引言
Istio的服务模型是怎么样的?通过什么方式进行流量治理
一、Istio服务模型
服务(Service)与版本(Version):Istio中的服务在kubernetes中以service形式存在,可定义不同的服务版本。通过Deployment创建工作负载,通过Service关联这些负载,域名或者虚拟IP访问后端Pod。
服务实例(ServiceInstance): 一个服务可以包含一组实例,在Kubernetes中用Endpoints实现,一组域名或者IP地址。
服务(Service)示例:
- apiVersion: v1
- kind: Service
- metadata:
- name: helloworld
- labels:
- app: helloworld
- service: helloworld
- spec:
- ports:
- - port: 5000
- name: http
- selector:
- app: helloworld
备注:创建一个名称为helloworld的Service,指向“app: helloworld”的Pods,Kubernetes会自动创建一个和Service同名的Endpoints对象,Selector会持续跟踪映射属于helloworld的Pods。
工作负载示例:
- apiVersion: apps/v1
- kind: Deployment
- metadata:
- name: helloworld-v1
- labels:
- app: helloworld
- version: v1
- spec:
- replicas: 1
- selector:
- matchLabels:
- app: helloworld
- version: v1
- template:
- metadata:
- labels:
- app: helloworld
- version: v1
- spec:
- containers:
- - name: helloworld
- image: docker.io/istio/examples-helloworld-v1
- resources:
- requests:
- cpu: "100m"
- imagePullPolicy: IfNotPresent #Always
- ports:
- - containerPort: 5000
备注:以Deployment方式创建工作负载,关联的版本与镜像。
二、Istio流量治理
治理原理
通过Isito中VirtualService、DestinationRule、ServiceEntry等配置实现流量治理,即Istio将流量配置通过xDS下发给Enovy,通过拦截Inbound和Outbound流量,在流量经过时执行规则,实现流量治理。
通常流量治理有:动态变更负载均衡策略、不同版本灰度发布、服务治理限流熔断和故障注入演练等。
概念说明
1.VirtualService
含义:形式上为虚拟服务,将流量转发到对应的后端服务。
1.1 重要参数说明
- hosts 必选字段,用于匹配访问地址,建议用字母的域名而不是IP地址
- gateways 流量规则网关Gateway,可作用于网格中的SideCar和入口处的Gateway 网格内部访问可以省略;网格外流量配置关联的Gateway表示执行该规则;网格内外都需要访问:需要配置Gateway和mesh两个字段
- http 用于处理HTTP流量
- tls 用于处理非终结的TLS和HTTPS流量
- tcp 用于处理TCP流量,如果未定义http和tls所有流量将走tcp路由
- exportTo 用于控制命名空间的可见性,可以控制一个命名空间下的VirtualService是否被其他命名SideCar和Gateway使用,未赋值表示全局可见
备注:VirtualService规则是一个数组,当第一个规则生效后将会跳出,不再检查后面的规则
1.2 VirtualService典型应用
不同服务组合通过不同路径映射
不同版本映射通过不同URI映射到不同的服务版本
1.3 示例
- apiVersion: networking.istio.io/v1alpha3
- kind: VirtualService
- metadata:
- name: helloworld
- spec:
- hosts:
- - "*"
- gateways:
- - helloworld-gateway
- http:
- - match:
- - uri:
- exact: /hello
- route:
- - destination:
- host: helloworld
- port:
- number: 5000
2.DestinationRule
含义:通常和VirtualService结合使用,VirtualService描述满足什么条件将流量转发到后端服务,DestinationRule描述到达后端了如何处理,类似于方法内部逻辑。
2.1 重要参数说明
- hosts 必填,表示规则使用的对象
- trafficPolicy 规则具体内容,可包括负载均衡策略、异常点检查、连接池策略等
- subsets 服务子集,常用于定义服务的版本
- exportTo 用于控制命名空间的可见性,未赋值全局可见
2.2 DestinationRule典型应用
- 负载均衡策略规则
- 不同版本灰度流量,例如:通过subSet
- 服务熔断限流,例如:通过请求量和请求超时等
2.3 示例
- apiVersion: networking.istio.io/v1alpha3
- kind: DestinationRule
- metadata:
- name: bookinfo-ratings
- spec:
- host: ratings.prod.svc.cluster.local
- trafficPolicy:
- loadBalancer:
- simple: LEAST_CONN
- subsets:
- - name: testversion
- labels:
- version: v3
- trafficPolicy:
- loadBalancer:
- simple: ROUND_ROBIN
3.ServiceEntry
含义:将网格外服务纳入istio网格。
3.1 重要参数说明
- hosts 必填,与ServiceEntry关联的主机名,主要用于http协议,其他协议不生效
- address 表示与服务关联的地址
- port 表示与服务关联的端口
- Location 用于设置服务是在网格内还是网格外 MESH_EXTERNAL:表示在网格外部,通过API访问外部服务 MESH_INTERNAL:表示在网格内部,不能直接注册到网格注册中心的服务
- resolution 服务发现的方式,NONE、STATIC、DNS等
- SubjectAltNames 表示这个服务负载的SAN列表
- endpoints 表示与网格服务关联的网络地址,可以是IP或者域名
3.2 ServiceEntry典型应用
配置访问外部服务
3.3 示例
- apiVersion: networking.istio.io/v1alpha3
- kind: ServiceEntry
- metadata:
- name: baidu-external
- spec:
- hosts:
- - www.baidu.com
- ports:
- - number: 80
- name: HTTP
- protocol: HTTP
- resolution: DNS
- location: MESH_EXTERNAL