1,istio 概念
1.2 istio 是什么?
- 使用云平台可以为组织提供丰富的好处。然而,不可否认的是,采用云可能会给 DevOps 团队带来压力。开发人员必须使用微服务已满足应用的可移植性,同时运营商管理了极其庞大的混合和多云部署。istio允许你连接、保护、控制和观测服务。
- 在较高的层次上,istio 有助于降低这些部署的复杂性,并减轻开发团队的压力。它是一个完全开源的服务网络,可以透明地分层到现有的分布式应用程序上。它也是一个平台,包括允许它集成到任何日志记录平台、遥测或策略系统的API。istio 的多样化功能集使您能够成功高效地运行分布式微服务架构,并提供保护、连接和监控微服务的统一方法。
1.3 什么是服务网络?
- 在从单位应用程序向分布式微服务架构的转型过程中,开发人员和运维人员面临诸多挑战,使用 istio 可以解决这些问题。
- 服务网路(Service Mesh)这个术语通常用于描述构成这些应用程序的微服务网路以及应用之间的交互。随着规模和复杂性的增长,服务网路越来越难以理解和管理。它的需求包括服务发现、负载均衡、故障恢复、指标收集和监控以及通常更加复杂的运维需求,例如 A/B 测试、金丝雀发布、限流、访问控制和端到端认证等。
- istio 提供了一个完整的解决方案,通过为服务网络提供行为洞察和操作控制来满足微服务应用程序的多样化需求。
1.4 为什么要使用 istio?
- istio 提供一种简单的方式来为已部署的服务建立网络,该网络具有负载均衡、服务间认证、监控等功能,而不需要对服务的代码做任何改动。想要让服务支持istio,只需要在您的环境中部署一个特殊的 sidecar 代理,使用 istio 控制平面功能配置和管理代理,拦截微服务之间的所有网络通信:
- HTTP、gRPC、WebSocket 和 TCP 流量的自动负载均衡。
- 通过丰富的路由规则、重试、故障转移和故障注入,可以对流量行为进行细粒度控制。
- 可插入策略层和配置 API,支持访问控制、速率限制和配额。
- 对出入集群入口和出口中所有流量的自动度量指标、日志记录和跟踪。
- 通过强大的基于身份的验证和授权,在集群中实现安全的服务间通信
- istio 旨在实现可扩展性,满足各种部署需求。
1.5 核心功能
- istio 在服务网络中统一提供了许多关键功能:
1.5.1 流量管理
- 通过简单的规则配置和流量路由,您可以控制服务之间的流量和 API 调用。istio 简化了断路器、超时和重试等服务级别属性的配置,并且可以轻松设置 A/B 测试、金丝雀部署和基于百分比的流量分隔的分阶段部署等重要任务。
- 通过更好地了解您的流量和开箱即用的故障恢复功能,您可以在问题出现之前先发现问题,使调用更可靠,并且使您的网络更加强大 - - 无论您面临什么条件。
1.5.2 安全
- istio 的安全功能使开发人员可以专注于应用程序级别的安全性。istio 提供底层安全通信信道,并大规模管理服务通信的认证、授权和加密,使用 istio,服务通信在默认情况下是安全的,他允许您跨多种协议和运行时一致地实施策略 - - 所有这些都是很少或根本不需要应用程序更改。
- 虽然 istio 与平台无关,但将其与 kubernetes(或基础架构)网络策略结合使用,其优势更大,包括在网络和应用层保护 pod 间或服务间通信的能力。
1.5.3 可观察新
- istio 强大的跟踪、监控和日志记录可让您深入了解服务网络部署。通过 istio 的监控功能,可以真正了解服务性能如何影响上游和下游的功能,而其自定义仪表盘可以提供对所有服务性能的可视性,并让您了解该性能如何影响您的其它进程。
- istio 的 Mixer 组件负责策略控制和遥测收集。它提供后端抽象和中介,将 istio 的其余部分与各个基础架构后端的实现细节隔离开来,并为运维提供对网络和基础架构后端之间所有交互的细粒度控制。
- 所有这些功能可以让您可以更有效地设置、监控和实施服务上的 SLO。当然,最重要的是,您可以快速有效地检测和修复问题。
1.5.4 平台支持
- istio 是独立于平台的,旨在运行在各种环境中,包括跨云、内部部署、kubernetes、Mesos 等。您可以在 kubernetes 上部署 istio 或具有 Consul 的 Nomad 上部署。
- istio 目前支持:
- 在 kubernetes 上部署的服务
- 使用 Consul 注册的服务
- 在虚拟机上部署的服务
1.5.5 集成和定制
- 策略执行组件可以扩展和定制,以便于现有的 ACL、日志、监控、配额、审计等方案集成。
1.6 架构
- istio 服务网络逻辑上分为数据平面和控制平面。
- 数据平面有一组以 sidecar 方式部署的智能代理(Envoy)组成。这些代理可以调节和控制微服务及 Mixer 之间所有的网络通信。
- 控制平面负责管理和配置代理来路由流量。此外控制平面配置 Mixer 以实施策略和收集遥测数据。
