服务治理形态

微服务化通过拆分服务独立化，给我们带来了很多好处，比如独立部署运维，功能内聚自治，便于敏捷开发，快速迭代，更好的伸缩性。但是，业务本身的规模和复杂度并没有变少，同时微服务化也给开发和运维带来新的复杂性，比如网络可靠性，通信安全，服务间调用链追踪等等。这时，就需要引入一些通过工具来做通过的工作，比如服务注册发现，负载均衡，链路追踪等等，统称为服务治理。服务治理经过以下三种形态的演变：

• 应用程序中包含治理逻辑
  业务代码和治理逻辑耦合，微服务越多，重复的代码越多

  
  图1.png

• 治理逻辑独立代码
  治理逻辑抽取成SDK代码，减少重复代码，业务代码依赖SDK，业务代码和治理逻辑在一个进程内，典型代表Spring Cloud框架

  
  图2.png

• 治理逻辑独立进程
  治理逻辑再解耦一层，从业务代码剥离出，业务代码和治理逻辑以独立的进程运行，真正治理逻辑下沉，典型的Sidecar模式（服务网格），典型框架技术就是本文要讲的Istio

  
  图3.png

Istio 简介

Istio 是一个开源服务网格，它透明地分层到现有的分布式应用程序上。Istio 的强大功能提供了一种统一且更有效的方式来保护、连接和监控服务。Istio 是负载均衡、服务到服务身份验证和监控的途径——几乎不需要更改服务代码。

Istio 作为服务网格技术具体落地方案，目前已是服务网格技术的事实标准。

2017年5月由Google与IBM联合发布，2018年7月发布1.0版本，2019年3月发布1.1版本(生产GA版本)

主要功能

• 通过丰富的路由规则、重试、故障转移和故障注入对流量行为进行细粒度控制
• 支持访问控制、速率限制和配额的可插拔策略层和配置 API
• HTTP、gRPC、WebSocket 和 TCP 流量的自动负载平衡
• 集群内所有流量的自动指标、日志和跟踪，包括集群入口和出口
• 使用 TLS 加密、强大的基于身份的身份验证和授权来保护集群中的服务到服务通信

使用场景

Istio 专为可扩展性而设计，可以处理各种部署需求。Istio 的控制平面不仅可以在 Kubernetes 上运行，您可以将部署在该集群中的应用程序添加到您的网格中，将网格扩展到其他集群，甚至连接虚拟机或在 Kubernetes 之外运行的其他端点

Istio 安装

Linux服务器上直接下载或者Github Istio release上下载安装包

curl -L https://istio.io/downloadIstio | ISTIO_VERSION=1.13.2 TARGET_ARCH=x86_64 sh -

#解压
tar -xvf  istio-1.13.2-linux-amd64.tar.gz

cd istio-1.13.2
export PATH=$PWD/bin:$PATH #配置环境变量

istioctl install --set profile=demo -y

输出结果如下：

安装.png

#查看详细命令
istioctl -h

Istio将自动将sidecar容器注入到以标记istio-injection=enabled命名空间的容器中

kubectl lable namespace default istio-injection=enabled

安装可视化组件（可选）

kubectl apply -f samples/addons

查看pod列表

可视化.png

istio 安装和部署实例都是基于kubernetes的声明式API

部署示例应用

以官网提供的bookinfo为例，Reviews 包含三个服务版本，分别对应三个Deployment

bookinfo.png

kubectl apply -f samples/bookinfo/platform/kube/bookinfo.yaml

应用程序启动完成，查看pod列表

Pod.png

通过kubectl describe pod/xxxx ,可查看每个pod里面，不仅包含业务容器，还包含一个istio-init容器（init容器类型）和istio-proxy容器，这次sidecar已自动注入了。

#查看自定义资源
kubect get customresourcedefinition

自定义资源.png

路由规则配置

istio提供多丰富的对象实现路由规则配置，比如VirtualService，DestinationRule，Gateway，Service Entry ，WorkloadEntry等。

• 按权重访问review-v2 review-v3版本

apiVersion: networking.istio.io/v1alpha3
kind: VirtualService
metadata:
  name: reviews-route
spec:
  hosts:
  - reviews.default.svc.cluster.local
  http:
  - route:
    - destination:
        host: reviews.default.svc.cluster.local
        subset: v2
      weight: 25
    - destination:
        host: reviews.default.svc.cluster.local
        subset: v3
      weight: 75

apiVersion: networking.istio.io/v1alpha3
kind: DestinationRule
metadata:
  name: reviews-destination
spec:
  host: reviews.default.svc.cluster.local
  subsets:
  - name: v2
    labels:
      version: v2
  - name: v3
    labels:
      version: v3

Istio 架构概述

架构图

arch.png

• 数据平面
  数据平面由一组 sidecar 的代理（Envoy）组成, 与业务容器绑定在一起（k8s创建业务pod时自动注入pod中）即共享一个pod，真正执行流量控制管理，同时会向控制面输出日志及监控数据。如下所示：

  
  Istio-pod.png

Envoy 是采用C++实现的高性能网络代理服务,由Lyft开源的CNCF项目

• 控制平台
  控制平面Istiod通过管理和配置 Envoy 来管理流量，主要包括Pilot,Mixer,Citadel等服务组件,默认安装在istio-system命名空间

  
  Pod.png

Pilot 是Istio控制面流量管理和服务发现的核心组件，人称Istio的司令官
Mixer 负责执行访问策略和收集遥测数据的组件
Citadel是Istio的安全组件，主要负责证书的颁发和轮换