-
总览
istio安装和基础概念 -
流量控制
# 使用Pilot和Envoy来进行流量的转发、故障恢复、故障注入、外部流量等功能,主要涉及 VirtualService、DestinationRule、ServiceEntry、Gateway
image
# 上图是Pilot工作的一个架构图
# Pilot指定流量规则,不去指定固定的pod
# Pilot管理部署所有的Envoy实例
image
# 上图是服务版本的一个架构
# user 通过统一的接口访问,Pilot控制流量的负载和路由转发
# 底层的应用程序也不用知道user的具体访问
# 这意外着进行升级的时候可以进行灰度发布。
# istio让用户和开发解藕
image
# 上图是请求流的一个走向图
# 请求从ingress进来,之后会经过Pilot的Service,之后在走向具体的后端service或者外部路由
# 这代表着我们可以在Service中可以添加修改我们自己需要的功能
# 比如超时控制、重试、断路器等,也能获取请求来源的各种指标
image
# 上图是Envoy进行负载均衡的工作图
# Pilot发现服务,根据rule将请求发给Envoy,然后根据均衡规则调度到具体的service上去
# Envoy会定期检查服务实例的可用性,失败次数超过了会将服务弹出负载池,反之则会添加进负载池
# 故障处理
# 故障恢复功能: 包括超时、限制连接数和上游服务请求数,定期检查、重试
# 通过限制和查询,使得系统更加稳定,将自身故障的影响降到最低
# VirtualService 在 Istio 服务网格中定义路由规则,控制路由如何路由到服务上。
# DestinationRule 是 VirtualService 路由生效后,配置应用与请求的策略集。
# ServiceEntry 是通常用于在 Istio 服务网格之外启用对服务的请求。
# Gateway 为 HTTP/TCP 流量配置负载均衡器,最常见的是在网格的边缘的操作,以启用应用程序的入口流量。
-
安全认证
image
# 上图是istio安全架构图
# Citadel 用于密钥和证书管理
# Sidecar 和周边代理 实现客户端和服务器之间的安全通信
# Pilot 将授权策略和安全命名信息分发给代理
# Mixer 管理授权和审计
# 以kubernetes方案为例
# Citadel 监视 Kubernetes apiserver,为每个现有和新的服务帐户创建 SPIFFE 证书和密钥对。Citadel 将证书和密钥对存储为 Kubernetes secret。
# 创建 pod 时,Kubernetes 会根据其服务帐户通过 Kubernetes secret volume 将证书和密钥对挂载到 pod。
# Citadel 监视每个证书的生命周期,并通过重写 Kubernetes 秘密自动轮换证书。
# Pilot 生成安全命名信息,该信息定义了哪些 Service Account 可以运行哪些服务。Pilot 然后将安全命名信息传递给 envoy sidecar。
image
# Citadel 创建一个 gRPC 服务(是一个高性能、开源和通用的 RPC (远程过程调用)框架)来接受 CSR 请求。
# Envoy 通过 Envoy secret 发现服务(SDS)API 发送证书和密钥请求。
# 收到 SDS 请求后,节点代理会创建私钥和 CSR,并将 CSR 及其凭据发送给 Citadel 进行签名。
# Citadel 验证 CSR 中携带的凭证,并签署 CSR 以生成证书。、
# 节点代理通过 Envoy SDS API 将从 Citadel 接收的证书和私钥发送给 Envoy。、
# 上述 CSR 过程会定期重复进行证书和密钥轮换
image
# 上图是授权架构图,基于RBAC
# 基于角色的语义,简单易用。
# 服务间和最终用户对服务的授权。
# 通过自定义属性支持的灵活性,例如条件、角色和角色绑定。
# 高性能,因为 Istio 授权是在 Envoy 本地强制执行的。
# 高兼容性,原生支持 HTTP、HTTPS 和 HTTP2,以及任意普通 TCP 协议。
- 策略遥测
# 主要使用mixed和sidecar来完成策略规则和遥感日志收集,主要涉及适配器、模板、处理器、实例、规则
image
# 上图是Mixer的架构图
# 在每次请求执行先决条件检查之前以及在每次报告遥测请求之后,Envoy会调用Mixer。
# Envoy具有本地缓存,不需要经常调用Mixer
# Mixer提供后端抽象,减小istio和基础后端的耦合,这里的基础后端比如监控等
# Mixer提供中介,允许控制网格和基础后端的交互
# 适配器Adapter,将Mixer实现细节抽象
# Mixer 无状态、高可靠、缓存和缓冲(Sidecar的高度扩展、可用的二代缓存)
image
# Mixer 本质上是一个属性处理机。每个经过 Envoy sidecar 的请求都会调用 Mixer
# Mixer会根据请求参数,调用各种基础后端
# 配置模型(控制istio各项功能)基于适配器(封装Mixer和特定基础后端的几口)和模板(请求属性和适配器的映射关系)
# handler处理器的完全限定名为适配器的{metadata.name}.{kind}.{metadata.namespace}
网友评论