- 下图显示了构成每个面板的不同组件:
1.6.1 Envoy
- istio 使用 Envoy 代理的扩展版本,Envoy 是以 c++ 开发的高性能代理,用于调解服务网络中所有服务的所有入站和出站流量。Enovy 的许多内置功能被 istio 发扬光大,例如:
- 动态服务发现
- 负载均衡
- TLS 终止
- HTTP/2 & gRPC 代理
- 熔断器
- 健康检查、基于百分比流量拆分的灰度发布
- 故障注入
- 丰富的度量指标
- Envoy 被部署为 sidecar,和对应服务在同一个 kubernetes pod 中。这允许 istio 将大量关于流量行为的信号作为属性提取出来,而这些属性又可以在 Mixer 中用于执行策略决策,并发送给监控系统,已提供整个网络行为的信息。
- sidecar 代理模型还可以将 istio 的功能添加到现有部署中,而无需重新构建或重写代码。
1.6.2 Mixer
- Mixer 是一个独立于平台的组件,负责在服务网络上执行访问控制和使用策略,并从 Envoy 代理和其它服务收集遥测数据。代理提取请求级属性,发送到 Mixer 进行评估。有关属性提取和策略评估的更多信息,参见:https://istio.io/zh/docs/concepts/policies-and-telemetry/#%E9%85%8D%E7%BD%AE%E6%A8%A1%E5%9E%8B
- Mixer 中包括一个灵活的插件模型,使其能够接入到各种主机环境和基础设施后端,从这些细节中抽出 Envoy 代理的 istio 管理的服务
1.6.3 Pilot
- Pilot 为 Envoy sidecar 提供服务发现功能,为智能路由(例如 A/B 测试、金丝雀部署等)和弹性(超时、重试、熔断器等)提供流量管理功能。它将控制流量行为的高级路由规则转换为特定于 Envoy 的配置,并在运行时将它们传播到 sidecar。
- Pilot 将平台特定的服务发现机制抽象化并将其合成为符合 Envoy 数据平面 API 的任何 sidecar 都可以使用的标准格式。这种松散耦合使得 istio 能够在多种环境下运行(例如,Kubernetes、Consul、Nomad),同时保持用于流量管理的相同操作界面
1.6.4 Citadel
- Citadel 通过内置身份和凭证管理可以提供强大的服务间和最终用户身份验证。可用于升级服务网格中未加密的流量,并为运维人员提供基于服务标志而不是网络控制的强制执行策略的能力。从 0.5 版本开始,istio 支持 基于角色的访问控制,以控制谁可以访问您的服务。
1.7 设计目标
-
istio 的架构设计中哟有几个关键目标,这些目标对于使系统能够应对大规模流量和高性能地服务处理只管重要。
- 最大化透明度:若想 istio 被采纳,应该让运维和开发人员只需付出很少的代价就可以从中受益。为此,istio 将自身自动注入到服务间所有的网络路径中。istio 使用 sidecar 代理来捕获流量,并且在尽可能的地方自动编译网络层,以路由流量通过这些代理,而无需对已部署的应用程序代码进行改动。在 kubernetes 中,代理被注入到 pod 中,通过编写 iptables 规则来捕捉流量。注入 sidecar 代理到 pod 中并且修改路由规则后,istio 就能够调解所有流量。这个原则也适用于性能。当将 istio 应用于部署时,运维人员可以发现,为提供这些功能而增加的资源开销是很小的。所有组件和 API 在设计时都必须需考虑性能和规模。
- 增量:随着运维人员和开发人员越来越依赖 istio 提供的功能,系统必然和他们的需求一起成长。虽然我们期望继续自己添加新功能,但是我么预计最大的需求是扩展策略系统,集成其它策略和控制来源,并将网络行为信号传播到其它系统进行分析。策略运行时支持标准扩展机制以便插入到其它服务晃迥中。此外,他允许扩展汇表,以允许基于网格生成的新信号来执行策略。
- 可移植性:使用 istio 的生态系统将在很多维度上有差异。istio 必须能够以最少的代价运行在任何云或预置环境中。将基于 istio 的服务移植到新环境应该是轻而易举的,而只用 istio 将一个服务同时部署到多个环境中也是可行的(例如,在多个云上,进行冗余部署)。
- 策略一致性:在服务间的 API 调用中,策略的应用使得可以对网格间行为进行全面的控制,但对于无需在 API 级别表达的资源来说,对资源应用策略也同样重要。例如将配额应用的 ML 训练任务消耗的 CPU 数量上,比将配额应用到启动这个工作的调用上更为有用。因此,策略系统作为独特的服务来维护,具有自己的 API ,而不是将其放到代理 /sidecar 中,这容许服务根据需要直接与其集成。
-
参考:
来源:oschina
链接:https://my.oschina.net/u/4374777/blog/3660469