美文网首页
istio概括

istio概括

作者: 柘龙义 | 来源:发表于2019-03-20 14:42 被阅读0次
    • 总览
      istio安装和基础概念

    • 流量控制
      # 使用Pilot和Envoy来进行流量的转发、故障恢复、故障注入、外部流量等功能,主要涉及 VirtualService、DestinationRule、ServiceEntry、Gateway

      image
    # 上图是Pilot工作的一个架构图
    # Pilot指定流量规则,不去指定固定的pod
    # Pilot管理部署所有的Envoy实例
    
    image
    # 上图是服务版本的一个架构
    # user 通过统一的接口访问,Pilot控制流量的负载和路由转发
    # 底层的应用程序也不用知道user的具体访问
    # 这意外着进行升级的时候可以进行灰度发布。
    # istio让用户和开发解藕
    
    image
    # 上图是请求流的一个走向图
    # 请求从ingress进来,之后会经过Pilot的Service,之后在走向具体的后端service或者外部路由
    # 这代表着我们可以在Service中可以添加修改我们自己需要的功能
    # 比如超时控制、重试、断路器等,也能获取请求来源的各种指标
    
    image
    # 上图是Envoy进行负载均衡的工作图
    # Pilot发现服务,根据rule将请求发给Envoy,然后根据均衡规则调度到具体的service上去
    # Envoy会定期检查服务实例的可用性,失败次数超过了会将服务弹出负载池,反之则会添加进负载池
    
    # 故障处理
    # 故障恢复功能:  包括超时、限制连接数和上游服务请求数,定期检查、重试
    # 通过限制和查询,使得系统更加稳定,将自身故障的影响降到最低
    
    # VirtualService 在 Istio 服务网格中定义路由规则,控制路由如何路由到服务上。
    # DestinationRule 是 VirtualService 路由生效后,配置应用与请求的策略集。
    # ServiceEntry 是通常用于在 Istio 服务网格之外启用对服务的请求。
    # Gateway 为 HTTP/TCP 流量配置负载均衡器,最常见的是在网格的边缘的操作,以启用应用程序的入口流量。
    
    • 安全认证


      image
    # 上图是istio安全架构图
    # Citadel 用于密钥和证书管理
    # Sidecar 和周边代理 实现客户端和服务器之间的安全通信
    # Pilot 将授权策略和安全命名信息分发给代理
    # Mixer 管理授权和审计
    # 以kubernetes方案为例
    # Citadel 监视 Kubernetes apiserver,为每个现有和新的服务帐户创建 SPIFFE 证书和密钥对。Citadel 将证书和密钥对存储为 Kubernetes secret。
    # 创建 pod 时,Kubernetes 会根据其服务帐户通过 Kubernetes secret volume 将证书和密钥对挂载到 pod。
    # Citadel 监视每个证书的生命周期,并通过重写 Kubernetes 秘密自动轮换证书。
    # Pilot 生成安全命名信息,该信息定义了哪些 Service Account 可以运行哪些服务。Pilot 然后将安全命名信息传递给 envoy sidecar。
    
    image
    # Citadel 创建一个 gRPC 服务(是一个高性能、开源和通用的 RPC (远程过程调用)框架)来接受 CSR 请求。
    # Envoy 通过 Envoy secret 发现服务(SDS)API 发送证书和密钥请求。
    # 收到 SDS 请求后,节点代理会创建私钥和 CSR,并将 CSR 及其凭据发送给 Citadel 进行签名。
    # Citadel 验证 CSR 中携带的凭证,并签署 CSR 以生成证书。、
    # 节点代理通过 Envoy SDS API 将从 Citadel 接收的证书和私钥发送给 Envoy。、
    # 上述 CSR 过程会定期重复进行证书和密钥轮换
    
    image
    # 上图是授权架构图,基于RBAC
    # 基于角色的语义,简单易用。
    # 服务间和最终用户对服务的授权。
    # 通过自定义属性支持的灵活性,例如条件、角色和角色绑定。
    # 高性能,因为 Istio 授权是在 Envoy 本地强制执行的。
    # 高兼容性,原生支持 HTTP、HTTPS 和 HTTP2,以及任意普通 TCP 协议。
    
    • 策略遥测
      # 主要使用mixed和sidecar来完成策略规则和遥感日志收集,主要涉及适配器、模板、处理器、实例、规则
      image
    # 上图是Mixer的架构图
    # 在每次请求执行先决条件检查之前以及在每次报告遥测请求之后,Envoy会调用Mixer。
    # Envoy具有本地缓存,不需要经常调用Mixer
    # Mixer提供后端抽象,减小istio和基础后端的耦合,这里的基础后端比如监控等
    # Mixer提供中介,允许控制网格和基础后端的交互
    # 适配器Adapter,将Mixer实现细节抽象
    # Mixer 无状态、高可靠、缓存和缓冲(Sidecar的高度扩展、可用的二代缓存)
    
    image
    # Mixer 本质上是一个属性处理机。每个经过 Envoy sidecar 的请求都会调用 Mixer
    # Mixer会根据请求参数,调用各种基础后端
    
    # 配置模型(控制istio各项功能)基于适配器(封装Mixer和特定基础后端的几口)和模板(请求属性和适配器的映射关系)
    # handler处理器的完全限定名为适配器的{metadata.name}.{kind}.{metadata.namespace}
    

    相关文章

      网友评论

          本文标题:istio概括

          本文链接:https://www.haomeiwen.com/subject/fwwzmqtx.html