安装Istio
接下来我们将介绍如何在 Kubernetes 集群中安装 Istio,这里我们使用的是最新的 1.10.3 版本。
下面的命令可以下载指定的 1.10.3 版本的 Istio:
➜ ~ curl -L https://istio.io/downloadIstio | ISTIO_VERSION=1.10.3 sh -
如果安装失败,可以用手动方式进行安装,在 GitHub Release 页面获取对应系统的下载地址:
# 注意选择和自己操作系统匹配的文件
➜ ~ wget https://github.com/istio/istio/releases/download/1.10.3/istio-1.10.3-linux-amd64.tar.gz
➜ ~ tar -xzf istioctl-1.10.3-linux-amd64.tar.gz
# 进入到 istio 解压的目录
➜ ~ cd istio-1.10.3 && ls -la
total 48
drwxr-x---@ 9 ych staff 288 Jul 15 13:32 .
drwx---r-x@ 482 ych staff 15424 Jul 20 14:17 ..
-rw-r--r--@ 1 ych staff 11348 Jul 15 13:32 LICENSE
-rw-r--r--@ 1 ych staff 5866 Jul 15 13:32 README.md
drwxr-x---@ 3 ych staff 96 Jul 15 13:32 bin
-rw-r-----@ 1 ych staff 854 Jul 15 13:32 manifest.yaml
drwxr-xr-x@ 5 ych staff 160 Jul 15 13:32 manifests
drwxr-xr-x@ 21 ych staff 672 Jul 15 13:32 samples
drwxr-xr-x@ 5 ych staff 160 Jul 15 13:32 tools
其中 samples/ 目录下面是一些示例应用程序,bin/ 目录下面的 istioctl 是 Istio 的 CLI 工具,可以将该 bin/ 目录加入到 PATH 路径之下,也可以直接拷贝到某个 PATH 目录下去:
➜ ~ cp bin/istioctl /usr/local/bin/istioctl
➜ ~ istioctl version
no running Istio pods in "istio-system"
1.10.3
安装 istio 的工具和文件准备好过后,直接执行如下所示的安装命令即可,这里我们采用的是 demo 配置组合的形式,这是因为它包含了一组专为测试准备的功能集合,另外还有用于生产或性能测试的配置组合。
➜ ~ istioctl install --set profile=demo -y
Detected that your cluster does not support third party JWT authentication. Falling back to less secure first party JWT. See https://istio.io/v1.10/docs/ops/best-practices/security/#configure-third-party-service-account-tokens for details.
! values.global.jwtPolicy is deprecated; use Values.global.jwtPolicy=third-party-jwt. See http://istio.io/latest/docs/ops/best-practices/security/#configure-third-party-service-account-tokens for more information instead
✔ Istio core installed
✔ Istiod installed
✔ Ingress gateways installed
✔ Egress gateways installed
✔ Installation complete
安装完成后我们可以查看 istio-system 命名空间下面的 Pod 运行状态:
➜ ~ kubectl get pods -n istio-system
NAME READY STATUS RESTARTS AGE
istio-egressgateway-5c8d96c9b5-6d5g9 1/1 Running 0 4m6s
istio-ingressgateway-6bcfd457f9-wpj7w 1/1 Running 0 4m6s
istiod-775bcf58f7-v6jl2 1/1 Running 0 5m4s
如果都是 Running 状态证明 istio 就已经安装成功了。然后我们还可以给 namespace 添加一个 isito-injection=enabled 的 label 标签,指示 Istio 在部署应用的时候,可以自动注入 Envoy Sidecar 代理,比如这里我们给 default 命名空间注入自动标签:
➜ ~ kubectl label namespace default istio-injection=enabled
