本文分享自華為雲社群《基於istio實現多叢集流量治理》,作者: 可以交個朋友。
一 背景
對多雲、混合雲等異構基礎設施的服務治理是Istio重點支援的場景之一。為了提高服務的可用性,避免廠商鎖定,企業通常會選擇將應用部署在多個地域的多個叢集,甚至多雲、混合雲等多種雲環境下,多叢集的方案逐步成為企業應用部署的最佳選擇。因此越來越多的使用者對跨叢集的服務治理有著強烈的需求,在此背景下Istio作為ServiceMesh領域的事實標準,推出了多種多叢集管理方案。
二 簡介
目前Istio支援4種多叢集模型。
- 扁平網路單控制面模型
- 扁平網路多控制面模型
- 非扁平網路單控制面模型
- 非扁平網路多控制面模型
多叢集的單控制面模型是指多個叢集共用同一套Istio控制面,多叢集的多控制面模型指每個叢集都要獨立使用一套Istio控制面,無論是單控制面還是多控制面模型,每套Istio控制面(istiod)都要連線所有叢集的Kube-apiserver,並且List-Watch獲取所有叢集的Service、Endpoint、Pod 、Node ,並控制面叢集內或叢集間的服務訪問,但是隻監聽主叢集的VirtualService、DestinationRule、Gateway等Istio API物件。
根據叢集間網路是否扁平,Istio又對兩種控制面模型進行了細分:
- 扁平網路:多叢集容器網路透過VPN等技術打通,Pod跨叢集訪問直通。
- 非扁平網路:每個叢集的容器網路都相互隔離,跨叢集的訪問不能直通,必須透過東西向閘道器
生產環境上在選擇 Istio 多叢集模型時,當然需要結合自己的實際場景來決定。如果叢集之間的網路是扁平的,那麼可以選擇扁平網路模型,如果叢集之間的網路是隔離的,那麼可以選擇非扁平網路模型。如果叢集規模較小,那麼可以選擇單控制面模型,如果叢集規模較大,那麼可以選擇多控制面模型。
本文件選擇非扁平網路多控制面模型來進行安裝說明:安裝模型如下所示
非扁平網路多控制面模型有如下特點。
- 不同的叢集不需要在一張大網下,即容器網路不需要三層打通,跨叢集的服務訪問透過
Istio East-West Gateway轉發。 - 每個kubernetes叢集的Pod地址範圍與服務地址範圍沒有限制,可以與其他叢集重疊,不同叢集之間互不干擾
- 每個Kubernetes叢集的Sidecar僅連線到本叢集的Istio控制面,通訊效率更高。
- Istiod只監聽主叢集的Istio配置,因此
VirtualService、DestinationRule、Gateway等資源存在冗餘複製問題 - 同一叢集內部服務訪問: Pod之間直接連線;跨叢集的服務訪問:依賴DNS代理解析其他叢集的服務域名,由於叢集之間的網路相互隔離,所以依賴Remote叢集的
East-west Gateway中轉流量。
三 ClusterMesh 環境搭建
搭建 cluster1 和 cluster2 兩個叢集,然後每個叢集上安裝 Istio 控制平面, 且將兩者均設定為主叢集(primary cluster)。 叢集 cluster1 在 network1 網路上,而叢集 cluster2 在 network2 網路上。
3.1 前提條件
本次搭建環境資訊如下: 使用Kind搭建Kubernetes叢集,Kind版本為v0.19.0。 Kubernetes 版本為1.27.3 ; Istio 版本為 1.20.1。
在搭建k8s 叢集之前確保Linux節點已安裝docker kubectl 和 kind。
下載istioctl二進位制
curl -L https://istio.io/downloadIstio | ISTIO_VERSION=1.20.1 TARGET_ARCH=x86_64 sh -將 istioctl 客戶端新增到路徑
3.2 Kubernetes叢集安裝
cluster1和cluster2叢集安裝指令碼如下
# create-cluster.sh # This script handles the creation of multiple clusters using kind and the # ability to create and configure an insecure container registry. set -o xtrace set -o errexit set -o nounset set -o pipefail # shellcheck source=util.sh NUM_CLUSTERS="${NUM_CLUSTERS:-2}" KIND_IMAGE="${KIND_IMAGE:-}" KIND_TAG="${KIND_TAG:-v1.27.3@sha256:3966ac761ae0136263ffdb6cfd4db23ef8a83cba8a463690e98317add2c9ba72}" OS="$(uname)" function create-clusters() { local num_clusters=${1} local image_arg="" if [[ "${KIND_IMAGE}" ]]; then image_arg="--image=${KIND_IMAGE}" elif [[ "${KIND_TAG}" ]]; then image_arg="--image=kindest/node:${KIND_TAG}" fi for i in $(seq "${num_clusters}"); do kind create cluster --name "cluster${i}" "${image_arg}" fixup-cluster "${i}" echo done } function fixup-cluster() { local i=${1} # cluster num if [ "$OS" != "Darwin" ];then # Set container IP address as kube API endpoint in order for clusters to reach kube API