2. 程式人生 > >《Istio官方文件》Kubernetes-Istio網格擴充套件

《Istio官方文件》Kubernetes-Istio網格擴充套件

阿新 發佈:2018-12-23

Istio網格擴充套件

將虛擬機器和裸機主機整合到部署在Kubernetes上的Istio網格中的說明如下。

先決條件

  • 按照安裝指南中的說明在Kubernetes上安裝Istio 。
  • 機器必須具有到網格中節點的IP連線。這通常需要一個VPC或一個VPN,以及一個提供直接(沒有NAT或防火牆拒絕)路由到節點的容器網路。機器不需要訪問由Kubernetes分配的叢集IP地址。
  • Istio控制平面服務(Pilot,Mixer,CA)和Kubernetes DNS伺服器必須可以從虛擬機器中訪問。這通常是使用。您也可以使用NodePort,在虛擬機器上執行Istio元件,或使用自定義網路配置,單獨的文件將覆蓋這些高階配置。

安裝步驟

安裝程式包括準備用於擴充套件,安裝和配置每個虛擬機器的網格。

作為發行包的一部分,以及提供了一個幫助Kubernetes安裝的示例指令碼。檢查支援的指令碼內容和環境變數(如GCP_OPTS)。

幫助配置計算機的示例指令碼可作為發行包的一部分,也可以在。您應該根據您的配置工具和DNS要求對其進行自定義。

準備Kubernetes叢集進行擴充套件

  • 為Kube DNS,Pilot,Mixer和CA設定內部負載均衡器(ILB)。這一步是特定於每個雲提供商,所以你可能需要編輯註釋。 
    kubectl apply -f install/kubernetes/mesh-expansion.yaml
  • 生成Istio ‘cluster.env’配置並部署在虛擬機器中。該檔案包含要攔截的叢集IP地址範圍。 
    export GCP_OPTS="--zone MY_ZONE --project MY_PROJECT"
install/tools/setupMeshEx.sh generateClusterEnv MY_CLUSTER_NAME

生成檔案示例:

cat cluster.env

ISTIO_SERVICE_CIDR=10.63.240.0/20
  • 生成在虛擬機器中使用的DNS配置檔案。這將允許VM上的應用程式解析叢集服務名稱,這些名稱將被sidecar攔截並轉發。 
    # Make sure your kubectl context is set to your cluster
install/tools/setupMeshEx.sh generateDnsmasq

生成檔案示例:

cat kubedns
server=/svc.cluster.local/10.150.0.7
address=/istio-mixer/10.150.0.8
address=/istio-pilot/10.150.0.6
address=/istio-ca/10.150.0.9
address=/istio-mixer.istio-system/10.150.0.8
address=/istio-pilot.istio-system/10.150.0.6
address=/istio-ca.istio-system/10.150.0.9

設定機器

例如,您可以使用以下“全包”指令碼來複制和安裝設定:

# Check what the script does to see that it meets your needs.
export GCP_OPTS="--zone MY_ZONE --project MY_PROJECT"
# change to the namespace you wish to use for VMs but 'vm' is what the bookinfo guide assumes
export SERVICE_NAMESPACE=vm
install/tools/setupMeshEx.sh machineSetup VM_NAME

或者等效的手動步驟:

–手動設定步驟開始–

  • 將配置檔案和Istio Debian檔案複製到加入叢集的每臺機器上。將檔案儲存為/etc/dnsmasq.d/kubedns和/var/lib/istio/envoy/cluster.env。
  • 配置和驗證DNS設定。這可能需要安裝dnsmasq並直接或通過DHCP指令碼新增到/etc/resolv.conf中。要驗證,請檢查虛擬機器是否可以解析名稱並連線到pilot,例如:

在VM /外部主機上:

host istio-pilot.istio-system

生成訊息示例:

# Verify you get the same address as shown as "EXTERNAL-IP" in 'kubectl get svc -n istio-system istio-pilot-ilb'
istio-pilot.istio-system has address 10.150.0.6

檢查您是否可以解決叢集IP。實際地址將取決於您的部署。

host istio-pilot.istio-system.svc.cluster.local.

生成訊息示例:

istio-pilot.istio-system.svc.cluster.local has address 10.63.247.248

同樣檢查istio-ingress:

host istio-ingress.istio-system.svc.cluster.local.