namespace/default labeled
部署示例应用
然后我们可以来安装官方提供的一个非常经典的 Bookinfo 应用示例,这个示例部署了一个用于演示多种 Istio 特性的应用,该应用由四个单独的微服务构成,这个应用模仿在线书店的一个分类,显示一本书的信息。页面上会显示一本书的描述、书籍的 ISBN、页数等信息,以及关于这本书的一些评论。
Bookinfo 应用分为四个单独的微服务:
- productpage:这个微服务会调用 details 和 reviews 两个微服务,用来生成页面。
- details:这个微服务中包含了书籍的信息。
- reviews:这个微服务中包含了书籍相关的评论,它还会调用 ratings 微服务。
- ratings:这个微服务中包含了由书籍评价组成的评级信息。
reviews 微服务有 3 个版本:
- v1 版本不会调用 ratings 服务。
- v2 版本会调用 ratings 服务,并使用 1 到 5 个黑色星形图标来显示评分信息。
- v3 版本会调用 ratings 服务,并使用 1 到 5 个红色星形图标来显示评分信息。
下图可以用来说明我们这个示例应用的整体架构:
Bookinfo 应用中的几个微服务是由不同的语言编写而成的,这些服务对 Istio 并无依赖,但是构成了一个有代表性的服务网格的例子:它由多个服务、多个语言构成,并且 reviews 服务具有多个版本。
我们要在 Istio 中运行这个应用,不需要对应用本身做任何改变,只要简单的在 Istio 环境中对服务进行配置和运行,也就是把 Envoy sidecar 注入到每个服务之中。最终的部署结果将如下图所示:
所有的微服务都和 Envoy sidecar 集成在一起,被集成服务所有的出入流量都被 sidecar 所劫持,这样就为外部控制准备了所需的 Hook,然后就可以利用 Istio 控制平面为应用提供服务路由、遥测数据收集以及策略实施等功能。
进入上面的 Istio 安装目录,执行如下命令:
➜ ~ kubectl apply -f samples/bookinfo/platform/kube/bookinfo.yaml
service/details created
serviceaccount/bookinfo-details created
deployment.apps/details-v1 created
service/ratings created
serviceaccount/bookinfo-ratings created
deployment.apps/ratings-v1 created
service/reviews created
serviceaccount/bookinfo-reviews created
deployment.apps/reviews-v1 created
deployment.apps/reviews-v2 created
deployment.apps/reviews-v3 created
service/productpage created
serviceaccount/bookinfo-productpage created
deployment.apps/productpage-v1 created
如果在安装过程中禁用了 Sidecar 自动注入功能而选择手动注入 Sidecar,请在部署应用之前可以使用 istioctl
kube-inject 命令来注入 sidecar 容器。
➜ ~ kubectl apply -f <(istioctl kube-inject -f samples/bookinfo/platform/kube/bookinfo.yaml)
这里我们部署的 bookinfo.yaml 资源清单文件就是普通的 Kubernetes 的 Deployment 和 Service 的 yaml 文件,使用 istioctl kube-inject 或者配置自动注入后会在这个文件的基础上向其中的 Deployment 追加一个镜像为 docker.io/istio/proxyv2:1.10.3 的 sidecar 容器,上面的命令会启动全部的四个服务,其中也包括了 reviews 服务的三个版本(v1、v2 以及 v3)。
过一会儿就可以看到如下 service 和 pod 启动:
➜ ~ kubectl get pods
NAME READY STATUS RESTARTS AGE
details-v1-79f774bdb9-mqpzm 2/2 Running 0 25m
productpage-v1-6b746f74dc-xjzgh 2/2 Running 0 25m
ratings-v1-b6994bb9-9j9dq 2/2 Running 0 25m
reviews-v1-545db77b95-wwhkq 2/2 Running 0 25m
reviews-v2-7bf8c9648f-rh6b9 2/2 Running 0 25m
reviews-v3-84779c7bbc-bsld9 2/2 Running 0 25m
➜ ~ kubectl get svc
NAME TYPE CLUSTER-IP EXTERNAL-IP PORT(S) AGE
details ClusterIP 10.99.137.40 <none> 9080/TCP 26m
