Google，IBM 和 Lyft 自豪地宣布 Istio 的第一個(gè)公開發(fā)布：一個(gè)開源項(xiàng)目待秃，提供統(tǒng)一的連接拜秧，安全，管理和監(jiān)控微服務(wù)的方章郁。 我們目前的版本針對(duì) Kubernetes 環(huán)境; 我們打算在未來幾個(gè)月內(nèi)為虛擬機(jī)和 Cloud Foundry 等其他環(huán)境增加支持枉氮。 Istio 將流量管理添加到微服務(wù)中，并為增值功能（如安全性暖庄，監(jiān)控聊替，路由，連接管理和策略）創(chuàng)造了基礎(chǔ)培廓。 該軟件使用來自 Lyft 的經(jīng)過測(cè)試的特使代理構(gòu)建佃牛，并提供對(duì)流量的可見性和控制，而不需要對(duì)應(yīng)用程序代碼進(jìn)行任何更改医舆。 Istio 為 CIO 提供了強(qiáng)大的工具，可以在整個(gè)企業(yè)中實(shí)施安全性象缀，政策和合規(guī)性要求蔬将。

Istio 和 Service Mesh

Istio 是 Google、IBM 和 Lyft 聯(lián)合開源的微服務(wù) Service Mesh 框架央星，旨在解決大量微服務(wù)的發(fā)現(xiàn)霞怀、連接、管理莉给、監(jiān)控以及安全等問題毙石。Istio 對(duì)應(yīng)用是透明的，不需要改動(dòng)任何服務(wù)代碼就可以實(shí)現(xiàn)透明的服務(wù)治理颓遏。

Istio 的主要特性包括：

• HTTP徐矩、gRPC 和 TCP 網(wǎng)絡(luò)流量的自動(dòng)負(fù)載均衡

• 豐富的路由規(guī)則，細(xì)粒度的網(wǎng)絡(luò)流量行為控制

• 流量加密叁幢、服務(wù)間認(rèn)證滤灯，以及強(qiáng)身份聲明

• 全范圍（ Fleet-wide ）策略執(zhí)行

• 深度遙測(cè)和報(bào)告

Service Mesh

Service Mesh（服務(wù)網(wǎng)格）是一個(gè)用于保證服務(wù)間安全、快速曼玩、可靠通信的網(wǎng)絡(luò)代理組件鳞骤，是隨著微服務(wù)和云原生應(yīng)用興起而誕生的基礎(chǔ)設(shè)施層。它通常以輕量級(jí)網(wǎng)絡(luò)代理的方式同應(yīng)用部署在一起（比如 sidecar 方式黍判，如下圖所示）豫尽。Serivce Mesh 可以看作是一個(gè)位于 TCP/IP 之上的網(wǎng)絡(luò)模型，抽象了服務(wù)間可靠通信的機(jī)制顷帖。但與 TCP 不同美旧，它是面向應(yīng)用的渤滞，為應(yīng)用提供了統(tǒng)一的可視化和控制。

為了保證服務(wù)間通信的可靠性陈症，Service Mesh 需要支持熔斷機(jī)制蔼水、延遲感知的負(fù)載均衡、服務(wù)發(fā)現(xiàn)录肯、重試等一些列的特性趴腋。

比如 Linkerd 處理一個(gè)請(qǐng)求的流程包括

• 查找動(dòng)態(tài)路由確定請(qǐng)求的服務(wù)

