPRC 代理、健康檢查、性能測(cè)量等功能。Envoy 以 sidecar 的方式部署在相關(guān)的服務(wù)的 Pod 中。

  • Mixer:負(fù)責(zé)訪問控制、執(zhí)行策略并從 Envoy 代理中收集遙測(cè)數(shù)據(jù)。Mixer 支持靈活的插件模型,方便擴(kuò)展(支持 GCP、AWS、Prometheus、Heapster 等多種后端)

  • Istio-Auth:提供服務(wù)間和終端用戶的認(rèn)證機(jī)制

  • Pilot:動(dòng)態(tài)管理 Envoy 示例的生命周期,提供服務(wù)發(fā)現(xiàn)、流量管理、智能路由以及超時(shí)、熔斷等彈性控制的功能。其與 Envoy 的關(guān)系如下圖所示

在數(shù)據(jù)平面上,除了 Envoy,還可以選擇使用 nginxmesh 和 linkerd 作為網(wǎng)絡(luò)代理。比如,使用 nginxmesh 時(shí),Istio的控制平面(Pilot、Mixer、Auth)保持不變,但用 Nginx Sidecar 取代 Envoy:


安 裝

Istio 目前僅支持 Kubernetes,在部署 Istio 之前需要先部署好 Kubernetes 集群并配置好 kubectl 客戶端。

下 載 Istio

curl -L https://git.io/getLatestIstio | sh -
cd istio-0.2.12/
cp bin/istioctl /usr/local/bin

部 署 Istio 服 務(wù)

兩種方式(選擇其一執(zhí)行)

  • 禁止 Auth:kubectl apply -f install/kubernetes/istio.yaml

  • 啟用 Auth:kubectl apply -f install/kubernetes/istio-auth.yaml

部署完成后,可以檢查 isotio-system namespace 中的服務(wù)是否正常運(yùn)行:

$ kubectl -n istio-system get pod
NAME                             READY     STATUS    RESTARTS   AGE
istio-ca-5cd46b967c-q5th6        1/1       Running   0          3m
istio-egress-56c4d999bc-82js4    1/1       Running   0          3m
istio-ingress-5747bb855f-tv98x   1/1       Running   0          3m
istio-mixer-77487797f6-cwtqt     2/2       Running   0          3m
istio-pilot-86ddcb7ff5-t2zpk     1/1       Running   0          3m

部 署 Prometheus、Grafana 和 Zipkin 插 件

kubectl apply -f install/kubernetes/addons/grafana.yaml
kubectl apply -f install/kubernetes/addons/servicegraph.yaml
kubectl apply -f install/kubernetes/addons/zipkin.yaml
kubectl apply -f install/kubernetes/addons/prometheus.yaml
# kubectl apply -f install/kubernetes/addons/zipkin-to-stackdriver.yaml

等一會(huì)所有 Pod 啟動(dòng)后,可以通過 NodePort 或負(fù)載均衡服務(wù)的外網(wǎng) IP 來訪問這些服務(wù)。比如通過 NodePort 方式,先查詢服務(wù)的 NodePort

$ kubectl -n istio-system get svc grafana -o jsonpath='{.spec.ports[0].nodePort}'
32070
$ kubectl -n istio-system get svc servicegraph -o jsonpath='{.spec.ports[0].nodePort}'
31072
$ kubectl -n istio-system get svc zipkin -o jsonpath='{.spec.ports[0].nodePort}'
30032
$ kubectl -n istio-system get svc prometheus -o jsonpath='{.spec.ports[0].nodePort}'
30890

通過 http://<kubernetes-ip>:32070/dashboard/db/istio-dashboard 訪問 Grafana 服務(wù)

通過 http://<kubernetes-ip>:31072/dotviz 訪問 ServiceGraph 服務(wù),展示服務(wù)之間調(diào)用關(guān)系圖

通過 http://<kubernetes-ip>:30032 訪問 Zipkin 跟蹤頁面

通過 http://<kubernetes-ip>:30890 訪問 Prometheus 頁面

部署 示 例 應(yīng) 用

在部署應(yīng)用時(shí),需要通過 istioctl kube-inject 給 Pod 自動(dòng)插入 Envoy 容器,即

wget https://raw.githubusercontent.com/istio/istio/master/blog/bookinfo-v1.yaml
# inject with istioctl
kubectl apply -f <(istioctl kube-inject -f bookinfo-v1.yaml)

# create ingress
cat <<EOF | kubectl create -f -
apiVersion: extensions/v1beta1
kind: Ingress
metadata:
 name: bookinfo
 annotations:
   kubernetes.io/ingress.class: "istio"
spec:
 rules:
 - http:
     paths:
     - path: /productpage
       backend:
         serviceName: productpage
         servicePort: 9080
     - path: /login
       backend:
         serviceName: productpage
         servicePort: 9080
     - path: /logout
       backend:
         serviceName: productpage
         servicePort: 9080
EOF

原始應(yīng)用如下圖所示

istioctl kube-inject 在原始應(yīng)用的每個(gè) Pod 中插入了一個(gè) Envoy 容器

服務(wù)啟動(dòng)后,可以通過 Ingress 地址

http://<ingress-address>/productpage

來訪問 BookInfo 應(yīng)用

$ kubectl describe ingress
Name:            gateway
Namespace:        default
Address:        192.168.0.77
Default backend:    default-http-backend:80 (10.8.0.4:8080)
Rules:
  Host    Path    Backends
  ----    ----    --------
  *
        /productpage     productpage:9080 (<none>)
        /login         productpage:9080 (<none>)
        /logout     productpage:9080 (<none>)
Annotations:
Events:    <none>

