1、概述
與虛擬服務一樣,目標規則也是 Istio 流量路由功能的關鍵部分。您可以將虛擬服務視為將流量如何路由到給定目標地址,然后使用目標規則來配置該目標的流量。在評估虛擬服務路由規則之后,目標規則將應用於流量的“真實”目標地址。
特別是,您可以使用目標規則來指定命名的服務子集,例如按版本為所有給定服務的實例分組。然后可以在虛擬服務的路由規則中使用這些服務子集來控制到服務不同實例的流量。
目標規則還允許您在調用整個目的地服務或特定服務子集時定制 Envoy 的流量策略,比如您喜歡的負載均衡模型、TLS 安全模式或熔斷器設置。在目標規則參考中可以看到目標規則選項的完整列表。
2、負載均衡選項
默認情況下,Istio 使用輪詢的負載均衡策略,實例池中的每個實例依次獲取請求。Istio 同時支持如下的負載均衡模型,可以在 DestinationRule 中為流向某個特定服務或服務子集的流量指定這些模型。
- 隨機:請求以隨機的方式轉到池中的實例。
- 權重:請求根據指定的百分比轉到實例。
- 最少請求:請求被轉到最少被訪問的實例。
查看 Envoy 負載均衡文檔獲取這部分的更多信息。
3、destinationrules.networking.istio.io資源結構
通過kubectl get customresourcedefinitions.apiextensions.k8s.io destinationrules.networking.istio.io -o yaml命令查看destinationrules資源的apiGroups、apiVersions 和 resources 以及資源的 scope信息,可以看到資源scope是Namespaced。
spec:
conversion:
strategy: None
group: networking.istio.io
names:
categories:
- istio-io
- networking-istio-io
kind: DestinationRule
listKind: DestinationRuleList
plural: destinationrules
shortNames:
- dr
singular: destinationrule
scope: Namespaced
versions:
.....
4、Destination Rule 示例
通常在生產場景下,使用 Destination Rule 對用戶進行身份、地址位置等條件的識別后的流量路由,例如部分用戶優先享用新版本,則可以通過HTTP Header附加相關的字段進行識別,路由到新版本的服務上。或者在版本更新的時候,使用灰度發布,對新舊版本標記子集,按照不同的負載百分比進行調整逐步迭代。
通過例子來理解
有兩個Deployment(nginx 及 httpd),通過Service關聯到一起,通過訪問Service只能做到簡單的負載均衡,通過實驗發現 nginx 和 httpd 流量各自在 50% 左右。
Deployment和Service配置文件如下:
apiVersion: apps/v1
kind: Deployment
metadata:
labels:
app: nginx
name: nginx-deployment
spec:
replicas: 1
selector:
matchLabels:
app: nginx
strategy:
rollingUpdate:
maxSurge: 25%
maxUnavailable: 25%
type: RollingUpdate
template:
metadata:
labels:
app: nginx
server: web
spec:
containers:
- image: 'nginx:latest'
name: nginx-deployment
---
apiVersion: apps/v1
kind: Deployment
metadata:
labels:
app: httpd
name: httpd-deployment
spec:
replicas: 1
selector:
matchLabels:
app: httpd
strategy:
rollingUpdate:
maxSurge: 25%
maxUnavailable: 25%
type: RollingUpdate
template:
metadata:
labels:
app: httpd
server: web
spec:
containers:
- image: 'httpd:latest'
name: httpd-deployment
---
apiVersion: v1
kind: Service
metadata:
name: web-service
spec:
ports:
- port: 80
protocol: TCP
targetPort: 80
selector:
server: web
type: ClusterIP
如果想實現更加細顆粒度的流量管控,通過引入Istio Vistrual Service 及 Destination Rule,非常簡單的就實現復雜的流量管理。
DestinationRule 根據標簽將流量分成不同的子集,以提供 VirtualService 進行調度,並且設置相關的負載百分比實現精准的控制。
apiVersion: networking.istio.io/v1alpha3
kind: DestinationRule
metadata:
name: web-dr
spec:
host: web-service #k8s服務名
subsets:
- name: httpd
labels:
app: httpd
- name: nginx
labels:
app: nginx
---
apiVersion: networking.istio.io/v1alpha3
kind: VirtualService
metadata:
name: web-vs
spec:
hosts:
- web-service #k8s服務名
http:
- route:
- destination:
host: web-service
subset: nginx
weight: 80
- destination:
host: web-service
subset: httpd
weight: 20
通過客戶端測試以上的實驗,請留意客戶端也必須經過 Istio 注入,因為只有客戶端被 Istio 注入才可以接收到來自 Pilot 有關 Virtual Service 和 Destination Rule 的配置信息,才可以保證流量接管生效。
apiVersion: apps/v1
kind: Deployment
metadata:
labels:
app: client-deployment
name: client-deployment
spec:
replicas: 1
selector:
matchLabels:
app: client-deployment
strategy:
rollingUpdate:
maxSurge: 25%
maxUnavailable: 25%
type: RollingUpdate
template:
metadata:
labels:
app: client-deployment
spec:
containers:
- image: 'busybox:latest'
name: client-deployment
command: [ "/bin/sh", "-c", "sleep 3600"]
進入客戶端容器執行 wget -q -O - web-service 觀察執行結果,可以測試出nginx流量在80%左右,httpd 流量在20%左右。
5、更豐富的流量策略
在生產環境中,應用到的流量策略不單單只是加權的負載均衡那么簡單, Destination Rule 還支持最小連接數、隨機負載等等。在下面的示例中,目標規則為my-svc目標服務配置了2個具有不同負載均衡策略的子集:
apiVersion: networking.istio.io/v1alpha3
kind: DestinationRule
metadata:
name: my-destination-rule
spec:
host: my-svc #指的是 Kuberentes 中的服務
trafficPolicy:
loadBalancer: #負載均衡路由策略
simple: RANDOM
subsets: #針對不同標簽選擇的流量子集
- name: v1
labels:
version: v1
- name: v2
labels:
version: v2
trafficPolicy:
loadBalancer:
simple: ROUND_ROBIN
- name: v3
labels:
version: v3
每個子集都是基於一個或多個 labels 定義的,在 Kubernetes 中它是附加到像 Pod 這種對象上的鍵/值對。這些標簽應用於 Kubernetes 服務的 Deployment 並作為 metadata 來識別不同的版本。
除了定義子集之外,目標規則對於所有子集都有默認的流量策略,而對於該子集,則有特定於子集的策略覆蓋它。定義在 subsets 上的默認策略,為 v1 和 v3 子集設置了一個簡單的隨機負載均衡器。在 v2 策略中,輪詢負載均衡器被指定在相應的子集字段上。
6、總結
虛擬服務(Vistrual Service)可以將流量路由到給定目標地址(k8s服務),然后使用目標規則(Destination Rule)來配置該目標的流量。在評估虛擬服務路由規則之后,目標規則將應用於流量的“真實”目標地址。特別是,您可以使用目標規則來指定命名的服務子集,例如按版本為所有給定服務的實例分組。然后可以在虛擬服務的路由規則中使用這些服務子集來控制到服務不同實例的流量。目標規則還允許您在調用整個目的地服務或特定服務子集時定制 Envoy 的流量策略,比如您喜歡的負載均衡模型、TLS 安全模式或熔斷器設置。注意,目標規則不能獨自使用,必須跟 Virtual Service 共同發揮作用。
參考:https://zhuanlan.zhihu.com/p/262249873
參考:https://istio.io/latest/zh/docs/concepts/traffic-management/
參考:https://istio.io/latest/zh/docs/reference/config/networking/destination-rule/