生成訊息示例:

istio-ingress.istio-system.svc.cluster.local has address 10.63.243.30
  • 通過檢查虛擬機器是否可以連線到Pilot和節點來驗證連線。 
    curl 'http://istio-pilot.istio-system:8080/v1/registration/istio-pilot.istio-system.svc.cluster.local|http-discovery'
{
  "hosts": [
   {
    "ip_address": "10.60.1.4",
    "port": 8080
   }
  ]
}

# On the VM, use the address above. It will directly connect to the pod running istio-pilot.
curl 'http://10.60.1.4:8080/v1/registration/istio-pilot.istio-system.svc.cluster.local|http-discovery'
  • 提取最初的Istio認證機密並將其複製到機器上。Istio的預設安裝包括Istio CA,即使禁用自動“mTLS”設定(它為每個服務帳戶建立機密,機密被命名為istio.<serviceaccount>),也會生成Istio機密。建議您執行此步驟,以便日後啟用mTLS,並升級到將預設啟用mTLS的未來版本。 
    # ACCOUNT defaults to 'default', or SERVICE_ACCOUNT environment variable
# NAMESPACE defaults to current namespace, or SERVICE_NAMESPACE environment variable
# (this step is done by machineSetup)
# On a mac either brew install base64 or set BASE64_DECODE="/usr/bin/base64 -D"
install/tools/setupMeshEx.sh machineCerts ACCOUNT NAMESPACE

生成的檔案(key.pem,root-cert.pem,cert-chain.pem)必須被複制到每一臺機器上的/etc/certs目錄下,並通過istio代理讀取。

  • 安裝Istio Debian檔案並啟動’istio’和’istio-auth-node-agent’服務。從github發行版獲取debian軟體包或: 
    # Note: This will be replaced with an 'apt-get' command once the repositories are setup.

source istio.VERSION # defines version and URLs env var
curl -L ${PILOT_DEBIAN_URL}/istio-agent.deb > ${ISTIO_STAGING}/istio-agent.deb
curl -L ${AUTH_DEBIAN_URL}/istio-auth-node-agent.deb > ${ISTIO_STAGING}/istio-auth-node-agent.deb
curl -L ${PROXY_DEBIAN_URL}/istio-proxy.deb > ${ISTIO_STAGING}/istio-proxy.deb

dpkg -i istio-proxy-envoy.deb
dpkg -i istio-agent.deb
dpkg -i istio-auth-node-agent.deb

systemctl start istio
systemctl start istio-auth-node-agent

–手動設定步驟結束–

設定完成後,機器應能夠訪問在Kubernetes叢集或其他網格擴充套件機器上執行的服務。

# Assuming you install bookinfo in 'bookinfo' namespace
curl productpage.bookinfo.svc.cluster.local:9080
... html content ...

檢查程序是否正在執行:

ps aux |grep istio

root      6941  0.0  0.2  75392 16820 ?        Ssl  21:32   0:00 /usr/local/istio/bin/node_agent --logtostderr
root      6955  0.0  0.0  49344  3048 ?        Ss   21:32   0:00 su -s /bin/bash -c INSTANCE_IP=10.150.0.5 POD_NAME=demo-vm-1 POD_NAMESPACE=default exec /usr/local/bin/pilot-agent proxy > /var/log/istio/istio.log istio-proxy
istio-p+  7016  0.0  0.1 215172 12096 ?        Ssl  21:32   0:00 /usr/local/bin/pilot-agent proxy
istio-p+  7094  4.0  0.3  69540 24800 ?        Sl   21:32   0:37 /usr/local/bin/envoy -c /etc/istio/proxy/envoy-rev1.json --restart-epoch 1 --drain-time-s 2 --parent-shutdown-time-s 3 --service-cluster istio-proxy --service-node sidecar~10.150.0.5~demo-vm-1.default~default.svc.cluster.local

Istio身份驗證節點代理是健康的:

sudo systemctl status istio-auth-node-agent

● istio-auth-node-agent.service - istio-auth-node-agent: The Istio auth node agent
   Loaded: loaded (/lib/systemd/system/istio-auth-node-agent.service; disabled; vendor preset: enabled)
   Active: active (running) since Fri 2017-10-13 21:32:29 UTC; 9s ago
     Docs: https://istio.io/
 Main PID: 6941 (node_agent)
    Tasks: 5
   Memory: 5.9M
      CPU: 92ms
   CGroup: /system.slice/istio-auth-node-agent.service
           └─6941 /usr/local/istio/bin/node_agent --logtostderr

