一. Service Mesh

假设我们部署一个web 应用的服务,除了应用本身的功能之外, 可能还需要监控,日志采集,服务间的通讯等功能,如果将这些功能统一放到一个容器中,web应用的体积会变得很大,不便于维护,这种情况下, 我们可以将监控,日志采集,服务间的通讯等功能单独部署在这个Pod 中的另外一个container(容器)中, 这种将应用程序的功能划分为单独的进程可以被视为 Sidecar 模式,Sidecar 在软件系统架构中特指边车模式,这个模式的灵感来源于我们生活中的边三轮:即在两轮摩托车的旁边添加一个边车的方式扩展现有的服务和功能。这个模式的精髓在于实现了数据面(业务逻辑)和控制面的解耦:原来两轮摩托车的驾驶者集中注意力跑赛道,边车上的领航员专注周围信息和地图,专注导航。随着微服务越来越多,sidecar也就越来越多,自然就形成了一个网格,即service mesh。

istio各组件详解 istio架构_监听器

二. Istio 架构

Istio是一个Service Mesh开源项目(serviceMesh理解抽象概念,istio实现这种概念)

1. istio能力

istio各组件详解 istio架构_数组_02


灰度发布:灰度发布(又名金丝雀发布)是指在黑与白之间,能够平滑过渡的一种发布方式。在其上可以进行A/B测试,即让一部分用户继续用产品特性A,一部分用户开始用产品特性B,如果用户对B没有什么反对意见,那么逐步扩大范围,把所有用户都迁移到B上面来。灰度发布可以保证整体系统的稳定,在初始灰度的时候就可以发现、调整问题,以保证其影响度,降低风险。

故障注入:一种可靠性验证技术,通过受控实验向系统中刻意引入故障,并观察系统中存在故障时的行为。

2. istio和kubernetes的互补

Kubernetes 具有强大的容器编排与调度能力,但是他的服务治理能力极其有限。istio很好的补充了k8s的缺陷,使二者进行了完美的互补(两者都属于谷歌,完美互补也很正常)

istio各组件详解 istio架构_docker_03


名称和图标:istio(起航) kubernetes(领航员)

3. Istio架构

istio各组件详解 istio架构_监听器_04


Istio 服务网格从逻辑上分为数据平面和控制平面:

istio-proxy:istio 的sidecar(istio-proxy)是开源项目envoy的扩展版,Envoy是用C++开发的非常有影响力的轻量级高性能开源服务代理。作为服务网格的数据面,是istio架构中唯一的数据面组件, Envoy 提供了动态服务发现、负载均衡、TLS , HTTP/2 及gRPC 代理、熔断器、健康检查、流量拆分、灰度发布、故障注入等功能。

pilot: 是istio的控制中枢, 有两个作用,一是服务发现,获取被调用服务的实例,二是负责将各种规则转换成Envoy 可识别的格式,下发给Envoy。

istio各组件详解 istio架构_监听器_05


Mixer:负责在服务网格上执行访问控制和使用策略,给代理返回允许访问还是拒绝。可以对接如配额、授权、黑白名单等不同的控制后端,对服务间的访问进行可扩展的控制,并从 Envoy 代理和其他服务收集遥测数据,作为监控。

istio各组件详解 istio架构_监听器_06


Citadel: 服务之间访问的安全性,像证书之类的。

istio各组件详解 istio架构_istio各组件详解_07

4. istio和k8s的融合

istio各组件详解 istio架构_监听器_08

三. Istio配置

1. Envoy

外部架构:服务间都是通过Envoy串联起来的,Envoy是它们间的高速公路,Envoy的作用就是在各部分间转发读写请求

istio各组件详解 istio架构_istio各组件详解_09


内部架构:外部架构展示了Envoy的作用,但无法窥见它是如何实现的,Envoy的内部结构展示出了它的实现原理。

istio各组件详解 istio架构_数组_10


如果将Envoy看成黑盒,则它所处位置可定义成如下图所示:

istio各组件详解 istio架构_监听器_11


根据架构熟悉配置

(1)静态配置:

##Envoy进程的管理配置: 通过admin可以查询到大量的配置、监控和运维等数据
admin:                                     
  access_log_path: /tmp/admin_access.log    #Envoy进程的日志
  address:
    socket_address: { address: 0.0.0.0, port_value: 9901 }  #Envoy进程的管理地址和端口  
##静态配置,定义静态资源
static_resources:
  listeners: #定义监听器,服务下游
  - name: listener_0 #定义监听器名称
    address: #定义监听器的监听地址和端口
      socket_address:
        address: 127.0.0.1 #监听地址
        port_value: 10000 #监听端口
    filter_chains: #定义过滤器(Filter)链,这是最核心和最复杂的部分
    - filters: # 过滤器数组
      - name: envoy.http_connection_manager # 过滤器名
        config:
          stat_prefix: ingress_http
          route_config: # 路由配置
            name: local_route # 路由配置名
            virtual_hosts: # 虚拟主机数组
            - name: local_service
              domains: ["*"] # 需代理的域名数组
              routes: # 定义路由
              - match:
                  prefix: "/" # 匹配规则
                route:
                  cluster: docker-project-service  # 上游集群名,通过它找到上游集群的配置
          http_filters:
          - name: envoy.router

  clusters: #定义上游集群,Envoy最基础的功能即是将来自下游的请求转发给上游
    - name: docker-project-service #上游集群名
	  connect_timeout: 0.25s #连接下游的超时时长
	  type: STATIC #集群类型,如STATIC(缺省值,在集群中列出所有可代理的主机)、其他动态类型下面会讲到
	  lb_policy: ROUND_ROBIN  #负载均衡策略:ROUND_ROBIN(轮询) LEAST_REQUEST(请求最少) RING_HASH(环形哈希) RANDOM(随机) MAGLEV(一致性哈希算法) CLUSTER_PROVIDED(定制)
	  hosts: [
	  { socket_address: { address: 10.244.2.107, port_value: 8080}},
      { socket_address: { address: 10.244.2.115, port_value: 8080}}
     ]  #上游服务的ip地址和端口(写死了)

在上面的例子中,我们配置了一个 envoy实例,监听 127.0.0.1:10000,支持 http 协议访问, 当监听到有流程的时候,将接收到的所有http流量,经过过滤器链,路由到了IP地址为10.244.2.107/10.244.2.115的docker-project-service服务。 而docker-project-service服务中 hosts 是写死的,如果IP地址有变动的话,就需要修改hosts,并且重启envoy代理服务,不利于扩展。

(2)动态配置:

静态配置不利于扩展,那我们能不能动态的实时去查找对应的服务的ip地址呢?Envoy 支持不同的模块进行动态配置:

istio各组件详解 istio架构_监听器_12


a.基于EDS的部分动态配置

##Envoy进程的管理配置: 通过admin可以查询到大量的配置、监控和运维等数据	  
admin:                                     
  access_log_path: /tmp/admin_access.log    #Envoy进程的日志
  address:
    socket_address: { address: 0.0.0.0, port_value: 9901 }  #Envoy进程的管理地址和端口  	
#静态配置,定义静态资源	
static_resources: 
  listeners: #定义监听器,服务下游
  - name: listener_0 #定义监听器名称
    address: #定义监听器的监听地址和端口
      socket_address:
        protocol: TCP
        address: 0.0.0.0 # 监听地址
        port_value: 8080 # 监听端口
    filter_chains: #定义过滤器(Filter)链,这是最核心和最复杂的部分
    - filters: # 过滤器数组
      - name: envoy.http_connection_manager # 过滤器名
        config:
          stat_prefix: ingress_http
          route_config: # 路由配置
            name: local_route # 路由配置名
            virtual_hosts: # 虚拟主机数组
            - name: local_service
              domains: ["*"] # 需代理的域名数组
              routes: # 定义路由
              - match:
                  prefix: "/" # 匹配规则
                route:
                  cluster: docker-project-service  # 上游集群名,通过它找到上游集群的配置
          http_filters:
          - name: envoy.router
  #定义上游集群,Envoy最基础的功能即是将来自下游的请求转发给上游
  clusters:
  - name: docker-project-service   #上游集群名
    connect_timeout: 0.25s    #连接下游的超时时长
    lb_policy: ROUND_ROBIN        #负载均衡策略
    type: EDS    #集群类型
    eds_cluster_config:
      eds_config:
        api_config_source:
          api_type: GRPC
          cluster_names: [xds_cluster]  #通过xds_cluster拿到some_service服务的实例的IP地址
  - name: xds_cluster 
    connect_timeout: 0.25s
    type: STATIC
    lb_policy: ROUND_ROBIN
    http2_protocol_options: {}
    hosts: [{ socket_address: { address: 172.16.133.96, port_value: 6443 }}] #获取EndPoint的地址

通过命令获取endPoint

istio各组件详解 istio架构_数组_13


通过api获取endPoint

istio各组件详解 istio架构_istio各组件详解_14

这样就实现docker-project-service这个 cluster 的 hosts 的动态配置了。新的配置中,docker-project-service这个 cluster 的 hosts 是 EDS(Endpoint Discovery Service) 的返回值决定的,就是说 EDS 会返回 docker-project-service 这个 cluster 的 hosts 的列表。新配置中,EDS 服务的地址定义在 xds_cluster 这个 cluster中。