• 查找該服務(wù)的實(shí)例

• Linkerd 跟響應(yīng)延遲等因素選擇最優(yōu)的實(shí)例

• 將請(qǐng)求轉(zhuǎn)發(fā)給最優(yōu)實(shí)例，記錄延遲和響應(yīng)情況

• 如果請(qǐng)求失敗或?qū)嵗龑?shí)效论咏，則轉(zhuǎn)發(fā)給其他實(shí)例重試（需要是冪等請(qǐng)求）

• 如果請(qǐng)求超時(shí)优炬，則直接失敗，避免給后端增加更多的負(fù)載

• 記錄請(qǐng)求的度量和分布式跟蹤情況

為什么 Service Mesh 是必要的

• 將服務(wù)治理與實(shí)際服務(wù)解耦厅贪，避免微服務(wù)化過程中對(duì)應(yīng)用的侵入

• 加速傳統(tǒng)應(yīng)用轉(zhuǎn)型微服務(wù)或云原生應(yīng)用

Service Mesh 并非一個(gè)全新的功能蠢护，而是將已存在于眾多應(yīng)用之中的相關(guān)功能分離出來，放到統(tǒng)一的組件來管理养涮。特別是在微服務(wù)應(yīng)用中葵硕，服務(wù)數(shù)量龐大，并且可能是基于不同的框架和語言構(gòu)建贯吓，分離出來的 Service Mesh 組件更容易管理和協(xié)調(diào)它們懈凹。

Istio 原 理

Istio 從邏輯上可以分為數(shù)據(jù)平面和控制平面：

• 數(shù)據(jù)平面主要由一系列的智能代理（Envoy）組成，管理微服務(wù)之間的網(wǎng)絡(luò)通信

• 控制平面負(fù)責(zé)管理和配置這些智能代理悄谐，并動(dòng)態(tài)執(zhí)行策略

Istio 架構(gòu)可以如下圖所示

主要由以下組件構(gòu)成

• Envoy ：Lyft 開源的高性能代理總線介评，支持動(dòng)態(tài)服務(wù)發(fā)現(xiàn)、負(fù)載均衡爬舰、TLS 終止们陆、HTTP/2 和 gPRC 代理、健康檢查情屹、性能測(cè)量等功能坪仇。Envoy 以 sidecar 的方式部署在相關(guān)的服務(wù)的 Pod 中。

• Mixer：負(fù)責(zé)訪問控制垃你、執(zhí)行策略并從 Envoy 代理中收集遙測(cè)數(shù)據(jù)烟很。Mixer 支持靈活的插件模型，方便擴(kuò)展（支持 GCP蜡镶、AWS雾袱、Prometheus、Heapster 等多種后端）

• Istio-Auth：提供服務(wù)間和終端用戶的認(rèn)證機(jī)制

• Pilot：動(dòng)態(tài)管理 Envoy 示例的生命周期官还，提供服務(wù)發(fā)現(xiàn)芹橡、流量管理、智能路由以及超時(shí)望伦、熔斷等彈性控制的功能林说。其與 Envoy 的關(guān)系如下圖所示

在數(shù)據(jù)平面上煎殷，除了 Envoy，還可以選擇使用 nginxmesh 和 linkerd 作為網(wǎng)絡(luò)代理腿箩。比如豪直，使用 nginxmesh 時(shí)，Istio的控制平面（Pilot珠移、Mixer弓乙、Auth）保持不變，但用 Nginx Sidecar 取代 Envoy：

安 裝

Istio 目前僅支持 Kubernetes钧惧，在部署 Istio 之前需要先部署好 Kubernetes 集群并配置好 kubectl 客戶端暇韧。

下 載 Istio

curl -L https://git.io/getLatestIstio | sh -
cd istio-0.2.12/
cp bin/istioctl /usr/local/bin

部 署 Istio 服 務(wù)

兩種方式（選擇其一執(zhí)行）

• 禁止 Auth：kubectl apply -f install/kubernetes/istio.yaml

• 啟用 Auth：kubectl apply -f install/kubernetes/istio-auth.yaml

部署完成后，可以檢查 isotio-system namespace 中的服務(wù)是否正常運(yùn)行：

$ kubectl -n istio-system get pod
NAME                             READY     STATUS    RESTARTS   AGE
istio-ca-5cd46b967c-q5th6        1/1       Running   0          3m
istio-egress-56c4d999bc-82js4    1/1       Running   0          3m
istio-ingress-5747bb855f-tv98x   1/1       Running   0          3m
istio-mixer-77487797f6-cwtqt     2/2       Running   0          3m
istio-pilot-86ddcb7ff5-t2zpk     1/1       Running   0          3m

部 署 Prometheus浓瞪、Grafana 和 Zipkin 插 件

kubectl apply -f install/kubernetes/addons/grafana.yaml
kubectl apply -f install/kubernetes/addons/servicegraph.yaml
kubectl apply -f install/kubernetes/addons/zipkin.yaml
kubectl apply -f install/kubernetes/addons/prometheus.yaml
# kubectl apply -f install/kubernetes/addons/zipkin-to-stackdriver.yaml