servers in other clusters. local docker_ip docker_ip=$(docker inspect --format='{{range .NetworkSettings.Networks}}{{.IPAddress}}{{end}}' "cluster${i}-control-plane") kubectl config set-cluster "kind-cluster${i}" --server="https://${docker_ip}:6443" fi # Simplify context name kubectl config rename-context "kind-cluster${i}" "cluster${i}" } echo "Creating ${NUM_CLUSTERS} clusters" create-clusters "${NUM_CLUSTERS}" kubectl config use-context cluster1 echo "Kind CIDR is $(docker network inspect -f '{{$map := index .IPAM.Config 0}}{{index $map "Subnet"}}' kind)" echo "Complete"
以上叢集安裝的過程中,為了istiod能夠訪問對方叢集的apiserver地址,叢集kube-apiserver的地址設定為master節點的地址。因為是kind部署的叢集,兩個叢集的master節點本質上都是同個宿主機上的docker執行的容器。
確認cluster1和cluster2 是否就緒
3.3 使用MetalLB為閘道器分配ExternalIP
由於使用的是kind部署多叢集,istio南北向閘道器和東西向閘道器建立需要建立LoadBalencer service,均需要使用到ExternalIP。這裡藉助metalLB 實現LB ip地址的分發和宣告。
檢視kind搭建叢集使用節點子網網段: 172.18.0.0/16
採用metalLB L2模式進行部署。
cluster1中的metalLB配置清單: metallb-config-1.yaml
### for cluster1 ##配置IPAddressPool,用於lbip地址的分配。L2模式下,ippool地址和worker節點處於同一子網即可 apiVersion: metallb.io/v1beta1 kind: IPAddressPool metadata: name: first-pool namespace: metallb-system spec: addresses: - 172.18.1.230-172.18.1.240 --- ##配置L2Advertisement,用於地址宣告 apiVersion: metallb.io/v1beta1 kind: L2Advertisement metadata: name: first-adv namespace: metallb-system spec: ipAddressPools: - first-pool
cluster2叢集中的metalLB配置清單:metallb-config-2.yaml
### for cluster2 ##配置IPAddressPool,用於lbip地址的分配。L2模式下,ippool地址和worker節點處於同一子網即可 apiVersion: metallb.io/v1beta1 kind: IPAddressPool metadata: name: second-pool namespace: metallb-system spec: addresses: - 172.18.1.241-172.18.1.252 --- ##配置L2Advertisement,用於地址宣告 apiVersion: metallb.io/v1beta1 kind: L2Advertisement metadata: name: second-adv namespace: metallb-system spec: ipAddressPools: - second-pool
使用指令碼進行安裝
#!/usr/bin/env bash set -o xtrace set -o errexit set -o nounset set -o pipefail NUM_CLUSTERS="${NUM_CLUSTERS:-2}" for i in $(seq "${NUM_CLUSTERS}"); do echo "Starting metallb deployment in cluster${i}" kubectl apply -f https://raw.githubusercontent.com/metallb/metallb/v0.13.10/config/manifests/metallb-native.yaml --context "cluster${i}" kubectl create secret generic -n metallb-system memberlist --from-literal=secretkey="$(openssl rand -base64 128)" --context "cluster${i}" ## 增加等待時間,如果metallb負載沒部署起來,建立IPAddressPool L2Advertisement 會報錯 sleep 10 kubectl apply -f ./metallb-config-${i}.yaml --context "cluster${i}" echo "----" done
確認metalLB部署情況
確認IPAddressPool資訊:
3.4 叢集共享根CA 配置信任關係
為了支援安全的跨叢集mTLS通訊,多控制面模型要求每個叢集的控制面Istiod都使用相同的CA機構頒發的中間CA證書,供Citatel簽發證書使用,以支援跨叢集的TLS雙向認證。
