为什么使用 Istio?
通过负载均衡、服务间的身份验证、监控等方法,Istio 可以轻松地创建一个已经部署了服务的网络,而服务的代码只需很少更改甚至无需更改。通过在整个环境中部署一个特殊的 sidecar 代理为服务添加 Istio 的支持,而代理会拦截微服务之间的所有网络通信,然后使用其控制平面的功能来配置和管理 Istio,这包括:
-
为 HTTP、gRPC、WebSocket 和 TCP 流量自动负载均衡。
-
通过丰富的路由规则、重试、故障转移和故障注入对流量行为进行细粒度控制。
-
可插拔的策略层和配置 API,支持访问控制、速率限制和配额。
-
集群内(包括集群的入口和出口)所有流量的自动化度量、日志记录和追踪。
-
在具有强大的基于身份验证和授权的集群中实现安全的服务间通信。
Istio 为可扩展性而设计,可以满足不同的部署需求。
安装方法
有三种方法进行istio的安装:
- 使用istioctl安装(Customizable Install with Istioctl)
- 使用Helm安装(Customizable Install with Helm)
- 使用Operator安装(Standalone Operator Install)
- 文档
这里我下载istio,然后采用istioctl安装。
容器镜像
istio 1.5.1需要用到多个镜像,我统一下载并上传到各个节点,减少流量并加快速度。
docker pull docker.io/istio/pilot:1.5.1
docker pull docker.io/istio/proxyv2:1.5.1
docker pull docker.io/jaegertracing/all-in-one:1.16
docker pull docker.io/prom/prometheus:v2.15.1
docker pull grafana/grafana:6.5.2
docker pull quay.io/kiali/kiali:v1.15
保存镜像,并打包为*.zip:
echo ""
echo "=========================================================="
echo "Save istio for x64 v1.5.1 Images from docker.io ......"
echo "=========================================================="
echo ""
#MY_REGISTRY=mirrorgcrio
ISTIO_VERSION="1.5.1"
IMAGES_PATH=~/istio-images-$ISTIO_VERSION
mkdir $IMAGES_PATH
## 拉取镜像
docker save docker.io/istio/pilot:1.5.1 -o $IMAGES_PATH/istio-pilot-$ISTIO_VERSION.tar
docker save docker.io/istio/proxyv2:1.5.1 -o $IMAGES_PATH/istio-proxyv2-$ISTIO_VERSION.tar
docker save docker.io/jaegertracing/all-in-one:1.16 -o $IMAGES_PATH/istio-jaeger-$ISTIO_VERSION.tar
docker save docker.io/prom/prometheus:v2.15.1 -o $IMAGES_PATH/istio-prometheus-2.15.1.tar
docker save grafana/grafana:6.5.2 -o $IMAGES_PATH/istio-grafana-6.5.2.tar
docker save quay.io/kiali/kiali:v1.15 -o $IMAGES_PATH/istio-kiali-1.15.tar
echo "Copy loader into $IMAGES_PATH"
cp istio-images-load.sh $IMAGES_PATH/
echo "Zip to $IMAGES_PATH.zip"
cd ~
zip -r istio-images-$ISTIO_VERSION.zip istio-images-$ISTIO_VERSION
echo ""
echo "=========================================================="
echo "Save istio for x64 v1.5.1 Images FINISHED."
echo " by openthings@https://my.oschina.net/u/2306127."
echo "=========================================================="
echo ""
使用scp上传到节点,运行unzip解压。
scp istio-images-1.5.1.zip openthings@openbox00:~/
保存下面的内容到文件istio-images-load.sh:
echo ""
echo "=========================================================="
echo "Load istio for x64 v1.5.1 Images from zip ......"
echo "=========================================================="
echo ""
#MY_REGISTRY=mirrorgcrio
ISTIO_VERSION="1.5.1"
IMAGES_PATH=~/istio-images-$ISTIO_VERSION
#cd ~
#unzip istio-images-$ISTIO_VERSION.zip
#cd istio-images-$ISTIO_VERSION
## 拉取镜像
docker load -i $IMAGES_PATH/istio-pilot-$ISTIO_VERSION.tar
docker load -i $IMAGES_PATH/istio-proxyv2-$ISTIO_VERSION.tar
docker load -i $IMAGES_PATH/istio-jaeger-$ISTIO_VERSION.tar
docker load -i $IMAGES_PATH/istio-prometheus-2.15.1.tar
docker load -i $IMAGES_PATH/istio-grafana-6.5.2.tar
docker load -i $IMAGES_PATH/istio-kiali-1.15.tar
echo ""
echo "=========================================================="
echo "Save istio for x64 v1.5.1 Images FINISHED."