kubernetes ClusterIP 10.96.0.1 <none> 443/TCP 57d
productpage ClusterIP 10.111.10.219 <none> 9080/TCP 26m
ratings ClusterIP 10.105.20.158 <none> 9080/TCP 26m
reviews ClusterIP 10.105.81.29 <none> 9080/TCP 26m
现在应用的服务都部署成功并启动了,如果我们需要在集群外部访问,就需要添加一个 istio gateway,gateway 相当于 k8s 的 ingress controller 和 ingress,它为 HTTP/TCP 流量配置负载均衡,通常在服务网格边缘作为应用的 ingress 流量管理。
创建一个 Ingress gateway:
➜ ~ kubectl apply -f samples/bookinfo/networking/bookinfo-gateway.yaml
gateway.networking.istio.io/bookinfo-gateway created
virtualservice.networking.istio.io/bookinfo created
验证 gateway 是否创建成功:
➜ ~ kubectl get gateway
NAME AGE
bookinfo-gateway 15s
要想访问这个应用,这里我们需要更改下 istio 提供的 istio-ingressgateway 这个 Service 对象,默认是 LoadBalancer 类型的服务:
➜ ~ kubectl get svc -n istio-system
NAME TYPE CLUSTER-IP EXTERNAL-IP PORT(S) AGE
istio-egressgateway ClusterIP 10.103.199.67 <none> 80/TCP,443/TCP 47m
istio-ingressgateway LoadBalancer 10.100.241.242 <pending> 15021:31548/TCP,80:31529/TCP,443:30433/TCP,31400:31175/TCP,15443:32533/TCP 47m
istiod ClusterIP 10.107.77.147 <none> 15010/TCP,15012/TCP,443/TCP,15014/TCP
LoadBalancer 类型的服务,实际上是用来对接云服务厂商的,如果我们没有对接云服务厂商的话,可以将这里类型改成 NodePort,但是这样当访问我们的服务的时候就需要加上 nodePort 端口了:
➜ ~ kubectl edit svc istio-ingressgateway -n istio-system
......
type: NodePort # 修改成 NodePort 类型
status:loadBalancer: {}
这样我们就可以通过 http://:/productpage 从集群外部访问 Bookinfo 应用了:
刷新页面可以看到 Book Reviews 发生了改变(红色、黑色的星形或者没有显示),因为每次请求会被路由到到了不同的 Reviews 服务版本去。
仪表盘
上面我们是安装的 Istio 的核心组件,此外 Istio 还和一些遥测应用做了集成,遥测能帮助我们了解服务网格的结构、展示网络的拓扑结构、分析网格的健康状态等,对于分布式微服务应用也是非常重要的。
我们可以使用下面的命令来部署 Kiali、Prometheus、Grafana 以及 Jaeger:
➜ ~ kubectl apply -f samples/addons
# 如果出现了错误,则可以重新执行上面的命令
➜ ~ kubectl get pods -n istio-system
NAME READY STATUS RESTARTS AGE
grafana-f766d6c97-4888w 1/1 Running 0 3m57s
istio-egressgateway-5c8d96c9b5-6d5g9 1/1 Running 0 60m
istio-ingressgateway-6bcfd457f9-wpj7w 1/1 Running 0 60m
istiod-775bcf58f7-v6jl2 1/1 Running 0 61m
jaeger-7f78b6fb65-bj8pm 1/1 Running 0 3m56s
kiali-85c8cdd5b5-b5zv4 1/1 Running 0 3m55s
prometheus-54b5dcf6bf-wjkpl 3/3 Running 0 3m48s
上面几个组件部署完成后我们就可以查看前面 Bookinfo 示例应用的遥测信息了,比如可以使用下面的命令访问 Kiali:
➜ ~ istioctl dashboard kiali
在左侧的导航菜单,选择 Graph ,然后在 Namespace 下拉列表中,选择 default 。Kiali 仪表板展示了网格的概览、以及 Bookinfo 示例应用的各个服务之间的关系。它还提供过滤器来可视化流量的流动。
至此,整个 Istio 和 Bookinfo 示例应用就安装并验证成功了,现在就可以使用这一应用来体验 Istio 的特性了,其中包括了流量的路由、错误注入、速率限制等特性。