Istio東西向閘道器(跨叢集訪問)工作時使用基於SNI的路由,它根據TLS請求的SNI,自動將其路由到SNI對應的Cluster,因此非扁平網路的跨網路訪問要求所有流量都必須經過TLS加密。
在叢集中插入證書和金鑰,指令碼如下(需要將該指令碼移動到istio的安裝包目錄下):
#!/usr/bin/env bash set -o xtrace #set -o errexit set -o nounset set -o pipefail NUM_CLUSTERS="${NUM_CLUSTERS:-2}" ##在istio安裝包的頂層目錄下 建立目錄 用來存放證書和金鑰 mkdir -p certs pushd certs ##生成根證書和金鑰 make -f ../tools/certs/Makefile.selfsigned.mk root-ca for i in $(seq "${NUM_CLUSTERS}"); do ##對於每個叢集,為 Istio CA 生成一箇中間證書和金鑰 make -f ../tools/certs/Makefile.selfsigned.mk "cluster${i}-cacerts" ##對於每個叢集,建立istio-system 名稱空間 kubectl create namespace istio-system --context "cluster${i}" ## 對於每個叢集,透過給istio系統名稱空間打上topology.istio.io/network 標籤新增網路標識 kubectl --context="cluster${i}" label namespace istio-system topology.istio.io/network="network${i}" ##對於每個叢集,給工作節點node打上地域和可用區標籤,便於istio實現地域故障轉移、地域負載均衡 kubectl --context="cluster${i}" label node "cluster${i}-control-plane" topology.kubernetes.io/region="region${i}" kubectl --context="cluster${i}" label node "cluster${i}-control-plane" topology.kubernetes.io/zone="zone${i}" #在每個叢集中,建立一個私密 cacerts,使用所有輸入檔案 ca-cert.pem, ca-key.pem,root-cert.pem 和 cert-chain.pem。 kubectl delete secret cacerts -n istio-system --context "cluster${i}" kubectl create secret generic cacerts -n istio-system --context "cluster${i}" \ --from-file="cluster${i}/ca-cert.pem" \ --from-file="cluster${i}/ca-key.pem" \ --from-file="cluster${i}/root-cert.pem" \ --from-file="cluster${i}/cert-chain.pem" echo "----" done
3.5 Istio服務網格安裝
為cluster1,和cluster2 叢集安裝多控制面istio網格。
將cluster1 設定為主叢集,在istio的安裝目錄下執行如下命令
cat <<EOF > cluster1.yaml apiVersion: install.istio.io/v1alpha1 kind: IstioOperator spec: values: global: meshID: mesh1 multiCluster: ##開啟多叢集配置 clusterName: cluster1 #指定k8s叢集名稱 network: network1 #指定網路標識 logging: level: debug EOF
將cluster2 設定為主叢集,在istio的安裝目錄下執行如下命令
cat <<EOF > cluster2.yaml apiVersion: install.istio.io/v1alpha1 kind: IstioOperator spec: values: global: meshID: mesh2 multiCluster: ##開啟多叢集配置 clusterName: cluster2 #指定k8s叢集名稱 network: network2 #指定網路標識 logging: level: debug EOF
#!/usr/bin/env bash set -o xtrace set -o errexit set -o nounset set -o pipefail OS="$(uname)" NUM_CLUSTERS="${NUM_CLUSTERS:-2}" for i in $(seq "${NUM_CLUSTERS}"); do echo "Starting istio deployment in cluster${i}" istioctl install --force --context="cluster${i}" -f "cluster${i}.yaml" echo "Generate eastwest gateway in cluster${i}" ## 在每個叢集中安裝東西向閘道器。 bash samples/multicluster/gen-eastwest-gateway.sh \ --mesh "mesh${i}" --cluster "cluster${i}" --network "network${i}" | \ istioctl --context="cluster${i}" install -y -f - echo done
執行指令碼,進行istio的安裝部署
稍等片刻後,等待安裝完成
3.6 在東西向閘道器開放服務
