【連載】微服務網格Istio（一）

Istio基礎

服務網格是用於描述構成應用程序的微服務網絡以及應用之間的交互，服務網格的功能包括服務發現、負載均衡、故障恢復、指標和監控以及更加復雜的運維工作，例如A/B測試、金絲雀發布、限流、訪問控制和端到端身份驗證等。

什么是微服務

微服務是用於構建應用程序的架構風格，一個大的系統可由一個或者多個微服務組成，微服務架構可將應用拆分成多個核心功能，每個功能都被稱為一項服務，可以單獨構建和部署，這意味着各項服務在工作和出現故障的時候不會相互影響，簡單來說，微服務架構是把一個大的系統按照不同的業務單元分解成多個職責單一的小系統，並利用簡單的方法使多個小系統相互協作，組合成一個大系統，各個小的系統是獨立部署的，它們之間是松耦合的。

什么是istio

​ istio是一個用來連接、管理和保護微服務的開源的服務網格， istio解決了開發和運維人員從部署單個應用程序向分布式微服務架構過渡時所面臨的挑戰，istio作為微服務網格中的佼佼者，它提供了洞察和操作控制微服務網格的能力，提供了完整的解決方案來滿足微服務應用程序的各種要求，從較高的層面來說，istio有助於降低這些部署的復雜性，並減輕開發和運維團隊的壓力，istio它也是一個平台，可以集成任何日志、遙測和策略系統等API接口，istio多樣化的特性使大家能夠成功且高效地運行分布式微服務架構，並提供保護、連接和監控微服務的統一方法，istio目前僅支持在Kubernetes上部署，未來版本中將支持其他環境。

為什么使用istio

​ 通過負載均衡、服務間的身份驗證、監控等方法，istio可以輕松地創建一個已經部署了服務的網絡，而服務的代碼只需很少更改甚至無需更改，通過在整個環境中部署一個特殊的sidecar代理為服務添加istio的支持，而代理會攔截微服務之間的所有網絡通信，然后使用其控制平面的功能來配置和管理istio，這包括：

1. 為 HTTP、gRPC、WebSocket和TCP流量自動負載均衡。
2. 通過豐富的路由規則、重試、故障轉移和故障注入對流量行為進行細粒度控制。
3. 可插拔的策略層和配置API，支持訪問控制、速率限制和配額。
4. 集群內（包括集群的入口和出口）所有流量的自動化度量、日志記錄和追蹤。
5. 在具有強大的基於身份驗證和授權的集群中實現安全的服務間通信。

istio的核心特性

Istio以統一的方式提供了許多跨服務網絡的關鍵功能，核心功能如下：

流量管理

​ istio簡單的規則配置和流量路由允許你控制服務之間的流量和API調用過程。istio簡化了服務級屬性（如熔斷器、超時和重試）的配置，並且讓它輕而易舉的執行重要的任務（如 A/B 測試、金絲雀發布和按流量百分比划分的分階段發布）。有了更好的對流量的可視性和開箱即用的故障恢復特性，這樣就可以在問題產生之前捕獲它們，無論面對什么情況都可以使調用更可靠，網絡更健壯。詳細內容參考后面流量管理章節（https://istio.io/latest/zh/docs/concepts/traffic-management/）。

安全

​ istio的安全特性解放了開發人員，使其只需要專注於應用程序級別的安全。istio提供了底層的安全通信通道，並為大規模的服務通信管理認證、授權和加密。有了istio，服務通信在默認情況下就是受保護的，可以讓你在跨不同協議和運行時的情況下實施一致的策略，而所有這些都只需要很少甚至不需要修改應用程序。istio是獨立於平台的，可以與Kubernetes（或基礎設施）的網絡策略一起使用。但它更強大，能夠在網絡和應用層面保護pod到pod或者服務到服務之間的通信。詳細內容參考后面安全章節（https://istio.io/latest/zh/docs/concepts/traffic-management/）。

可觀察性

​ istio健壯的追蹤、監控和日志特性讓你能夠深入的了解服務網格部署。通過istio的監控能力，可以真正的了解到服務的性能是如何影響上游和下游的；而它的定制Dashboard 提供了對所有服務性能的可視化能力，並讓你看到它如何影響其他進程。istio的Mixer（Mixer在istio1.5版本已經廢棄了，功能整合到了istiod中） 組件負責策略控制和遙測數據收集。它提供了后端抽象和中介，將一部分istio與后端的基礎設施實現細節隔離開來，並為運維人員提供了對網格與后端基礎實施之間交互的細粒度控制。所有這些特性都使你能夠更有效地設置、監控和加強服務的SLO。當然，底線是你可以快速有效地檢測到並修復出現的問題。詳細內容參考后面可觀察行章節（https://istio.io/latest/zh/docs/concepts/observability/）。