金 絲 雀 部 署

首先部署 v2 版本的應(yīng)用,并配置默認(rèn)路由到 v1 版本:

wget https://raw.githubusercontent.com/istio/istio/master/blog/bookinfo-ratings.yaml
kubectl apply -f <(istioctl kube-inject -f bookinfo-ratings.yaml)

wget https://raw.githubusercontent.com/istio/istio/master/blog/bookinfo-reviews-v2.yaml
kubectl apply -f <(istioctl kube-inject -f bookinfo-reviews-v2.yaml)

# create default route
cat <<EOF | istioctl create -f -
apiVersion: config.istio.io/v1alpha2
kind: RouteRule
metadata:
  name: reviews-default
spec:
  destination:
    name: reviews
  route:
  - labels:
      version: v1
    weight: 100
EOF

示例一:將 10% 請(qǐng)求發(fā)送到 v2 版本而其余 90% 發(fā)送到 v1 版本

cat <<EOF | istioctl create -f -
apiVersion: config.istio.io/v1alpha2
kind: RouteRule
metadata:
  name: reviews-default
spec:
  destination:
    name: reviews
  route:
  - labels:
      version: v2
    weight: 10
  - labels:
      version: v1
    weight: 90
EOF

示例二:將特定用戶的請(qǐng)求全部發(fā)到 v2 版本

cat <<EOF | istioctl create -f -
apiVersion: config.istio.io/v1alpha2
kind: RouteRule
metadata:
 name: reviews-test-v2
spec:
 destination:
   name: reviews
 precedence: 2
 match:
   request:
     headers:
       cookie:
         regex: "^(.*?;)?(user=jason)(;.*)?$"
 route:
 - labels:
     version: v2
   weight: 100
EOF

示例三:全部切換到 v2 版本

cat <<EOF | istioctl replace -f -
apiVersion: config.istio.io/v1alpha2
kind: RouteRule
metadata:
  name: reviews-default
spec:
  destination:
    name: reviews
  route:
  - labels:
      version: v2
    weight: 100
EOF

示例四:限制并發(fā)訪問

# configure a memquota handler with rate limits
cat <<EOF | istioctl create -f -
apiVersion: "config.istio.io/v1alpha2"
kind: memquota
metadata:
 name: handler
 namespace: default
spec:
 quotas:
 - name: requestcount.quota.default
   maxAmount: 5000
   validDuration: 1s
   overrides:
   - dimensions:
       destination: ratings
     maxAmount: 1
     validDuration: 1s
EOF

# create quota instance that maps incoming attributes to quota dimensions, and createrule that uses it with the memquota handler
cat <<EOF | istioctl create -f -
apiVersion: "config.istio.io/v1alpha2"
kind: quota
metadata:
 name: requestcount
 namespace: default
spec:
 dimensions:
   source: source.labels["app"] | source.service | "unknown"
   sourceVersion: source.labels["version"] | "unknown"
   destination: destination.labels["app"] | destination.service | "unknown"
   destinationVersion: destination.labels["version"] | "unknown"
---
apiVersion: "config.istio.io/v1alpha2"
kind: rule
metadata:
 name: quota
 namespace: default
spec:
 actions:
 - handler: handler.memquota
   instances:
   - requestcount.quota
EOF

為了查看訪問次數(shù)限制的效果,可以使用 wrk 給應(yīng)用加一些壓力:

export BOOKINFO_URL=$(kubectl get po -n istio-system -l istio=ingress -o jsonpath={.items[0].status.hostIP}):$(kubectl get svc -n istio-system istio-ingress -o jsonpath={.spec.ports[0].nodePort})
wrk -t1 -c1 -d20s http://$BOOKINFO_URL/productpage

參考文檔:

技術(shù)交流群:365534424

明晚九點(diǎn)|基于 Ansible API 的任務(wù)管理平臺(tái)

主講師:panda

前 douban 運(yùn)維工程師,目前就職于創(chuàng)業(yè)公司。引入 douban 的運(yùn)維平臺(tái)思想,完成公司的自動(dòng)化運(yùn)維平臺(tái)開發(fā)和建設(shè)。對(duì)運(yùn)維工程師轉(zhuǎn)運(yùn)維研發(fā)的困惑和痛點(diǎn)深有感觸,樂于分享自己轉(zhuǎn)型中的五味雜陳。

主要內(nèi)容:

1:中小公司對(duì)于 puppet/salt/ansible 選擇之我見

2:Ansible 在生產(chǎn)環(huán)境中的常用場(chǎng)景

3:Playbook API實(shí)現(xiàn)任務(wù)管理平臺(tái)思路、難點(diǎn)及實(shí)現(xiàn)

分享模式:網(wǎng)絡(luò)直播

分享時(shí)間:12月14日(周四)

最后編輯于
?著作權(quán)歸作者所有,轉(zhuǎn)載或內(nèi)容合作請(qǐng)聯(lián)系作者
【社區(qū)內(nèi)容提示】社區(qū)部分內(nèi)容疑似由AI輔助生成,瀏覽時(shí)請(qǐng)結(jié)合常識(shí)與多方信息審慎甄別。
平臺(tái)聲明:文章內(nèi)容(如有圖片或視頻亦包括在內(nèi))由作者上傳并發(fā)布,文章內(nèi)容僅代表作者本人觀點(diǎn),簡(jiǎn)書系信息發(fā)布平臺(tái),僅提供信息存儲(chǔ)服務(wù)。

友情鏈接更多精彩內(nèi)容