echo " by openthings@https://my.oschina.net/u/2306127."
echo "=========================================================="
echo ""
然后使用istio-images-load.sh来载入镜像到docker。
下载 Istio
因为一些原因,上面官方文档的下载链接无法访问。我从这里下载,然后展开:
wget -c https://github.com/istio/istio/releases/download/1.5.1/istio-1.5.1-linux.tar.gz
下载内容将包含:安装文件、示例和 istioctl 命令行工具。
访问 Istio release 页面下载与您操作系统对应的安装文件。在 macOS 或 Linux 系统中,也可以通过以下命令下载最新版本的 Istio:
$ curl -L https://istio.io/downloadIstio | sh -
切换到 Istio 包所在目录下。例如:Istio 包名为 istio-1.6.0
,则:
$ cd istio-1.6.0
-
安装目录包含如下内容:
install/kubernetes
目录下,有 Kubernetes 相关的 YAML 安装文件samples/
目录下,有示例应用程序bin/
目录下,包含istioctl
的客户端文件。istioctl
工具用于手动注入 Envoy sidecar 代理。
-
将
istioctl
客户端路径增加到 path 环境变量中,macOS 或 Linux 系统的增加方式如下:$ export PATH=$PWD/bin:$PATH
- 在使用 bash 或 ZSH 控制台时,可以选择启动 auto-completion option。
安装 Istio
请按照以下步骤在您所选的平台上使用 demo
配置文件安装 Istio。
安装 demo
配置:
$ istioctl manifest apply --set profile=demo
为了验证是否安装成功,需要先确保以下 Kubernetes 服务正确部署,然后验证除 jaeger-agent
服务外的其他服务,是否均有正确的 CLUSTER-IP
:
$ kubectl get svc -n istio-system
istio-ingressgateway
的
EXTERNAL-IP
将显示为
<pending>
状态。请使用服务的
NodePort
或 端口转发来访问网关。
请确保关联的 Kubernetes pod 已经部署,并且 STATUS
为 Running
:
$ kubectl get pods -n istio-system
后续步骤
当使用 kubectl apply
来部署应用时,如果 pod 启动在标有 istio-injection=enabled
的命名空间中,那么,Istio sidecar 注入器将自动注入 Envoy 容器到应用的 pod 中:
$ kubectl label namespace <namespace> istio-injection=enabled $ kubectl create -n <namespace> -f <your-app-spec>.yaml
在没有 istio-injection
标记的命名空间中,在部署前可以使用 istioctl kube-inject
命令将 Envoy 容器手动注入到应用的 pod 中:
$ istioctl kube-inject -f <your-app-spec>.yaml | kubectl apply -f -
如果您不确定要从哪开始,可以先部署 Bookinfo 示例,它会让您体验到 Istio 的流量路由、故障注入、速率限制等功能。 然后您可以根据您的兴趣浏览各种各样的 Istio 任务。
下列任务都是初学者开始学习的好入口:
下一步,可以定制 Istio 并部署您自己的应用。在您开始自定义 Istio 来适配您的平台或者其他用途之前,请查看以下资源:
使用 Istio 过程中有任何问题,请来信告知我们,并欢迎您加入我们的社区。
卸载
卸载程序将删除 RBAC 权限、istio-system
命名空间和所有相关资源。可以忽略那些不存在的资源的报错,因为它们可能已经被删除掉了。
$ istioctl manifest generate --set profile=demo | kubectl delete -f -
其它
- https://github.com/istio
- https://preliminary.istio.io/docs/setup/install/istioctl/
- https://github.com/istio/istio/releases/
更多参考
- Istio 是什么?
- Service Mesh-Istio安装与使用
- 回归单体模式——Istio 1.5 新特性解读
- Kubernetes Python API快速入门
- 服务网格Istio管理面板-Naftis
- Istio 0.8 的 Helm Chart 解析
- GitOps——像代码一样管理Istio配置
- Istio 流量管理
- Istio-通过Helm快速安装
- 基于Kubernetes的服务网格系统
- Istio Service Mesh 教程
- What Service Meshes Mean for Enterprise Security
- Istio 1.0快速安装到Kubernetes集群