因為叢集位於不同的網路中,所以我們需要在兩個叢集東西向閘道器上開放所有服務(*.local)。 雖然此閘道器在網際網路上是公開的,但它背後的服務只能被擁有可信 mTLS 證書的服務訪問, 就像它們處於同一網路一樣。執行下面的命令在兩個叢集中暴露服務:
apiVersion: networking.istio.io/v1beta1 kind: Gateway metadata: name: cross-network-gateway spec: selector: istio: eastwestgateway # 專用於東西向流量的閘道器 servers: - port: number: 15443 # 已經宣告瞭 name: tls protocol: TLS tls: mode: AUTO_PASSTHROUGH # 東西向閘道器工作模式是 TLS AUTO_PASSTHROUGH hosts: - "*.local" # 暴露所有的服務
分別在每個叢集中應用上述Gateway配置:kubectl -n istio-system --context=cluster${i} apply -f samples/multicluster/expose-services.yaml
3.7 配置secret以便istiod訪問遠端叢集apiserver
每個k8s叢集中的 istiod 需要 List-Watch 其他叢集的 Kube-APIServer,使用 K8s 叢集的憑據來建立 Secret 物件,以允許 Istio 訪問遠端 Kubernetes apiserver。
#!/usr/bin/env bash set -o xtrace set -o errexit set -o nounset set -o pipefail OS="$(uname)" NUM_CLUSTERS="${NUM_CLUSTERS:-2}" for i in $(seq "${NUM_CLUSTERS}"); do for j in $(seq "${NUM_CLUSTERS}"); do if [ "$i" -ne "$j" ] then echo "Enable Endpoint Discovery between cluster${i} and cluster${j}" if [ "$OS" == "Darwin" ] then # Set container IP address as kube API endpoint in order for clusters to reach kube API servers in other clusters. docker_ip=$(docker inspect -f '{{range.NetworkSettings.Networks}}{{.IPAddress}}{{end}}' "cluster${i}-control-plane") istioctl create-remote-secret \ --context="cluster${i}" \ --server="https://${docker_ip}:6443" \ --name="cluster${i}" | \ kubectl apply --validate=false --context="cluster${j}" -f - else istioctl create-remote-secret \ --context="cluster${i}" \ --name="cluster${i}" | \ kubectl apply --validate=false --context="cluster${j}" -f - fi fi done done
執行以上指令碼:remote secret建立完成。
檢視istiod日誌發現已經監聽遠端叢集了
四 Istio多叢集流量治理實踐
kubectl create --context=cluster1 namespace sample kubectl create --context=cluster2 namespace sample kubectl label --context=cluster1 namespace sample \ istio-injection=enabled kubectl label --context=cluster2 namespace sample \ istio-injection=enabled kubectl apply --context=cluster1 \ -f samples/helloworld/helloworld.yaml \ -l service=helloworld -n sample kubectl apply --context=cluster2 \ -f samples/helloworld/helloworld.yaml \ -l service=helloworld -n sample
分別在不同叢集部署不同版本的服務
把應用 helloworld-v1 部署到 cluster1:kubectl apply --context=cluster1 \ -f samples/helloworld/helloworld.yaml \ -l version=v1 -n sample
kubectl apply --context=cluster2 \ -f samples/helloworld/helloworld.yaml \ -l version=v2 -n sample
kubectl apply --context=cluster1 \ -f samples/sleep/sleep.yaml -n sample kubectl apply --context=cluster2 \ -f samples/sleep/sleep.yaml -n sample
確認負載例項部署成功,並且sidecar已經注入
4.1 驗證跨叢集流量
用 Sleep pod 重複呼叫服務 HelloWorld。 為了確認負載均衡按預期工作,需要從所有叢集呼叫服務 HelloWorld。