平台支持

​ istio獨立於平台，被設計為可以在各種環境中運行，包括跨雲、內部環境、kubernetes、Mesos等等。你可以在Kubernetes或是裝有Consul的Nomad環境上部署 istio。istio 目前支持：

1. Kubernetes上的服務部署
2. 基於Consul的服務注冊
3. 服務運行在獨立的虛擬機上

整合和定制

​ Istio的策略實施組件可以擴展和定制，與現有的ACL、日志、監控、配額、審查等解決方案集成。

istio的架構

istio服務網格從邏輯上分為數據平面和控制平面。

1. 數據平面由一組智能代理Envoy（Envoy參考https://www.envoyproxy.io/docs/envoy/latest/start/start）組成，被部署成sidecar。這些代理通過一個通用的策略和遙測中心Mixer（Mixer在istio1.5已經被廢棄了，默認關閉Mixer，Mixer參考https://istio.io/zh/docs/reference/config/policy-and-telemetry/）傳遞和控制微服務之間的所有網絡通信。
2. 控制平面管理並配置代理來進行流量路由。此外，控制平面配置Mixer （Mixer已經在istio1.5中被廢棄）來執行策略和收集遙測數據。
3. istio1.5+中使用了一個全新的部署模式，重建了控制平面，將原有的多個組件整合為一個單體結構istiod，這個組件是控制平面的核心，負責處理配置、證書分發、sidecar 注入等各種功能。istiod是新版本中最大的變化，以一個單體組件替代了原有的架構，在降低復雜度和維護難度的同時，也讓易用性得到提升。需要注意的一點是，原有的多組件並不是被完全移除，而是在重構后以模塊的形式整合在一起組成了istiod。
4. istio中的流量分為數據平面流量和控制平面流量。數據平面流量是指工作負載的業務邏輯發送和接收的消息。控制平面流量是指istio組件之間發送的配置和控制消息用來編排網格的行為。istio中的流量管理特指數據平面流量。

Istio組件

Envoy

​ istio使用Envoy代理（Envoy參考https://www.envoyproxy.io/docs/envoy/latest/）的擴展版本。Envoy是用 C++ 開發的高性能代理，用於協調服務網格中所有服務的入站和出站流量。Envoy代理是唯一與數據平面流量交互的istio 組件。

Envoy代理被部署為服務的sidecar，在邏輯上為服務增加了Envoy的許多內置特性，例如:

• 動態服務發現
• 負載均衡
• TLS終端
• HTTP/2與gRPC代理
• 熔斷器
• 健康檢查
• 基於百分比流量分割的分階段發布
• 故障注入
• 豐富的指標

​ 這種sidecar部署允許istio提取大量關於流量行為的信號作為屬性。反之，istio可以在Mixer（Mixer在istio1.5已經被廢棄，這里就不介紹了）中使用這些屬性來執行決策，並將它們發送到監控系統，以提供整個網格的行為信息。sidecar代理模型還允許向現有的部署添加istio功能，而不需要重新設計架構或重寫代碼。

由Envoy代理啟用的一些istio的功能和任務包括:

• 流量控制功能：通過豐富的 HTTP、gRPC、WebSocket 和 TCP 流量路由規則來執行細粒度的流量控制。
• 網絡彈性特性：重試設置、故障轉移、熔斷器和故障注入。
• 安全性和身份驗證特性：執行安全性策略以及通過配置 API 定義的訪問控制和速率限制。

Pilot

​ Pilot為Envoy sidecar提供服務發現、用於智能路由的流量管理功能（例如，A/B 測試、金絲雀發布等）以及彈性功能（超時、重試、熔斷器等）。Pilot將控制流量行為的高級路由規則轉換為特定於環境的配置，並在運行時將它們傳播到sidecar。Pilot將特定於平台的服務發現機制抽象出來，並將它們合成為任何符合Envoy API的sidecar都可以使用的標准格式。

下圖展示了平台適配器和Envoy代理如何交互。

1. 平台啟動一個服務的新實例，該實例通知其平台適配器。
2. 平台適配器使用Pilot抽象模型注冊實例。
3. Pilot將流量規則和配置派發給Envoy代理，來傳達此次更改。

​ 這種松耦合允許istio在Kubernetes、Consul或Nomad等多種環境中運行，同時維護相同的operator接口來進行流量管理。也可以使用istio的流量管理API來指示Pilot優化Envoy配置，以便對服務網格中的流量進行更細粒度地控制。

