服務網格istio概念應知應會

艾裡_Simple發表於2020-11-10

一、背景

最近架構組基於istio開發了服務網格(Service Mesh)平臺,藉此機會把相關的背景知識做一次學習和記錄,方便回頭檢視。

初版的效果:

二、istio

官方手冊:https://istio.io/latest/zh/docs/concepts/what-is-istio/

1、Service Mesh簡介

istio作為實現Service Mesh的一個開源專案,首先要對Service Mesh有了解。

在過去的幾年中,微服務架構已成為軟體設計中流行的樣式。在這種架構中,我們將應用程式分解為可獨立部署的服務。這些服務通常是輕量級的,多語言的,並且通常由各種職能團隊進行開發部署。當某些服務數量增加,難以管理且越來越複雜時,微服務架構將一直有效。但這也在管理安全性,網路流量控制和可觀察性等各個方面帶來了挑戰。

Service Mesh可以很好地幫助應對這些挑戰。

  • Service Mesh 用於描述組成應用程式的微服務及其之間的互動。隨著服務數量的增加和複雜性的增加,擴充套件和管理變得越來越困難。Service Mesh可以為微服務架構提供服務發現,負載均衡,故障恢復,指標和監視。
  • Service Mesh 通常還能夠滿足更復雜的需求,例如A/B測試,金絲雀釋出,速率限制,訪問控制和端到端身份驗證。
  • Service Mesh 提供了一種輕鬆建立服務網路的方式,該網路具有負載均衡,服務到服務的身份驗證,監視等功能,而微服務程式碼更改很少或沒有更改。

2、為什麼使用 Istio?

Istio 提供了對整個服務網格的行為洞察和操作控制的能力,以及一個完整的滿足微服務應用各種需求的解決方案。

Istio 提供一種簡單的方式來為已部署的服務建立網路,該網路具有負載均衡、服務間認證、監控等功能,而不需要對服務的程式碼做任何改動。想要讓服務支援 Istio,只需要在您的環境中部署一個特殊的 sidecar 代理,使用 Istio 控制平面功能配置和管理代理,攔截微服務之間的所有網路通訊:

  • HTTP、gRPC、WebSocket 和 TCP 流量的自動負載均衡。
  • 通過豐富的路由規則、重試、故障轉移和故障注入,可以對流量行為進行細粒度控制。
  • 可插入的策略層和配置 API,支援訪問控制、速率限制和配額。
  • 對出入叢集入口和出口中所有流量的自動度量指標、日誌記錄和跟蹤。
  • 通過強大的基於身份的驗證和授權,在叢集中實現安全的服務間通訊。
  • Istio 旨在實現可擴充套件性,滿足各種部署需求。

核心功能
Istio 在服務網路中統一提供了許多關鍵功能:

流量管理

通過簡單的規則配置和流量路由,您可以控制服務之間的流量和 API 呼叫。Istio 簡化了斷路器、超時和重試等服務級別屬性的配置,並且可以輕鬆設定 A/B測試、金絲雀部署和基於百分比的流量分割的分階段部署等重要任務。

通過更好地瞭解您的流量和開箱即用的故障恢復功能,您可以在問題出現之前先發現問題,使呼叫更可靠,並且使您的網路更加強大——無論您面臨什麼條件。

安全

Istio 的安全功能使開發人員可以專注於應用程式級別的安全性。Istio 提供底層安全通訊通道,並大規模管理服務通訊的認證、授權和加密。使用Istio,服務通訊在預設情況下是安全的,它允許您跨多種協議和執行時一致地實施策略——所有這些都很少或根本不需要應用程式更改。

雖然 Istio 與平臺無關,但將其與 Kubernetes(或基礎架構)網路策略結合使用,其優勢會更大,包括在網路和應用層保護 pod 間或服務間通訊的能力。

可觀察性

Istio 強大的跟蹤、監控和日誌記錄可讓您深入瞭解服務網格部署。通過 Istio 的監控功能,可以真正瞭解服務效能如何影響上游和下游的功能,而其自定義儀表板可以提供對所有服務效能的可視性,並讓您瞭解該效能如何影響您的其他程式。

Istio 的 Mixer 元件負責策略控制和遙測收集。它提供後端抽象和中介,將 Istio 的其餘部分與各個基礎架構後端的實現細節隔離開來,併為運維提供對網格和基礎架構後端之間所有互動的細粒度控制。

所有這些功能可以讓您可以更有效地設定、監控和實施服務上的 SLO。當然,最重要的是,您可以快速有效地檢測和修復問題。

平臺支援

Istio 是獨立於平臺的,旨在執行在各種環境中,包括跨雲、內部部署、Kubernetes、Mesos 等。您可以在 Kubernetes 上部署 Istio 或具有 Consul 的 Nomad 上部署。Istio 目前支援:

在 Kubernetes 上部署的服務
使用 Consul 註冊的服務
在虛擬機器上部署的服務

整合和定製

策略執行元件可以擴充套件和定製,以便與現有的 ACL、日誌、監控、配額、審計等方案整合。 

好文推薦:

https://www.cnblogs.com/xishuai/p/microservices-and-service-mesh.html(微服務(Microservices)和服務網格(Service Mesh)架構概念整理

https://www.kubernetes.org.cn/5556.html(詳解Istio實踐之熔斷和限流工作原理

https://blog.csdn.net/luanpeng825485697/article/details/84560659(istio簡介和基礎元件原理(服務網格Service Mesh))

https://blog.csdn.net/chenhaifeng2016/article/details/78609208(深度剖析Service Mesh服務網格新生代Istio)

https://zhuanlan.zhihu.com/p/101723832(微服務之服務治理:Envoy 全域性 gRPC 限速服務 lyft/ratelimit 詳解)

https://www.jianshu.com/p/bed143a1c886(istio 簡介)

https://servicemesh.es/

相關文章