Oct 13 21:32:29 demo-vm-1 systemd[1]: Started istio-auth-node-agent: The Istio auth node agent.
Oct 13 21:32:29 demo-vm-1 node_agent[6941]: I1013 21:32:29.469314    6941 main.go:66] Starting Node Agent
Oct 13 21:32:29 demo-vm-1 node_agent[6941]: I1013 21:32:29.469365    6941 nodeagent.go:96] Node Agent starts successfully.
Oct 13 21:32:29 demo-vm-1 node_agent[6941]: I1013 21:32:29.483324    6941 nodeagent.go:112] Sending CSR (retrial #0) ...
Oct 13 21:32:29 demo-vm-1 node_agent[6941]: I1013 21:32:29.862575    6941 nodeagent.go:128] CSR is approved successfully. Will renew cert in 29m59.137732603s

在網格擴充套件機器上執行服務

  • 配置sidecar來攔截埠。這是在/ var / lib / istio / envoy / sidecar.env中使用ISTIO_INBOUND_PORTS環境變數配置的。示例(在執行該服務的VM上): 
    echo "ISTIO_INBOUND_PORTS=27017,3306,8080" > /var/lib/istio/envoy/sidecar.env
systemctl restart istio
  • 手動配置無選擇者服務和端點。“無選擇者”服務用於不受Kubernetes pods支援的服務。例如,在具有修改Kubernetes服務許可權的機器上: 
    # istioctl register servicename machine-ip portname:port
istioctl -n onprem register mysql 1.2.3.4 3306
istioctl -n onprem register svc1 1.2.3.4 http:7000

安裝完成後,Kubernetes軟體包和其他網格擴充套件應該能夠訪問機器上執行的服務。

把它放在一起


相關推薦

Istio官方Kubernetes-Istio網格擴充套件

Istio網格擴充套件 將虛擬機器和裸機主機整合到部署在Kubernetes上的Istio網格中的說明如下。 先決條件 按照安裝指南中的說明在Kubernetes上安裝Istio 。 機器必須具有到網格中節點的IP連線。這通常需要一個VPC或一個VPN,以及一個提供直接(沒有NAT或防火牆拒

Istio官方》Google Kubernetes引擎快速入門

Google Kubernetes引擎快速入門 這種快速啟動用來建立一個新的GKE叢集,安裝Istio然後部署示例應用程式。它使用Deployment Manager自動執行,在詳細介紹。 注:預設安裝將建立一個GKE ,允許。由於它是一個alpha群集,它不支援自動節點或主升級,將在30天

Istio官方Kubernetes快速開始

Kubernetes快速開始 在Kubernetes群集中安裝和配置Istio時,可以參考如下快速入門說明。 先決條件 以下說明要求您有權訪問啟用了RBAC(基於角色的訪問控制)的Kubernetes 1.7.3或更新的群集。你還需要安裝1.7.3或更新版本。如果您希望啟用自動注射支架,您需要

Istio官方Kubernetes-安裝Istio Sidecar

安裝Istio Sidecar 注:以下要求Istio 0.5.0或更高版本。有關版本0.4.0或更高版本,請參閱https://archive.istio.io/v0.4/docs/setup/kubernetes/sidecar-injection。 注意:在以前的版本中,Kubernet

Istio官方》翻譯邀請

2018新年快樂,本月併發網組織翻譯Service Mesh框架(什麼是Service Mesh)《Istio官方文件》,歡迎有興趣的同學參與。 如何領取 通過評論領取想要翻譯的文章,每次領取一章或一節(根據內容長短),翻譯完後再領取其他章節。領取完成之後,建議在一個星期內翻譯完成,如果不能

Istio官方》—— 錯誤注入

原文連結  譯者:carvendy   當使者邊車/代理提供了一大堆故障恢復機制讓服務在Istio上執行,這依然有必要去測試端對端的故障恢復作為了應用的整體功能。錯誤配置的故障策略(例如:矛盾的或者服務響應的超時限制)會讓在程式中的服務界定為不可用,影響到我們希望的結果。   Istio可以指

Istio官方》流量管理–綜述

原文連結  譯者:carvendy 綜述   本頁提供在Istio中,如何管理流量,包括流量管理原則的好處。假設你已經讀了什麼是Istio?,並且熟悉與Istio相關的高可用架構。你可以本章節的其他指南中,找到個別的流量管理特性。 領航員(Pilot)和使者(Envoy)   在Istio中

Istio官方》—— 服務發現與負載均衡

原文連結  譯者:carvendy 服務發現與負載均衡   本文講述Istio在服務網格中,如何對互動的服務進行負載均衡。   服務註冊: Istio假定存在一個服務可以將pod/VM的地址資訊註冊上去。假設一個新的服務可以自動註冊上去,而當服務不健康的時候可以自動移除。管理平臺,比如說Kub