從 cluster1 中的 Sleep pod 傳送請求給服務 HelloWorld
從 cluster2 中的 Sleep pod 傳送請求給服務 HelloWorld
4.3 驗證從閘道器訪問
透過閘道器訪問服務端Helloworld
建立virtualservice、gateway等istio資源,配置清單如下
# helloworld-gateway.yaml apiVersion: networking.istio.io/v1beta1 kind: Gateway metadata: name: helloworld-gateway spec: selector: istio: ingressgateway # use istio default controller servers: - port: number: 80 name: http protocol: HTTP hosts: - "*" --- apiVersion: networking.istio.io/v1beta1 kind: VirtualService metadata: name: helloworld spec: hosts: - "*" gateways: - helloworld-gateway http: - match: - uri: exact: /hello route: - destination: host: helloworld port: number: 5000
注意: 兩個叢集都需要應用該配置
訪問效果如下:
4.3 驗證地域負載均衡
對流量進行更精細的控制,將 region1 -> zone1 和 region1 -> zone2 兩個地區的權重分別為 80% 和 20%,使用 DestinationRule 來配置權重分佈
# locality-lb-weight.yaml apiVersion: networking.istio.io/v1beta1 kind: DestinationRule metadata: name: helloworld namespace: sample spec: host: helloworld.sample.svc.cluster.local trafficPolicy: connectionPool: http: maxRequestsPerConnection: 1 loadBalancer: simple: ROUND_ROBIN localityLbSetting: enabled: true distribute: - from: region1/* to: "region1/*": 80 "region2/*": 20 - from: region2/* to: "region2/*": 80 "region1/*": 20 outlierDetection: consecutive5xxErrors: 1 interval: 1s baseEjectionTime: 1m
注意: 兩個叢集都需要應用該配置
從 cluster1 中透過閘道器傳送請求給服務 HelloWorld
從 cluster2中透過閘道器傳送請求給服務 HelloWorld
4.4 驗證地域故障轉移
當多個地區/區域部署多個服務例項時,如果某個地區/區域的服務例項不可用,可以將流量轉移到其他地區/區域的服務例項上,實現地域故障轉移,這樣就可以保證服務的高可用性。
# locality-lb-failover.yaml apiVersion: networking.istio.io/v1beta1 kind: DestinationRule metadata: name: helloworld namespace: sample spec: host: helloworld.sample.svc.cluster.local trafficPolicy: connectionPool: http: maxRequestsPerConnection: 1 # 關閉 HTTP Keep-Alive,強制每個HTTP請求使用一個新連線的策略 loadBalancer: simple: ROUND_ROBIN localityLbSetting: # 地域負載均衡配置,開啟異常點檢測後,預設開啟。 enabled: true failover: # 地域故障轉移策略 - from: region1 to: region2 - from: region2 to: region1 outlierDetection: consecutive5xxErrors: 1 # 連續 1 次 5xx 錯誤 interval: 1s # 檢測間隔 1s baseEjectionTime: 1m # 基礎驅逐時間 1m
注意: 兩個叢集都需要應用該配置
從 cluster1 中透過閘道器傳送請求給服務 HelloWorld
模擬故障,手動將cluster1叢集中Helloworld V1版本設定故障
再次訪問,故障檢測生效,觸發故障轉移,並驗證響應中的 version 始終為 v2,也就是說我們訪問的是 region2 的 helloworld 服務,這樣就實現了地域故障轉移。
故障轉移的前提是當前region內,所有例項都不可用時,才會轉移到到目前region,否則流量還會發往當前region的其他可用例項。
五 備註
參考文獻如下:
-
istio開源社群(跨網路多主架構的安裝說明): https://istio.io/latest/zh/docs/setup/install/multicluster/multi-primary_multi-network/
-
kind安裝叢集指令碼參考: https://github.com/cnych/multi-cluster-istio-kind/tree/main/kind-create
-
多叢集證書管理參考:https://istio.io/latest/zh/docs/tasks/security/cert-management/plugin-ca-cert/
點選關注,第一時間瞭解華為雲新鮮技術~