Galley

Galley是istio的配置驗證、提取、處理和分發組件。它負責將其余的istio組件與從底層平台（例如 Kubernetes）獲取用戶配置的細節隔離開來。

istio架構的設計目標

幾個關鍵的設計目標形成istio的架構。這些目標對於使系統能夠大規模和高性能地處理服務是至關重要的。

透明度最大化

​ 為了采用istio，運維人員或開發人員需要做盡可能少的工作，才能從系統中獲得真正的價值。為此，istio可以自動將自己注入到服務之間的所有網絡路徑中。istio使用sidecar代理來捕獲流量，並在可能的情況下，在不更改已部署的應用程序代碼的情況下，自動對網絡層進行配置，以實現通過這些代理來路由流量。在 Kubernetes中，代理被注入到pods中，通過編寫‘iptables’規則來捕獲流量。一旦 sidecar代理被注入以及流量路由被編程，istio就可以協調所有的流量。這個原則也適用於性能。當將istio應用於部署時，運維人員會看到所提供功能的資源成本增加地最小。組件和API的設計必須考慮到性能和可伸縮性。

可擴展性

​ 隨着運維人員和開發人員越來越依賴於istio提供的功能，系統必須隨着他們的需求而增長。當我們繼續添加新特性時，最大的需求是擴展策略系統的能力，與其他策略和控制源的集成，以及將關於網格行為的信號傳播到其他系統進行分析的能力。策略運行時支持用於接入其他服務的標准擴展機制。此外，它允許擴展其詞匯表，允許根據網格生成的新信號執行策略。

可移植性

​ 使用istio的生態系統在許多方面都有所不同，istio 必須在任何雲環境或本地環境中通過最小的努力就能運行起來。將基於istio的服務移植到新環境的任務必須是容易實現的。使用istio，你可以操作部署到多個環境中的單個服務。例如，可以在多個雲上部署來實現冗余。

策略一致性

​ 將策略應用於服務之間的API調用提供了對網格行為的大量控制。然而，將策略應用在區別於API層上的資源也同樣重要。例如，在機器學習訓練任務消耗的CPU 數量上應用配額比在發起任務的請求調用上應用配額更有用。為此，istio使用自己的 API將策略系統維護為一個獨立的服務，而不是將策略系統集成到sidecar代理中，從而允許服務根據需要直接與之集成。

安裝Istio

在安裝istio之前，需要一個Kubernetes集群，istio 1.10 已經在 Kubernetes 版本 1.14, 1.15, 1.16 、1.17、1.18、1.19、1.20中測試過。

下載istio

下載 Istio，下載內容將包含：安裝文件、示例和istioctl命令行工具。

[root@kubernetes-master-01 ~]# wget https://github.com/istio/istio/releases/download/1.10.2/istio-1.10.2-linux-amd64.tar.gz
[root@kubernetes-master-01 ~]# tar -xf istio-1.10.2-linux-amd64.tar.gz  
[root@kubernetes-master-01 ~]# mv istio-1.10.2/bin/istioctl /usr/local/bin/

部署istio

[root@kubernetes-master-01 istio-1.10.2]# istioctl manifest apply --set profile=demo
This will install the Istio 1.10.2 demo profile with ["Istio core" "Istiod" "Ingress gateways" "Egress gateways"] components into the cluster. Proceed? (y/N) y
✔ Istio core installed                                                                                                                                                                                        
✔ Istiod installed                                                                                                                                                                                            
✔ Egress gateways installed                                                                                                                                                                                   
✔ Ingress gateways installed                                                                                                                                                                                  
✔ Installation complete                                                                                                                                                                                       Thank you for installing Istio 1.10.  Please take a few minutes to tell us about your install/upgrade experience!  https://forms.gle/KjkrDnMPByq7akrYA

卸載

# 安裝時不需要執行
[root@kubernetes-master-01 ~]# istioctl manifest generate --set profile=demo | kubectl delete -f -

查看部署狀態

[root@kubernetes-master-01 ~]# kubectl get pods -n istio-system 
NAME                                    READY   STATUS    RESTARTS   AGE
istio-egressgateway-78cb6c4799-nn2zw    1/1     Running   0          9m34s
istio-ingressgateway-59644976b5-z8vmd   1/1     Running   0          9m34s
istiod-664799f4bc-7w8vr                 1/1     Running   0          10m

安裝kiali圖形化界面

[root@kubernetes-master-01 istio-1.10.2]# kubectl apply -f samples/addons/kiali.yaml 
[root@kubernetes-master-01 istio-1.10.2]# kubectl apply -f samples/addons/prometheus.yaml 

連載Istio, 請貫注微信公眾號：新猿技術生態圈，及時學習更高級內容。