等一會(huì)所有 Pod 啟動(dòng)后懈玻，可以通過 NodePort 或負(fù)載均衡服務(wù)的外網(wǎng) IP 來訪問這些服務(wù)。比如通過 NodePort 方式乾颁，先查詢服務(wù)的 NodePort

$ kubectl -n istio-system get svc grafana -o jsonpath='{.spec.ports[0].nodePort}'
32070
$ kubectl -n istio-system get svc servicegraph -o jsonpath='{.spec.ports[0].nodePort}'
31072
$ kubectl -n istio-system get svc zipkin -o jsonpath='{.spec.ports[0].nodePort}'
30032
$ kubectl -n istio-system get svc prometheus -o jsonpath='{.spec.ports[0].nodePort}'
30890

通過 http://<kubernetes-ip>:32070/dashboard/db/istio-dashboard 訪問 Grafana 服務(wù)

通過 http://<kubernetes-ip>:31072/dotviz 訪問 ServiceGraph 服務(wù)涂乌，展示服務(wù)之間調(diào)用關(guān)系圖

通過 http://<kubernetes-ip>:30032 訪問 Zipkin 跟蹤頁面

通過 http://<kubernetes-ip>:30890 訪問 Prometheus 頁面

部署 示 例 應(yīng) 用

在部署應(yīng)用時(shí)，需要通過 istioctl kube-inject 給 Pod 自動(dòng)插入 Envoy 容器英岭，即

wget https://raw.githubusercontent.com/istio/istio/master/blog/bookinfo-v1.yaml
# inject with istioctl
kubectl apply -f <(istioctl kube-inject -f bookinfo-v1.yaml)

# create ingress
cat <<EOF | kubectl create -f -
apiVersion: extensions/v1beta1
kind: Ingress
metadata:
 name: bookinfo
 annotations:
   kubernetes.io/ingress.class: "istio"
spec:
 rules:
 - http:
     paths:
     - path: /productpage
       backend:
         serviceName: productpage
         servicePort: 9080
     - path: /login
       backend:
         serviceName: productpage
         servicePort: 9080
     - path: /logout
       backend:
         serviceName: productpage
         servicePort: 9080
EOF

原始應(yīng)用如下圖所示

istioctl kube-inject 在原始應(yīng)用的每個(gè) Pod 中插入了一個(gè) Envoy 容器

服務(wù)啟動(dòng)后骂倘，可以通過 Ingress 地址

http://<ingress-address>/productpage

來訪問 BookInfo 應(yīng)用

$ kubectl describe ingress
Name:            gateway
Namespace:        default
Address:        192.168.0.77
Default backend:    default-http-backend:80 (10.8.0.4:8080)
Rules:
  Host    Path    Backends
  ----    ----    --------
  *
        /productpage     productpage:9080 (<none>)
        /login         productpage:9080 (<none>)
        /logout     productpage:9080 (<none>)
Annotations:
Events:    <none>

金 絲 雀 部 署

首先部署 v2 版本的應(yīng)用，并配置默認(rèn)路由到 v1 版本：

wget https://raw.githubusercontent.com/istio/istio/master/blog/bookinfo-ratings.yaml
kubectl apply -f <(istioctl kube-inject -f bookinfo-ratings.yaml)

wget https://raw.githubusercontent.com/istio/istio/master/blog/bookinfo-reviews-v2.yaml
kubectl apply -f <(istioctl kube-inject -f bookinfo-reviews-v2.yaml)

# create default route
cat <<EOF | istioctl create -f -
apiVersion: config.istio.io/v1alpha2
kind: RouteRule
metadata:
  name: reviews-default
spec:
  destination:
    name: reviews
  route:
  - labels:
      version: v1
    weight: 100
EOF

