服務(wù)治理形態(tài)

微服務(wù)化通過拆分服務(wù)獨立化邓线，給我們帶來了很多好處淌友，比如獨立部署運維，功能內(nèi)聚自治骇陈，便于敏捷開發(fā)震庭，快速迭代，更好的伸縮性你雌。但是器联，業(yè)務(wù)本身的規(guī)模和復(fù)雜度并沒有變少，同時微服務(wù)化也給開發(fā)和運維帶來新的復(fù)雜性婿崭，比如網(wǎng)絡(luò)可靠性拨拓，通信安全，服務(wù)間調(diào)用鏈追蹤等等氓栈。這時渣磷，就需要引入一些通過工具來做通過的工作，比如服務(wù)注冊發(fā)現(xiàn)授瘦，負(fù)載均衡醋界，鏈路追蹤等等，統(tǒng)稱為服務(wù)治理提完。服務(wù)治理經(jīng)過以下三種形態(tài)的演變：

• 應(yīng)用程序中包含治理邏輯
  業(yè)務(wù)代碼和治理邏輯耦合形纺，微服務(wù)越多，重復(fù)的代碼越多

  
  
  圖1.png

• 治理邏輯獨立代碼
  治理邏輯抽取成SDK代碼氯葬，減少重復(fù)代碼挡篓，業(yè)務(wù)代碼依賴SDK，業(yè)務(wù)代碼和治理邏輯在一個進程內(nèi)帚称，典型代表Spring Cloud框架

  
  
  圖2.png

• 治理邏輯獨立進程
  治理邏輯再解耦一層官研，從業(yè)務(wù)代碼剝離出，業(yè)務(wù)代碼和治理邏輯以獨立的進程運行闯睹，真正治理邏輯下沉戏羽，典型的Sidecar模式（服務(wù)網(wǎng)格），典型框架技術(shù)就是本文要講的Istio

  
  
  圖3.png

Istio 簡介

Istio 是一個開源服務(wù)網(wǎng)格楼吃，它透明地分層到現(xiàn)有的分布式應(yīng)用程序上始花。Istio 的強大功能提供了一種統(tǒng)一且更有效的方式來保護妄讯、連接和監(jiān)控服務(wù)。Istio 是負(fù)載均衡酷宵、服務(wù)到服務(wù)身份驗證和監(jiān)控的途徑——幾乎不需要更改服務(wù)代碼亥贸。

Istio 作為服務(wù)網(wǎng)格技術(shù)具體落地方案，目前已是服務(wù)網(wǎng)格技術(shù)的事實標(biāo)準(zhǔn)浇垦。

2017年5月由Google與IBM聯(lián)合發(fā)布炕置，2018年7月發(fā)布1.0版本，2019年3月發(fā)布1.1版本(生產(chǎn)GA版本)

主要功能

• 通過豐富的路由規(guī)則男韧、重試朴摊、故障轉(zhuǎn)移和故障注入對流量行為進行細(xì)粒度控制
• 支持訪問控制、速率限制和配額的可插拔策略層和配置 API
• HTTP此虑、gRPC甚纲、WebSocket 和 TCP 流量的自動負(fù)載平衡
• 集群內(nèi)所有流量的自動指標(biāo)、日志和跟蹤朦前，包括集群入口和出口
• 使用 TLS 加密介杆、強大的基于身份的身份驗證和授權(quán)來保護集群中的服務(wù)到服務(wù)通信

使用場景

Istio 專為可擴展性而設(shè)計，可以處理各種部署需求况既。Istio 的控制平面不僅可以在 Kubernetes 上運行这溅，您可以將部署在該集群中的應(yīng)用程序添加到您的網(wǎng)格中，將網(wǎng)格擴展到其他集群棒仍，甚至連接虛擬機或在 Kubernetes 之外運行的其他端點

Istio 安裝

Linux服務(wù)器上直接下載或者Github Istio release上下載安裝包

curl -L https://istio.io/downloadIstio | ISTIO_VERSION=1.13.2 TARGET_ARCH=x86_64 sh -

#解壓
tar -xvf  istio-1.13.2-linux-amd64.tar.gz

cd istio-1.13.2
export PATH=$PWD/bin:$PATH #配置環(huán)境變量

istioctl install --set profile=demo -y

輸出結(jié)果如下：

安裝.png

#查看詳細(xì)命令
istioctl -h

Istio將自動將sidecar容器注入到以標(biāo)記istio-injection=enabled命名空間的容器中

kubectl lable namespace default istio-injection=enabled

安裝可視化組件（可選）

kubectl apply -f samples/addons

查看pod列表

可視化.png

istio 安裝和部署實例都是基于kubernetes的聲明式API

部署示例應(yīng)用

以官網(wǎng)提供的bookinfo為例悲靴，Reviews 包含三個服務(wù)版本，分別對應(yīng)三個Deployment

bookinfo.png

kubectl apply -f samples/bookinfo/platform/kube/bookinfo.yaml

應(yīng)用程序啟動完成莫其，查看pod列表

Pod.png

通過kubectl describe pod/xxxx ,可查看每個pod里面癞尚，不僅包含業(yè)務(wù)容器，還包含一個istio-init容器（init容器類型）和istio-proxy容器乱陡，這次sidecar已自動注入了浇揩。

#查看自定義資源
kubect get customresourcedefinition

自定義資源.png

路由規(guī)則配置

istio提供多豐富的對象實現(xiàn)路由規(guī)則配置，比如VirtualService憨颠，DestinationRule胳徽，Gateway，Service Entry 爽彤，WorkloadEntry等养盗。

• 按權(quán)重訪問review-v2 review-v3版本

apiVersion: networking.istio.io/v1alpha3
kind: VirtualService
metadata:
  name: reviews-route
spec:
  hosts:
  - reviews.default.svc.cluster.local
  http:
  - route:
    - destination:
        host: reviews.default.svc.cluster.local
        subset: v2
      weight: 25
    - destination:
        host: reviews.default.svc.cluster.local
        subset: v3
      weight: 75

apiVersion: networking.istio.io/v1alpha3
kind: DestinationRule
metadata:
  name: reviews-destination
spec:
  host: reviews.default.svc.cluster.local
  subsets:
  - name: v2
    labels:
      version: v2
  - name: v3
    labels:
      version: v3

Istio 架構(gòu)概述

架構(gòu)圖

arch.png

• 數(shù)據(jù)平面
  數(shù)據(jù)平面由一組 sidecar 的代理（Envoy）組成, 與業(yè)務(wù)容器綁定在一起（k8s創(chuàng)建業(yè)務(wù)pod時自動注入pod中）即共享一個pod，真正執(zhí)行流量控制管理适篙，同時會向控制面輸出日志及監(jiān)控數(shù)據(jù)往核。如下所示：

  
  
  Istio-pod.png

Envoy 是采用C++實現(xiàn)的高性能網(wǎng)絡(luò)代理服務(wù),由Lyft開源的CNCF項目

• 控制平臺
  控制平面Istiod通過管理和配置 Envoy 來管理流量，主要包括Pilot,Mixer,Citadel等服務(wù)組件,默認(rèn)安裝在istio-system命名空間

  
  
  Pod.png

Pilot 是Istio控制面流量管理和服務(wù)發(fā)現(xiàn)的核心組件嚷节，人稱Istio的司令官
Mixer 負(fù)責(zé)執(zhí)行訪問策略和收集遙測數(shù)據(jù)的組件
Citadel是Istio的安全組件聂儒，主要負(fù)責(zé)證書的頒發(fā)和輪換