Istio官方》—— 故障處理

原文連結  譯者:carvendy 故障處理    使者在故障恢復中,提供了一個拆箱即用的集合,可以更方便地在服務中移除應用。特性包括: 超時 限定的重試,在重試之間有超時預計與數值的波動性。 有限的併發連線數和請求的上游服務。 對於負載均衡池裡的成員,進行動態(週期性的)健康檢查。 細粒度

Istio官方》—— 請求路由

原文連結  譯者:carvendy 請求路由   本頁描述,在Istio服務網格中,服務間的請求是如何被路由的。 服務模型和服務版本   領航員的職責是,在原始網格中維護的權威服務。Istio的服務模型是如何依賴底層的平臺(Kubernetes、 Mesos、Cloud Foundry等)。

Istio官方》什麼是Istio——設計理念

原文連結  譯者:carvendy 設計理念   這頁概述了Istio的核心設計理念。   Istio的架構裡有一些關鍵的設計理念,是在服務在一定規模上和高效能的標準上,系統必備的能力。 公開透明。為了適應Istio,運維人員和開發人員應該做一些最小限度的工作從系統中獲取真實值。為此,Ist

Istio官方》Pilot

原文連結  譯者:carvendy Pilot(領航員)   Pilot負責Envoy例項在Istio網格服務部署的生命週期。    在上圖中的圖形,Pilot在服務網格中有著權威的服務代表,而服務網格依賴著底層平臺。在Pilot中的特定平臺介面卡負責適當地構成權威模型。作為例子,在Pilot

Istio官方》Eureka-安裝

安裝 在非Kubernetes環境中使用Istio涉及如下關鍵任務: 使用Istio API伺服器設定Istio控制平面 將Istio邊車新增到服務的每個例項 確保請求通過sidecars路由 設定控制面 Istio控制平面由四個主要服務組成:Pilot,Mixer,CA和API伺服器。

Istio官方》Nomad & Consul-安裝

安裝 注意:Nomad上的設定尚未經過測試。 在非Kubernetes環境中使用Istio涉及以下關鍵任務: 使用Istio API伺服器設定Istio控制平面 將Istio sidecar新增到服務的每個例項 確保請求通過sidecars路由 設定控制面 Istio控制平面由四個主要服務

Istio官方》Nomad & Consul-Docker快速入門

Docker快速入門 以下為在Docker Compose安裝程式中安裝和配置Istio的快速入門說明。 先決條件 安裝步驟 轉至頁面下載與您的作業系統相對應的安裝檔案。如果您使用的是MacOS或Linux系統,則還可以執行以下命令自動下載並提取最新版本: curl -L https:

Istio官方》Eureka-Docker快速入門

Docker快速入門 以下為在Docker Compose安裝程式中安裝和配置Istio的快速入門說明。 先決條件 安裝步驟 轉至頁面下載與您的作業系統相對應的安裝檔案。如果您使用的是MacOS或Linux系統,則還可以執行以下命令自動下載並提取最新版本: curl -L https:

Istio官方》什麼是Istio——綜述

原文連結  譯者:carvendy 綜述   本文介紹Istio:開源的連線,管理和安全的微服務。Istio提供了一種簡單方式,讓釋出的服務建立連線並實現負載均衡,服務間的認證,監控,還有更多,而在服務中不需要改變任何程式碼。接入Istio,支援服務由特定的代理髮布,在服務之間會攔截網路通訊並

Istio官方》配置請求路由

原文連結 譯者:suzhuo 配置請求路由 這裡將向你展示如何根據權重和HTTP請求頭去配置動態路由。 “開始之前” 注意:這裡假設你正在Kubernetes上部署應用.所有例子的命令都使用yaml規則檔案的Kubernetes版本(例如:”samples/bookinfo/kube/ro

《Linkerd官方》與Istio一起執行Linkerd

與Istio一起執行 Istio是一個連線,管理和保護微服務的開放平臺。Linkerd是雲本機應用程式的開源服務網格。Istio和Linkerd可以一起工作,Istio可作為跨Linkerd例項的控制平面。 Linkerd的Istio整合是實驗性的,目前支援 路由規則, 入口, 出口和 指標。

kubernetes官方》使用服務訪問叢集中的應用

目標 執行兩個Hello World例項。 建立一個服務物件暴露節點埠。 使用服務物件訪問執行的應用。 準備工作 您需要有一個Kubernetes叢集,並且必須配置kubectl命令列工具來與您的叢集通訊。如果您還沒有叢集,您可以使用Minikube建立一個叢集,或者您可以使用這些Kubernete