示例一：將 10% 請(qǐng)求發(fā)送到 v2 版本而其余 90% 發(fā)送到 v1 版本

cat <<EOF | istioctl create -f -
apiVersion: config.istio.io/v1alpha2
kind: RouteRule
metadata:
  name: reviews-default
spec:
  destination:
    name: reviews
  route:
  - labels:
      version: v2
    weight: 10
  - labels:
      version: v1
    weight: 90
EOF

示例二：將特定用戶的請(qǐng)求全部發(fā)到 v2 版本

cat <<EOF | istioctl create -f -
apiVersion: config.istio.io/v1alpha2
kind: RouteRule
metadata:
 name: reviews-test-v2
spec:
 destination:
   name: reviews
 precedence: 2
 match:
   request:
     headers:
       cookie:
         regex: "^(.*?;)?(user=jason)(;.*)?$"
 route:
 - labels:
     version: v2
   weight: 100
EOF

示例三：全部切換到 v2 版本

cat <<EOF | istioctl replace -f -
apiVersion: config.istio.io/v1alpha2
kind: RouteRule
metadata:
  name: reviews-default
spec:
  destination:
    name: reviews
  route:
  - labels:
      version: v2
    weight: 100
EOF

示例四：限制并發(fā)訪問

# configure a memquota handler with rate limits
cat <<EOF | istioctl create -f -
apiVersion: "config.istio.io/v1alpha2"
kind: memquota
metadata:
 name: handler
 namespace: default
spec:
 quotas:
 - name: requestcount.quota.default
   maxAmount: 5000
   validDuration: 1s
   overrides:
   - dimensions:
       destination: ratings
     maxAmount: 1
     validDuration: 1s
EOF

# create quota instance that maps incoming attributes to quota dimensions, and createrule that uses it with the memquota handler
cat <<EOF | istioctl create -f -
apiVersion: "config.istio.io/v1alpha2"
kind: quota
metadata:
 name: requestcount
 namespace: default
spec:
 dimensions:
   source: source.labels["app"] | source.service | "unknown"
   sourceVersion: source.labels["version"] | "unknown"
   destination: destination.labels["app"] | destination.service | "unknown"
   destinationVersion: destination.labels["version"] | "unknown"
---
apiVersion: "config.istio.io/v1alpha2"
kind: rule
metadata:
 name: quota
 namespace: default
spec:
 actions:
 - handler: handler.memquota
   instances:
   - requestcount.quota
EOF

為了查看訪問次數(shù)限制的效果巴席，可以使用 wrk 給應(yīng)用加一些壓力：

export BOOKINFO_URL=$(kubectl get po -n istio-system -l istio=ingress -o jsonpath={.items[0].status.hostIP}):$(kubectl get svc -n istio-system istio-ingress -o jsonpath={.spec.ports[0].nodePort})
wrk -t1 -c1 -d20s http://$BOOKINFO_URL/productpage

參考文檔：

• https://istio.io/

• A modern service mesh

• https://lyft.github.io/envoy/

• https://github.com/nginmesh/nginmesh

• WHAT’S A SERVICE MESH? AND WHY DO I NEED ONE?

• A SERVICE MESH FOR KUBERNETES

• Service Mesh Pattern

• Request Routing and Policy Management with the Istio Service Mesh

技術(shù)交流群：365534424

明晚九點(diǎn)|基于 Ansible API 的任務(wù)管理平臺(tái)

主講師：panda

前 douban 運(yùn)維工程師，目前就職于創(chuàng)業(yè)公司诅需。引入 douban 的運(yùn)維平臺(tái)思想漾唉，完成公司的自動(dòng)化運(yùn)維平臺(tái)開發(fā)和建設(shè)。對(duì)運(yùn)維工程師轉(zhuǎn)運(yùn)維研發(fā)的困惑和痛點(diǎn)深有感觸堰塌，樂于分享自己轉(zhuǎn)型中的五味雜陳赵刑。

主要內(nèi)容：

1：中小公司對(duì)于 puppet/salt/ansible 選擇之我見

2：Ansible 在生產(chǎn)環(huán)境中的常用場(chǎng)景

3：Playbook API實(shí)現(xiàn)任務(wù)管理平臺(tái)思路、難點(diǎn)及實(shí)現(xiàn)

分享模式：網(wǎng)絡(luò)直播

分享時(shí)間：12月14日（周四）